使用扫描模板和调整扫描性能

您可能想要改善扫描性能。您可能想要更加快速且准确地执行扫描。或者，您可能想要使用更少的网络资源进行扫描。下列部分介绍了扫描调整的最佳实践以及使用扫描模板的说明。

调整扫描是一个敏感的过程。如果您为了获得某种性能提升而更改某种设置，您可能会发现另一个方面的性能被降低了。在您调整任何扫描模板之前，您应该了解如下两件事，这一点十分重要：

• 您调整扫描的目标或优先事项是什么？
• 您愿意在哪些方面的扫描性能做出妥协？

确定您的目标以及它们与性能“三角”之间的关系。 请参见在调整时，始终记住“三角”结构。这么做可以帮助您在更有意义的环境中查看扫描模板配置。在更改任何设置之前，请务必确保您了解扫描模板元素。

另外，请记住调整扫描性能需要您具备某些实验和策略并了解应用程序的运行方式。最重要的是，您需要了解您所处的独特网络环境。

此介绍部分将讨论为何您应调整扫描性能，以及不同的内置扫描模板是如何解决不同扫描需求的：

• 定义您的调整目标
• 主要调整工具：扫描模板

另请参见对比所有内置扫描模板及其使用案例的附录：

•  扫描模板

了解内置模板对您自定义模板而言十分有帮助。您可以创建含有内置模板中的许多理想设置的自定义模板，相较于从头创建新的模板，您只需自定义一些设置即可。

如需创建自定义扫描模板，请前往下列部分：

• 配置自定义扫描模板

定义您的调整目标

在调整扫描性能之前，请确保您明确这么做的原因。您想要更改哪些地方？您需要让它在哪些方面做得更好？您是否需要更加快速地运行扫描？您是否需要更加准确地运行扫描？您是否想要降低资源开销？

下列部分能够详细地解答这些问题。

您需要更加快速地结束扫描

您的目标可能是提高整体扫描的速度，如下列场景：

• 实际扫描时间窗口加宽且与您的扫描阻塞周期冲突。您的企业可能会安排非营业时间扫描，但是，当您的企业员工需要使用工作站、服务器或其他网络资源时，扫描可能仍然处于进行之中。
• 一种特定类型的扫描（如针对带有 300 个 Windows 工作站的站点）占用了特别长的时间，且人们无法预见它的结束时间。这种情况可能是“扫描搁置”问题，而不是简单的缓慢扫描。

注意: 如果扫描需要格外长的时间才能完成，请终止扫描并联络技术支持部门。

• 您需要具备在相同时间窗口中安排多个扫描的能力。
• 对您的企业而言，政策或合规规则变得越来越严格，从而需要您执行“深度”的经验证扫描，但是您没有更多的时间做这件事。
• 您需要在等量的时间内扫描更多的资产。
• 您需要在较短的时间内扫描相同数量的资产。
• 您需要在较短的时间内扫描更多的资产。

您需要减少网络或系统资源的消耗量。

您的目标可能是降低资源的访问量，如下列场景：

• 您的扫描占用了过多的带宽且干扰了其他重要业务流程的网络性能。
• 您的扫描引擎所在的计算机在扫描固定数量的端口时已经达到了内存的最大量。
• 如果您同时执行过多的扫描，安全控制台会用完内存。

您需要更加准确的扫描数据

扫描可能不会给您提供足够的信息，如下列场景：

• 扫描遗漏资产。
• 扫描遗漏服务。
• 应用程序报告过多的误报或漏报。
• 漏洞检查缺乏足够的深度。

在调整时，始终记住“三角”结构

您对扫描设置实施的任何调整都会对一个或多个主要的性能类别造成影响。

这些类别反映了我们在上文部分中讨论的调整的一般目标：

• 准确度
• 资源
• 时间

这三个性能类别是互相依存的。将它们形象化为一个三角的做法十分有帮助。

如果您延长三角的一个边，即如果您喜欢性能类别，您至少会缩短另外两个边中的一个边。期望调整延长三角的所有三个边的想法是不切实际的。不过，您通常可以延长三个边中的两个边。

增加时间可用度

提供更多的时间来运行扫描通常意味着让扫描运行得更快。一个使用案例为在全球各个地点举办拍卖会的公司。它的资产库存稍微超过 1,000。该公司在举行拍卖会时不能运行扫描，因为时间敏感性数据必须在这些时候遍历网络，不受打扰。事实是，该公司在不同的时区举办拍卖会，这种情况让扫描排程变得复杂化。扫描窗口极为紧迫。公司的最佳解决方案为使用许多带宽，这样，扫描就可以尽快完成。

在这种情况下，他们可以在不影响准确性的同时降低扫描时间。不过，高工作量可能会过度开发资源，以至于扫描机制变得不太稳定。在这种情况下，可能有必要降低准确度级别，例如，通过关闭凭证扫描的方式。

大家可以采用各种方式提高扫描速度，包括：

• 增加同时扫描的资产的数量。请注意，这种方式将会加重扫描引擎和安全控制台的负担。
• 分配更多的扫描线程。这么做会影响网络带宽。
• 使用较不详尽的扫描模板。这种方式也会降低扫描的准确度。

• 添加扫描引擎，或者将它们战略性地分布在网络中。如果您要使用一小时通过低带宽扫描 200 项资产，请将扫描引擎放置在防火墙的同侧，因为这些资产可以加快扫描进程。在部署涉及目标资产的扫描引擎时，请选择一个能够最大化带宽并最小化延迟的位置。如需了解有关扫描引擎安置的更多信息，请参见管理员指南。

注意: 部署更多扫描引擎可能会降低带宽的可用度。

提高准确度

让扫描变得更加准确意味着找到更多与安全相关的信息。

大家可以采取许多种方法实现这一目的，按照性能三角的说法，每种方法都有自己的“代价”：

增加已发现资产、服务或漏洞检查的数量。这样会占用更多的时间。

使用政策合规检查和热修复来“深化”扫描。这些类型的检查需要凭证，而且也会占用相当多的时间。

更加频繁地扫描资产。例如，外围网络资产（如网络服务器或虚拟专用网络 (VPN)）更容易受到攻击，因为它们需要接触互联网。我们建议经常对它们执行扫描。这么做的话，要么需要更多带宽，要么需要更多时间。时间问题特别适用于具有深层文件结构的网站。

在扫描网络服务时，请注意许可限制。当本应用程序尝试连接服务时，它会对该服务显示为另一个“客户端”或用户。服务可能对自身可以同时支持的客户端连接数量设定了限制。如果服务在应用程序尝试进行连接时已达到此客户端容量限制，那么，服务会拒绝尝试。基于 telnet 的服务通常会发生这种情况。如果应用程序无法连接服务并对其进行扫描，那么，该服务将不能被加入扫描数据中，这意味着较低的扫描准确度。

提高资源可用度

让更多资源变得可用主要意味着减少扫描消耗的带宽量。它还涉及降低 RAM 使用量，特别是在 32 位操作系统中更是如此。

在您的环境的四个主要方面考虑带宽的可用度。它们中任何一个或多个都有可能变为障碍：

• 应用程序所在的计算机可能会停止处理来自目标资产的响应。
• 应用程序运行所在的网络基础设施（包括防火墙和路由器）可能会因流量问题而陷入停滞状态。
• 目标资产运行所在的网络（包括防火墙和路由器）可能会因流量问题而陷入停滞状态。
• 目标资产可能会停止处理来自应用程序的请求。

特别令人关注的是目标资产运行所在的网络，这仅仅是因为总带宽中的某些部分通常被用于业务用途。如果您预定在工作站处于运转状态且笔记本电脑处于接入网络状态的办公时间运行扫描，那么，这一点尤为准确。带宽共享在处理备份过程的非办公时间也可能成为问题。

两个需要关注的与带宽相关的指标为在扫描期间交换的数据包数量以及关联防火墙的状态。如果应用程序每秒发送的数据包 (pps) 过多，特别是在扫描的服务发现和漏洞检查阶段，它就会超过防火墙追踪连接状态的能力。这里的危险是指防火墙会开始从目标资产上删除请求数据包或响应数据包，从而导致漏报。因此，加重带宽负担会引发准确度下降。

没有公式可以确定应该使用多少带宽。您必须了解您的企业平均使用的带宽量，以及它可以处理的最大带宽量。您还需要监控应用程序消耗的带宽量，然后对级别进行相应的调整。

例如，如果您的网络最高可以处理 10,000 pps 而不会干扰服务，并且，您在任何既定时间内的正常业务处理量平均约为 3,000 pps，那么，您的目标就是让应用程序在 7,000 pps 的窗口内工作。

控制带宽的主要扫描模板设置为扫描线程和同时扫描的最多端口数。

节约带宽的代价通常为时间。

例如，某个公司在美国境内的一个地区经营昼夜服务的载货汽车停车场。它的安全团队从总公司扫描多个远程地点。由于网络连接类型的限制，带宽相当低。因为每个地点的资产数目均低于 25，所以，添加远程扫描引擎并不是非常有效的解决方案。在这种情况下，一个可行的解决方案就是将扫描线程的数量降低为 2 至 5 之间，这样远远低于默认数值 10。

还有各种其他方法能够提高资源可用度，包括：

• 减少目标资产、服务或漏洞检查的数量。代价为准确度。
• 减少同时扫描的资产的数量。代价为时间。
• 执行较不详尽的扫描。这么做主要会降低扫描时间，但可以释放线程。

主要调整工具：扫描模板

扫描模板含有各种用于定义资产如何被扫描的参数。大多数调整程序涉及编辑扫描模板设置。

内置扫描模板被设计用于不同的使用案例，如 PCI 合规、Microsoft 热修复补丁验证、监视控制和数据采集 (SCADA) 设备审计以及网站扫描。您可以在标题为  扫描模板的部分中看到关于扫描模板的详细信息。此部分含有关于每种扫描模板的使用案例和设置。

模板是最佳实践

注意:  在您熟悉与扫描相关的技术概念（如端口发现和数据包延迟）之前，我们建议您使用内置模板。

您可以原封不动地使用内置模板，或者基于内置模板创建自定义模板。您亦可以创建新的自定义模板。如果您选择进行自定义设置，请记住，内置扫描模板本身就是最佳实践。内置模板不仅可以解决具体的使用案例，还可以体现性能三角中的因素的微妙平衡：时间、资源和准确度。

您会发现，如果您选择创建新模板选项，许多基本配置设置都有内置数值。我们建议您不要更改这些数值，除非您对它们的用途具备全面的工作知识。在更改任何内置数值时，您需要格外谨慎。

如果您根据内置模板自定义设计模板，您可能不需要更改每个扫描设置。例如，您可能只需更改线程数量或端口范围，并保留所有其他设置不变。

由于这些原因，根据内置模板执行任何自定义设计都是一个不错的主意。首先，您要熟悉内置模板并了解它们的共同之处和不同之处。下列部分是关于四个示例模板的对比。

理解扫描的可配置阶段

理解扫描阶段有助于理解扫描模板的构成方式。

每个扫描发生在三个阶段：

• 资产发现
• 服务发现
• 漏洞检查

注意:  扫描中的发现阶段是一个不同于资产发现的概念，资产发现是指在您的环境中发现潜在扫描目标的方法。

在资产发现阶段，扫描引擎会以高速向目标 IP 地址发送简单数据包，以验证网络资产的活动状态。您可以在扫描模板配置面板的资产发现和发现性能页面上针对这些通信尝试以及其他参数配置定时间隔。

在查找资产时，扫描引擎开始进入服务发现阶段，尝试与不同端口进行连接并验证建立有效连接的服务。由于应用程序会扫描网络应用、数据库、操作系统和网络硬件，因此，它有许多机会尝试访问。您可以在 扫描模板配置面板的服务发现和发现性能页面上配置与此阶段相关的属性。

在第三个阶段（被称为漏洞检查阶段）中，应用程序尝试确认在扫描模板中列出的漏洞。您可以在扫描模板配置面板的漏洞检查页面上选择要扫描的漏洞。

其他配置选项包括限制被扫描的服务的类型、搜索特定漏洞以及调整网络带宽使用情况。

在每个扫描阶段中，本应用程序通过一套叫做指纹识别的方法，会尽可能多地识别出关于资产的细节。通过检查一些属性，如缓冲区保留区域的具体位元设置、响应的时间或独特的应答确认，本应用程序可识别出资产硬件、操作系统的指数以及在系统中运行的应用程序的指数。受到良好保护的资产可以从网络扫描器下掩饰它的存在、它的身份以及它的组件。

您需要修改模板还是替换模板？

当您熟悉内置模板后，您可能会发现它们会在不同的时候满足不同的性能需求。

ヒント:  使用各种报告模板，可以从多种有用的方式解析您的扫描结果。扫描是一种资源投资，尤其是“深度”扫描。报告能够帮助您从这种投资中收获可能存在的最大回报。

例如，您可以预定每周（或者更加频繁）运行一次网络审计，以监控您面向互联网的资产。这是一种较快速的扫描，且消耗较少的资源。您还可以预定每周运行一次 Microsoft 热修复扫描，以进行补丁验证。这种扫描需要凭证，因此会占用较长的时间。不过，权衡之下，它不会频繁地发生。最后，您可以预定每季运行一次彻底扫描，以对您的环境进行一次详细而全面的考查。它需要占用时间和带宽，不过，它是一种较不频繁的扫描，您可以提前进行规划

注意:  如果您需要定期更改模板，您会牺牲使用相同模板安排按自动间隔运行扫描的便利性。

另一种实现时间和资源最大化而不会影响准确性的方式为替换目标资产。例如，您可以不用每晚扫描所有的工作站，而是先扫描三分之一的工作站，然后，在下一个 48 小时后再扫描其余的三分之二的工作站。或者，您可以采用相似的方法替代目标端口。

快速调整：您可以关闭什么？

有时候，调整扫描性能就是在模板中简单地关闭一个或两个设置。您检查的东西越少，您完成扫描所需的时间或带宽也越少。不过，您的扫描会变得较不全面、较不准确。

注意:  凭证检查对于准确度而言十分关键，因为它们可以执行“深度”系统扫描。在您关闭凭证检查之前，请务必绝对确定您不需要此设置。

如果您的扫描范围不包括网络资产，您可以关闭网络爬取并禁用与网络相关的漏洞检查。如果您不需要验证热修复补丁，您可以禁用任何热修复检查。如果您对运行凭证检查不感兴趣，您可以关闭它们。如果您确实需要运行凭证检查，您务必要确保仅运行必要的凭证检查。

这里有一个重要的注意事项就是，您需要确切地知道在您的网络上运行的内容，这样，您才能够知道关闭什么内容。这就是发现扫描变得如此珍贵之处。它们能够给您提供可靠的动态资产库存。例如，如果您从发现扫描中了解到，您没有运行 Lotus Notes/Domino 的服务器，那么，您就可以从扫描中排除此类政策检查。