园区安全解决方案

1、华为园区安全解决方案目录园区安全风险1华为园区安全解决方案全景图23华为园区分场景主动防御体系华为安全能力介绍4华为园区安全解决方案案例5企业园区数字化引入新的安全威胁复杂的网络安全环境2017年5月12日，WannaCry勒索软件10小时感染74个国家45000主机移动接入的安全新型未知安全威胁入侵2015年-2017年，华为园区网络无线终端增加50%， 带宽增加100%移动互联网、办公网、IoT-安防、 IoT-能效、一卡通、视频会议、IP 电话、广播、智能停车20+ ICT系统每楼宇45,000 主机10小时Source:CABA72%移动终端办公占比2020年Source: IDC注:

2、 2015年是37.2%园区业务多样融合无线终端持续增加无所不在的威胁威胁演进：复杂多样，变种频繁，立体化，传统防御失效威胁复杂多样防护更加困难威胁变种频繁传统升级特征库检测 响应慢攻击立体化 更多业务被加密 检测难19902019病毒DDoS钓鱼木马蠕虫Web威胁高级威胁勒索软件内网威胁M2M攻击漏洞类APT类Globelmposter2年内4次变种，加密算法+文件后缀变化1.02.03.04.01.02.0新样本2017.52018.22018.82019.32017.32017.5.122017.5.14Wannacry 出现的短短2个月变种多次2017年 34 来自于内部威胁，逐年攀

3、升Source：Verizon2019年 75 Web流量被加密Source：NSS LABS企业园区安全风险总览访客接入管理 社会工程学勒索软件、蠕虫扩散分支接入安全勒索软件 蠕虫扩散园区安全 安全分区分域 终端病毒管理数据中心安全数据安全 挖矿木马 WEB安全DDoS入侵勒索软件、蠕虫扩散学生上网行为管理和审计DMZ安全 数据安全 挖矿木马 WEB安全终端安全勒索软件从入侵到内部扩散，传统防御捉襟见肘数据中心园区InternetFW 广域网FW数据中心网络园区网络分支网络【传统边界安全】勒索软件渗透内网成功后， 边界防火墙无能为力【终端安全】针对勒索软件的杀毒软件 在没有升级特征库前无法发

4、现病毒【边界安全+终端安全】防火墙无法及时判断勒索软件是 否有害，需要等待终端调查取证，造成渗透行为已经发生目录园区安全风险1华为园区安全解决方案全景图23 华为园区分场景主动防御体系华为安全能力介绍4华为园区安全解决方案案例58Huawei Confidential保障园区信息系统安全，需要全面的安全设计安全产品自身安全能力是否有问题？安全防御孤点？运维能否更简单些？是否能应对新型威胁？通报预警机制是否完善？基础安全设施是否完善？日志太多，怎么处置？各产品之间是否协同联动？防火墙检测不了加密流量，怎么办？访客接入安全怎么解决？9Huawei Confidential面向等保2.0，华为提供从

5、产品到方案的HiSec智能防御体系安全 能力华为HiSec安全解决方案智能防御产品安全基石安全可信自主可控联动闭环集中管理 自动取证FWIPSAV等保1.0等保2.0日志审计数据库审计分析器CISFireHunter控制器SecoManager Agile Controller威胁情报身份控制器 平安城市政务云电信云科研企业制造业政务安全大脑 产业园区IAM执行器ICT基础设施华为HiSec：智能防御，保护万物互联的数字世界80%OPEX安全运维成本安全策略智能调优，分钟级策略发放和业务上线业界首创威胁响应编排引擎（SOAR），自动协同响应威 胁处置检 测 智 能处 置 智 能运 维 智 能秒

6、级威胁响应处置时间网络设备成为安全大脑的信息采集器和策略执行器，基 于SecoManager与安全产品形成联动，实现秒级威胁闭 环处置分析器CISFireHunter控制器SecoManager Agile Controller威胁情报身份控制器平安城市科研企业制造业政务安全大脑产业园区政务云电信云IAM99%未知威胁检测准确率安全大脑CIS系统，基于AI的威胁智能检测，平均威胁检测时间从84天缩短到1天执行器ICT基础设施HiSec：由静态的对抗转变为基于AI的主动防御智能威胁检测，全网态势感知分析器态势感知沙箱安全事件日志文件信誉探针元数据Netflow按需引流主机隔离IP流量阻断按需引流

7、Internet防火墙防火墙防火墙/隔 离引 流 策 略安全控制器防火墙网络拓扑控制器安全策略统一调度办 公 区管 理 区互联 网出 口区ASIS：静态而零散防御设备TOBE：主动防御体系+AI网络控制器数据中心（云平台）威胁扩散范围，从区域边界降低为主机边界风险管理：帮助客户摸清资产状况，识别关键资产，对 资产进行安全威胁和脆弱性管理预测攻击：通过对历史全网安全情况以及现网流行攻击 和情报系统，综合预判攻击行为，提供改进建议转移攻击：网络集成诱捕陷阱，主动捕获入侵行为安全监控：持续实时的监控，动态感知基线变化安全分析：利用沙箱、流量探针、日志探针，结合攻击 链多种AI模型，快速精准检测安全威

8、胁关联分析：整合网络和终端的信息，确定真实攻击事件威胁响应编排：提供涵盖终端、网络的SOAR响应能力（取证、溯源、修复）自动生成情报：联动现网SecoManager/FW/IPS等安全策略执行点，实现防御闭环全网资产安全态势感知， 整体把握并改善安全状况贴近客户业务，更快更准 检测已知、未知安全威胁自动化响应安全威胁事件， 做到快速取证和止损，恢 复业务兼容现有安全技术和资源，挖掘已有投资的附加值安全 可视精准 分析快速响应保护 投资HiSec：通过安全大脑为核心构建有韧性的全网安全P:预测P:防御D:检测R:响应事前预测防御事中检测事后响应安全大脑基于完整攻击链的安全防护有韧性的全网安全威胁

9、识别 机器学习全网威胁态势（安全分析器）日志、NetFlowInternet接入用户接入用户EE接入用户分支机构分支FW办公网EDMZWeb服务器E邮件服务器应用服务器E服务器区EE E安全沙箱安全沙箱流量/ECA探针网络策略联动 处置任务安全策略联动 处置任务AntiDDoSAIFWIPSIPS WAFAIFW安全策略管理平台（安全控制器）网络策略管理平台（网络控制器）华为HiSec园区主动防御解决方案架构图流量/ECA探针 诱捕探针流量/ECA探针 上网行为管理流量/ECA探针流量/ECA探针 VPN 流量/ECA探针基于AI的威胁检测，准确度99%利用大数据处理技术和AI（人工智能）技

10、术，准确识别新型安全威胁网络与安全协防，分钟级闭环处置利用防火墙、交换机等设备，响应对园区 安全威胁的闭环处置任务全网探针和诱捕，主动威胁数据采集和防御利用网络欺骗和业务仿真技术，实现对威胁源的主 动定位与隔离流量流量流量流量诱捕器执行器业务识别 流量采集用户行为识别 大数据分析华为HiSec园区主动防御解决方案全景图5GPSTN VPDN互联网接入区SSL VPN网关管理区服务器区管理区AIFW上网行为管理边界AIFWInternet运维审计系统DMZ区Web服务器WAF安全沙箱终端安全准入系统办公网接入用户接入用户广域网区互联网区IPSDMZ区AIFWCIS安全态势感知系统核心流量/ECA

11、探针DDoS防御邮件服务器安全沙箱流量/ECA探针分支机构分支AIFW接入用户安全沙箱流量/ECA探针网络控制器安全策略管理平台核心交换区流量/ECA探针核心AIFW核心IPS诱捕探针交换机诱捕探针/ECA探针（可选）防火墙诱捕探针 漏洞扫描安全事件管理中心流量/ECA探针诱捕探针EEEEEE应用服务器 EEE E ATIC骨干节点AIFW检测清洗安全沙箱数据库审计服务器区IPS服务器区AIFW核心诱捕器EDR控制中心EE分支流量/ECA探针 分支诱捕器企业园区网络安全协防流程（AC1.0）Internet执行器（Router/Switch/FW）控制器 （AC1.0）控制器策略下发网络信息收

12、集主机隔离威胁阻断分析器 （CIS/沙箱/）网络信息收集（交换机1:1NetStream；CIS探针）高级威胁分析联动处置控制器联动策略下发阻断隔离方案价值未知、高级威胁检测基于流量检测未知攻击，识别未知感染主机、未知僵尸主机基于文件检测未知恶意文件，识别未知恶意文件传输基于文件和流量，检测APT渗透、隐蔽通道信息泄露防护APT全攻击链检测，及时发现信息泄露风险C&C抓取，文件外发统计分析，关键资产的保护攻击溯源/调查取证大数据平台，存储协议元数据，辅助调查分析高级威胁可疑流量PCAP抓包，辅助事件确认调查分析全网安全态势感知全网感知安全态势，发现C&C、高级威胁攻击、内网感染主机、异常文件外

13、发等安全联动防护联动网络安全设备执行防护动作，如清除感染终端恶意程序，阻断C&C外联，阻断隐蔽通道外发等行为。网络安全联动协防企业园区网络安全协防流程（AC3.0） S57S12 7FW随板AC私有云 大型园区敏捷园区下的高级威胁联动闭环。本地CIS-SM-AC3.0-FW/交换机安全联动分支1分支2FWSW分支3总部APAC3.0(集成SecoManager)CIS大数据安全分析Netflow/ECA/诱捕信息AR 单点接入场景，微型销售门店。 例如：零售行业 SMB&分支接入，销售门店&普教等。 例如：教育行业，金融行业ARPOS 中大型园区，大型商超等。AC3.0与SecoManager

14、服务化集成， 对防火墙安全策略管理（含内容安全、云端沙箱、信誉服务等）通过AC3.0统一下发配置安全日志上报eLog云服务收集全网安全日志， 呈现多租户安全报表租户信息同步公有云InternetInternetInternetInternet FWAP SWAPSWInternetAPPOS CIS大数据安全分析AC3.0(集成SecoManager)全网流量/ECA探针部署，恶意加密流量无所遁形5GPSTN VPDN管理区AIFWInternet终端安全准入系统DMZ区AIF核心流量/ECA探针安全沙箱安全沙箱核心交换区核心AIFW核心IPS诱捕探针防火墙诱捕探针 漏洞扫描诱捕探针骨干节点A

15、IFW检测W清 洗 ATICDDoS防御安全沙箱边界AIFWSSL VPN网关互联网区IPS 上网行为管理安全沙箱数据库审计服务器区IPS服务器区AIFW核心诱捕器EDR控制中心流量/ECA探针流量/ECA探针流量/ECA探针流量/ECA探针交换机诱捕探针/ECA探针（可选）CIS安全态势感知系统Web服务器邮件服务器E应用服务器 EE EEEDMZ区服务器区广域网区办公网接入用户接入用户EEEE WDAFMZ区流量采集服务器区流量采集广域网区 流量采集办公网区（可选） 流量采集互联网区/办公网 流量采集分支AIFW分支机构管理区互联网接入区CIS：可视化呈现资产管理网络控制器基于AI的全流量

16、威胁检测恶意加密流量检测安全策略管理平台ECA探针：加密流量的特征提取填充运M维e审ta计d系at统a后送入ECA检测分类模型进 行判安定全事件管理中心接入用户EE分支流量/ECA探针 分支诱捕器流量/ECA探针流量/ECA探针全网诱捕探针及诱捕器部署5GPSTN VPDN管理区AIFWInternet运维审计系统WAF安全沙箱安全沙箱核心交换区核心IPS安全沙箱安全事件管理中心数据库审计骨干节点AIFW检测清 洗 ATICDDoS防御安全沙箱边界AIFWSSL VPN网关互联网区IPS 上网行为管理核心流量/ECA探针 核心诱捕器EDR控制中心CIS大数据安全分析Web服务器邮件服务器EEE

17、EEDMZ区服务器区广域网区接入用户接入用户EEEE管理区互联网接入区诱捕探针流量/ECA探针诱捕探针安全策略管理平台网络控制器防火墙诱捕探针 核心AIFW 应用服务器 E诱捕探针： 感知针对未使用IP、在用IP的 未开放端口扫描行为，代答、诱导攻击者攻击诱流捕量器/ECA探针DMZ区入侵诱捕 诱捕器：模 拟 HTTP，SMB，RDP， SSH服务与协议交互并产生告 警、记录交互过程、捕获 payload（脚本、文件）服务器区 入侵诱捕办公区入侵诱捕防火墙诱捕探针分支节点内部入侵诱捕CIS：根据诱捕器上报告警、协 议交互文件行为等进行关联分析、漏威洞胁扫呈描现终端安全准入系统接入用户控制器：根

18、据CIS上报威胁，进行实 时联动处置大型分支机构分支AIFW 分支流量/ECA探针分支诱捕器DMZ区AIFW服务器区IPS服务器区AIFW办公网交换机诱捕探针/ECA探针（可选）产品图标示例防火墙IPS安全沙箱VPN网关上网行为管理WEB应用防火墙WAF数据库审计流量/ECA探针DDoS检测模块DDoS清洗模块ATIC诱捕器CIS安全态势感知网络控制器安全控制器安全事件管理中心漏扫终端安全准入系统EDR控制中心诱捕探针EEDR Agent运维审计系统路由器核心交换机汇聚交换机ACAP目录园区安全风险1华为园区安全解决方案全景图23华为园区分场景主动防御体系华为安全能力介绍4华为园区安全解决方案

19、案例5管理区安全设计管理区安全产品部署方案价值安全态势感知：通过CIS安全态势感知系统作为安全大脑， 实现全网资产管理，威胁检测的分析中心，态势呈现的中心。安全管理：通过网络控制器、安全策略管理平台 SecoManager实现全网网络和安全设备的管理，通过用 户权限管理和访问控制对用户权限进行合理管控 日志审计：全网日志分析和审计 运维审计：部署运维审计系统， 对运维人员的运维操作 进行全面记录，按照安全策略，检验和审查运维人员操 作，发现违规行为漏洞扫描：部署漏洞扫描系统，定期检测网络中资产（包括主机、网络设备、安全设备、中间件等）的漏洞。并实时与态势感知系统对接 终端安全准入系统：本方案中

20、，终端安全准入系统由AC 控制器承担 EDR控制中心：部署EDR系统，为检测威胁事件分析提 供更多终端层面的信息管理区AIFW运维审计系统终端安全准入系统CIS安全态势感知系统网络控制器安全策略管理平台 SecoManager漏洞扫描安全事件管理中心EDR控制中心管理区互联网接入区办公区DMZ区服务器区核心交换区分支机构广域网区管理区构建安全大脑，实现全网基于AI的威胁检测威胁识别 机器学习全网威胁态势（安全分析器）业务识别 流量采集用户行为识别 大数据分析流量/ECA探针PCEServer防火墙IPS安全沙箱漏扫VPN网关 上网行为管理WAF数据库审计恶 意 文 件日 志资 产 信 息日 志

21、日 志日 志日 志流 量/日 志流 量恶 意 文 件E恶 意 文 件/日 志流 量日 志路由器交换机综合态势大屏资产态势大屏威胁事件大屏内网威胁大屏网站安全大屏脆弱性大屏管理区互联网接入区办公区DMZ区服务器区核心交换区分支机构广域网区安全大脑自动化响应智能运维华为态势感知系统采用华为“未然实验室”、 “谢尔德实验室” 独创的基于安全AI的核心AI检测模型监督 机器学习非监督 机器学习AI对抗样本检测架构自研Gauss数据库可以全面替换MySQL的关系型数据库自研FusionInsight大数据平台商业大数据平台，PB级数据秒级检索自研EulerOS面向行业的企业级Linux操作系统平台自研T

22、aiShan服务器业界最高性能的ARM服务器深度学习加密流量检测WebShell检测异常C&C检测DGA域名检测暴力破解检测用户行为检测隐蔽通道检测恶意软件分类帐号失陷检测安全大脑：软硬件全面自研的安全态势感知系统管理区互联网接入区办公区DMZ区服务器区核心交换区分支机构广域网区安全大脑自动化响应智能运维资产威胁实时检测资产自动管理，风险实时呈现通过主动网络扫描方式获取内网静态资产 通过流量探针抓取的方式获取动态资产 租户资产同步，统一纳入资产管理资产支持资产组、资产类型、 资产价值、区域、接入时间 等多维度进行划分管理自动检测资产的应用漏洞、 系统漏洞、高危漏洞、高危 端口检测、弱口令、资产

23、状 态变化等情况端口扫描检测 主机扫描检测 主机扫描检测 访问频次检测 访问流量检测.账号伪冒检测 暴力破解检测 感染账号检测 特权账号检测 SSH破解检测异常管理行为检测.邮件服务器分析 邮件发件人分析 恶意邮件下载邮件携带可疑文件 网站下载恶意文件 URL下载可疑文件资产特征画像资产风险等级 资产受攻击趋势 资产访问行为 资产威胁事件 资产脆弱性分布资产漏洞发现资产自动识别资产多维度管理资产态势呈现管理区互联网接入区办公区DMZ区服务器区核心交换区分支机构广域网区安全大脑自动化响应智能运维基于AI的加密流量不解密识别（ECA）70%攻击采用加密手段，基于报文内容的检测束手无策非加密，基于签

24、名 匹配加密后，无法提取 签名加密攻击无有效方案Top 254企业，年平均损失 15M$/企业报文时间间隔字节分布统计流持续时间TLS协商信息训练 输出 检测 模型AI检测模型黑 样 本白 样 本Admin US 合作伙伴 VirusTotal 公开样本华为云沙箱 合作伙伴/高校华为云沙箱样 本 特 征 提 取4万恶意流量样本、250万白样本，AI算法，业界1.5倍基于Netflow检测增强，加密攻击检出率 95% 数据反馈模型下载Firewall华为ECA专利管理区互联网接入区办公区DMZ区服务器区核心交换区分支机构广域网区安全大脑自动化响应智能运维数据中心网络园区网络分支网络威胁响应编排：

25、从网络扩展到终端和云平台协同响应网络终端租户1租户2租户3EEEEEEEE云平台资产导入终端 隔离特征 更新黑白 名单引入编排引擎：无编码自定义工作流复杂工作流定义隔离 文件进程 查杀威胁响应告警 通知威胁响应更全面的协同响应：网络、终端、云平台、威胁情报自定义接口对接业务系统用户行为识别 大数据分析威胁识别 机器学习业务识别 流量采集 安全分析子系统响应编排子系统管理区互联网接入区办公区DMZ区服务器区核心交换区分支机构广域网区安全大脑自动化响应智能运维威胁事件自动取证威胁响应编排-自动化100%取证流量PCAP文件自动下载威胁事件自动分析可自动化对威胁事件进行分析：描述、危害、处置建议、自

26、动化取证。多维度帮助用户提供 信息，做出正确的决策。减少分析、溯源、判断、决策全过程，Opex降50%管理区互联网接入区办公区DMZ区服务器区核心交换区分支机构广域网区安全大脑自动化响应智能运维Huawei Confidential28威胁响应编排：拖拽式编辑，自定义威胁检测和响应处置路径针对可疑文件的 一系列调查取证 动作判定为恶意文件 后的一系列调查 处置动作注：对应CIS版本V1R7C10管理区互联网接入区办公区DMZ区服务器区核心交换区分支机构广域网区安全大脑自动化响应智能运维具体可参考华为安全商业联盟 HiSec和EDR接口规范威胁响应编排：与终端EDR协同处置，强化端点安全防护能力

27、E 表示EDR客户端图标注释：EDR控制中心EEEE感染终端EE感染终端EEEEEEEDR终端EE感染终端EE终 端 处 置EDR客户端响应动作：联动提醒、隔离文件、清除文件、Kill进程、切断网络连接、禁止用户等CIS日志采集器终 端 感 染 范 围 分 析安全威胁数据采集安全威胁事件分析HW FireHunter 沙箱终 端 感 染 调 查 取 证 调查取证 分析流程感染范围 查询流程终 端 联 动 处 置EDR联动调查取证CIS向EDR控制中心下发IOC（Indicator of Compromise，即威胁的域名、md5、IP等 特征）规则检测任务；EDR控制中心将IOC规则检测任务下

28、发到终 端；终端根据IOC信息检查本地是否存在威胁，并经由EDR控制中心通过Syslog方式将检测结果送给CIS日志采集器，检测结果日志包括：检测时间，检测的终端IP，匹配的IOC规则名称，匹配项的值（如文件MD5，文件名称，注册表项或网络URL/域名）。联动处置安全运维人员针对确认是攻击的威胁事件触 发终端联动处置策略，CIS根据事件信息及联 动处置方式下发联动响应规则给EDR控制中 心；EDR控制中心将联动规则下发给对应的终端 EDR代理，终端EDR代理根据联动响应规则 对终端上的可疑文件/进程进行删除文件、隔 离文件和Kill进程等操作；EDR控制中心将联动执行结果发送给CIS日志 采集

29、器管理区互联网接入区办公区DMZ区服务器区核心交换区分支机构广域网区安全大脑自动化响应智能运维安全控制器SecoManager，网络安全协同防御统一管理自动编排智能调优全网协同全网安全策略集中管理基于租户的业务运维设备及策略部署状态可视应用互访关系映射与基于应用的策 略管理基于客户业务分区的策略管理安全业务自动化部署部署前合规性检查待部署策略仿真部署，业务影响 性评估策略冗余分析协同网络与安全联动，威胁分 钟级闭环处置策略多维自动化编排，安全业务分钟级部署协同网络与安全联动，威胁分钟级闭环处置策略智能运维，降低运维成本80%管理区互联网接入区办公区DMZ区服务器区核心交换区分支机构广域网区安全

30、大脑自动化响应智能运维全网安全策略智能调优SecoManager和防火墙通过LDAP协议接口从AD 域服务器获取用户和安全组信息；SecoManager通过NetConf协议接口同步防火墙的配置（包括基于用户/安全组的策略）；防火墙通过Syslog/Dataflow协议接口把包含策略 名、用户名的策略命中日志上送eLog；SecoManager通过RESTful接口从eLog获取命中的安全策略和用户的关系信息；SecoManager根据eLog的查询结果生成安全组中 不活跃用户列表供管理员查询。SecoManager安全组策略中不活跃的用户列表用户/安全组 信息eLog分析结 果基于安全组的策

31、略配置eLog基于用户的策略命中统计分析用户1安全策略1用户2用户1安全策略n用户2基于安全组的策略配置策略n安全组1策略n安全组n策略命中日志命中日志1 策略名1用户名命中日志n 策略名n用户名AIFW用户/安全 组信息分析 结果管理员策略 配置日志 上送AD域服务器 用户/安全组 信息总体实现流程管理区互联网接入区办公区DMZ区服务器区核心交换区分支机构广域网区安全大脑自动化响应智能运维互联网接入区安全防御措施Internet互联网接入区检测清 洗 ATICDDoS防御安全沙箱边界FWSSL VPN网关互联网区IPS 上网行为管理安全风险/需求防入侵、防瘫痪、防病毒、防篡改、防泄密非法业务

32、访问/NAT地址转换APT高级威胁防御方案价值出口旁路部署Anti-DDoS设备，按需清洗异常攻击流量出口防火墙，提供基础FW功能控制外网访问内 网的流量，清洗后的流量进入防火墙，IPS，上 网行为管理，按规则提供访问控制，NAT、应 用管控，行为审计等功能，防止非法访问；对 于未知威胁的文件，送沙箱检测。出口防火墙：出口IPS在线部署，提供互联网出口的流量攻击 防御出口上网行为管理，提供全网用户上网行为管 控和审计互联网接入区安全防御措施管理区互联网接入区办公区DMZ区服务器区核心交换区分支机构广域网区AI防火墙：激发边界防御的潜能，让防火墙不仅仅是一道门APT攻击检测应用识别Machine

33、 Learning文件、流量、MetadataAPT识别视频接入安全移动化：30%的企业使 用移动办公社交化：50%的企业采 用社交媒体云化：65%的数 据中心虚 拟化Web化：90%的网络应 用采用80端口攻击全球化内网入侵诱捕恶意文件检测加密流量检测智能边界防御智能策略调优管理区互联网接入区办公区DMZ区服务器区核心交换区分支机构广域网区AI防火墙，实现APT本地快速检测和处置DGA恶意域 名检测C&C异常流 量检测加密外 发检测按需加载威胁检测模型自我演进，自动更新， 本地按需加载威胁检测模型9万+样本39个家族11万+样本35个家族100万+样本50个家族本地推理分析单个孤立会话特征，

34、预制基础特征信息，现网流量持续训练云端训练云端黑样本训练威胁模型：百万样本，数十个家族，最多200+检测特征200+检测特征暴力破 解检测AI检测引擎正常访问流量 昇腾310AI芯片算法加 速AI防火墙+管理区互联网接入区办公区DMZ区服务器区核心交换区分支机构广域网区前后向通风，满足数据中心要求1U高度，为您节省机架空间前后通风支持SSD/机械硬盘可选，稳定与实惠 并重可根据端口工作状态自动调整能 耗，节省30%芯片支持AVS调压，有效降低芯片 功耗智能变频，更省电硬盘灵活组合丰富的接口GE/10GE/40GE接口灵活供您选择10GE可支持自适应GE接口关键部件冗余双电源冗余，3+1风扇冗余

35、AI防火墙：自主创“芯”，自研整机灵活满足客户多种需要管理区互联网接入区办公区DMZ区服务器区核心交换区分支机构广域网区AI防火墙：多互联网出口智能选路静态智能选路ISP1ISP2InternetDC支持基于IPSec/internet/Mpls选路ISP1ISP2动态智能选路支持IPSec智能选路支持直接上网/专线选路自定义链路SLA（时延，抖动，丢包率）选择最 优质量链路转发基于应用的智能选路有线/无线链路切换；有线链路恢复，无线自动切换，最小化无线链路花费 链路权重接口带宽链路优先级（1主多备）MPLSIPSec VPN时延抖动丢包率ISP1自定义权重，灵活的流量调度，多种静态 模式可以

36、自由组合支持ISP地址集绑定接口选路管理区互联网接入区办公区DMZ区服务器区核心交换区分支机构广域网区沙箱工作原理对APT攻击中恶意文件深度检测价值：检测APT攻击的渗透阶段和控制建立阶段沙箱主要原理动态和静态检测相结合，并利用机器学习，发现威胁虚拟环境运行可疑文件, 天然解决恶意文件的分片分段、 加壳等逃逸手段检测文件类型Windows 可执行文件，EXE、dllWEB网页，如检测Javascript、Flash、JavaApplet等各种办公文档，如Office、PDF、WPS等各种图片文件，如JPEG、PNP、JPG等各种压缩文件、加壳文件华为沙箱FireHunter6000：全面领先的

37、未知文件检测机制?VM安全文件恶意文件安全文件华为FireHunter6000系列沙箱未知文件未知文件未知文件管理区互联网接入区办公区DMZ区服务器区核心交换区分支机构广域网区FireHunter6000华为FireHunter6000系列沙箱部署方案文件下载 请求文件下载AI防火墙InternetCampus模拟Web浏览器（IE6、IE7、Firefox、Chrome）运行环境监视解析过程的所有浏览器行为，并识别出危险行为能够检测主流的针对浏览器的攻击（缓冲区溢出攻击、软件逻辑脆弱性攻击、恶意跳转）模拟真实的Windows操作系统（Win XP/Win 7）监视程序运行期间有API调用，并

38、识别危险的API调用基于行为（API调用）分析弥补传统基于特征码的匹配不足模拟真实的文档加载环境（Office 、Adobe Reader）监视文档加载过程的所有API调用，并识别出危险的 API调用文件还原检测结果管理区互联网接入区办公区DMZ区服务器区核心交换区分支机构广域网区基于AI的恶意文件检测：第三代沙箱虚 硬件拟Domain U资源Guest OS 虚拟执行环境虚 硬件拟Domain U资源Guest OSWin 10虚拟执行环境虚 硬拟Domain U件资源Guest OSWin 7-64虚拟执行环境虚 硬拟Domain U件资源Guest OSWin 7-32虚拟执行环境虚硬件

39、拟Domain U资源Guest OSELF启发式检测引擎虚 硬件拟Domain U资源Guest OSWEB/PDF启发式检测引擎虚拟 硬件资源Domain UPE启发式检测引擎虚拟硬件资源Domain UWin XP 虚拟执行环境Hypervisor 监控进程Domain 0设备管理（WEBUI、北向接口等）Avira检测WEB页面分类 机器学习威胁判定信誉检测 文件静态检测PE分类内存和CPU管理FireHunter 物理硬件I/O和平台设备：网卡、磁盘、USB等内存和CPU：Power、x86、EM64T等Hypervisor控制通道（读取检测引擎的CPU、内存数据，解析恶意文件的全部

40、行为）基于Hypervisor检测所有API可覆盖多种检测引擎技术 50+文件类型覆盖4层纵深检测 恶意行为层层解析基于机器学习检出率90%、误报率1%管理区互联网接入区办公区DMZ区服务器区核心交换区分支机构广域网区办公网安全防护办公网安全防御措施安全风险/需求防入侵、防病毒、防泄密用户接入安全，访客管理蠕虫类威胁，APT高级威胁防御方案价值 主机防病毒：主机安装杀毒软件和EDR 办公区安全隔离：由核心区防火墙提供，流量 通过核心交换机把流量引导防火墙做区域隔离 防护 办公区诱捕探针：可以由核心防火墙提供，（但要求办公网所在网段的网关在核心防火墙上），也可由办公区汇聚/接入交换机提供。 实现

41、办公区攻击和蠕虫扩散检测办公区用户接入管理：由部署在管理区的AC 控制器提供办公网接入用户接入用户核心AIFW核心IPS交换机诱捕探针/ECA探针（可选）核心交换区防火墙诱捕探针EEEE核心流量/ECA探针核心诱捕器管理区互联网接入区办公区DMZ区服务器区核心交换区分支机构广域网区用户安全接入，随时，随地，业务随行认证授权规则绑定组IP绑定组员工资源WhoWhereWhatWhenHow员工 园区/分支旅途/酒店 在家便携机/PC上班时间有线VIP外包智能终端哑终端节假日白天/晚上无线VPN位置无关的一致体验Mark网络权限:根据人的身份角色 带宽权限:VIP, 视频会议 20M 优先级：高

42、VIP, 日常办公 5M 优先级：中安全等级: HighBranchOutdoorOffice集中控制，策略随行，以人为中心精细化管理邮件服务器 语音服务器 代码服务器 Internet财经部外包员工研发部VIPBYOD办公组VPN办公组管理区互联网接入区办公区DMZ区服务器区核心交换区分支机构广域网区访客管理应用安全防病毒扩散业务随行整体部署方案园区互联 网边界防 火墙Controller 报表服务器 测试服务器 公共服务器 Web服务器Internet资源Internet出口区服务器区用户认证点及近 源执行点边界执行点销售技术人员DC边界防火墙分支WAN边 界防火墙交换机交换机园区WAN边

43、 界防火墙核心防火墙L2TP VPN隧道SVNSSL VPN隧道核心交换机Internet骨干网VIP骨干财经外包外包 办公网业务策略与 IP 地址解耦策略自动部署权限策略统一管理。管理员只需关注组间互访关系设计认证点 边界设备进行网络访问控制同一认证点下用户互访：认证点（汇聚或核心交换机）进行控制。同一园区跨认证点用户互访：引 流至核心防火墙进行控制。跨园区用户互访：流量经过园区边界时由边界防火墙进行控制。VPN 用户访问园区用户： VPN 网关（ SVN/ 边界防火墙）进行 控制。Agile Controller：园区网络认证、授权与业务策略管理的核心。认证点设备：负责响应客户端的认证请求

44、，决定是否允许该用户终端的流量通过该设备接入网络。执行点设备：负责执行基于安全组的业务策略。注：园区互联网边界防火墙是一台设备，但是同时担任认证点和边界执行点两个角色。管理区互联网接入区办公区DMZ区服务器区核心交换区分支机构广域网区访客管理应用安全防病毒扩散办公区应用安全管控应用安全管控通过交换机进行基本的网络访问权限（IP级别）控制后， 在DC/Internet边界NGFW上进行应用级别的访问控制与 流量安全防护。例如：在DC边界进行流量反病毒、文件/内容过滤，保 护DC服务器，防止数据泄露。在Internet边界进行应用访问权限控制、URL过滤， 限制员工使用Internet应用的范围，

45、节省出口带宽，提高办公效率，保护内网环境。管理员可以在Controller中针对不同位置的NGFW配置 不同的应用安全策略，实现有针对性的应用级别安全管 控。如果园区内网同时使用业务编排进行内网流量安全清洗，其中所用的NGFW也可以使用Controller作为配置管理 器，基于“安全组+应用”进行流量的应用安全清洗。应用策略员工NGFW管理平台AC3.0（服务化集成SecoManager）访客NGFW应用策略准入策略Internet 全量业务管理安全策略URL过滤IPSAV 反病毒配置APT防御管理区互联网接入区办公区DMZ区服务器区核心交换区分支机构广域网区访客管理应用安全防病毒扩散办公网络

46、防蠕虫扩散：部署交互诱捕陷阱，内网威胁主动捕获核心交换机接入交换机L2汇聚交换机Internet业务系统蜜罐网络内置交互诱捕陷阱，全网自动化批量部署准确发现内部违规和侵入黑客的内部攻击行为传统蜜罐部署位置高，难大规模下沉，难踩中 尝试改变敌暗我明的状态，但效果不明显子网A子网B二级子网D二级子网E子网C诱捕器联动诱捕大数据分析平台按需引流全面监控控制器调度控制及时切断攻击源诱捕探针诱捕探针诱捕探针针对所有不存在IP和未开放端口的诱骗大规模诱捕探针+动态引 流到蜜罐进行联动处置图标注释：蜜罐节点真实节点防火墙/交换机管理区互联网接入区办公区DMZ区服务器区核心交换区分支机构广域网区访客管理应用安

47、全防病毒扩散演示：网络诱捕系统，实现威胁主动发现在防火墙/交换机上内置“引诱”能力，在黑客攻击和内部扩散的必经之路上，布下“天罗地网”内网防火墙/交换机内置诱捕探针 针对所有不存在IP和未开放 端口的诱骗发现扫描行为将 流量引入诱捕器诱捕器模拟出相似的仿 真业务，确认攻击后门被控制/感染的主机 开始内部扫描/扩散真实主机仿真主机 失陷主机黑客诱捕探针响应攻击源诱捕探针响应攻击源诱捕探针响应攻击源诱捕探针响应攻击源管 理 区大数据分析平台CIS关联分析，锁定攻击源 和攻击路径控制器关联分析，锁定攻击源 和攻击路径管理区互联网接入区办公区DMZ区服务器区核心交换区分支机构广域网区访客管理应用安全防

48、病毒扩散网络诱捕典型部署场景该场景可以诱捕同网段及跨网段访问时存在的攻击，诱捕范围广，防御 效果好。诱捕器 核心交换区网关：交换机（诱捕探针）接入交换机1网关：防火墙（诱捕探针）接入交换机2接入交换机3不可诱捕流量路径被诱捕流量可诱捕流量路径接入交换机1接入交换机2接入交换机3网关：交换机网关：交换机诱捕器核心交换区诱捕探针仅部署在核心网关交换机旁，对跨网段流量进行诱捕，对同网段内的攻 击横向探测无法检测到。 防火墙（诱捕探针）防火墙（诱捕探针）不存在主机不存在主机未开放的端口未开放的端口不存在主机诱捕探针部署在网关位置：SW或者FW诱捕探针部署在非网关位置：防火墙旁挂管理区互联网接入区办公区

49、DMZ区服务器区核心交换区分支机构广域网区访客管理应用安全防病毒扩散网络诱捕功能列表业务项交换机网关（流量直路）旁挂防火墙（流量直路）静态指定IP诱捕支持支持静态指定端口诱捕支持支持动态诱捕：策略阻断诱捕支持动态诱捕：ARP代理诱捕支持支持（防火墙网关）动态诱捕：未开放PORT诱 捕支持支持动态诱捕：路由MISS诱捕支持（防火墙网关）动态诱捕：ARP MISS诱 捕支持（防火墙网关）动态诱捕：未知域名诱捕支持出入口缺少可用于诱捕的资源，无法实现诱捕：需要下沉轻度诱捕设备，最好是在网关。功能项描述扫描行为识别、扫描行 为响应并告警支持对未使用IP地址的扫描（arp广播请求扫描）应答支持对未使用I

50、P地址的扫描（icmp echo扫描）应答支持对在用IP的未开放端口（80，8080，445，22，3389）的扫 描应答特定协议流量引流诱捕探针可以将可疑流量的HTTP,SMB,RDP,SSH协议引流到诱捕 器支持白名单功能，命中 白名单的流量不进行诱 捕支持基于源IP配置白名单；支持基于目的IP配置白名单；支持黑名单/诱饵网段支持管理员配置静态引流表，此配置中，无需检测直接引流；（黑 名单/诱饵网段）支持配置检测网络支持管理员限定诱捕检测、应答的网络范围；（检测网段）当真实主机加入时，支 持动态调整针对扫描的 响应行为支持主动探测引流过程中服务重新上线，快速删除引流表，不影响 正常服务通讯

51、支持主动探测引流过程中新机上线，快速删除引流表，不影响正常 主机通讯园区交换机支持类型S5720-HI、S5730-HI、S6720-HI、S5731-H、S6730-H、 S5731-S、S5731S-H、S5731S-S、S5732-H、S6730-S、 S6730S-S管理区互联网接入区办公区DMZ区服务器区核心交换区分支机构广域网区访客管理应用安全防病毒扩散DMZ区安全防御措施DMZ区安全防护DMZ区Web服务器WAF邮件服务器安全沙箱流量/ECA探针E应用服务器EE安全风险/需求防入侵、防瘫痪、防病毒、防篡改、防泄密非法业务访问蠕虫类威胁，APT高级威胁防御方案价值 DMZ区AI防火

52、墙：访问控制，基于AI的的边界 威胁检测，同时提供诱捕探针能力，实现DMZ 区入侵主动捕获；DMZ区WAF：提供DMZ区WEB攻击防御， WAF设备可旁路部署亦可在web服务器前串接， 如果旁路部署则由DMZ交换机将需要监测的 web访问流量引流至WAF针对http/https进行 检测，对web流量进行攻击防护及网页篡改DMZ区沙箱：提供DMZ区未知WEB威胁防御能力DMZ区流量/ECA探针：DMZ区流量采集，加 密流量数据采集DMZ区诱捕：DMZ区诱捕由DMZ区防火墙承 担，发现威胁后引流至核心诱捕器DMZ区AIFW诱捕探针核心流量/ECA探针 核心诱捕器管理区互联网接入区办公区DMZ区服

53、务器区核心交换区分支机构广域网区服务器区安全防御措施服务器区安全防护服务器区安全沙箱服务器区IPS流量/ECA探针EEE数据库审计安全风险/需求防入侵、防瘫痪、防病毒、防篡改、防泄密非法业务访问蠕虫类威胁，APT高级威胁防御方案价值服务器区防火墙：提供基础FW功能控制外网访 问内网的流量服务器区安全沙箱：服务器区恶意文件检测服务器区IPS：提供互联网出口的流量攻击防御数据库审计：提供全网用户上网行为管控和审 计服务器区流量/ECA探针：服务器区流量采集， 加密流量数据采集服务器区诱捕：由服务器区防火墙提供诱捕探 针能力，发现威胁后引流至核心诱捕器诱捕探针服务器区AIFW核心流量/ECA探针 核

54、心诱捕器管理区互联网接入区办公区DMZ区服务器区核心交换区分支机构广域网区核心交换区安全防御措施核心交换区安全防护安全风险/需求防入侵、防瘫痪、防病毒、防篡改、防泄密园区区域隔离蠕虫类威胁，APT高级威胁防御方案价值核心层区域隔离防护：流量通过核心交换机把 流量引导核心防火墙做区域隔离防护核心入侵防御：由防火墙将需要进一步深度安 全监测的流量转发至IPS进行精细化入侵监测， 其余流量向内部网络转发核心流量/ECA探针：提供高性能流量监控，因 部署在核心，可根据核心交换机进行镜像流量 的筛选，可覆盖没有部署探针的互联网接入区， 办公网区域等核心诱捕器：由核心流量/ECA探针承担，负责整个园区入侵

55、行为的诱捕。核心流量/ECA探针 核心诱捕器核心交换区核心AIFW防火墙诱捕探针核心IPS管理区互联网接入区办公区DMZ区服务器区核心交换区分支机构广域网区分支机构安全防御措施分支机构安全防护安全风险/需求防入侵、防病毒、分支节点安全简易运维VPN接入，用户接入安全APT高级威胁防御方案价值 分支机构主机防病毒：主机安装杀毒软件和EDR分支机构办公区安全隔离：由分支防火墙提供， 分支防火墙同时提供、IPS、AV、本地APT防御能力，多功能集成 分支机构VPN接入：由分支防火墙提供 分支流量采集：对于大型分支或安全防护要求 较高的分支，可单独部署探针（此时可由分支 探针承担分支诱捕器）；小型分支

56、可由防火墙 承担探针功能（此时可不部署诱捕方案）。 分支机构的设备管理：可由部署于总部的AC控 制器或云端的AC3.0提供统一管理5G PSTN VPDN接入用户EE分支机构分支AIFW分支流量/ECA探针 分支诱捕器Internet总部3.0（融合SecoManager）管理区互联网接入区办公区DMZ区服务器区核心交换区分支机构广域网区极“简”运维：面向小型园区和多分支网络场景，安全业务管理功能增强Internet分支分支小型园区企业总部主动注册全量业务管理安全策略URL过滤IPS（新增）AV 反病毒配置（新 增）APT防御（新增）FWFWFWFW华为公有云3.0（融合SecoManager

57、）海量分支互联支持入侵防御功能（IPS）支持文件过滤支持内容过滤支持反病毒（AV）支持URL过滤支持应用行为管控即插即用，快速上线中小企业托管，大型企业海量分支互联FW设备主动注册，快速纳入云管理平台实现设备快速部署，无需人工值守策略下发，统一管理云网管远程全量安全业务配置管理远程设备监控，故障管理实现海量设备的云端管理，简化运维AC3.0安全业务管理能力增强优势安全业务云管理，海量设备统一运营管理区互联网接入区办公区DMZ区服务器区核心交换区分支机构广域网区极“简”运维：多分支云管理软硬件设计以易用为核心“ZTP 简易开局”向注册中心注册获取 控制 器IP云端控制器纳管支持2口POE+/4口

58、POE,满足小分支供电场景IF DHCP获取IP, WAN口插入网线即可IF PPPOE获取IP，输入/hw即可连接到华为云端知名DNS注册中心，获取最近的云管控 制器实现纳管连接控制器，自动下发预定义配置实现纳管“硬件也可易用”云管理注册平台 云管理控制器Cloud灯状态常亮连接到云管理平台每秒闪4次与云管理平台连接中，有数据收发常亮连接到云管理平台常亮U盘开局完成每秒闪4次U盘开局数据读取中常亮系统默认状态USB灯状态管理区互联网接入区办公区DMZ区服务器区核心交换区分支机构广域网区广域网区安全防御措施广域网区安全防护安全风险/需求防入侵、防病毒APT高级威胁防御方案价值骨干节点安全隔离：

59、由骨干节点防火墙提供， 骨干接点防火墙同时提供、IPS、AV、本地 APT防御能力，多功能集成骨干接点APT防御：由骨干节点安全沙箱与骨 干节点防火墙配合提供恶意文件检测骨干接点流量采集：广域网区区流量采集，加 密流量数据采集管理区互联网接入区办公区DMZ区服务器区核心交换区分支机构广域网区广域网区安全沙箱流量/ECA探针流量/ECA探针骨干节点AIFW核心流量/ECA探针 核心诱捕器目录园区安全风险1华为园区安全解决方案全景图23华为园区分场景主动防御体系华为安全能力介绍4华为园区安全解决方案案例5T级下一代防火墙执行器分析器USG6000EAntiDDoS1800AntiDDoS8000I

60、PS6000E/6000EDHiSecEngine IPS&IDST级DDoS防御系统USG9500软件防火墙USG6000V控制器安全态势感知系统沙箱FireHunter6000CIS安全控制器业务自动化编排全网智能协同基础网元管理SecoManager安全态势感知基于人工智能算法的威胁检测加密流量不解密异常检测（ ECA）威胁事件自动调查取证和联动响应SVN5000安全接入网关统一运维审计UMA1000数据库审计DAS1000上网行为管理ASG5000漏洞扫描器VSCAN1000Web应用防火墙WAF5000华为安全产品家族，基于HiSec，为您构筑主动防御体系新品爆款HiSecEngin