第一步：在设置策略之前，需要在『网络配置』→『接口/区域』定义好接口所属的【区域】。『对象定义』→『IP 组』定义好服务器所属的【IP 组】。详细配置请参考 3.4.8 章节。此案例中将需要将 ETH1 定义为[外网区]，ETH2 定义为[DMZ 区]， ETH3 定义为[内网区]。192.168.1.249 定义为[249 服务器] 。界面如下：

第二步：设置应用控制策略。在『内容安全』->『应用控制策略』中，放通内网区到服务器的所有服务，放通外网区到服务器的 http 服务，设置页面如下：

第三步：设置端口扫描。进入『风险分析』，不可信来访区域选择外网区、内网区，访问的目标 IP 范围为 192.168.1.249，指定端口为设备内置的常用端口。界面如下：

第四步：设置弱密码扫描。进入『风险分析』，勾选“启用弱密码扫描”，使用默认的扫描范围，扫描方式为完整密码字典，点击高级选项，自定义用户名列表中填写“sangfor”。

界面如下：

第五步：点击，扫描结束后，显示的扫描结果如下：

将鼠标的指针至于风险提示上将详细显示可能存在的风险。

第六步：根据扫描提示防护风险。

1.修改弱密码。

可以根据风险提示，修改存在的弱密码

2.关闭不必要的端口。根据扫描结果，管理员可清楚的知道服务器上开放了哪些端口，管理员可手动关闭服务器上不必要的端口。比如说，此时要关闭内网区用户对服务器的 445 端口的访问，可以在相应的规则上点击操作按钮，弹出的界面如下：

点击提交，显示如下图所示：

将自动生成一条应用控制策略，禁止内网区对 192.168.1.249 的 445 端口访问。

3.自动添加 IPS 规则和 WEB 应用防护规则。根据扫描结果可知，服务器上存在某些安全漏洞，并存在 WEB 应用风险，此时可以根据扫描结果智能的生成 IPS 规则和 WEB 应用防护规则。此处以第 3 条扫描结果为例进行介绍。勾选相应结果，点击防护风险，进行 WEB 应用风险防护和漏洞风险防护。

防护规则添加完成后，界面显示如下图所示：

第七步：查看智能生成的防护策略。点击查看已添加策略，界面如下图所示：

点击策略名称，可以查看添加的策略。