谈基于网络和基于主机的漏洞扫描(4)

　　第三，网络流量负载小。由于漏洞扫描器管理器与漏洞扫描器代理之间只有通讯的数据包，漏洞扫描部分都有漏洞扫描器代理单独完成，这就大大减少了网络的流量负载。当扫描结束后，漏洞扫描器代理再次与漏洞扫描器管理器进行通讯，将扫描结果传送给漏洞扫描器管理器。

　　第四，通讯过程中的加密机制。从图4可以看出，所有的通讯过程中的数据包，都经过加密。由于漏洞扫描都在本地完成，漏洞扫描器代理和漏洞扫描器管理器之间，只需要在扫描之前和扫描结束之后，建立必要的通讯链路。因此，对于配置了防火墙的网络，只需要在防火墙上开放漏洞扫描器所需的5600和5601这两个端口，漏洞扫描器即可完成漏洞扫描的工作。

　　3.2.2 不足之处

　　基于主机的漏洞扫描工具也存在不足之处。

　　首先是价格方面。基于主机的漏洞扫描工具的价格，通常由一个管理器的许可证价格加上目标系统的数量来决定，当一个企业网络中的目标主机较多时，扫描工具的价格就非常高。通常，只有实力强大的公司和政府部门才有能力购买这种漏洞扫描工具，

　　其次，基于主机的漏洞扫描工具，需要在目标主机上安装一个代理或服务，而从管理员的角度来说，并不希望在重要的机器上安装自己不确定的软件。

　　第三，随着所要扫瞄的网络范围的扩大，在部署基于主机的漏洞扫描工具的代理软件的时候，需要与每个目标系统的用户打交道，必然延长了首次部署的工作周期。

　　4 总结

　　在检测目标系统中是否存在漏洞方面，基于网络的漏洞扫描工具和基于主机的漏洞扫描工具都是非常有用的。

　　有一点要强调的时，必须要保持漏洞数据库的更新，才能保证漏洞扫描工具能够真正发挥作用。另外，漏洞扫描工具，只是检测当时目标系统是否存在漏洞，当目标系统的配置、运行的软件发生变换时，需要重新进行评估。

　　基于网络的漏洞扫描工具和基于主机的漏洞扫描工具各自具有自己的特点，也都有不足之处。安全管理员在选择扫描工具时，可以根据自己的需要，选择最适合自己的产品。