深信服下一代防火墙 AF：AI 赋能，百倍提升新型威胁防护效果

在勒索软件、零日漏洞攻击频发的网络环境中，传统防火墙因依赖特征库更新已难以应对未知威胁。本文以深信服下一代防火墙AF为焦点，解析其如何通过AI技术突破行业瓶颈，实现威胁防护效果的革命性提升，并为政企用户提供实战级选购建议。

一、传统防火墙为何沦为“马奇诺防线”？

用户痛点：

•传统防火墙依赖本地规则库与特征库，容量有限且更新节奏偏慢，难以跟上新型威胁的快速变化与高频变体，导致对未知与变种的覆盖不足。

•由于缺乏对通信上下文与业务语义的理解能力，也未具备动态式对抗检测机制，传统防火墙仅凭本地规则匹配难以及时识别新型威胁，容易出现检测空白。

•上述两类限制叠加，直接造成防护盲区：既“看不全、跟不快”，又缺乏上下文与动态对抗能力，进而难以有效应对快速演化的攻击场景。

行业矛盾：

76%的企业网络流量为加密数据，但仅32%的防火墙支持全流量解密；

传统AI防火墙误报率仍达15%，远高于业务容错阈值（<5%）。

二、用户案例：真实场景验证防护效果

未知威胁防护

企业正在面临大量尚未被传统安全防御手段识别和防范的新型网络威胁，具有隐蔽性强、手段多 变等特点，使传统的基于已知威胁特征库的防御模式难以有效应对。企业需要建立智能化分析能 力，实时监测网络流量和系统行为，从海量数据中挖掘异常模式，提前发现潜在未知威胁并及时 阻断，保障企业网络、数据和业务的安全稳定运行。

案例：某食品企业阻断银狐组织攻击

国内某大型专业速冻食品生产企业，办公网规模较大，分支较多，在海外拥有办公机构。面对复 杂的网络环境，对员工的上网安全难以进行管控和防护，未知威胁变化快，传统模式的边界安全 建设和人力维护手段无法满足企业整体防护要求。

深信服AI+SASE赋能的下一代防火墙充分调用云端百亿级威胁情报，实现了本地+云端亿级已知威 胁100ms内实时拦截。针对未知威胁，云端AI引擎进行主动探测，5min内鉴别通信流量是否为恶 意通信并同步全网，对未知威胁也能抢先防护。借助混合部署优势，防火墙的威胁情报能力能够 保持“实时最新”。

•在近期的30天统计周期内，AI+SASE赋能的下一代防火墙帮助用户发现并拦截恶意外联9738 次，实现0主机失陷。同时发现2个银狐团伙高级威胁情报和1个矿池恶意情报，其中2个为海 外及港澳台情报。在上述安全情报中，深信服公司独家上报占比达66%。

•检测到境外分支办公人员的C2外联，在对C2外联的拦截过程中，精准拦截具体失陷外联地 址，同用户其他访问不受影响，正常用户完全无感知。

钓鱼邮件攻击防护

每个企业邮箱账户每月可能收到数十封钓鱼邮件。这种高对抗攻击（钓鱼邮件、变形攻击等）隐 藏深，传统防火墙由于缺乏上下文理解和动态式对抗检测能力，仅依靠本地规则库难以检出，存 在大量防护盲区。深信服首创的防火墙内联GPT钓鱼检测大模型，显著提升钓鱼邮件防护的防护 范围和成功率。

案例：某科技企业快速阻断规模化钓鱼攻击

某科技企业是一家以光显技术为核心的LED显示与照明产品供应商。作为全球化运营的高科技公 司，该公司拥有遍布全球多个国家地区的销售和服务网络。因业务需要，公司大量通过邮件进行 海外业务沟通，员工经常收到钓鱼邮件。但因为员工安全意识参差不齐，难以开展有效防护。

公司此前一直使用深信服的下一代防火墙产品进行边界安全防护，在了解到深信服AI+SASE赋能 下一代防火墙的新能力后，立即进行了版本升级和能力测试，开通云威胁情报网关、GPT邮件防 钓鱼能力，通过云端GPT进行钓鱼邮件的检测，并通过防火墙内联架构，对钓鱼邮件中的恶意 URL、恶意文件进行阻断与查杀，有效解决了钓鱼邮件问题。

GPT邮件防钓鱼模块上线一周，帮助用户分析了49,602封邮件，其中检出钓鱼邮件120封，涉及 远控木马、凭证窃取、金融诈骗等。其中，凭证窃取邮件检出49封，金融诈骗邮件检出1封，主 机远控检出4封，有效防止攻击者窃取企业员工凭证并进入企业内部系统窃取数据；避免攻击者 获取用户的银行账户信息、信用卡号或支付密码，进而进行非法转账或消费。新的强大检测能力 也进一步消除了企业被木马程序注入的隐患。

安全威胁深度检测

深信服威胁情报中心日均发现上百万新型威胁，其中热门的威胁（挖矿、银狐、黑客工具等病 毒），可以在72小时内产生百万次变种。全面的安全规则库以及强大的智能语法语义检测引擎， 包括IPS泛化检测引擎、WISE2.0智能语法语义引擎等，能够精准防御高对抗的入侵攻击和Web攻 击，深度检测变种混淆攻击手法，入侵攻击检出率高达99.7%。

案例：某省立医院出口失陷主机检测专项治理

某省立医院从2023年1月到3月份，反复被安全主管机构通报，主要通报内容为非法恶意外联等， 客户对此非常烦恼。

深信服针对客户的迫切需求，对用户IT环境开展了一次深入的失陷主机检测专项，利用AI+SASE 赋能的下一代防火墙深度检测能力，针对C2外联以及僵尸网络、挖矿病毒、蠕虫、木马远控等安 全威胁进行拦截和排查。

在近一个月的专项行动期间，共拦截C2外联通信87.6万次，其中防火墙本地拦截5,964次（本地 共发现31.7万次可疑C2外联通信），云端情报拦截87万次。其中，针对僵尸网络恶意外联拦截 4.35万次，挖矿病毒恶意外联拦截1,728次，蠕虫病毒恶意外联拦截76.7万次，木马远控恶意外联 拦截4万次。

在针对挖矿事件的检测中，共发现15个目的矿池IP，其中3个为中国香港IP，12个为国外IP。值 得一提的是，这些IP均为深信服公司利用主动探测技术独家识别并拦截。自上线深信服的相关产 品后，用户再未发生过被通报情况。

分支安全组网

随着企业网络边界逐步趋向模糊化，企业的分支机构作为企业业务触角的延伸，却常常成为安全 建设中最易被忽视的 “软肋”，与总部安全水平脱节等问题凸显。深信服AI+SASE赋能的下一代 防火墙不仅能高效实现分支组网，更将强大的安全防护能力深度融入其中。依托创新的 “本地 + 云端” 云网架构，打破了本地硬件性能的限制，让算力与防护能力实现弹性扩展。无论是小型办 事处、偏远网点还是大型区域中心等都能获得一致的安全防护能力，彻底终结 “总部强、分支 弱” 的安全失衡局面，让分支的安全建设更加简单。

案例：某医药控股企业多分支安全组网

某医药控股作为国内领先医药企业，拥有 50 多个子公司节点，涵盖数据中心、门店、物流仓储等 多类型分支，各分支机构网络和安全建设水平参差不齐，业务访问慢、无法统一管理的同时，终 端主机失陷、挖矿事件频繁发生，客户急需在优化业务访问体验的同时，加强分支机构接入的安 全防护能力。

深信服通过融合安全的组网方案，基于智能选路和应用优化等SD-WAN组网特性，完成不同分支 组网，优化业务访问体验的同时，基于云端AI算力以及分布式架构，为不同类型分支提供实时、 一致的安全防护能力，有效降低失陷、外联等事件发生；上线半年时间，深信服云端威胁情报共 为单个分支检测并拦截近百次的C2非法外联行为，让分支的安全做到0通报。

三、解决问题：如何评估防火墙是否适合你的网络环境

1. 适用场景

高价值资产保护：金融交易系统、政务云平台、医疗PACS系统等需抵御APT攻击的场景；

加密流量占比较高：互联网出口、VPN接入等需处理TLS 1.3+流量的节点；

四、常见问题解答

Q1：AF的AI模型是否需要持续标注数据？

A：采用无监督学习为主，仅需初始训练数据，后续通过联邦？学习自动更新，无需人工标注。

Q2：加密流量解密是否影响合规性？

A：支持国密算法与TLS 1.3，解密过程符合《网络安全法》与《个人信息保护法》要求。

Q3：误报率0.3%如何验证？

A：经第三方机构测试，在模拟真实业务流量中，误报事件日均仅1.2起（传统方案日均18起）。

Q4：是否支持与现有安全设备联动？

A：提供标准API接口，可无缝对接SIEM、EDR、沙箱等设备，构建SOAR自动化响应闭环。

Q5：成本是否高于传统防火墙？

A：初期采购成本高30%，但通过减少安全团队人力投入与降低数据泄露损失，3年TCO（总拥有成本）低25%。

总结：深信服AF，重新定义下一代防火墙标准

通过AI动态建模、加密流量无损解密与智能响应闭环，深信服AF将未知威胁防护效率提升至行业新高度。对于追求“主动防御”与“降本增效”的政企用户，其技术架构与实战效果已通过金融、政府、医疗等多行业验证，堪称下一代防火墙的标杆之作。