在自定义扫描模板之外,您还可以采取其他行动来改善扫描性能。
根据带宽可用性的不同,添加扫描引擎可以减少总体扫描时间,而且还可以提高准确性。您放置扫描引擎的位置和您设置扫描引擎的数量一样重要。将扫描引擎放置在网络分界点(如防火墙)的两边,这种做法十分有帮助。请参见管理员指南中的战略分配扫描引擎主题。
定制您的站点配置,以支持您的性能目标。试着增加站点数量并将站点缩小。试着将站点与不同的扫描模板配对。调节您的扫描排程,以避免带宽冲突。
资源可被划分为两大主要类别:
如果您的企业具备方法和能力,您应增加网络带宽。如若不是,您应寻找在运行扫描时减少带宽冲突的方法。
增加主机的容量更直接一些。安装指南列出了关于安装的最低系统要求。您的系统可能符合这些要求,不过,如果您想要增加扫描线程的最大数量,您可能会发现您的主机系统出现减速或变得不稳定。这通常表明存在内存问题。
如果增加扫描线程对于达成您的性能目标而言十分关键,您应考虑安装 64 位版本的 InsightVM。在 64 位操作系统上运行的扫描引擎可以使用的 RAM 取决于操作系统所支持的容量,相反,32 位系统的最大容量约为 4 GB。64 位扫描引擎的垂直扩展性能够大幅增加 InsightVM 可以运行的潜在同时扫描的数量。
请随时注意关于扫描引擎放置的最佳实践。请参见管理员指南中的战略分配扫描引擎主题。带宽也是十分重要的考量因素。
任何构造合理的网络都具备有效的安全机制,如防火墙。这些设备会将 InsightVM 看做敌对实体,并尝试阻止它与它们设计攻击的资产通信。
如果您可以找到方法让本应用程序和您的安全基础设施更加容易地共存,而不会将您的网络暴露于风险之中或者违反安全政策,您就可以提高扫描速度和准确度。
例如,在扫描 Windows XP 工作站时,您可以采取几个简单的措施来提高性能:
您可以在 Windows 资产上打开防火墙,以允许 InsightVM 在您的网络内的这些目标上执行深度扫描。
在默认情况下,Microsoft Windows XP SP2、Vista、Server 2003 和 Server 2008 可以启用防火墙,以阻止传入的 TCP/IP 数据包。维持此设置通常是一种明智的安全实践。不过,关闭防火墙会限制应用程序在扫描过程中发现网络资产。打开防火墙可令其根据补丁或合规检查的需要访问与安全相关的关键数据。
如需查找打开防火墙而不会在 Windows 平台上禁用防火墙的访问,请参见针对该平台的 Microsoft 文档。通常,Windows 域管理员会执行此步骤。