产品功能

• 路由功能

由于用户网络复杂性，防火墙作为常用网络产品应该具备良好的组网适应能力。助企云下一代防火墙vAF在提供多种安全功能的同时，集成了丰富的路由功能，不仅支持静态路由、策略路由、多播路由，同时支持BGP、RIP、OSPF等动态路由协议，进一步提升产品组网的灵活性。 

• 网络地址转换

网络地址转换（NAT）是将IP 数据报文头中的 IP 地址转换为另一个IP 地址的过程。在实际应用中，网络地址转换主要应用在连接两个网络的网关产品上，用于实现允许内部网络用户访问外部公共网络，以及允许外部公共网络访问部分内部网络资源（例如内部服务器）的目的。助企云下一代防火墙支持丰富的网络地址转功能，包括支持静态网络地址转换（Static NAT）和动态网络地址转换（Dynamic NAT），同时产品支持目的地址转换和双向地址转换。

• IPv4/IPv6双栈

助企云下一代防火墙vAF支持完整的IPv4/ IPv6双栈协议，支持IPv6协议下多种网络功能和安全功能，满足日常IPv6改造要求。产品支持丰富的路由协议，包括静态路由、动态路由，满足IPv4网络与IPv6网络正常访问通讯。同时，产品支持在IPv6协议下设置安全访问控制策略，可针对IPv6协议下的目的/源地址、目的/源服务端口、对象、服务等条件安全策略，对进出网络的IPv6深度检测与安全控制，确保内部网络的安全性。

• 访问控制

访问控制是防火墙产品最基础的安全功能，通过报文的特征定义一系列的ACL策略，通过这些ACL策略可以控制通过防火墙报文。助企云下一代防火墙基于状态检测技术，通过安全域、IP地址、端口、协议、用户、应用、时间等维度对数据报文进行深度检测，阻断违规数据访问。

为简化产品日常运维，产品应用策略智能分析技术，对下一代防火墙产品已启用的安全策略进行深层次对比分析，判定哪些安全策略失效，在产品管理界面提示用户根据建议及时调优，避免出现安全策略冗余难管理的状况，保障安全策略的有效性。

• 入侵防御

IPS（Intrusion Prevention System）是一种安全机制，通过分析网络流量检测僵尸、木马、蠕虫等恶意威胁入侵，并通过一定的响应方式，实时地中止入侵行为，保护企业信息系统和网络架构免受侵害。入侵防御实现机制如下：

1.  重组应用数据

数据流量进入IPS模块前，会先对IP分片报文重组和TCP流重组，确保应用层数据的连续性，有效检测逃避入侵检测的攻击行为。

2.  协议识别和协议解析

根据内容识别出多种应用层协议，并根据具体协议进行精细的解码并深入提取报文特征进行入侵检测。

3.  特征匹配

将解析后的报文特征和签名进行匹配，如果命中了签名则进行响应处理。

助企云下一代防火墙vAF基于深度应用识别技术，能够对流经防火墙的数据报文进行深度应用层分析和检测，通过对数据报文进行协议分析和重组，并根据检测结果对数据报文做出响应动作。助企云下一代防火墙vAF产品内置8000+主流IPS特库，正常每两周例行更新，重大事件24小时更新响应。由于IPS攻击检测主要依赖攻击特征匹配，IPS模块检测的精准度依靠规则库的数量和规则库更新的及时性，这种检测方式的劣势是无法针对复杂漏洞、未知漏洞进行防御。助企云自研的IPS反逃逸漏洞防御引擎在漏洞特征库的基础上，增加了行为分析检测技术，基于攻击泛化的漏洞覆盖技术，从漏洞共性攻击与利用方式，泛化出通用漏洞特征，利用最少规则检测更多的安全漏洞的能力。 

• 失陷主机检测

失陷主机通常是指网络攻击者以某种方式获得控制权的主机，在获得控制权后，攻击者通过建立C&C隐蔽通道并对失陷主机发送恶意指令，甚至以该主机为跳板继续攻击内网的其他主机。另外，失陷主机往往具有无规律性、高隐蔽性的特点，很多入侵动作本身难以识别或无法确认攻击是否成功。

针对办公网或者生产网场景中存在的失陷主机安全隐患，助企云下一代防火墙vAF采用本地特征库+云端NTA检测技术准确定位各种失陷主机的高危行为。助企云下一代防火墙vAF本地具备130万的僵尸网络特征库，里面包含主流恶意URL、C&C IP地址等，通过对比风险主机的非法外联行为，确认并定位失陷主机。由于攻击者经常使用恶意软件隐秘通信检测，包括使用DGA通信、DNS隐蔽通道通信、字典拼接通信、硬编码通信等，增加了非法外联行为的检测难度。助企云下一代防火墙vAF采用NTA异常流量行为分析引擎，基于AI+规则的闭环迭代发现异常流量，定位未知威胁。

• 病毒防护

助企云下一代防火墙vAF采用流模式和启发式文件扫描技术，并使用自研的AI杀毒引擎SAVE，可对HTTP、SMTP、POP3、IMAP、FTP、SMB等多种协议类型的近百万种病毒进行查杀，包括木马、蠕虫、宏病毒、脚本病毒等，同时可对多线程并发、深层次压缩文件等进行有效控制和查杀。

• 黑链检测

黑链是SEO手法中相当普遍的一种手段，是指用非正常的手段获取的其它网站的反向链接，最常见的黑链就是通过各种网站程序漏洞获取搜索引擎权重或者PR较高的网站的webshell，进而在被黑网站上链接自己的网站。

黒链检测最常用的方式是使用第三方扫描工具，需要不定期来检测网页是否存在黒链，实时性较差。助企云下一代防火墙黑应用动态常态检测技术，只要被挂黑链页面出现访问行为，就可以检测到黑链位置以及对应类型。助企云下一代防火墙vAF的黑链检测功能由两部分检测内容来实现：

1.  外链类型检测

对通过防火墙http流量进行处理并提取外链，在产品内置的URL分类库中查询其类型并给一定权值评分，当总打分达到一定程度时，就认为是挂黑链。

2.  关键词检测

对通过防火墙http流量进行处理，提取外链内容，使用关键词库去匹配，针对不同关键词给不同权值，当总打分达到一定程度时，就认为是挂黑链。当检测到黑链后，记录黑链类型以及对应的位置，高亮显示黑链位置。