支持静态网络地址转换（static nat）和动态网络地址转换（dynamic nat），实现内网地址转换成公网地址后进行网络通信，山西下一代防火墙。支持目的nat，将对外网地址的访问映射为对内网地址访问，支持将对一个公网地址的访问映射为内网多个地址，山西下一代防火墙，山西下一代防火墙，实现内网服务器的负载均衡访问，同时支持目的端口转换。
支持ipv6安全控制策略设置，能针对ipv6的目的/源地址、目的/源服务端口、服务、等条件进行安全访问规则的设置；支持ipv6静态路由；支持双栈、6to4及6in4隧道实现 ipv6网络与ipv4网络访问等。深信服af产品已获ipv6-ready 认证。通过漫画的形式帮助用户更好地了解所遭受攻击的危害。山西下一代防火墙
深信服防篡改客户端采用系统底层文件过滤技术，在文件系统上加载防篡改客户端驱动程序，拦截分析irp（i/o request pcaket）流，识别用户对文件系统的所有操作，并根据防篡改策略对非法的操作进行拦截，以确保受保护的网站目录文件不被篡改。
1. 客户端软件采用目前的irf文件驱动流，通过在客户端软件配置需要保护的文件目录和允许修改该目录的应用程序，识别修改被保护网站目录的应用程序是否合法；
2. 文件驱动检测并识别到非法应用程序修改目录时，拒绝该应用程序的修改动作，并记录行为日志，上报到af；
3. 客户端软件只有连接了af才能使用，不能独立使用；使用客户端软件连接af时，af上面须配置一条策略使被保护服务器ip与客户端软件能够进行匹配；山西下一代防火墙能够直观地了解到哪些业务或者用户已经被攻击者入侵或控制。
分离平面设计
深信服下一代防火墙通过软件设计将网络层和应用层的数据处理进行分离，在底层以应用识别模块为基础，对所有网卡接收到的数据进行识别，再通过抓包驱动把需要处理的应用数据报文抓取到应用层。若应用层发生数据处理失败的情况，也不会影响到网络层数据的转发，从而实现高效率、可靠的数据报文处理。
多核并行处理
深信服下一代防火墙的设计不采用了多核的硬件架构，在计算指令设计上还采用了的无锁并行处理技术，能够实现多流水线同时处理，成倍提升系统吞吐量，在多核系统下性能表现十分优异，是真正的多核并行处理架构。
问题一：传统信息安全建设，以事中防御为主。缺乏事前的风险预知，事后的持续检测及响应能力
传统意义上的安全建设无论采用的是多安全产品叠加方案还是采用utm/ngfw+waf的整合类产品解决方案，关注的重点都在于如何防护资产在被攻击过程中不被攻击入侵成功，但是并不具备对于资产的事前风险预知和事后检测响应的能力，从业务风险的生命周期来看，具备事中的防护是不完整的，如果能在事前做好预防措施以及在事后提高检测和响应的能力，安全事件发生产生的不良影响会大幅度降低，所以未来，融合安全将是安全建设发展的趋势。不对服务器和终端向外主动发起的业务流量进行防护.
事中攻击防御准确-下一代waf引擎 性能瓶颈：设备处理性能存在瓶颈问题的本质原因，安全设备对应用层流量采用的检测手段是全流量检测模式，这样做的问题就是不管流量是好是坏，都需要设备对其进行拆包、还原、特征比对等，设备性能损耗大，性能差，而现网中大部分的流量均是合法流量，我们称之为白流量。
内容还原：在发起应用层攻击时，设备先会对应用流量进行内容还原，从流量中还原目标业务组件，业界通用思路会构建内容还原引擎解析流量，进而基于还原的目标业务组件开展后续的安全检测；所以能否有效多方位的识别应用层威胁，前提是业务内容还原能力是否够强；
其中比较大的难度就是面对客户环境中众多的异构的、不同版本的、开源的各种组件，安全厂商无法多方位覆盖，存在攻击被绕过的风险；
攻击检测：传统的web防御基于静态规则，太严格的规则容易误杀正常业务流量，造成误判。太松散的规则则容易被绕过，造成漏判，同时对于已知web攻击的各种变种、0day及未知应用层威胁通过静态特征无法有效的防御；
所以传统的应用层防御体系存在性能差、不安全等特征； 深信服ngaf具有完备的l2-l7层一体化的安全防御体系来应对已知威胁。山西下一代防火墙
只有针对真实存在的业务漏洞进行的攻击才是有效攻击.山西下一代防火墙
深信服af的web扫描器是深信服结合多年来在web应用安全上的研究成果，基于大量信息安全事件应急响应的丰富经验下开发出的一款安全扫描器，该扫描器旨在帮助广大用户对web服务器网站进行深度的安全扫描，指纹识别，漏洞验证，多方位预知web应用系统的安全现状，并提供的安全加固建议。支持对web网站服务器操作系统类型：apache，iis，tomcat，nginx，weblogic等服务器/中间件类型；php/jsp/asp/c#/python等网站语言类型进行自动识别，并和cvenvd漏洞库智能关联分析。山西下一代防火墙