业务保护策略主要对用户的业务进行保护，从而防止业务服务器遭受攻击，提高网络的安全性。业务防护策略主要有实时漏洞分析、漏洞攻击防护、内容安全、Web应用防护、僵尸网络和联动封锁模块组成。

点击<新增>，选择业务防护策略，如下图所示。

网络配置参考安全防护策略，需要注意源地址和目的地址方向。

策略优化项：

业务访问场景：提前明确访问过程中，是否存在源地址转换或者CDN等代理的场景，共两个选项，“访问源未经过源地址转换或CDN”和“访问源经过源地址转换或CDN”。主要是为后面防扫描策略做选择参考，如果选择的是“访问源经过源地址转换或CDN”，那么当选择带“防扫描功能的Web应用防护模板”时，会有警告提示。

：

CDN（内容分发网络）是构建在现有网络基础之上的智能虚拟网络，依靠部署在各地的边缘服务器，通过中心平台的负载均衡、内容分发、调度等功能模块，使用户就近获取所需内容，降低网络拥塞，提高用户访问响应速度和命中率。如果边缘服务器无该服务内容，则会使用本地的IP向中心服务器进行资源请求，从而边缘服务器起到一个代理的作用。

点击<下一步>，配置安全评估，即实时漏洞分析，如下图所示。

实时漏洞分析：被动流量观测，实时发现业务系统存在的漏洞、配置、账号弱口令等事前风险。通过内置了一些漏洞规则，对网络中指定的数据进行实时分析，用于发现用户网络中存在的一些安全漏洞问题，并以报表的形式把漏洞的潜在风险和解决办法展现给用户，可在[安全运营/业务安全/实时漏洞分析]中进行查看。

点击<下一步>，进入防御配置。如下图所示。

基础防御：

漏洞攻击防护：选择是否启用漏洞攻击防护，这里可以调用漏洞攻击防护模板。识别针对系统漏洞、应用漏洞的攻击行为，以及针对账号的暴力破解行为。

内容安全：选择是否启用内容安全，这里可以调用内容安全策略模板。包含邮件安全、URL过滤、文件安全三大功能，对网络通信内容中存在的威胁进行有效识别并防御。

动作：设置满足上述定义的条件的数据包是允许还是拒绝。如果为允许，则只对数据包进行检测，实际上不拒绝；如果为拒绝，则会根据规则库定义的动作进行拒绝或者允许。

增强功能：

Web应用防护策略：选择是否启用Web应用防护策略，且选中引用相关的Web应用防护模板。专门针对Web服务器设计的防攻击策略，可以防止系统命令注入、SQL注入、XSS攻击等各种针对Web应用的攻击和泄密行为。

点击<下一步>，进入检测响应。如下图所示。

检测：

僵尸网络：选择是否启用僵尸网络，可以引用僵尸网络模板。

内网是否存在DNS服务器：如果内网存在DNS服务器时，检测到的恶意域名会进行重定向。恶意域名解析的IP地址将会被替换成以下的重定向IP地址，监听对该IP地址的访问，即可定位内网感染僵尸网络病毒的真实主机IP。

记录日志：勾选记录日志，触发攻击行为会记录相应日志到安全日志中。

响应：

联动封锁：点击<设置>选项，开启联动封锁，当漏洞攻击防护规则、WAF规则和内容安全模块，这三者的任何一个模块检测到攻击后，即会封锁攻击的源IP地址。

：

实时漏洞分析、WAF、IPS、内网安全配置案例：

某企业Web服务器对互联网提供服务，经常遭受来自互联网的恶意攻击，导致业务异常。因此，为了业务的连续性，需要部署一台AF来防护互联网的攻击，并保护业务的安全。同时，需要对服务器的漏洞进行风险分析，能够检测到服务器存在的风险问题。

步骤1.（可选）创建漏洞攻击防护、内容安全、Web应用防护、僵尸网络和网络对象模板，方便提供给业务防护策略进行调用和方便后续对策略的调整等。

步骤2.点击<新增>，选择业务防护策略，填写源目地址、区域等，如下图所示。

步骤3.点击<下一步>，选择开启实时漏洞分析，如下图所示。

步骤4.点击<下一步>，选择对应的IPS、内网过滤和WAF等功能，并对攻击行为进行阻断，如下图所示。

步骤5.点击<下一步>，配置僵尸网络、联动封锁等，如下图所示。

步骤6.配置完成结果如下图所示。

步骤7.在外网方向对内网方向的服务器进行攻击测试，如使用Xhack工具来测试。

步骤8.查看安全日志，能够检测WAF、IPS和僵尸网络等恶意攻击行为，如下图所示。

步骤9.查看实时漏洞分析，在[安全运营/业务安全/实时漏洞分析]中查看，如下图所示。