威胁防护介绍

威胁防护，即设备可检测并阻断网络威胁的发生。通过配置威胁防护功能，Hillstone设备可防御外部攻击，减少对内网安全造成的损失。

威胁防护包括：

• 网络层攻击防护：可检测并防护常见的DoS/DDoS攻击，恶意扫描攻击，欺骗攻击等；
• 应用层攻击防护：可检测并防护针对主流应用层协议（DNS、FTP、POP3、SMTP、TELNET、MYSQL、MSSQL、ORACLE、NETBIOS）的入侵攻击；
• Web攻击防护：可检测并防护基于Web的攻击行为，如：SQL注入攻击、XSS攻击、协议异常分析、CC攻击等；
• 木马攻击防护：可检测并防护常见的木马攻击；
• 恶意软件下载防护：可检测最易携带病毒的文件类型和常用的协议类型（POP3、HTTP、SMTP、IMAP4以及FTP）并对其进行病毒防护。文件类型包括存档文件（包含压缩存档文件，支持压缩类型有GZIP、BZIP2、TAR、ZIP和RAR）、PE（支持的加壳类型有ASPack 2.12、UPack 0.399、UPX的所有版本以及FSG的1.3、1.31、1.33和2.0版本）、HTML、Mail、RIFF、CryptFF和JPEG。
• 恶意网站访问控制：可检测恶意URL并指定对其的响应动作。

Hillstone设备支持基于安全域和基于策略的威胁防护方式。为安全域配置威胁防护后，系统将会对以绑定安全域为目的安全域的流量根据威胁防护配置进行检查并做相应的动作响应。为策略配置威胁防护后，系统将会对与策略规则相匹配的流量根据威胁防护配置进行检查和响应。若安全域和策略中均配置了威胁防护，策略中的配置项将有更高的优先权；在安全域配置中，目的安全域的优先权将高于源安全域。

Hillstone设备支持许可证控制的威胁防护功能，即为支持威胁防护功能的设备安装许可证后，功能才可使用。

威胁防护特征库

威胁防护特征库包括多种攻击特征、病毒特征、恶意URL特征、木马特征等。默认情况下，Hillstone设备会每日自动更新威胁防护特征库，目前支持在线更新和本地更新两种方式。Hillstone提供两个默认特征库更新服务器，分别是update1.hillstonenet.com和update2.hillstonenet.com。用户可以根据需要更改特征库更新配置。

特征根据严重程度分为三个级别（安全级别），分别为严重（Critical）、警告（Warning）和信息（Informational），各级别说明如下。 用户可根据特征严重程度，设置系统对该特征攻击所将采取的行为。

• 严重（Critical）：严重的攻击事件，例如缓冲区溢出。
• 警告（Warning）：具有一定攻击性的事件，例如超长的URL。
• 信息（Informational）：一般事件，例如登录失败。