科能腾达构建了能够支撑下一代防火墙的APPOS操作系统，结合自研的APPIDSE智能安全引擎、APPAVE病毒扫描引擎、应用识别引擎，实现防火墙、入侵检测、入侵防御、病毒过滤、VPN、上网行为管理、WEB过滤、垃圾邮件过滤、数据防泄密、流量控制和安全审计等功能。下一代防火墙具备攻击检测/防御规则库、病毒库、应用识别库、URL分类库等丰富知识库，并具备专业威胁挖掘团队，实时更新库信息，在当前复杂的网络环境下，下一代防火墙能够全方位深层次的防御安全威胁。
下一代防火墙部署在多核高性能处理架构上，采用公司自研的APPOS系统与智能安全引擎，实现数据流的高速处理和转发。同时在此基础上，针对下一代防火墙具有多种功能、高性能的特点创新推出“一次解包，多次分析”的架构设计，它在协议处理不同层面一次性完成多种安全分析。传统UTM通常采用不同厂家的安全模块，比如防火墙、防病毒、IPS、应用识别都是不同厂家的软件模块。数据包经过多个安全模块进行处理时，需要多次解包和封包过程，浪费了大量宝贵的设备计算资源，增加了数据包的延时。
我们将与网络层相关的DDoS、防火墙、流量控制、VPN等功能在数据包状态检测过程完成。入侵检测、入侵防御、应用识别、应用流量都是与数据包内容有关的，统一在数据包内容分析中完成。而防病毒、WEB过滤、反垃圾邮件和安全审计需要对数据包进行重组，所以放在透明代理中完成。“一次解包多次分析”的优势在于：提高数据包流转速度，降低数据包的延迟。 提高设备性能，降低CPU和内存的使用率。 可以融合多种安全策略为统一策略，部署简单和灵活。 会话表涵盖状态监测、VPN、应用识别、防病毒、入侵防御等信息，有助于满足可视化和透明化等下一代防火墙要求。
独有的“一次解包，多次分析” 带来的优势：1）提高数据包流转速度，降低数据包的延迟；2）提高设备性能，降低CPU和内存的使用率；融合多种安全策略为统一策略，部署简单灵活；3）会话表涵盖状态检测、VPN、应用识别、防病毒、IPS等信息，有助于满足可视化和透明化；
基于会话分配vCPU，充分利用多核优势：防火墙硬件采用多核处理器和专用处理芯片，以满足高速处理和转发数据流需求，大大提高了网络安全部署的便利性及数据流转要求的快捷处理能力，多核处理器处理防病毒、IPS、应用控制等需要复杂运算，专用处理器可以提高防火墙吞吐量和实现低延迟转发。
全面威胁检测与防护：支持超过6000+ IPS特征值，并在不断的更新中；可实现0-day防御；用户可以自定义特征值；可有效防御基于数据包发包速度的DDoS攻击；支持2000+应用特征值，16个类别，支持中文特征值过滤；可基于高级的IM和应用的控制。
敏感信息防泄密：DLP传感器：基于文件指纹过滤；基于文件名、类型和大小过滤；加密文件和信息屏蔽；水印过滤；预置规则：SSN，信用卡等检测与过滤。内容归档：对Email、FTP、HTTP、IM，传输文件和内容进行归档。

高性能安全防护：下一代防火墙硬件采用多核处理器，以满足高速处理和转发数据流需求，大大提高了网络安全部署的便利性及数据流转要求的快捷处理能力，多核处理器处理防病毒、入侵防御、应用控制等复杂运算，并且采用高性能的单次报文解析技术，报文经一次解包后，由各个安全模块并行检测分析，能够保证在复杂网络环境下仍能进行多种安全防护功能同时防御。
细粒度多维管控：下一代防火墙通过网络流量深度检测和解析技术，能够对应用、用户、内容等进行多维度的精准识别，为用户提供丰富而灵活的安全管控功能。具备先进的应用识别引擎，可识别2000多种应用，用户可以根据自己需求来对应用进行管理，比如阻断和限流或者允许等限制，使管理更加简单。同时公司拥有专业的安全研究团队，团队成员长期不懈的跟踪前沿安全市场，确保应用识别库保持最新状态。支持丰富的用户认证方式，包括本地用户、Radius、LDAP、TACACS+、PKI证书等认证方式等。并可针对用户实施精细化的访问控制、应用限制、流量控制等管控手段。下一代防火墙可以对内网访问Internet的网站、上传和下载的文件、发送的邮件、传输的协议等进行监控，及时发现和解决网络被滥用，非法网站和网络欺骗行为。下一代防火墙提供七层的带宽控制，防止网络拥塞、带宽滥用和优化网络等。能对关键业务和用户实现优先级划分，可以帮助企业和云计算优化网络，减少为网络带宽支付的费用。
全面威胁检测与防护：下一代防火墙的入侵防御技术，可有效过滤病毒、木马、蠕虫、间谍软件、漏洞攻击、逃逸攻击、Webshell等安全威胁，为用户提供L2-L7层网络安全防护。支持SQL注入、跨站脚本、暴力破解、WebShell等检测与过滤，有效避免Web服务器遭受攻击破坏，满足用户Web服务器深层次安全防护需求。能有效抵御如SYN Flood、UDP Flood、ICMP_flood等DoS/DDoS攻击，保障网络与应用系统的安全可用性。领先的流扫描技术可实现低延时、高性能的过滤。支持对HTTP、FTP及各种邮件传输协议流量和压缩文件（zip，gzip，rar等）中病毒的查杀，提供500万条实时更新的病毒特征库。下一代防火墙支持千万级Web内容过滤功能，可帮助管理员实现网页浏览访问控制，并支持给不同用户组配置不同的分类过滤策略，有效防止恶意URL带来的威胁渗入。下一代防火墙支持SSL加密流量全面威胁防护，可针对SSL加密流量综合运用包括入侵防御、病毒防御、Web内容过滤在内的多种管控手段，实现加密流量威胁的全面防护。
丰富的日志报表呈现：下一代防火墙可以实现对网络事件的深度分析，并提供了多种报表，方便用户了解自己的网络实际发生了什么，可用于设备监控、行为监管、调查取证、安全审计等场景，且满足《网络安全法》对日志存储不少于6个月的要求，支持用户自行定义报表的样式和内容，全面提升产品的核心价值。

1. 企业网络安全防护：
- 大型企业和集团公司：下一代防火墙可以部署在企业网络的边界，对进出网络的流量进行深度检测和过滤，防止外部的网络攻击、恶意软件、黑客入侵等威胁进入企业内部网络。例如，可以识别和阻止针对企业服务器的漏洞攻击、DDoS攻击等，保护企业的核心业务系统和敏感数据。
- 中小型企业：下一代防火墙可以为中小型企业提供一体化的安全防护解决方案，在有限的预算和资源下，实现对网络的有效保护。例如，通过集成的入侵检测和防御功能，及时发现并阻止网络中的异常流量和攻击行为。
2. 数据中心与云计算环境：
- 数据中心：下一代防火墙可以部署在数据中心的入口和出口处，对进出数据中心的流量进行严格的安全检查和过滤，保护数据中心内的服务器、存储设备和网络设备等免受网络攻击。同时，还可以与数据中心的其他安全设备（如入侵检测系统、漏洞扫描系统等）进行联动，形成多层次的安全防护体系，提高数据中心的整体安全性。
- 云计算环境：下一代防火墙可以为云计算环境提供安全的网络边界防护，确保云服务提供商和企业用户之间的网络通信安全。例如，在云服务提供商的网络边界部署下一代防火墙，对进入云计算环境的流量进行检测和过滤，防止恶意用户对云计算资源的非法访问和攻击；在企业用户的虚拟私有云边界部署下一代防火墙，保护企业在云计算环境中的业务系统和数据安全。
3. 政府机构与公共服务部门：
- 政府部门：下一代防火墙可以用于政府部门的网络边界防护，防止外部的网络攻击和信息窃取行为。例如，在政府部门的互联网出口处部署下一代防火墙，对进出网络的流量进行严格的访问控制和内容过滤，确保政府网络的安全稳定运行；在政府部门的内部网络中，利用下一代防火墙的隔离功能，将不同部门的网络进行安全隔离，防止内部的网络攻击和信息泄露。
- 公共服务部门：下一代防火墙可以为这些公共服务部门提供可靠的网络安全防护，保障其业务系统的正常运行。例如，在电力系统中，下一代防火墙可以用于保护电力调度系统、变电站自动化系统等关键业务系统的网络安全；在医疗系统中，下一代防火墙可以防止医疗信息的泄露和篡改，保护患者的隐私和医疗数据的安全。
4. 工业控制系统网络：
- 工业自动化生产：下一代防火墙可以用于保护工业控制系统网络的安全，防止外部的网络攻击和恶意软件对工业生产造成影响。例如，在工业控制系统的网络边界部署下一代防火墙，对进出网络的流量进行深度检测和过滤，确保只有合法的工业控制协议和数据能够通过；利用防火墙的工控协议识别功能，对工业控制系统中的通信协议进行解析和监控，及时发现和阻止异常的通信行为。
- 智能制造与工业互联网：下一代防火墙可以为工业企业提供安全的网络连接和数据交换解决方案，保障工业企业的生产安全和数据安全。例如，通过建立虚拟专用网络（VPN），实现工业企业与供应商、客户之间的安全通信；利用防火墙的数据加密功能，对工业企业的敏感数据进行加密传输，防止数据泄露。