近年来，安全事件层出不穷，其背后是恶意威胁的攻击手法快速进化、不断升级及黑客组织的产业化。

恶意威胁复杂多变，使得企业在威胁抵抗中疲于应对。不断新增设备这种拼凑式、碎片化的安全建设不仅难以取得理想的防御效果，反而增加了运维难度以及安全建设的投入。

那么，企业怎样才能更精准更有效的抵御各类威胁？

01、了解威胁分类

所谓知己知彼，方能百战不怠。当前网络空间中存在的威胁，可以归为以下三类：

已知威胁

网络空间现存的已公开的风险，通过现有的安全工具及手段可以控制到可接受水平的风险，这部分统称为已知的风险；已知威胁主要考量企业的基本安全能力，挑战企业的安全架构及对传统威胁的响应能力。精细化的安全管理是企业抵御已知威胁的建设趋势，除了基本的静态防御，安全建设需要考虑自动化运维和安全可视化。

未知威胁

除已知威胁之外，未被官方公开且没有补丁应对的威胁称之为未知威胁，由于网络空间攻防的信息不对等，当黑客向一个尚不为人知的脆弱点发起攻击，其影响往往更为严重。未知威胁挑战的是企业的威胁情报、智能行为分析等动态安全能力。抵御未知威胁时需要考虑的是如何提升网络空间信息对等能力，依托足够且及时的威胁情报、环境、智能化行为分析等手段识别未知威胁将是未知威胁防御的未来趋势。

高级威胁

高级威胁相比已知威胁和未知威胁更为复杂，这类的威胁是指黑客组织利用综合工具集持续的定向攻击目标的威胁。高级威胁挑战企业对黑客组织持续攻击的对抗及管理能力；人机共智、深度对抗能力将是高级威胁的防御趋势，例如通过安全专家开展专项服务，威胁实时监测及分析、高级黑客深度对抗、安全能力有效性评估等手段对抗高级威胁。

02、构建威胁分层治理模型

这三类威胁的攻击特点、影响程度等各不相同。针对三类不同的威胁，深信服下一代防火墙提出了以业务资产保护为核心构建威胁抵抗边界的威胁分层治理模型：

已知威胁抵抗

除了基本安全能力，比如静态防御能力的全面性，管理手段的便捷性、攻击数据呈现的有效性之外，深信服下一代防火墙针对已知威胁提供更有效的安全管理精细化及安全融合业务的能力，通过自动化运维及安全可视化、一体化策略配置，以业务资产为核心构建全生命周期的威胁防御能力。

未知威胁抵抗

在未知威胁防御层面，需要持续增加信息态势的上下文感知能力，从业务环境视角，不断引入全球范围内多维度的威胁情报数据并结合拟真的业务环境，以人工智能算法深度分析未知威胁的行为，给企业输入持续高频更新的安全能力和对热点威胁的快速响应能力，突破原有安全建设体系的能力边界，从传统防御变为基于情报、环境、智能化行为分析等综合手段，更精准更有效的应对未知威胁。

高级威胁抵抗

深信服认为，对抗高级威胁必须要打破这种攻防能力不对等的局面，以强大的安全专家团队来对抗黑客行为；采用“人机共智”的方式，将企业的网络安全交给安全专家团，通过持续检测业务资产，对业务风险进行综合评估，引入安全专家与黑客行为深度对抗，同时基于业界的最佳实践，结合业务安全需求制定安全策略，并持续进行安全能力的有效性评估、运维管理及策略更新，同时借助安全生态联盟来提升对抗高级威胁的能力。

03、打造可持续进化的威胁抵御边界

基于领先的威胁分层治理理念，深信服下一代防火墙持续升级威胁抵抗能力，以可进化的智能边界为用户提供更简单、更有效的安全保护。

融合安全能力

多安全能力融合，以实时流量分析、抗DDoS、访问控制、URL过滤、IPS、WAF、网页防篡改、Anti-Virus、防僵尸网络等构建L2-L7层威胁防御体系，通过自动化运维及一体化策略配置保障安全能力的有效落地，并对恶意IP进行联动封锁，精准阻断威胁。

智能边界，能力持续进化

以人工智能构建多个安全引擎，基于智能行为分析和深度学习，实现安全能力的持续进化，不断提升安全能力，打造可进化的智能边界，持续抵抗新型攻击威胁。

? 多维度安全检测引擎

实时漏洞分析引擎，内网资产智能识别、漏洞检测、配置风险检测、账号风险检测，实现内部安全状态实时洞悉。

SAVE安全智能检测引擎，利用算法自动化提取病毒行为特征，依托大数据的泛化能力，根据已知的变种特征，通过人工智能深度分析，推算新的变种，准确检测未知病毒/变种勒索病毒等威胁。

僵尸网络检测引擎，僵尸主机行为检测、DGA及连接通道屏蔽、威胁情报及声誉服务、挖矿、勒索、DDoS等C&C连接控制，精准识别失陷主机，全面防治失陷主机带来的威胁。

基于业务自学习的WAF引擎，采用机器学习方式，基于应用层交互内容深度学习采集正常流量特征，自动放通白流量，大幅提升威胁处理效率；通过大量拟真的业务环境攻防演练，充分掌握业务特点及响应方式，实现业务内容的深度还原，极大的提高威胁识别率、降低误判漏判；以人工智能算法，融合词法、语法算法，对威胁深度分析，构建业务安全基线，精准防御未知威胁。

? 持续进化的安全能力

通过云端安全云脑持续为本地设备更新安全规则，应对内部常规及热门威胁，持续增强防火墙对热门威胁的检测和防御能力；在云端以大数据、AI、多引擎构建的全局安全能力中心结合安全专家的持续监督，不断提炼算法模型，导入到下一代防火墙设备，防火墙基于精简的算法有效应对未知威胁。

网端云联动，有效保护

以“网端云”协同能力，通过下一代防火墙，联动安全云脑、下一代终端安全产品EDR、云端安全服务产品，为用户提供面向未来，有效保护的安全。

? 联动安全云脑

安全云脑通过全球威胁情报数据，基于大数据分析、多个人工智能引擎及安全专家团队，提供云查、热门威胁情报、威胁分析、安全规则更新等服务，持续增加下一代防火墙的安全能力、极大的提高下一代防火墙响应速度，热门威胁从样本获取到能力下发，10分钟内完成响应。

? 联动EDR

深信服下一代终端检测响应平台EDR，基于AI的检测引擎，可有效识别终端威胁，并具备持续学习、自我演进检测能力，为下一代防火墙提供近源处置能力，可结合下一代防火墙的失陷主机识别，完善终端安全事件的分析、定位、判断和隔离，快速处置终端安全事件。

? 联动安全服务平台

深信服云安全服务如云眼、云镜、云守等，以云端安全能力提供本地日志和流量的深度分析，并结合云端数据多维度分析结果，为下一代防火墙提供策略最佳指引及有效性评估、运维报告、热点推送等服务；云安全服务背后的安全专家团队，结合下一代防火墙和云端工具，以 “人机共智”有效对抗高级黑客攻击行为。

秉持面向未来，有效保护的安全理念，深信服下一代防火墙一直以“融合安全，简单有效”的价值主张，不断进行技术更新，持续增加安全能力，更有效的帮助用户抵御安全威胁，为用户业务提供全生命周期保护！