说起网络安全问题，很多人都会联想到黑客。黑客是一个特殊的社会群体，原本“黑客”一词没有丝毫贬义的成分，但是后来成为了那些怀有不良企图、为了一己私利制造麻烦的人的代名词。带有恶意目的的黑客利用自己掌握的技能与工具，通过各种攻击手段对网络进行攻击，恶化了网络安全环境。

在现在这个信息化时代，看似正常的网络里，其实安全威胁无处不在，网络安全和黑客攻击一直在一场道与魔的对抗中此消彼长着。未知威胁、新型威胁攻击面前，传统的安全防御体系已渐渐失效。通过身份认证的用户不一定合法，经过防火墙的流量也不一定安全。总之，仅仅看到IP/端口/特征已经无法区分是否安全。企业要看得见威胁，才能更准确的检测和防御，从而实现更高效的安全运维和风险处置。正如深信服践行的安全理念所指出的那样：可视化是安全的基础，在看见威胁的同时，企业也应加大持续检测和快速响应的投入。

为了把损失降至*低，我们必须了解黑客攻击，做到知己知彼，然后采取准确的对策加以对抗。黑客常用的攻击步骤可以说是变幻莫测，不过细细分析，我们也会发现整个攻击的过程还是有规律可循的。除了偶然性的攻击，一般的黑客攻击过程大致如下：

如图中所示，通过强规则和弱规则的匹配判断后，进入封锁阶段。即：如果*终确认为扫描器，需要进行封锁，为了防止http代理带来的误判，需要从代理头部字段获取源IP，日志记录那里有这样的配置，默认没有开启。

深信服NGAF的防扫描功能还能够有效防止WVS、Appscan、w3af、Hp Web Inspect等主流扫描器的扫描，并在扫描器刚开始爬取网站的时候就识别到扫描行为，进行阻断，大大降低了扫描器扫描到漏洞的概率。并且，通过对流量进行综合分析，识别出扫描行为，可对未知的扫描器进行拦截。当发现深信服NGAF日志存在黑客扫描的风险日志后，便将这个源添加到**封堵名单，阻断该源IP后续对服务器的所有访问，这也在一定程度上阻止了未知威胁的攻击。

如今，传统安全防御模式已经不能适应新型安全需求，安全威胁形势变幻莫测。唯有加强预防黑客攻击的**防线，提高黑客攻击门槛，提升攻击成本与时间，做好防扫描与持续检测才是上上之策。深信服NGAF除了针对防扫描功能的创新外，还做了其他诸多功能上的创新，包括：提供主动漏洞扫描、对已发生的事件进行持续检测、对未知威胁进行持续检测、对业务系统的漏洞进行持续检测、WAF、云沙盒、自动化威胁情报等功能。