写在*后

基于IT发展趋势，从SSL VPN到上网行为管理设备，再到下一代防火墙，为了让用户的IT业务更简单，更安全，更有价值，深信服在持续稳定发展的同时坚持安全产品和方案持续创新，并邀请用户通过在线社区参与深信服的产品改进，及时采纳建议。

作为在安全领域深耕多年的创新IT解决方案服务商，深信服获得了OWASP 4星评价、NSS Labs*高评价“推荐级”等国内外众多**机构的专业认可。未来，围绕"安全的基础是可视、安全的技术转向持续检测和快速响应、安全的交付应该简单易用"的新安全理念，深信服必将针对其产品和解决方案推出更多创新的功能和技术，满足新IT时代不同场景下的安全需求，再创佳绩!

点击“阅读原文”，免费试用深信服下一代防火墙

如图所示，黑客的入侵过程概括起来主要包含两部分：一是，突破企业安全防御前，即是探测和边界突破两个环节；二是，防御失效黑客成功进入企业内网后，通过持续的渗透，安装工具，横向移动，*终实施数据窃取或破坏等攻击。显然，黑客开启入侵的**步即是“探测”，也可理解为踩点扫描。黑客需要通过各种途径对攻击目标进行多方了解，利用扫描工具进行端口及漏洞扫描，查看服务器的运行状态等基本信息。一旦发现漏洞就会利用其实施攻击，随后进入以后的各个入侵环节，*终达到窃取或破坏数据的目的。

由此可见，要想阻止黑客攻击，对黑客潜在攻击行为Say No，我们必须从源头阻止！通过防扫描的方式阻止“探测”，让企业在**时间发现威胁，阻断黑客扫描，从而提升黑客攻击的门槛，提高攻击成本，大幅度降低黑客侵入企业内网的风险。

目前，虽然市场上大多数的防火墙产品都具有防扫描功能，企业用户可以通过在服务器和扫描器之间部署防火墙来有效阻止扫描软件的肆意窥探。但是很多防火墙的防扫描功能仅仅是基于对数据包中规则进行提取的一种单一的强规则判断方式。

所谓强规则是指扫描器的强特征，例如扫描器可能携带其特定的UA，这个特定的UA就是强特征。强特征的优点是误判率低，识别速度快。但是它也有个很大的缺点，就是随着扫描器版本的升级，强特征会越来越少，后续可能根本就无法识别扫描器，随之产品的防扫描功能效果也将大打折扣。

这种通过强规则判断的防御手段往往是被动的，存在着很多行为疏漏的可能。而现在，众多的防火墙产品也都忽视了这种问题。基于此，深信服NGAF的防扫描功能在设置了强规则判断的基础上，还加入了弱规则判断。实现了在基于数据包分析的同时，也会基于行为予以联合判决。