防火墙双向防御

防火墙双向防御 1强化的Web攻击防护

采用攻击特征+主动防御相结合的双重防护模式，可有效保护web业务安全。攻击特征的防护模式有效结合了web攻击的静态规则及基于黑客攻击过程的动态防御机制，提供OWASP定义的十大安全威胁的攻击防护功能，有效防止常见的web安全威胁。如SQL注入、XSS跨站脚本、CSRF跨站请求伪造等，主动防御模式可提供参数类型学习和自定义参数等个性化配置，保护web系统免受网站篡改、网页挂马、业务数据泄露、用户账号被盗等问题。通过了OWASP Web安全项目的测试，设备的安全防护等级为国内同类厂商最高得分。

2基于应用的深度入侵防御

基于应用的深度入侵防御采用六大威胁检测机制：攻击特征检测、特殊攻击检测、威胁关联分析、异常流量检测、协议异常检测、深度内容分析。能够有效的防止各类已知未知攻击，实时阻断黑客攻击。如，缓冲区溢出攻击、利用漏洞的攻击、协议异常、蠕虫、木马、后门、DoS/DDoS攻击探测、扫描、间谍软件、以及各类IPS逃逸攻击等。

3僵尸网络检测隔离

独有的僵尸网络检测隔离功能，能够实时对外发流量进行检测，协助用户定位内网被黑客控制的服务器或终端。该功能融

合了僵尸网络识别库，利用业界领先的僵尸网络识别检测技术对黑客的攻击行为进行有效识别，针对以反弹式木马为代表的恶意软件进行深度防护。僵尸网络识别库数量超过15万条，并由攻防团队实时更新。同时，正在完善安全云平台，部署在全球各地的下一代防火墙设备可以自动【在获得用户授权的前提下】或手动上传可疑的应用流量到安全云平台，平台会自动分析，形成新的恶意软件识别策略下发到全球所有设备的规则库上。

4应用协议内容隐藏

可针对主要的服务器（WEB服务器、FTP服务器、邮件服务器等）反馈信息进行有效隐藏。防止黑客利用服务器返回信息进行有针对性的攻击。如：HTTP出错页面隐藏、响应报头隐藏、FTP信息隐藏等

5用户登录权限防护

可以针对特定的服务或者web页面提供登陆保护，通过发送短信验证码的方式提供强认证保护。用户访问到该页面或应用的时候需要先经过短信的认证才能进入到正常的登录界面，增强了敏感页面或应用的安全系数；该功能能够带来的价值：第一，对重要的页面（如管理员页面）进行防护，防止通过社会工程、暴力破解拿到正常管理员的账号密码；

第二，可实现敏感页面的双因子强认证提高安全性，防止敏感页面开放于公网或办公网；

6精确的病毒检测能力

提供先进的病毒防护功能，可从源头对HTTP、FTP、SMTP、POP3等协议流量中进行病毒查杀，也可查杀压缩包（zip，rar，gzip等）中的病毒。同时采用高效的流式扫描技术，可大幅提升病毒检测效率避免防病毒成为网络安全的瓶颈。

7网关型网页防篡改

提供网关型的网页防篡改（对服务器“0”影响）功能，能够第一时间拦截网页篡改的信息并通知管理员确认。同时对外提供篡改重定向功能，提供正常界面、友好界面、web备份服务器的重定向，保证用户仍可正常访问网站。网站篡改防护功能使用网关实现动静态网页防篡改功能。这种实现方式相对于主机部署类防篡改软件而言，客户无需在服务器上安装第三方软件，易于使用和维护，在防篡改技术方面采用了网络字节流的检测与恢复，对服务器性能没有影响。

8可定义的敏感信息防泄漏

提供内置敏感信息库以及可定义的敏感信息防泄漏功能，根据不同用户的防护需求可灵活自定义敏感信息（如：用户信息/邮箱账户信息/MD5加密密码/银行卡号/身份证号码/社保账号/信用卡号/手机号码……），通过短信、邮件报警及连接请求阻断的方式防止大量的敏感

信息被窃取。

9覆盖传统防火墙功能

涵盖了完整的传统防火墙功能，包括融合了技术国内领先， 市场占有率第一的 VPN模块，支持应用访问控制、NAT支持、路由协议、VLAN属性、链路聚合等功能，便于用户替换传统防火墙后，将原有的策略完全迁移至下一代防火墙中，实现简化组网、方便运维的效果。同时可防护基于数据包的DOS攻击、IP协议报文的DOS攻击、TCP协议报文的DOS攻击、基于HTTP协议的DOS攻击等，实现对网络层、应用层的各类资源耗尽的拒绝服务攻击的防护，支持对加密隧道数据进行安全攻击检测，全面提升广域网隔离的安全性。