傳統防火墻的訪問控制或者流量管理粒度粗放，只能基于IP/端口號對數據流量進行一刀切式的禁止或允許。深信服下一代防火墻基于龐大的應用和用戶識別能力，對數據流量和訪問來源進行精細化辨識和分類，使得用戶可以輕易從同一個端口協議的數據流量中辨識出任意多種不同的應用，或從無意無序的IP地址中辨識出有意義的用戶身份信息，從而針對識別出的應用和用戶施加細粒度、有區別的訪問控制策略、流量管理策略和安全掃描策略，保障了用戶**直接、準確、精細的管理愿望和控制訴求。

例如：允許HTTP網頁訪問順利進行，并且保證高訪問帶寬，但是不允許同樣基于HTTP協議的視頻流量通過；允許通過QQ進行即時通訊，但是不允許通過QQ傳輸文件；允許郵件傳輸，但需要進行防攻擊和敏感信息過濾，如發現有攻擊入侵或泄密事件馬上阻斷，等等。 只有針對真實存在的業務漏洞進行的攻擊才是有效攻擊.崇明區技術下一代防火墻需求

單次解析架構

深信服下一代防火墻采用單次解析架構實現報文的一次解析一次匹配，有效提升了應用層效率。實現單次解析技術的一個關鍵要素就是軟件架構設計實現網絡層、應用層的平面分離，將數據通過“0”拷貝技術提取到應用平面上實現威脅特征的統一解析和統一檢測，減少冗余的數據包封裝，實現高性能的數據處理。

 跳躍式掃描技術

深信服下一代防火墻利用多年積累的應用識別技術，在內核驅動層面通過私有協議將所有經過下一代防火墻的數據包都打上應用的標簽。當數據包被提取到內容檢測平面進行檢測時，設備會找到對應的應用威脅特征，通過使用跳躍式掃描技術跳過無關的應用威脅檢測特征，減少無效掃描，提升掃描效率。比如：流量被識別為HTTP流量，那么FTP server的相關漏洞攻擊特征便不會對系統造成威脅，便可以暫時跳過檢測進行轉發，提升轉發的效率。

事前風險分析

1）明確防護主體：**資產有效識別

從風險管理的角度，我們首先需要明確防護的主體對象，通過應用特征、交互協議、端口、IP等方式識別內網的業務系統；

2）識別資產風險：實時漏洞監測分析

基于識別的業務資產，接下來我們會進行業務資產風險分析，通過實時的流量檢測，檢測業務系統存在的漏洞，比如是否存在惡意注入、代碼執行、黑鏈植入等惡意動作，檢測業務系統的漏洞；

3）保障安全能力：安全能力評估

比如業務系統是否有對應的防御手段，是否現有的防御手段是生效的，是否規則庫沒有更新，是否缺少防御手段等，防止存在安全能力降級及失效的情況；

4）安全價值交付：比較好實踐策略部署

基于安全能力降級及失效的情況進行一鍵防御，實行安全能力的一鍵提升；除此之外為了切實保障企業資產風險管理工作的落地，我們會為用戶提供安全價值交付，基于深信服技服團隊的價值交付體系給出對應建議，保障安全安全建設的切實落地。

Sangfor Regex正則引擎

正則表達式是一種識別特定模式數據的方法，它可以精確識別網絡中的攻擊。經深信服安全**研究發現，業界已有的正則表達式匹配方法的速度一般比較慢，制約了下一代防火墻的整機速度的提高。為此，深信服設計并實現了全新的Sangfor Regex正則引擎，將正則表達式的匹配速度提高到數十Gbps，比PCRE和Google的RE2等**引擎快數十倍，達到業界**水平。

深信服下一代防火墻的Sangfor Regex大幅降低了CPU占用率，有效提高了AF的整機吞吐，從而能夠更高速地處理客戶的業務數據，該項技術尤其適用于對每秒吞吐量要求特別高的場景，如運營商、電商等。 不對服務器和終端向外主動發起的業務流量進行防護.

    基礎防火墻特性深信服AF兼容傳統防火墻的所有功能特性，包括交換/路由、訪問控制，A-A/A-S雙機熱備、軟硬件Bypass、系統管理、日志報表、會話管理、抗DDoS攻擊、應用代理、DHCP/DNS等等。PPPoE通過ADSL接e已經成為越來越多中小企業的選擇，而ADSL需要撥號以后才能獲得IP地址。深信服AF支持PPPoE協議，作為PPPoEClient端完成與PPPoEServer建立連接和地址獲取，通過設置用戶名和口令即可支持ADSL接入，獲得動態IP地址、網關及DNS地址，自動完成撥號過程，接e網絡。解決中小企業上網問題。 即使有大量的攻擊也不意味著對業務安全的威脅很大.崇明區技術下一代防火墻需求

企業是否具備實時應對和響應的能力，能夠把影響**小化.崇明區技術下一代防火墻需求

上海黑象信息科技有限公司致力于商務服務，是一家其他型的公司。黑象致力于為客戶提供良好的技術開發，技術轉讓，技術咨詢，技術服務，一切以用戶需求為中心，深受廣大客戶的歡迎。公司將不斷增強企業重點競爭力，努力學習行業知識，遵守行業規范，植根于商務服務行業的發展。在社會各界的鼎力支持下，持續創新，不斷鑄造***服務體驗，為客戶成功提供堅實有力的支持。