事中攻擊防御**準確-下一代WAF引擎

流量優化層面：基于應用層交互內容進行深度學*，在該層次上建立深入的流量學*模型，對各種網頁元素、參數進行監測、學*、對比，整個過程由設備的自學*功能完成，無需人工干預，同時可以根據web流量的變化進行自適應調整，建立白流量過濾能力，如果有明顯偏離正常流量模式的惡意流量，則需要到后續的安全檢測流程中；

該白流量基線可以讓合法流量快速通行，提升應用層處理效率；

內容還原層面：通過廣泛的業務分析以及安全**持續投入與研究，知曉各業務的響應的方式，通過業務組件模型可以有效的從流量中還原業務組件；

安全檢測層面：基于大量的應用層流量，采取無監督學*的 AI 模型，根據特定維度對惡意流量做概率統計聚類，識別出攻擊特征；采用有監督成長的 AI 模型，從剩余流量中識別出攻擊特征，并標簽攻擊行為，構建攻擊特征基線，有效識別誤判、漏判；

合法業務基線：每個用戶的業務邏輯各不相同，表達方式各異，傳統 WAF 對所有用戶采用通用的威脅檢測方法，難以幫助業務各異的用戶有效防護攻擊風險，更無法基于業務進行自適應；

融合安全包括從事前的資產風險發現。虹口區數據下一代防火墻承諾守信

由于HTTPS的數據是經過SSL加密處理的，如果不進行HTTPS解壓，SANGFOR AF無法分析加密數據包里面的內容，從而也無法達到各種攻擊檢測和防護的作用，而只能進行數據轉發。

HTTPS解壓主要是在SANGFOR AF內部實現了HTTPS的代理功能。當AF識別到用戶在與HTTPS服務器建立連接時，根據用戶配置的策略，把這條連接的所有數據包抓到應用層，并用用戶配置的SSL證書進行SSL解壓，然后把解壓后的數據包進行各種安全檢測處理，如數據包無異常，則再使用用戶配置的SSL證書進行加密發送出去。 長寧區原則下一代防火墻包括什么是企業安全建設更高的一個層次的需求。

支持靜態網絡地址轉換（Static NAT）和動態網絡地址轉換（Dynamic NAT），實現內網地址轉換成公網地址后進行網絡通信。支持目的NAT，將對外網地址的訪問映射為對內網地址訪問，支持將對一個公網地址的訪問映射為內網多個地址，實現內網服務器的負載均衡訪問，同時支持目的端口轉換。

支持IPv6安全控制策略設置，能針對IPV6的目的/源地址、目的/源服務端口、服務、等條件進行安全訪問規則的設置；支持IPv6靜態路由；支持雙棧、6to4及6in4隧道實現 IPv6網絡與IPv4網絡訪問等。深信服AF產品已獲IPv6-Ready 認證。

深信服AF能夠有效防護OWASP組織提出的**web安全威脅的主要攻擊，并于2013年1月獲得了OWASP組織頒發的產品安全功能測試4星評級證書（比較高評級為5星，深信服AF為國內同類產品評分比較高）,為了應對當前持續快速變化的威脅類型，深信服自研了下一代WAF檢測引擎。

WEB攻擊類型多種多樣，當前保障每種類型的攻擊均能夠有較好的校測效果，通過分析和結合攻擊特征，主要應用了如下的關鍵技術：

(1)異常協議檢測

(2)基于人工智能的下一代防御引擎（詞法分析、語法分析、漏洞原理分析）

(3)按需解碼（結合實際業務情況，按照需要進行內容解碼）

(4)機器學引擎，通過學實際業務特征，形成高度貼合用戶業務的防御方式。 聚焦于如何保護資產在事中攻擊過程中不被入侵成功.

    鏈路聚合（LinkAggregation），是指將多個物理接口捆綁在一起，成為一個邏輯接口，以實現出/入流量在各成員接口中的負荷分擔。SANGFORAF根據用戶配置的端口負荷分擔策略(主備、負載均衡-h、負載均衡-RR)決定報文從哪一個成員接口發送到下一跳地址。當交換機檢測到其中一個成員接口鏈路發生故障時，就停止在此接口上發送報文，并根據負荷分擔策略在剩下接口鏈路中重新計算報文發送的接口。故障接口恢復后會再次重新計算報文發送接口。鏈路聚合在增加鏈路帶寬（如果一個接口1G帶寬，另外一個接口也是1G帶寬，如果把這兩個接口聚合成一個邏輯接口，理論上這個邏輯接口的帶寬就是2G。）實現鏈路傳輸彈性和冗余等方面是一項很重要的技術。 沒有攻擊并不意味著業務不存在漏洞.金山區技術下一代防火墻好處

存在短板必然容易被繞過，原有安全設備就形同虛設.虹口區數據下一代防火墻承諾守信

QL注入攻擊產生的原因是由于在開發web應用時，沒有對用戶輸入數據的合法性進行判斷，使應用程序存在安全存在的危險。用戶可以提交一段數據庫查詢代碼，根據程序返回的結果，獲得某些他想得知的數據，這就是所謂的SQL Injection，即SQL注入。AF可以通過高效率的URL過濾技術，過濾SQL注入的關鍵信息，從而有效的避免網站服務器受到SQL注入攻擊。

跨站攻擊產生的原理是攻擊者通過向Web頁面里插入惡意html代碼，從而達到特殊目的。AF通過先進的數據包正則表達式匹配原理，可以準確地過濾數據包中含有的跨站攻擊的惡意代碼，從而保護用戶的WEB服務器安全。 虹口區數據下一代防火墻承諾守信

上海黑象信息科技有限公司是一家其他型類企業，積極探索行業發展，努力實現產品創新。是一家有限責任公司（自然）企業，隨著市場的發展和生產的需求，與多家企業合作研究，在原有產品的基礎上經過不斷改進，追求新型，在強化內部管理，完善結構調整的同時，良好的質量、合理的價格、完善的服務，在業界受到寬泛好評。以滿足顧客要求為己任；以顧客永遠滿意為標準；以保持行業優先為目標，提供***的技術開發，技術轉讓，技術咨詢，技術服務。黑象自成立以來，一直堅持走正規化、專業化路線，得到了廣大客戶及社會各界的普遍認可與大力支持。