1.3 Nessus 部署注意事項

基于主機的防火墻

端口8834

Nessus用戶界面使用端口8834。如果尚未打開，請查閱防火墻供應商的文檔以獲取配置說明，以打開端口8834。

允許連接

如果您的Nessus服務器配置在具有第三方防火墻（例如ZoneAlarm或Windows防火墻）的主機上，則必須對其進行配置，以允許使用Nessus從客戶端IP地址進行連接。

Nessus和FirewallD

可以將Nessus配置為與FirewallD一起使用。在使用firewalld的 RHEL 7，CentOS 7和Fedora 20+系統上安裝Nessus時，可以使用Nessus服務和Nessus端口配置firewalld。

要打開Nessus所需的端口，請使用以下命令：

>> firewall-cmd --permanent --add-service=nessus
>> firewall-cmd --reload

IPV6 支持

Nessus支持掃描基于IPv6的資源。默認情況下，許多操作系統和設備附帶IPv6支持。要對IPv6資源執行掃描，必須在安裝Nessus的主機上至少配置一個IPv6接口，并且Nessus必須在支持IPv6的網絡上（Nessus無法通過IPv4掃描IPv6資源，但是它可以通過IPv4上的憑據掃描枚舉IPv6接口）。啟動掃描時，將同時支持完整和壓縮的IPv6表示法。

除非單獨輸入IP（即列表格式），否則不支持掃描IPv6全球單播IP地址范圍。Nessus不支持表示為連字符范圍或CIDR地址的范圍。Nessus支持使用link6偽指令作為掃描目標的本地鏈接范圍或使用eth0的本地鏈接。

虛擬機器

如果您的虛擬機使用網絡地址轉換(NAT)到達網絡，那么許多Nessus漏洞檢查、主機枚舉和操作系統標識都會受到負面影響。

殺毒軟件

由于在掃描過程中生成大量TCP連接，一些殺毒軟件包可能將Nessus歸類為蠕蟲或惡意軟件。

如果您的殺毒軟件給出警告，請選擇“允許讓Nessus繼續掃描”。

如果您的防病毒包有一個選項，可以將進程添加到異常列表中，請添加nessusd.exe, nessus-service.exe, nessuscli.exe。

安全警告

默認情況下，使用HTTPS安裝和管理Nessus，而SSL使用端口8834進行管理。Nessus的默認安裝使用自簽名SSL證書。

在Nessus安裝的基于Web的部分期間，出現以下關于SSL的消息：

您可能會從Web瀏覽器收到一條安全警報，說SSL證書無效。您可以選擇暫時接受風險，也可以從注冊服務商處獲取有效的SSL證書。

該信息是指您在訪問Nessus UI（https：// [服務器IP]：8834）時遇到的與安全相關的消息。

安全警告示例

• 連接隱私問題
• 一個不受信任的站點
• 不安全的連接

由于Nessus提供了自簽名SSL證書，因此這是正常現象。

繞過SSL警告

根據您使用的瀏覽器，使用以下步驟進入Nessus登錄頁面。