防火墙APT功能咨询

设备通过与沙箱进行联动，将网络流量送入沙箱进行隔离分析，由沙箱给出是否存在威胁的结论。如果沙箱检测到某流量为恶意流量，设备将对流量实施阻断等处理。

APT防御实现流程

在设备配置了APT防御功能的情况下，当流量经过设备时，设备将进行APT防御处理。处理流程如下图所示：

图-1 APT防御实现流程

1. 外网的攻击者向企业内网发起APT攻击，攻击流量命中设备上的APT防御配置文件。

2. 设备对攻击流量中的文件进行还原，并将还原后的文件送往沙箱进行威胁分析。

3. 沙箱获取到文件后将运行该文件，并对运行后的行为进行检测分析。检测结束后，会向设备推送检测结果，并将检测结果缓存到APT缓存中。

4. 如果检测结果是恶意流量，则设备将根据配置的防病毒配置文件对后续流量进行阻断或告警等处理，保护企业内网免遭攻击。

沙箱检测原理

沙箱可以看作是一个模拟真实网络建造的虚拟检测系统，当未知文件上送沙箱处理后，沙箱会运行该文件，并会对运行后的行为进行记录。沙箱通过将未知文件的行为和沙箱独有的行为特征库进行匹配，最后给出文件是否为威胁的结论。沙箱的行为特征库是通过分析大量的病毒、漏洞、威胁特征，提炼出各种恶意行为的规律和模式，形成的一套判断规则，它能够提供准确的检测结果。

与根据被检测对象的特征进行识别的检测技术（如防病毒）不同的是，沙箱检测是根据被检测对象的行为进行识别。因此具有可以识别未知文件的优点，可以更好的防御未知威胁。