精准扫描，排查安全隐患

对于目标服务器来说，可能会存在一些安全问题。例如开启了不必要的端口，服务器操作系统存在安全漏洞，在服务器上安装的软件存在安全漏洞，在服务器上运行的网站存在弱密码等。

利用防火墙的风险分析功能，可以有效发现这些安全风险。防火墙可以对目标的IP进行扫描，准确显示目标服务器上开放的端口和服务，探测服务器上可能存在的漏洞信息，让管理员可以及时关闭危险的端口，为服务器打上各种补丁封堵漏洞，提高服务器的安全性。防火墙还可以利用自身配置的密码字典，对目标网站进行弱密码扫描，来解决数据库弱密码访问等危险问题。

防火墙的风险分析机制可以根据扫描的结果，来智能创建对应的管控规则，更好的为客户进行服务。登录到防火墙管理界面，在左侧选择“风险发现和防护”→“风险分析”项，在右侧的“不可信来访区域”列表中选择Outside区域，在“访问的目标IP范围”栏中输入目标主机的IP，包括单个IP或者IP范围。在“端口”栏中打开选择端口窗口，在其中默认选择常见的所有端口，您可以根据实际情况进行选择。如果觉得这些端口不符合需要的话，可以点击“新增”按钮，来输入新的端口或者端口范围。

选择“启用弱密码扫描”项，在打开的窗口中的“扫描范围”栏中可以选择扫描的服务，包括MySQL、Oracle、SSH、VNC等。在“扫描方式”列表中选择扫描方式，包括常规密码字典和完整密码字典扫描两种方式。前者扫描速度快但是精度差，后者扫描速度慢但是精度高。点击“高级选项”按钮，在打开窗口中可以自定义用户名列表和密码字典列表，提高探测的灵活性。点击“开始扫描”按钮，防火墙即可对目标地址进行扫描检测。当扫描完毕后，在报告窗口中显示结果信息，包括目标IP、开放的端口、服务类型、协议、可访问区域、可访问IP、风险等级、风险等内容。

对于危险高的项目（例如开放了未防护的端口），会使用红色进行显示。对于威胁较低的项目（例如存在Web风险）以黄色进行显示，对于一般的问题（例如开放了不必要的端口）则以绿色进行显示。在对应检测项目右侧点击“操作”项，在端口屏蔽策略窗口中显示防火墙为其自动创建的策略信息，包括屏蔽的来源范围、屏蔽的目标服务、自动采取拒绝动作并启用记录功能等。点击“提交”按钮，可以自动生成该安全策略。这样，就有效的封堵了该安全漏洞。在左侧选择“内容安全”→“应用控制策略”项，在右侧显示的以“scansapp”开头的项目，就是根据上述扫描自动创建的控制策略。