网络安全

下一代防火墙

基于深度应用、协议检测和攻击原理分析的入侵防御技术，可有效过滤病毒、木马、蠕虫、间谍软件、漏洞攻击、逃逸攻击等安全威胁，为用户提供 L2-L7 层网络的全面安全防护，在有效保护用户网络健康及服务器安全的同时提供出色的安全防护性能；通过网络流量深度检测和解析技术，能够基于应用、用户、内容、国家地理等进行多维度的精准识别，可为用户提供丰富而灵活的安全管控功能；通过强大的网络适应性，可实现复杂环境下的安全部署，满足用户多样化的网络功能需求。下一代防火墙具备日志、报表本地存储功能，有益于用户满足合规性要求，覆盖更多的应用场景，提升用户日常运维效率。可部署于政府、金融、企业、教育等各个行业，广泛适用于互联网出口、网络与服务器安全隔离、VPN 接入等多种网络应用场景。

智能下一代防火墙

智能下一代防火墙采用了全新的威胁检测技术，基于机器学习技术进行行为分析，准确发现变种恶意软件等未知威胁，从而弥补了传统检测技术的弊端。其通过和情报中心联动，掌握业界高危热点威胁事件及防护建议，以防御最新威胁；获取全面实时的攻击IOC特征，以提升威胁检测的有效性；对设备已发生的威胁事件，提供关联的攻击者的位置、攻击方式、技术手段以及攻击目标等情报信息，为客户进一步威胁处置决策提供有效建议。

智能下一代防火墙同时具备对物联网设备的安全防护与合规管控能力，可为客户打造融合网络的防护体验。智能下一代防火墙采用全新硬件架构，具备硬件解密引擎、高密接口、可扩展存储，提供业界领先的安全防护性能 ，可灵活部署于互联网出口、内网安全隔离、数据中心、分支机构安全互联等场景，致力为政府、金融、企业、教育、能源、运营商等客户提供专业的网络安全解决方案以及全面的安全防护能力。

数据中心防火墙

数据中心防火墙的硬件和软件均采用高可靠设计，实现99.999%的电信级可靠性。数据中心防火墙除了可支持主/主或主/备模式的冗余部署方案，还支持多达4台设备组成的孪生模式，保证单台故障时业务不中断；整个系统采用模块化设计，支持主控模块冗余、业务模块冗余、接口模块冗余、交换板冗余等，同时所有模块均可实现热插拔，进一步保障了系统的可靠性。

支持下一代互联网部署技术，同时具备成熟的NAT444功能支持外网地址固定端口块向内网地址的静态映射，能够基于Session生成日志，并可基于用户生成日志，方便溯源。同时增强的NAT功能，能够充分适应目前运营商网络的特点，降低用户网络建设成本。数据中心防火墙采用创新的全分布式架构，通过智能流量分配算法实现业务流量在业务模块（SSM）、接口模块（IOM）以及业务与接口模块（SIOM）上的分布式高速处理；并通过资源管理算法专利技术，充分发挥分布式多核处理器平台的潜力，进一步提升防火墙并发连接、每秒新建连接的性能，实现系统性能的全面线性扩展。

入侵防御与检测

其高级威胁检测功能采用基于威胁行为分析的未知威胁检测方法，结合云沙箱服务，能够有效应对日益增加的APT攻击，为客户提供针对已知攻击和未知攻击的全面威胁检测和防御能力。入侵防御和检测系统拥有多重威胁检测和防御能力，支持对僵尸网络攻击、DDoS 攻击、已知协议漏洞利用、Web 攻击、垃圾邮件、钓鱼、木马病毒和恶意软件等一系列网络入侵威胁进行检测及防御。网络入侵检测/防御产品是专用于网络入侵攻击检测和防御的安全产品，可广泛部署于政府、企业、高校、运营商等行业的互联网出口、服务器前端、内网隔离防护等应用场景。采用国产关键元器件和国产操作系统，符合国家相关标准要求，国产化程度高，适配具有国产化产品需求的用户场景。

智能内网威胁感知系统

聚焦流量实时监测，采用智能安全检测技术，发现已知及未知网络威胁，致力于核心业务安全，精准定位风险服务器和风险主机。构建可视化、可管理、可信任的完全网络。系统集成了基于静态签名技术的IPS/AV检测引擎、基于攻击行为分析的高级威胁检测引擎、基于主机和服务器行为建模的异常行为检测引擎、基于蜜罐技术的威胁诱捕检测引擎、基于云端的威胁检测引擎以及统一威胁关联分析引擎，构建全面立体的网络威胁风险感知。基于风险监控、威胁事件和流量监测，实时掌握网络安全状态及风险变化趋势，发现网络威胁及异常流量访问。提供全网风险监控大屏和攻击细节呈现，直观高效呈现威胁信息。通过全面采集证据信息，结合IOC威胁事件挖掘高级威胁、异常行为和应用分析之间的联系，发现潜在网络威胁，提高分析确信度。采用独有的关联分析引擎，多维度提取威胁信息进行关联分析，深度挖掘、溯源潜在网络威胁之间的关联性。针对威胁事件可联动边界安全设备进行防护控制，对威胁事件及时阻断，有效防止威胁进一步扩散，形成发现问题、解决问题、预防问题的威胁响应闭环。

安全隔离与信息交换系统

安全隔离与信息交换系统采用2+1双主机架构，通过协议落地、数据摆渡等多种安全办法，确保内外网在安全隔离前提下，对不同信任级网络之间或同级网络不同信任域之间的信息进行有效、可控、高速交换。安全隔离与信息交换系统融入了完整的安全体系设计理念，集文件交换、数据库安全访问和同步、视频交换、安全浏览、安全防护等功能于一体，采用“2+1”（即内部处理单元、外部处理单元、DTP物理隔离通道）双主机架构，部署于两个不同安全级别的网络之间，以信息“摆渡”的方式实现数据交换。实现内外网物理隔离的同时，最大限度地为用户业务数据传输提供便利性。