深信服下一代防火墙通过融合专业安全的能力、简单易用的能力、以及应对新风rn险的各类手段的方式实现简单有效的理念。 

1.安全有效 

1.1.全面保护业务 

深信服下一代防火墙 AF 具有完备的 L2-L7 层一体化的安全防护体系来应对各类rn威胁，在 Web 应用安全层面的防护能力尤为突出。具备 OWASP TOP10 Web 攻rn击防护、黑链检测、Webshell 检测、防篡改、主动和被动漏洞扫描、弱口令扫描rn和暴力破解防御、敏感信息泄露防护、网页关键字检测等能力。能自主学习正常rn业务参数，即时发现异常参数。并通过词法语法分析引擎和有监督的业务流量模rn型学习适配 WEB 业务，降低误报提升安全防护效果，能识别长期潜伏的病毒发rn起的低频分布式爆破的行为，并与 CNNVD、CNCERT、VirusTotal、微软等组织rn机构保持紧密的合作。支持双向检测，能快速发现和拦截服务器异常通信。为业rn务提供全面全程的防护能力。

1.2.多维举证失陷用户 

深信服下一代防火墙 AF 通过对黑客的用户攻击链进行全面复盘，基于用户主机rn遭受攻击和发起行为进行安全分析，通过时间区间、地理位置进行风险展示协助rn用户判定处置。通过 NTA 网络流量分析技术，识别失陷用户的隐蔽通信行为进rn行快速阻断，通过本地的 SAVE 人工智能检测引擎和云端的未知威胁鉴定，结合rn深信服的自研威胁情报分析举证用户的访问、传输等行为多维举证判定威胁并进rn行告警和封堵。同时提供失陷处置工具。在配置了联动终端 EDR 的设备，还能rn融合端点的安全数据进行终端进程级协同分析，并在防火墙上统一处置，智能免rn疫同类威胁。  

1.3.云智持续交付应对各类威胁的安全能力 

深信服云端订阅云智能给深信服下一代防火墙 AF 持续提供应对各类威胁的安全rn能力，面对层出不穷的各类安全问题，应对不断发生地变化，基于本地设备的防rn御架构和云端庞大的威胁动态分析能力，结合安全专家和攻防团队研究提取，持rn续为本地设备提供应对各类威胁的最新安全能力。rn云智将安全能力及时交付至本地防火墙，传统安全能力交付从威胁的捕获、分析、rn提炼安全规则可能需要数周数月才能完成，深信服基于人机共智及时交付的理念，rn在热点事件大规模爆发前感知并及时交付对抗能力，并在保质保量的基础上按需rn及时增量更新规则。 

1.4 本地 SAVE 引擎+云端云鉴协同对抗未知威胁 

深信服下一代防火墙 AF 发现未知流量时，通过本地 AI 检测引擎结合自研威胁情rn报数据及云端十大引擎，主动（需确认开启相关功能）将未知流量上传到云端进rn行未知威胁的检测。云端检测引擎覆盖智能情报分析、深度学习分析、随机域名rn分析、URL 威胁分析、DNS 隧道分析、外发 DDoS 分析、对外扫描分析、恶意下rn载分析、云沙箱检测、SAVE 云端检测，快速鉴别未知威胁，并将结果下发本地rn设备快速应对。rn依托全球接入云鉴的安全设备捕获上报，以及深信服自研威胁情报、全球情报合rn作、安全社区共享、漏洞平台披露、暗网挖掘等多种渠道实时收集海量数据，分rn钟级同步云端最新识别风险及聚合分析结果，下发本地设备响应，协同防御。 

2.智能易用 

2.1.用户管控 

深信服下一代防火墙 AF 具备全面深度检测用户数据内容的能力，可无感知的 TLSrn代理拆解加密流量，覆盖用户日常行为如邮件、共享、上传下载等。并能基于上rn万条的应用规则数和千万级 URL 分类库全面准确地识别用户行为轨迹。可联动rn云端快速识别未知 URL，并配有专业团队基于业务标签分析日常维护应用和 URLrn库。  

2.2.业务管控 

明确保护对象是整体安全防护的第一步，为此深信服下一代防火墙 AF 提供了智rn能的业务资产管理能力，通过自动评估当前网络中存在哪些资产、资产开放的端rn口、端口的使用状态、资产之间的互访关系等生成直观易用的拓扑图，并将识别rn的风险端口、违规访问等在拓扑上进行警示并提供安全建议，用户还可以一键导rn出当前资产情况进行归档。 

2.3.策略管控 

随着日常运维工作的推进，防火墙上的策略变得越来越复杂。深信服下一代防火rn墙 AF 能智能的分析当前业务情况，提供策略一键分析，帮助管理用从海量的策rn略中发现策略的异常，提供丰富的异常说明和优化建议。并详细记录变更前后的rn策略情况，满足合规审计要求和问题排障需求，让用户无惧策略频繁变更工作交rn替，轻松开展日常策略梳理工作。

2.4.勒索病毒专项防护 

通过复盘以往勒索病毒造成的安全事件，深信服基于勒索病毒入侵途径提出事前、rn事中、事后全过程设计，并提供勒索病毒处置中心全程跟踪勒索病毒对抗过程。rn事前-边界和终端的风险评估rn梳理边界和终端识别到的暴露面风险，如边界侧的设备服务、端口、高危漏洞、rn弱口令以及分布情况，终端侧的设备安全策略rn和相关配置检查、系统和应用上存在的高危漏洞，并参考合适的边界和终端安全rn基线封堵勒索病毒的入侵入口。rn事中-勒索病毒专属防御 rn在防火墙上基于勒索病毒攻击链，提供勒索病毒防御配置向导，将勒索病毒安全rn策略转化为勒索病毒防御能力和对抗其他 威胁的全面防护能力。并能针对长期rn潜伏的病毒进行的分布式低频爆破攻击进行防御。rn事后-全面全程的深度检测rn在防火墙上基于勒索病毒攻击链，提供勒索病毒防御配置向导，将勒索病毒安全rn策略转化为勒索病毒防御能力和对抗其他 威胁的全面防护能力。rn勒索病毒处置中心rn在处置的勒索病毒过程中可跟踪每一个勒索病毒事件的全生命周期，并具备有效rn的处置手段，通过在深信服下一代防火墙 AF 上专属页面对勒索病毒进行全生命rn周期的管理，同时可一键下发边界和终端的处置动作，处置状态和结果清晰可视。 

3.融合联动 

3.1.网端云联动 

威胁越来越智能、攻击越来越自动化，传统的防御体系需要不断升级。网端云是rn深信服推出的基于大数据驱动、人工智能算法为基础的安全能力，通过深度防御、rn持续检测、快速响应、全天候安全运营，构建基于网络、端点、云端的系统化智rn能协同联动防护体系，有效保障企业的安全成为新型安全能力建设的核心工作。 

3.2.网端联动分析与处置 

防火墙通过融合端点组件 EDR，在联动 EDR 进行终端分析与处置之外，将自身rn识别到的恶意网络行为，在终端进程级定位与之相关的进程文件特征，云端威胁rn情报协助判定。并针对同类型的威胁进行智能免疫，快速简单有效的进行响应。 

3.3.云端统一安全能力中心 

轻量安全运营平台，快速定位并处置风险rn在云端基于 SaaS 模式交付的轻量级安全运营中心，通过简单运营界面，能有效rn处置安全问题。包括全局风险展示，设备统一管理，并通过微信预警机制基于移rn动端将风险一键处置闭环。 

3.4.全球威胁情报及威胁动态 

作为整个安全体系建设的核心，平台融入了全球的威胁情报、云端沙箱及动态威rn胁检测技术，云端依托海量样本的识别，通过实时的边云协同、端 云协同让客rn户具备未知威胁实时检测和规则库快速同步的能力。相比传统规则，无论在时效rn性、规则数量、威胁覆盖上都有极大的提升。  

4.高效稳定 

4.1.分离平面设计 

深信服下一代防火墙通过软件设计将网络层和应用层的数据处理进行分离，在底rn层以应用识别模块为基础，对所有网卡接收到的数据进行识别，再通过抓包驱动rn把需要处理的应用数据报文抓取到应用层。若应用层发生数据处理失败的情况，rn也不会影响到网络层数据的转发，从而实现高效、可靠的数据报文处理。rn分离平面设计 

4.2.多核并行处理 

AF 的设计不仅采用了多核的硬件架构，在计算指令设计上还采用了先进的无锁rn并行处理技术，能够实现多流水线同时处理，成倍提升系统吞吐量，在多核系统rn下性能表现十分优异，是真正的多核并行处理架构。rn多核并行处理技术 

4.3.单次解析架构 

AF 采用单次解析构架实现报文的一次解析一次匹配，有效提升了应用层效率。rn实现单次解析技术的一个关键要素就是软件架构设计实现网络层、应用层的平面rn分离，将数据通过“0”拷贝技术提取到应用层平面上实现威胁特征的统一解析和rn统一检测，减少冗余的数据包封装，实现高性能的数据处

理。

4.4.跳跃式扫描技术

 AF 利用多年积累的应用识别技术，在内核驱动层面通过私有协议将所有经过 AFrn的数据包都打上应用的标签。当数据包被提取到内容检测平面进行检测时，设备rn会找到对应的应用威胁特征，通过使用跳跃式扫描技术跳过无关的应用威胁检测rn特征，减少无效扫描，提升扫描效率。比如：流量被识别为 HTTP 流量，那么 FTPrnsever-u 的相关漏洞攻击特征便不会对系统造成威胁，便可以暂时跳过检测进行rn转发，提升转发的效率。 

4.5.Sangfor Regex 正则引擎 

正则表达式是一种识别特定模式数据的方法，它可以精确识别网络中的攻击。经rn深信服安全专家研究发现，业界已有的正则表达式匹配方法的速度一般比较慢，rn制约了下一代防火墙整机速度的提高。为此，深信服设计并实现了全新的 SangforrnRegex 正则引擎，将正则表达式的匹配速度提高到数十 Gbps，比 PCRE 和 Googlern的 RE2 等知名引擎快数十倍，达到业界领先水平。rnAF 的 Sangfor Regex 大幅降低了 CPU 占用率，有效提高了 AF 的整机吞吐，从而rn能够更高速地处理客户的业务数据，该项技术尤其适用于对每秒吞吐量要求特别rn高的场景，如运营商、电商等。