『僵尸网络』主要用于发现和隔离内网感染了病毒、木马等恶意软件的 PC， 当病毒、木马试图与外部网络通信时，AF 识别出该流量，并根据用户策略进行阻断和记录日志，其配置页面如下：

点击『安全策略模板』→『僵尸网络』进入模设置页面，在此页面可以对僵尸网络检测模板进行新增、删除。点击新增，弹出新增模板页面如下：

[模板名称]：定义模板名称。[描述]：定义模板描述。

[安全选项]：设置需要检测的攻击类型：

木马远控：会对防护区域发出的或是请求防护区域的数据都进行木马远控安全检测。

恶意链接：这里针对的是可能导致威胁的 URL，如网页挂马、病毒下载链接。

异常流量：分两种，一是对基于端口和协议不匹配的异常情况进行检测，二是对异常的外发流量进行检测。对于检测出来的异常流量只记录日志，不进行阻断。点击设置，选择需要检测的异常流量：

[外发流量异常]：一种启发式的 dos 攻击检测方法，能够检测源 IP 不变的 syn flood、icmp flood、dns flood、udp flood 攻击，当这些协议的外发包超过阀值时认为有异常流量，并自动开启抓包。检测阀值可以进行设置，配置界面如下：

注意：
1、异常流量的数据只记录日志不会进行阻断。
2、在『安全防护规则库』→『安全规则库』中可以设置每个僵尸网络规则的动作，设置为禁用的规则不会被拒绝。