提供零日威胁保护(Zero Day Protection)

　　在网络安全的领域，人们对“预防御”攻击保护有多种不同的说法。但是，厂商们真正提供的防护服务却截然不同。零日威胁(Zero Day Threats)是指新的或未知的攻击，它们出现的时候，还没有写好相应的补丁程序或者攻击特征。零日威胁保护(Zero Day Protection)是指在发现漏洞，以及在建立和发起真正的攻击之前，就阻止新的或未知的威胁。通常称为“预防御”。

 　　基于攻击特征的解决方案只能阻止已经识别出来的威胁。在分析出攻击特征，开发好补丁程序，并实际部署之前，您的网络对于新的威胁仍然没有任何免疫力。考虑一下当今的各式网络攻击的频率和破坏力，即使失去一分钟保护，都可能带来灾难性的后果。事实上，在分析出攻击特征或开发出补丁，并进行实际部署之前，用户需要的是几小时、几天甚至几周的等待时间。这个网络漏洞的空窗期是每一个IT 管理者的噩梦。

　　深度应用检测层的核心能力是提供零日威胁保护。

　　♦ 协议异常检测(Protocol Anomaly Detection)

　　协议定义了两个系统交换数据的方法。一些服务器不能够正确地处理畸形数据流。很多攻击者就制造一种DoS 攻击方法，对某些应用层协议进行攻击从而得到服务器的管理权限。通过执行协议的RFC 标准检测，我们可以防止这种典型的攻击。除防止协议攻击外，我们还可以防止非法的命令调用攻击和防止大量的缓存溢出攻击。

　　♦ 模式匹配

　　对于拦截那些到达电脑并执行的恶意代码是非常有效果的。换句话说，就是那些包含在可执行文件中的恶意代码。通过拦截用于承载恶意代码的文件(如exe、pif、src等)和MIME 类型，我们可以有效地防止这些恶意软件达到网络内部的电脑。

　　但是在一些应用中，我们必须允许这些可能存在潜在威胁的文件(如exe、dll)进入到内部网络，例如从Microsoft 更新软件、从HP 站点下载打印驱动程序等。那么我们就必须清楚地定义那些安全资源，并允许安全资源通过。

　　♦ 命令限制

　　应用协议中经常包含很多命令和参数，用于数据的发送和接收。然后，有很多管理命令是我们不希望由外部网络用户使用的。我们可以拦截那些具有潜在危险的命令，例如，可以拦截FTP 协议的SITE 命令和SMTP 协议的DEBUG 命令，从而防止这一类型的攻击。

　　♦ 伪装

　　伪装可以很好地隐含服务器的真实信息，从而躲避黑客的探测。例如在SMTP 协议中，可以伪装域名、隐含服务器类型及版本，甚至可以从Message ID 和MIME 中移出一些信息。这些技术可以防止黑客探测到服务器细节信息，从而使用相应的攻击手段对付服务器。

　　♦ 过滤/拦截头信息

　　另一类攻击依靠建立一些畸形协议头来攻击服务器的弱点。深度应用检测层可以很好地过滤/拦截这些协议头内部的信息。

　　依靠如上这些技术很好地提供零日威胁保护的能力，都是Firebox 系统预定义好的，并结合安全策略实施的，无须用户自己来解决。