F5000+威胁情报

核心结论（F5000 V7 防火墙）
IP 信誉、域名信誉（威胁情报模块）和 APT 防御配置文件完全独立、无绑定关联，两套功能分属不同检测引擎、不同配置入口、安全策略调用逻辑完全分开。
一、两者本质区分（无关联依据）
1. IP / 域名信誉（威胁情报）
配置入口：策略→威胁情报，全局一键开启，独立特征库（恶意 IP、恶意域名库）
检测逻辑：三层 IP、DNS 域名匹配，报文头部粗粒度拦截，无需沙箱；全局统一配置阻断 / 允许动作、例外名单
License：单独「威胁情报」授权
2. APT 防御配置文件
配置入口：对象→应用安全→APT 防御，属于 DPI 深度应用检测模板
检测逻辑：七层文件载荷检测，流量上送沙箱深度分析恶意文件；控制哪些协议、文件类型需要送检沙箱
License：单独 APT / 沙箱授权
生效方式：必须在安全策略的「内容安全」选项里手动引用 APT 配置文件才会生效
二、安全策略分别如何调用两套功能
1. IP 信誉、域名信誉调用规则（无需在单条策略手动勾选）
全局在「威胁情报」页面开启功能、配置各类威胁对应的动作（丢弃 / 允许 / 日志）；
只要流量匹配动作 = 允许的安全策略，报文会自动全局过 IP + 域名信誉检测，不需要在单条安全策略里额外勾选引用；
匹配恶意 IP / 域名时，直接执行全局预设动作，优先阻断，不受 APT 配置文件任何影响。
简单理解：信誉是全局旁路检测，所有放行流量统一生效，策略不用单独绑定。
2. APT 防御配置文件调用规则（必须策略手动引用才生效）
先在对象里建好 APT 防御配置文件（定义哪些文件、协议送检沙箱）；
编辑允许类安全策略，在内容安全标签页下拉选择该 APT 配置文件；
只有这条绑定了 APT 模板的策略，对应流量才会做沙箱深度文件检测；不引用则完全不触发 APT 分析。
简单理解：APT 是策略级按需绑定，不选模板就不启用。
三、补充关键区分点
启用 IP / 域名信誉≠启用 APT；引用 APT 配置文件，也不会自动开启 IP / 域名信誉，两套开关互不控制；
阻断优先级：IP / 域名信誉全局拦截优先级高于 APT 沙箱检测，命中恶意 IP 直接丢包，不会再进 APT 文件检测流程；
配置隔离：信誉例外 IP / 域名、APT 白名单互相独立，不会互通。
极简总结
IP / 域名信誉与 APT 防御配置文件无任何关联、两套独立安全能力；
IP / 域名信誉：全局开启，所有允许策略流量自动校验，策略无需单独绑定；
APT 防御：需要在单条安全策略内容安全处手动引用配置文件才生效。

1. IP 信誉的调用方式

• 全局开启：在系统视图下通过 ip-reputation 命令全局开启该功能，并配置对应的攻击分类动作（如丢弃、记录日志等）。
• 策略调用：开启全局功能后，设备会自动对所有经过的流量进行 IP 信誉库匹配，不需要在具体的安全策略（Security Policy）中单独引用或绑定任何配置文件。

2. 域名信誉的调用方式

• 全局开启：同样需要在全局视图下开启域名信誉功能，并配置攻击分类对应的执行动作（如允许、丢弃、日志）。
• 策略调用：与 IP 信誉类似，域名信誉也是全局生效的机制，匹配 DNS 报文中的域名信息。它不需要在安全策略中关联 APT 防御配置文件。

3. “APT防御配置文件”是做什么的？

• 功能定位：它主要用于启用恶意 URL 检测、文件信誉检测以及云沙箱联动检测。
• 策略调用：只有当您希望在安全策略中拦截特定的恶意文件、检测可疑的 URL 或将未知文件送交云端沙箱分析时，才需要在具体的安全策略的“内容安全”选项卡下，手动引用这个“APT防御配置文件”。