扫描常见问题

此页面涉及运行扫描和管理扫描引擎方面的内容。

InsightVM 会在扫描过程中发送数百份电子邮件。为什么会出现这种情况？怎样停止发送？

网络爬虫会执行大量测试，如需要不断地提交网络应用表格的 SQL 注入测试。在 InsightVM 提交一份表格之后，它就无法再获取关于目标服务器或数据库上所发生的情况的信息。没有这种反馈，InsightVM 只能继续执行测试流程。如果目标应用程序没有限制过度提交或取消提交不恰当字符的机制（如特殊字符或符号），那么它只能继续发布提交。如果发布方法是电子邮件，这些测试就会在短时间内触发大量电子邮件。

过量的发布可能会导致拒绝服务。您可以配置网络爬虫，避免页面受到这种问题的影响。在 robots.txt 文件中指定这些页面或者修改扫描模板，以排除某些路径。请参见配置网络爬取。

还要注意的是，允许用户在短时间内提交 100 次左右的表格，这种情况本身就是一种漏洞。

您还应该联络您的网络管理员设置控件，以取消表格数据和限制提交。

怎样InsightVM 执行发现扫描？

发现扫描在两个连续的阶段中出现：设备发现和服务发现。

设备或资产发现

在这个初始阶段，InsightVM 会向目标资产发送连接请求，以验证它们的活跃状态以及可用于扫描的状态。InsightVM 使用以下三种方法中的任意一种来接触这些资产：

ICMP 回显请求（亦被称为"ping"）
TCP 数据包
UDP 数据包

服务发现

InsightVM 还会使用其他方法来执行 TCP 服务发现。它会发送带有 SYN 标记、SYN+RST、SYN+FIN 或 SYN+ECE 的数据包。如果它收到 SYN 响应，则端口是开放的。如果它收到 RST 响应，InsightVM 会认为端口是关闭的。

您可以配置 InsightVM 在发现扫描阶段所使用的方法。请参见 配置资产发现和配置服务发现。若要了解有关如何优化扫描的更多信息，请参见使用扫描模板和调整扫描性能。

需要满足怎样的网络和端口要求InsightVM才能正常工作？

InsightVM 安全控制台能够跨网络通讯，以执行四项主要活动：

活动	通讯类型
管理 InsightVM 扫描引擎上的扫描活动并从中拉出扫描数据	出站；扫描引擎在 40814 上侦听
在 updates.rapid7.com 上从服务器下载漏洞检查和功能更新	出站；服务器在端口 80 上侦听
在 support.rapid7.com 上向服务器上传 PGP 加密的诊断信息	出站；服务器在端口 443 上侦听
为 InsightVM 用户提供网页界面访问	入站；控制台通过端口 3780 接收 HTTPS 请求

InsightVM 扫描引擎使用 TCP、UDP 和 ICMP 接触目标资产，以执行扫描。扫描引擎不会发起与 InsightVM 安全控制台的出站通讯。

在理想情况下，扫描引擎与其目标资产之间不应存在任何防火墙或类似设备。请参见下方主题。

扫描可能还需要在安全政策方面具备某些灵活性。如需了解更多信息，请参见管理员指南。您可以从支持页面下载此文件。

我需要在 Windows 防火墙中做出哪些变更才能让 InsightVM 精准地扫描？

在加入域的环境中，您必须启用两组政策设置：

Windows 防火墙：允许远程管理例外情况
Windows 防火墙：允许文件和打印共享例外情况

在独立环境中，您必须启动远程注册才能允许 InsightVM 准确地识别远程扫描目标。

此外，您也必须启用两项标准配置文件设置：

Windows 防火墙：允许入站文件和打印机共享例外情况
Windows 防火墙：允许入站远程管理例外情况

Windows Vista 需要采取附加步骤：

确保将"在您的 DNS 域网络上禁止使用互联网络连接防火墙"设置为“禁用"或"未配置"状态
关闭用户账户控制

如需了解关于如何执行这些步骤的详细说明，请参考适当的 Microsoft 文档。

我在运行 Linux top 命令时，为什么系统在完成扫描后仍然会显示 InsightVM 正在使用所有可用的内存？

运行 InsightVM 的主机可以使用被分配给 Java 虚拟机 (Java Virtual Machine, JVM) 的所有内存，以执行扫描和任何 InsightVM 系统功能。在使用 RAM 优化扫描性能时，记住这一点至关重要。除非 InsightVM 重新启动，否则，被分配的内存不会被释放。top 命令并非在 InsightVM 中监控内存使用量的可靠方法。

我怎样才能创建仅检查单一漏洞的扫描模板？*

您在创建或修改扫描模板时，请前往配置向导的漏洞页面，并启用您希望 InsightVM 检查的漏洞。在启用特定漏洞检查时，您会禁用所有其他的检查。

在扫描中出现"Paused by System"和"Not enough memory to complete scan"消息是什么意思？*

当安全控制台主机服务器上的内存低得很危险时，InsightVM 就会暂停扫描并停止生成报告。这样做可以降低发生服务器故障的可能性。不过，这样可能会导致安全控制台在完成扫描之前停止扫描或报告活动。如果您看到这些消息，那么，您的主机系统正在低内存状态运行。

为了降低由此原因而导致扫描暂停的可能性，请尝试减少同时运行的扫描数量或者降低由您的扫描模板分配的扫描线程的数量。

如果上述调整无法帮助您完成扫描，请联络 Rapid7 技术支持部。

为什么我的扫描活动在打印机漏洞检查过程中遭遇搁置或者导致打印机死机？*

已知具有 HTTP 服务的打印机可能会在扫描过程中停止扫描或导致其他不必要的结果。您可以通过以下两个步骤缓解此问题：

在执行漏洞检查时，避免使用网络爬取：使用设备发现数据，找出与打印机相关的 HTTP 后台程序名称。在标有"在爬取时需要跳过的 HTTP 后台程序"的字段中输入这些名称。此字段位于任何扫描模板配置向导的网络爬取页面上。
单独扫描打印机：专为打印机创建一个站点。在该站点使用的模板中禁用网络爬取。

为什么我看不见当前扫描工作的增量扫描数据？

在默认情况下，InsightVM 仅会从本地扫描引擎检索增量结果，而该扫描引擎在与 InsightVM 安全控制台相同的主机上运行；并且，它在扫描完成后会显示来自远程引擎的完整扫描结果集。您可以配置 InsightVM 检索来自远程扫描引擎的增量扫描结果，包括 Rapid7 托管式引擎。这项控制在 InsightVM 安全控制台配置向导的扫描引擎页面上可见。

为什么我的扫描结果显示所有设备为"活跃"或者所有设备为"失效"？

在注重安全性的环境中，十分常见的做法是设置提供 SYN 洪水保护的防火墙，以防止设备（如 InsightVM）执行准确的端口扫描和主机发现。一种缓解此问题的方法为，在扫描模板中降低端口扫描速度，以避免触发 SYN 洪水保护。缺点是，扫描将需要更长的时间。如果此方法有效，那么，扫描将会变得比预期速度更慢。一个更好的解决方案为，将防火墙配置为"白名单"InsightVM。这种方法可以让 InsightVM 以正常速度执行可靠扫描。

注意: 本主题介绍的功能仅适用于 InsightVM 企业版。