一、产品架构类

1.问：真的不用做端口镜像、不用分光器吗？
　　答：是的，完全不需要。直接利用现有交换机、路由器自带的标准流量推送能力即可，不用额外增加分光、镜像硬件，也不用做线路改造。
2. 问：真的不改变现有网络拓扑，不用割接改线路？
　　答：完全不用改动现有网络架构。采用旁路静默接入方式，不用停机割接，业务正常运行期间就能直接部署上线。
3. 问：不需要在服务器、电脑上装任何代理、客户端吗？
　　答：标准部署完全不需要在终端、服务器安装任何程序。做到真正无终端安装、无插件、无后台驻留，不占用终端资源，也不存在兼容性问题。
4. 问：不用部署硬件探针、不用新增安全硬件设备？
　　答：不需要额外采购专用硬件探针、采集设备。可直接部署在现有服务器或虚拟化资源上，复用现有IT资产，无需新增专业安全硬件。
5. 问：只靠交换机路由器自带流量推送就能用？会不会增加设备负载？
　　答：可以直接使用网络设备原生能力，设备本身硬件级处理，日常占用极低，不会影响交换机、路由器的正常转发和稳定运行，大规模网络也能平稳适配。
6. 问：老旧低端交换机不支持标准流量推送，还能不能用？
　　答：可以正常使用。针对老旧、低端不支持标准协议的设备，提供轻量化软件采集方式，依旧不用改网络、不用加硬件，兼容新旧各类网络设备。
7. 问：跨园区、多分支机构、跨省总部分支能统一管控吗？
　　答：完全支持。总部统一管理，各分支不用单独搭建整套平台，只需简单配置即可纳入全网统一态势、统一管理、统一审计。
8. 问：旁路部署会不会影响现有业务网络转发性能？
　　答：完全不影响。只做流量旁观读取，不介入业务数据转发，不会拖慢网速、不会造成延迟，就算平台本身故障，也不会影响整个网络业务。
9. 问：雷盾有RayFlow 客户端代理方案，是不是跟零侵入理念相背离？
　　答：完全不冲突。RayFlow 只是可选增强组件，不是必装项：标准场景完全不用装，靠网络侧即可实现全部核心能力；只在特殊场景按需选用，比如老旧设备兼容、需要终端层面精细化管控时才考虑；而且客户端可自愿安装、随时卸载，不强制、不改网络结构，和零侵入初衷完全不矛盾。
10. 问：安装RayFlow客户端后，会不会卡顿、有安全风险？
　　答：非常轻量，占用资源极少，不会造成电脑或服务器卡顿；仅做网络行为统计，不读取业务文件、不私自上传数据，无后台风险、无系统残留。

二、底层技术原理类

1. 问：不靠端口全量抓包、不做镜像，凭什么能查出攻击？
　　答：不需要抓取全量报文，通过分析全网真实通信行为记录，看清谁和谁在通信、什么时候通信、异常与不常规的访问行为，检测与正常行为的差异来识别异常和攻击行为。
2. 问：只看流量基础记录，会不会漏掉攻击细节？
　　答：不会。所有网络攻击、内网异常访问，都会留下明显的通信行为痕迹，平台可以完整梳理出访问路径、异常连接、访问链条，完整还原事件全貌；加密流量也能从通信行为特征识别异常，不需要解密内容。
3. 问：不靠传统病毒特征库，怎么识别已知和未知威胁？
　　答：一方面对接公开安全威胁信息，识别已知恶意IP和端口；另一方面长期学习单位正常网络使用习惯，凡是明显偏离日常使用规律的异常访问、异常连接，都会被自动识别告警。
4. 问：加密通信不解密，怎么发现恶意连接？
　　答：不用解开内容，只看加密通信的访问对象、访问规律、连接特征，就能识别异常加密隧道、可疑外联、可疑后台回连行为。
5. 问：内网服务器之间的流量，传统设备都看不见，你们怎么能看到？
　　答：整合全网各层级网络通信记录，自动梳理内网服务器、虚拟机之间的相互访问关系，完整呈现内网横向访问路径，补齐传统设备看不到的内网盲区。

三、SaaS产品类

1. 问：雷盾SaaS平台是不是要把内网数据传到云端？
　　答：SaaS模式需要把网络流量元数据上传云端做统一分析研判，但只传网络通信记录，不传任何业务文件、办公内容、涉密资料、聊天数据。
2. 问：传到云端的流量数据具体是什么？会不会泄露内部业务？
　　答：只传输网络基础通信记录：双方IP、端口、通信时长、流量大小这类网络基础信息。不会抓取业务报文、不看文件内容、不涉及任何办公业务和涉密信息，只做网络安全分析，不触碰核心业务数据。
3. 问：政府、国企、涉密单位能用SaaS版吗？有数据外泄风险吗？
　　答：分两种灵活选择：普通单位可用部署SaaS平台，仅网络基础记录上云，全程加密、租户隔离，合规安全；涉密、高管控单位可选用本地私有化部署，所有数据全程不出内网、不上云，物理隔离，完全满足涉密要求。
4. 问：SaaS平台把数据传云端，和你们零侵入理念冲突吗？
　　答：不冲突。零侵入指不改网络、不镜像、不加硬件、不强制装终端；SaaS模式只是把后台分析放在云端，前端接入依旧保持无感、不改网、不扰业务，只是部署位置不同而已。
5. 问：流量数据上云，会不会被第三方截取或滥用？
　　答：不会。传输全程加密，云端多租户隔离、数据隔离存放，只做安全分析，不对外共享、不商用，整体架构符合等保安全要求。
6. 问：SaaS模式和本地私有化模式，功能有区别吗？
　　答：功能、检测范围、管控能力完全一致。区别只在于，SaaS模式：云端托管，本地不用配置服务器，免运维、更省钱；本地私有化模式：平台和数据全部留在客户内网，适合不能出数据的单位。

四、产品功能/能力类

1. 问：能不能发现潜伏攻击、慢速长期渗透行为？
　　答：可以。很多高级攻击都是低频、间歇性访问，传统设备很难发现，平台能长期记录全网访问习惯，识别这种零散、长期潜伏的异常行为。
2. 问：能不能发现内网横向移动、越权访问服务器？
　　答：可以。自动记录每台服务器、每段网段的正常访问范围，一旦出现跨区域、越权限的异常内网访问，立刻告警并标记访问路径。
3. 问：能不能发现木马后台回连、可疑境外外联？
　　答：可以。能够识别非正常外网连接、陌生IP后台通信、可疑境外地址访问，及时发现木马、后门程序的对外联络行为。
4. 问：能不能完整追溯攻击全过程，能回看多久历史记录？
　　答：可以完整还原从入侵、内网扩散到异常外联的完整过程，默认可回溯90天历史网络行为，可按需扩容，方便事后溯源排查、取证留存。
5. 问：能不能做全网拓扑可视化、业务流量统计？
　　答：支持全网拓扑全景展示、流量分布、应用占比、风险热力图，直观看清全网运行状态；同时能识别各类办公业务系统流量，掌握业务访问分布。
6. 问：能不能联动防火墙、交换机，以及第三方平台，并一键封堵攻击IP？
　　答：支持标准接口对接主流网络和安全设备，运维网管系统，通过标准协议实现告警同步、事件联动，发现高危行为后可直接在平台内一键封堵攻击源，快速处置，不用逐个设备登录配置。
7. 问：能不能识别批量外传、异常数据外泄行为？
　　答：可以通过异常大流量、非工作时间异常外传、非常规批量传输行为，识别疑似数据外泄苗头，及时预警。

五、虚拟化/云环境专属类

1. 问：支持VMware、KVM、国产虚拟化平台吗？
　　答：全面兼容主流虚拟化、超融合、国产虚拟化平台，不用改动虚拟化架构，就能看清虚拟机之间访问关系。
2. 问：虚拟机内部相互访问，你们怎么监控？
　　答：对接虚拟化平台自带流量能力，自动关联虚拟机身份和访问关系，直观展示虚机之间的访问链路，补齐虚拟化内网盲区。
3. 问：私有云、政务云、混合云能统一管控吗？
　　答：支持各类公有云、私有云、政务云流量接入，统一管理、统一态势，实现多云环境一体化安全可视。
4. 问：容器、微服务架构能不能适配？
　　答：适配容器和微服务环境，可梳理容器之间、容器与物理机之间的访问关系，适配云原生动态变化的网络场景。

六、数据隐私安全／合规等保类

1. 问：会不会抓取我们业务明文、办公文件内容？
　　答：只记录网络通信基础信息，不抓取业务报文、不解析文件内容、不涉及办公和业务数据，完全不触碰用户业务隐私。
2. 问：会不会向外泄露单位内网架构和信息？
　　答：所有数据本地可控存储，SaaS版本也只传网络基础元数据，全程隔离加密，不会对外泄露内网架构和敏感信息。
3. 问：数据可以全部本地留存，不上传云端吗？
　　答：私有化部署模式下所有数据全程不出内网，完全本地存储；SaaS模式也可做到只传最小必要网络记录，无业务敏感数据。
4. 问：能满足等保2.0、关键信息基础设施保护要求吗？
　　答：完全适配等保2.0和关基保护相关要求，满足网络全域可视、异常行为审计、内网风险管控、事件溯源等测评要点。
5. 问：能自动生成合规报表、行为审计报表吗？
　　答：内置各类合规模板，可自动生成行为审计、风险处置、等保符合性报表，支持导出文件直接用于测评。
6. 问：能满足内网可视、违规外联审计要求吗？
　　答：可以实现全网无盲区可视、内网访问审计、违规外联记录留存，完全满足内控和合规审计要求。
7. 问：审计日志能否做到不可篡改、可追溯？
　　答：审计记录本地留存、加密存储，有完整时间和行为记录，防篡改、可检索、可追溯，符合合规审计标准。

七、成本、上线周期及运维售后

1. 问：部署需要新增高端服务器吗？配置要求高吗？
　　答：要求不高，可复用现有普通服务器或虚拟化资源，不用采购高端专用硬件，硬件投入很低。
2. 问：从部署到能用大概要多久？
　　答：标准环境几小时内即可完成部署投入使用；多分支复杂环境也仅需短短几天，远快于传统态势感知数月周期。
3. 问：相比传统态势感知能省多少成本？
　　答：省去镜像硬件、探针设备、复杂工程改造、日志运维成本，整体建设和长期运维成本可大幅节省70%以上。
4. 问：每年还要交特征库、服务费年费吗？
　　答：无强制特征库年费，基础版本迭代、常规能力升级都包含在内，授权模式简单透明，无隐形收费。
5. 问：中小型单位部署成本高不高？
　　答：有轻量化版本适配中小企业，硬件投入低、授权按规模阶梯定价，整体投入远低于传统安全方案，运维压力也小。
6. 问：上线后需要专人全天盯着运维吗？
　　答：不用专职值守，系统自动运行、自动告警、自动生成报表，日常只需定期查看高危事件即可，普通运维人员就能管理。
7. 问：版本升级、系统更新需要停业务吗？
　　答：升级不用中断业务，后台静默完成，不影响网络和平台正常使用。
8. 问：适配国产信创操作系统、国产服务器吗？
　　答：全面适配国产芯片、国产操作系统、国产数据库，满足信创替代建设要求。
9. 问：售后支持响应怎么样？
　　答：提供全流程部署培训、使用培训，7×24小时技术支持，故障及时响应、定期巡检优化。

八、误报与实战效果类

1. 问：行为类安全产品是不是误报很多？
　　答：我们整体告警非常干净，不会频繁弹窗刷屏。依托长期学习单位正常网络习惯，只对真正异常风险告警，日常无效告警极少。
2. 问：实际落地误报、漏报控制得怎么样？
　　答：经过大量政企项目落地验证，无效告警极少，风险识别准确度高，日常运维不用花费大量时间筛选垃圾告警。
3. 问：会不会天天大量告警，运维根本处理不过来？
　　答：不会。系统自动合并同类告警、按风险等级分级，只重点推送高危需处置事件，中低风险静默记录，不干扰日常运维。
4. 问：只能查简单攻击，还是能应对高级网络风险？
　　答：主打应对传统设备发现不了的**内网横向、潜伏渗透、隐蔽外联、慢速攻击**等高级风险，适合政企真实实战安全需求。