企业安全5件套：防火墙+WAF+零信任+主机安全+日志审计情报分析

1、防火墙

下一代防火墙全功能

360安全防火墙系统融合360安全大脑多种核心技术，全面应对边界、数据中心威胁。通过与360威胁情报、终端安全管理EPP、持续威胁预警（NDR）、安全DNS的联动配合，可持续对抗各类安全威胁。

主要适用场景：

| 互联网边界防护：互联网出口是用户与互联网数据交换的节点，通过360安全防火墙系统可以提供安全的边界防护解决方案；

| 数据中心防护：在保障数据安全的同时，360安全防火墙系统提供精细化的管控能力，隔离外部风险；

| WEB业务防护：企业、政府用户通常需要对外提供业务，360安全防火墙系统通过内置的入侵检测、WEB防火墙模块，充分保障用户内部对外业务的安全访问；

| 总部分支机构安全组网：通过在总部、分支机构边界通过部署360安全防火墙系统实现企业内部VPN组网场景，配合集中控制中心，利用SD-WAN技术，提供灵活、快捷、安全的组网方式；

| 物联网安全防护： 针对广泛存在的IPC终端产品（如摄像头、打印机、指纹打卡、终端大屏等），3360安全防火墙系统（A系列）能够快速识别并分析物联网终端类型，防止IPC被非法占用，并检测其存在的漏洞，为其提供完整的安全防护方案。

功能

| 360安全防火墙系统关键功能： 产品包含完整的下一代防火墙功能，能提供基于用户、用的访问控制，融合入侵防御、防病毒引擎，为用户提供安全、稳定、高效的安全检测。此外还包含：NAT功能、VPN技术（包含IPSEC VPN、SSL VPN、L2TP、GRE等），关键字及URL过滤，互联网应用控制，多层管道嵌套的流量控制技术（控制、带宽保障等），以及静态及动态路由协议支持。

| SD-WAN模块： 通过与控制器的配合，可实现对链路质量的评估和相关应用选路功能，支持零配置下发的快捷组网功能，并支持统一运维管理； | 弱口令防护与WEB防火墙功能： 可支持对HTTP、FTP、SMTP、POP3等协议的弱口令检测及上报； 支持WEB站点的HTTP合规性检查，对HTTP请求、响应头、体检查； 能够检测SQL/XSS、PHP代码注入、Shellshock漏洞攻击、WEB扫描等，对WEB业务实现应用层防护功能；

| 物联网资产防护： 能够实现对IPC类资产的扫描、识别以及安全防护功能。

优势

| 支持与威胁情报检测联动； | 支持与安全DNS联动； | 支持与持续威胁预警联动（NDR）； | 支持与终端安全管理（EPP）联动部署； | 可提供360技术的防病毒引擎。

部署 支持路由、桥接、旁路以及混合组网方式，支持HA主备、主主，集群模式部署。

WAF

WEB应用防火墙

360 Web应用防火墙是新一代专业的Web应用安全防护产品，可以帮助客户应对OWASP TOP10风险，并针对Web Shell、网站挂马、暴力破解等各种Web攻击进行防御。针对目前Web安全防护所面临的挑战，360Web应用防火墙在Web资产发现、漏洞评估、流量学习、威胁定位等方面全面应用智能分析和机器学习技术，帮助用户更轻松、更全面的部署Web安全防御策略，屏蔽Web漏洞和风险，确保网站的运营安全。

功能

1.1. 智能的资产发现 要有效的部署安全策略，首先要了解自己的系统和业务。传统的资产管理方式，需要安全管理员汇总各业务部门的网站信息，费时费力。360 Web应用防火墙提供智能资产发现功能，帮助用户主动发现并确认业务系统内的B/S网站信息，包括IP地址、业务端口、是否启用了HTTPS等，并将发现的网站一键添加为保护对象，确保不会遗漏任何一个网站的保护。

1.2. 智能的虚拟补丁 安全漏洞的存在是网站被攻击的最重要原因。根据权威机构统计，高达99.7%的Web应用系统都会存在安全漏洞，而平均每个Web应用系统的漏洞数量高达11个。因此，掌控Web资产的漏洞状态，做到知己知彼，是制定网站安全策略的重要前提。360 Web应用防火墙集成Web应用漏洞扫描功能，可以定期对网站和应用系统进行扫描，发现漏洞并提醒用户进行修复。360 Web应用防火墙同时支持智能虚拟补丁功能，对存在漏洞的URL页面进行针对性防护，将针对漏洞的利用行为拦截。虚拟补丁对于一些老旧应用系统来说，由于可能采用了比较老的操作系统、Web应用程序，存在的漏洞比较多。针对服务器的修复时间较长会影响业务，采用虚拟补丁则可快速提供保护。

1.3. 智能的流量自学习 对于SQL注入、跨站脚本攻击等主流的应用层攻击，一般是通过特征签名和正则匹配来进行检测，即基于黑名单的检测方式。但基于黑名单的检测方式无法发现特征不明确的攻击行为，而且容易出现误报。另一种检测思路是采用白名单的检测机制，即对网站的流量进行学习并建立流量模型，后续发现同正常访问行为违背的流量则认为是异常流量。360 Web应用防火墙可以对网站的动态URL、URL参数、COOKIE、IP分布等内容进行智能的机器学习，学习完之后管理员还可以对学习结果进行优化和校正，最终生成网站的动态URL树，并为这棵的每一条动态URL建立安全基线，提供个性化保护。

1.4. 智能的日志聚合 Web应用防火墙在实际部署中，需要根据具体的业务流量和上下文对告警日志进行分析，并相应调整防护规则，取得更高的检测效果。对于某个攻击特征，在A业务场景下是攻击，在B业务场景下可能是误报。另一方面，单一的威胁事件可能是误报，但结合上下文进行分析则可能是攻击行为。 360 Web应用防火墙的日志可以提供各个维度的分析信息，并提供了强大的智能聚合能力，可以按照攻击特征、攻击源等角度对日志进行聚合。按照攻击特征的聚合，能够从攻击频次、攻击者分布角度入手，屏蔽掉客户端普遍发生的误报率高的告警，避免对安全管理员产生干扰；按照攻击源角度的聚合，可以根据时间轴对同一IP触发的不同告警进行详细分析，结合攻击者的Payload信息，发现真正有威胁的攻击并将攻击者添加到黑名单。

CDN云防护

云安全防护系统 一体化部署配置，网站安全综合防护系统 ? 为用户网站提供SaaS化云端网站安全防护服务。 ? 360磐云Web应用安全云防护系统为网站提供反向代理替身防护，隐藏了后端网站。 ? 网站云环境及本地网站环境均可提供防护。 ? 云端账户交付，用户可以根据磐云所提供的功能按年按需购买，节省投资。

全防护系统是集合网站配置、防护、加速、管理于一体的基于SaaS的安全防护产品，旨在解决用户网站安全问题。依托强大的360安全大脑赋能，以360十年来累计的海量安全大数据为基础，先进的知识库和顶级安全专家为支撑，为用户提供一套综合安全防护产品，支持web应用防护、DDoS攻击防护、CC攻击防护、网站加速、反爬虫、防盗链、访问控制、重保只读等功能。 架构

功能

Web攻击防护 ? 可以防护常见的web攻击，如SQL注入攻击、WebShell木马、跨站脚本攻击、命令注入攻击、敏感信息泄露等。

CC攻击防护 ? 针对静/动态请求实现不同阈值的防御。提供HTTP协议防护、JS跳转、图片验证码、IP封禁的多层防御机制。

DDoS攻击防护 ? 全国部署防护节点，防护最高可以到100G。

安全加速CDN ? 对网站静态资源进行缓存，并对数据压缩传输、就近调度、就近访问。减少资源传输时间，节约网站带宽和流量。

访问控制 ? 从URL/IP，地域以及UA关键字等多维度的进行访问控制，对网站进行全方位的安全防护。

内容防护 ? 网站防泄密、防盗链，主要防护网站敏感信息或者重要资料泄露以及网站静态资源的盗用

重保只读 ? 在特殊时期保证源站出现宕机或者内容被篡改的情况下，访问者能够正常访问源站内容。

优势

防护能力强 ? 传统WAF为了兼顾性能各厂商规则条数一般在400-600条之间，而云防护系统平台性能强大，内置3000+条应用层规则，防护能力更强。

规则精准 ? 防护规则从全国范围内30000+名白帽子提交的150万条信息安全事件中提炼而来，全部经过人工验证，误报率极低。

弹性扩展能力强 ? 基于分布式防护架构，储备带宽、设备资源充足 ? 弹性扩容，从容应对高并发攻击及业务突增

协同联动 ? 测到多个网站被相同网站攻击后，磐云云平台会根据大数据智能分析系统分析结果对恶意IP进行全网拦截。

2、连接云

360连接云安全访问平台(零信任SDP)

360磐云-SDP安全访问平台是在360磐云安全防护（WAF）基础上，结合“零信任”核心概念，使用SDP（软件定义边界）技术“自研”的新一代安全访问平台。为用户各种访问场景：云计算平台安全访问、客户内部业务访问加固、远程办公访问等，提供业务隐藏、身份验证、访问授权、连接加密、持续评估、动态控制能力。

架构

360磐云-SDP安全访问平台由两部分组成，一部分是基于 零信任的SDP安全访问，第二部分是磐云安全防护（WAF）。根据客户需求不同，两部分可作为整体方案，也可独立应用。

功能

应用代理 ? 支持B/S、C/S业务代理请求，支持3、4、7层业务协议类代理。可覆盖几乎所有客户应用。

用户管理 ? 磐云-SDP支持本地创建账号（包括通过csv文件批量创建账号），同时支持账号的用户组归属管理，以备基于用户组配置访问权限规则。

身份认证 ? 支持账号密码、身份证书认证，同时满足等保2.0要求的多因子认证，第二因子支持短信验证码、邮箱验证码、OTP动态验证码三种方式。 ? 支持对接第三方身份平台实现统一身份认证，包括LDAP、AD域控、CAS、HTTP接口认证

应用授权 ? 支持ABAC（属性授权）授权模式，授权属性包括 身份角色、访问时间、访问地点、访问环境评估分数等，通过这些属性的组合形成多种规则，满足客户精细化授权规则需求

终端环境感知 ? 支持收集win7及以上版本操作系统终端信息进行环境评估。评估信息包括 软件安装信息、进程运行信息、服务安装信息、系统补丁安装情况、系统级安全信息等

优势

端口隐藏 ? 具备SPA单包认证、Hello Client双重敲门技术，最大限度缩小业务暴露面，降低业务受攻击风险

加强认证 ? 支持双因子加强认证，且第二因子可任意选择（短信、邮箱、OTP）；同时支持不同用户组选择不同的第二因子认证方式，以满足不同人群的认证方式（如领导的使用便利性场景考虑）

持续环境感知 ? 持续收集终端各种安全风险，并进行实时评估形成终端环境评估分数。客户可按照需要自行设定评估项以及对应分数占比。终端检测项非常丰富：软件、进程、服务、注册表、补丁、账户锁定策略、防火墙策略、入域检测、身份盗用策略、密码维护策略、账户访问控制策略、账户权限控制策略等

3、主机安全

EPP终端安全防护系统-本地

支持信创+普通机+物理服务器+虚拟化防护

360 终端安全管理系统是在360安全大脑极智赋能下，以大数据、云计算、人工智能等新技术为支撑，以可靠服务为保障，聚焦防病毒和漏洞补丁管理的企业级安全产品。

产品架构

功能 防病毒 ? 通过公有云查、私有云查全面识别各类恶意威胁，结合基于大数据技术的鲲鹏引擎、QEX脚本查杀引擎以及使用360自主研发的机器学习引擎QVM，内置多种算法模型并且通过海量样本进行训练实现自动演进，对各类木马病毒、新型威胁实现精准查杀。 ? 提供主动防御能力，从系统防护、浏览器防护、入口防护、上网防护等方面，对文件访问、进程创建、注册表读写、设备加载等场景实现主动防御拦截。

漏洞与补丁管理 ? 对操作系统漏洞、Office漏洞以及特定第三方软件漏洞进行检测修复。

终端管控 ? 桌面加固

通过对终端的账号密码强度、屏保和桌面壁纸的策略控制，实现用户桌面的统一管理。

? 违规外联管控 侦测内部终端是否存在非法连接外网或指定网络的行为，并可对违规终端执行断网处置。

? 网络控制 从IP、域名和端口等维度进行终端网络控制，阻止访问攻击。管理员还可以对终端的DNS地址进行统一配置，阻止通过指定的DNS进行攻击。

? 远程控制 运维人员可以通过远程连接的方式，获得对远程终端的操作权限，提高终端故障处置效率。

资产管理 ? 统计终端软硬件资产，及时发现终端资产风险。

优势 ? 360安全大脑极智赋能，海量多维度安全大数据和强大数据平台支撑 ? 漏洞修复技术经过亿级用户验证，兼容性强，稳定性高 ? 采用领先的云查引擎、鲲鹏（含AVE引擎）、Behavioral脚本引擎（QEX）、QVM等多引擎协同技术

痛点 威胁难防 ? 新型威胁层出不穷，传统检测技术滞后，威胁防御难度大效果差。

系统过载 ? 杀毒客户端过重，终端资源占用高。

运维低效 ? 缺乏有效的终端统一管理平台，终端运维效率低。

互联网环境部署场景

隔离网环境部署场景

360企业安全云-SAAS

(原安全卫士团队版)是专注于企业级数字化安全与管理的SaaS解决方案。 基于即用即懂的可视化安全控制中心与多元丰富的管理功能，提供终端、网络、软件、数据、资产、防勒索等全方位数字化安全与管理服务，助力企业用户数字化，让企业信息数据更安全，数字化管理更轻松。

360企业安全云支持百余种安全服务与管理功能

优势

云原生SaaS模式 360企业安全云采用分布式云服务器容灾体系，可负载十亿数量级终端并发接入。轻量化在线终端安全与运维管理SaaS解决方案，连接网络即可快捷部署，打破传统本地部署模式局限，产品体验大幅提升，部署成本大幅降低。 终端地理位置不设限 轻量化灵活在线部署，有网即可部署终端，无需搭建私有局域网。 终端数量无上限 无需额外购买服务器硬件或云服务器，部署终端数量不限制，不再为服务器性能担忧。 多样化终端部署 多种终端部署方式可供选择，域环境批量部署、邮件链接邀请部署、个人版安全卫士一键升级、内网代理部署等，哪个适合用哪个。 云原生产研体系 产品更新不受限于N.0模式版本号，产品功能实时在线升级，独立即时更新，产品体验持续提升。 高并发容灾体系 采用分布式云服务器容灾体系，可负载十亿数量级终端并发接入。

4、日志收集与分析+威胁情报

360日志收集与分析系统是一款配置简单、开箱即用的安全日志审计产品，软硬一体化部署，借助于 360 核心安全大脑，提供多源日志采集、标准化数据处理、合规存储、多维关联分析等功能，能够帮助客户快速实现各类安全设施日志数据集中管理分析以及合规审计，满足网络安全法对于日志留存的要求；并结合监测仪表、威胁场景分析、溯源取证、审计报表等功能应用，帮助用户提升安全工作效率。

架构