问题二：传统安全建设是拼凑的事中防御，缺乏有效的联动分析和防御机制

传统安全建设方案，搜集到的都是不同产品碎片化的攻击日志信息，只能简单的统计报表展示，并不能结合业务形成有效的资产安全状态分析。另外在防护机制上只能依赖静态的防御策略进行防护，无法及时应对业务发生的变化，不同安全设备之间也无法形成有效的联动封堵机制，不仅投资高，运维方面也难管理。 

深信服下一代防火墙赋予了风险预知、深度安全防护、检测响应的能力，**终形成了全程保护、全程可视的融合安全体系。

企业是否具备实时应对和响应的能力，能够把影响**小化.金山区技术下一代防火墙信息中心

传统防火墙的访问控制或者流量管理粒度粗放，只能基于IP/端口号对数据流量进行一刀切式的禁止或允许。深信服下一代防火墙基于庞大的应用和用户识别能力，对数据流量和访问来源进行精细化辨识和分类，使得用户可以轻易从同一个端口协议的数据流量中辨识出任意多种不同的应用，或从无意无序的IP地址中辨识出有意义的用户身份信息，从而针对识别出的应用和用户施加细粒度、有区别的访问控制策略、流量管理策略和安全扫描策略，保障了用户**直接、准确、精细的管理愿望和控制诉求。

例如：允许HTTP网页访问顺利进行，并且保证高访问带宽，但是不允许同样基于HTTP协议的视频流量通过；允许通过QQ进行即时通讯，但是不允许通过QQ传输文件；允许邮件传输，但需要进行防攻击和敏感信息过滤，如发现有攻击入侵或泄密事件马上阻断，等等。 闵行区专业性下一代防火墙优势深信服下一代防火墙的价值主张.

实时漏洞分析采用的是旁路检测技术，即将待检测的数据包镜像一份到待检测队列，检测进程对检测的数据包进行扫描检测，对原有数据包的转发不会造成任何性能影响。

实时漏洞分析所使用的漏洞特征库由深信服北京研究中心安全**针对目前较新的软件、系统等漏洞提取特征，形成库并快速的更新到AF设备，保证识别出网络中出现的较新漏洞。

深信服AF通过三个维度实现了策略有效性检测：

?   通过监测流量进行发现，判定是否对设备与业务系统之间进行了策略配置实现检测、防御、响应；

?   通过策略的对比检查，发现是否存在无效策略、策略重复、策略配置不当等问题；

?   通过规则库的版本检测，高危0day预警是否开启等方式判定设备是否具备新威胁的防御能力。

在对已知威胁具备了防御能力之后，为了弥补固定特征库防御方面会有遗漏的问题，深信服提供了云端在线的沙盒检测功能。通过沙盒环境下未知流量的运行来监测系统环境的变化，提取相关参数变化形成分析结果，确定威胁类型并将结果下发到设备端。

同时深信服内部每周也会通过云端在线沙盒收集流量来进行分析，用以填充设备特征库。

考虑到针对主机和终端的不同操作系统或者软件攻击时所要利用漏洞的不同，深信服AF对此问题将防护策略分为了针对客户端和服务器端两种类型，使得用户可以根据自己的使用场景进行快速选择，让防护更具针对性。 可以主动分析经过设备的业务流量中存在的风险并实时展示出来。

深信服下一代防火墙构筑在64位多核并发，高速硬件平台之上，采用自主研发的并行操作系统（Sangfor OS），将转发平面、安全平面并行运行在多核平台上。多平面并发处理，紧密协作，极大的提升了网络数据包的安全处理性能。。

安全平面

深信服下一代防火墙负责安全功能的协调运行，采用一次解析引擎，一次扫描便可识别出各种威胁和攻击，此平面包括入侵防御、WEB应用防护、实时漏洞分析、僵尸网络、数据防泄密、内容过滤、防病毒等功能。

没有攻击并不意味着业务不存在漏洞.金山区技术下一代防火墙信息中心

事中攻击防御**准确-SAVE安全智能检测引擎

在恶意攻击防治层面，深信服**性的推出了自己的安全检测引擎，基于人工智能的无特征技术，传统的杀毒软件依赖于非常厚重的攻击库，只有完全匹配攻击特征后才能将其查杀，但是这种手段的泛化能力为0，也就是说对于未知及新型的恶意勒索攻击无法有效应对；深信服通过多方位应用AI技术，通过攻击特征的聚类分析，基于已知的离散特征，基于数据泛化技术，可以准确检测未知/新型勒索攻击；

其中Bad Rabbit就是我们通过原有的攻击查杀模型发现的新型勒索攻击，并且将其有效查杀；

右侧是我们和其他厂商或者开源的杀毒引擎做的对比，我们的攻击检出率是比较高的，误报率在同级别检出率的情况下是比较低的；

金山区技术下一代防火墙信息中心

上海黑象信息科技有限公司致力于商务服务，以科技创新实现***管理的追求。公司自创立以来，投身于技术开发，技术转让，技术咨询，技术服务，是商务服务的主力军。黑象不断开拓创新，追求出色，以技术为先导，以产品为平台，以应用为重点，以服务为保证，不断为客户创造更高价值，提供更优服务。黑象始终关注自身，在风云变化的时代，对自身的建设毫不懈怠，高度的专注与执着使黑象在行业的从容而自信。