智简园区网络解决方案技术白皮书

1、HiSec智简园区网络解决方案技术白皮书目录 HYPERLINK l _bookmark0 概述1 HYPERLINK l _bookmark1 产生背景1 HYPERLINK l _bookmark2 解决思路1 HYPERLINK l _bookmark3 客户价值2 HYPERLINK l _bookmark4 方案概述4 HYPERLINK l _bookmark5 方案架构4 HYPERLINK l _bookmark6 ECA 检测方案6 HYPERLINK l _bookmark7 方案架构6 HYPERLINK l _bookmark8 方案原理7 HYPERLINK l _b

2、ookmark9 TLS 协商过程7 HYPERLINK l _bookmark10 网络行为特征分析8 HYPERLINK l _bookmark11 TLS 流特征8 HYPERLINK l _bookmark12 上下文流量信息关联11 HYPERLINK l _bookmark13 ECA 检测分类模型11 HYPERLINK l _bookmark14 网络诱捕方案13 HYPERLINK l _bookmark15 方案架构13 HYPERLINK l _bookmark16 方案原理15 HYPERLINK l _bookmark17 诱捕原理15 HYPERLINK l _bo

3、okmark18 关键技术16 HYPERLINK l _bookmark19 网络混淆技术16 HYPERLINK l _bookmark20 仿真交互技术16 HYPERLINK l _bookmark21 园区安全联动闭环方案17 HYPERLINK l _bookmark22 AC-Campus 1.0 联动场景17 HYPERLINK l _bookmark23 方案架构17 HYPERLINK l _bookmark24 方案原理18 HYPERLINK l _bookmark25 安全业务云管理增强20 HYPERLINK l _bookmark26 方案架构20 HYPERLI

4、NK l _bookmark27 方案原理21 HYPERLINK l _bookmark28 典型部署场景/典型组网23 HYPERLINK l _bookmark29 ECA 检测方案部署23 HYPERLINK l _bookmark30 网络诱捕方案部署24 HYPERLINK l _bookmark31 园区安全联动闭环方案部署25 HYPERLINK l _bookmark32 AC-Campus 1.0 联动场景25 HYPERLINK l _bookmark33 安全业务云管理增强26 1 概 述 HYPERLINK l _bookmark1 产生背景 HYPERLINK l

5、_bookmark2 解决思路 HYPERLINK l _bookmark3 客户价值产生背景随着网络技术的发展，网络安全的攻防态势也在悄然发生着变化。零日攻击、APT 攻击等新型的网络攻击技术已经给不少的企业造成了严重的经济损失，而传统的安全防御手段在新型的网络攻击技术面前已然失去优势。与此同时，伴随着逐渐实现数字化转型的脚步，企业为了保护数据和应用服务的安 全，开始大量采用加密技术。例如，使用 HTTPS 服务代替传统的HTTP。Gartner 预测，到 2019 年，80的 Web 流量将实现加密。与此同时，黑客们同样可以利用加密技术将其推送的恶意软件、欲传达的恶意命令都藏匿于加密流量当

6、中，规避检测，确保恶意活动能够正常实施。另一方面，传统的安全防御更多的是被动防御，在攻击阶段去进行检测和防御，忽视了攻击者在早期准备阶段的一些扫描、渗透动作，未能防患于未然。华为智简园区网络网络同样面临这些威胁，为了保证企业园区网络不受侵害，华为在园区解决方案中引入了安全协防技术和新的安全检测技术，帮助企业网络管理员应对新型网络攻击的挑战。解决思路当前针对加密流量进行检测的解决方案主要是利用中间人的技术对流量解密，分析其中的行为和内容，再次加密发送。但这样的解决方案存在一定局限性：加密技术旨在解决数据的隐私性，利用中间人解密则破坏了这个初衷，同时在通道完整性等方面也存在风险；如果加密流量持续增

7、加，解密会消耗大量资源，同时也会造成现有网络性能的下降。尽管无法嗅探加密流量的内容，但通过对于加密流量的分析和研究，正常的加密流量和恶意的加密流量无论是在客户端，还是在服务端，包括数据包上的时序关系方面仍然存在着很多差别。例如，正常的加密流量通常会采用比较新和比较强的加密算法和参数，而恶意的加密流量通常会采用比较老和比较弱的加密算法和参数。将诸如此类的有区分度的特征提取出来，利用机器学习算法训练模型，然后就可以用模型对正常加密流量和恶意加密流量进行分类。ECA（Encrypted Communication Analytics）加密通信检测技术应运而生，此技术不需要解密加密流量，基于加密流量之

8、前的握手信息，加密流量的统计信息，以及加密流量的背景流量信息，利用机器学习算法训练模型，然后就可以用模型对正常加密流量和恶意加密流量进行分类和识别。同时我们引入网络诱捕技术（Deception），实现主动防御，将防御前移。诱骗陷阱技术应用的两个目的，一是吸引黑客进行大量没有结果的攻击操作，浪费其时间以达到保护真实系统的目的；二是跟踪黑客并研究其新的攻击技术。与传统安全技术相比，网络诱捕技术不是试图修补所有安全漏洞，而是设法使攻击者无法发现并利用这些漏洞；不是对抗每种攻击手段，而是破坏攻击者获取真实信息的能力，使攻击因失去针对性而失效；不是单纯试图避免攻击的发生，而是对攻击活动进行诱导，使其在造

9、成实质危害前暴露。同样，网络诱捕技术可干扰扫描器、蠕虫等自动攻击程序获取系统真实信息的能力，使其无法发现并利用真实缺陷造成破坏。故此技术对所有已知或未知的网络攻击具有普遍的防御效果。华为网络诱捕系统，通过响应不存在 IP 的扫描请求、响应在用 IP 未开放端口的扫描， 诱骗攻击者对虚假目标（诱捕器）进行攻击，诱捕器模拟完成与攻击者的交互，获得 攻击者的攻击行为、提取攻击工具、深度分析可疑流量，形成防范策略，阻断攻击行 为的扩散。园区安全解决方案是华为公司针对企业园区网络解决方案提出的一个安全概念。园区安全解决方案是基于传统网络安全特性的增强方案，通过流量和日志采集技术、ECA 检测技术、网络诱

10、捕技术采集并处理网络设备、安全设备的日志信息，通过大数据关联分析技术提取出企业感兴趣的安全威胁事件信息，最终在CIS 系统统一展现全网的安全态势，并自动或手动对安全威胁事件做安全响应。客户价值园区安全解决方案给客户带来的价值如下：感知全网安全态势图形化界面帮助客户直观理解全网安全态势，并可以根据区域、关键资产去查看对应的风险，并给出处理建议。快速发现安全事件基于强大的日志采集和关联分析技术，以及可覆盖园区网络常见安全威胁的内置Use Case，帮助客户实时快速发现网络中的安全威胁事件。快速进行安全响应大大提高安全响应速度和效率。通过告警手段第一时间通知运维人员安全威胁事件，并可以进行自动的安全

11、策略联动，对安全威胁进行控制，防止和降低其对网络和业务的影响。加密通信检测基于加密流量之前的握手信息、加密流量的统计信息、加密流量的背景流量信 息，利用机器学习算法训练模型，对正常加密流量和恶意加密流量进行分类和识别，发现隐藏在加密流量中的恶意C&C 通信。主动诱捕关联取证通过使用虚假响应、有意混淆、以及假动作、误导等伪造信息，来阻挠或者推翻攻击者的认知过程，通过记录攻击者的攻击过程，利用强大的日志关联和大数据分析技术，提取攻击者的行为特征，生成安全策略广播下发到阻断点，从而抑制攻击行为的扩散。 2方案概述 HYPERLINK l _bookmark5 2.1方案架构方案架构整个园区安全解决方

12、案分为分析器、控制器和执行器三部分，实现安全威胁的快速检测，联动闭环。各组件的功能如下：分析器CIS 包括流探针、采集器、数据分发、集群控制、存储检测、可视化管理六个功能模块。CIS 对采集的安全日志、流量信息、ECA 特征、诱捕日志等进行关联分析，通过各类威胁检测模型发现攻击事件，并支持和 AC-Campus 联动下发联动策略。控制器AC-Campus 将从分析器接收的联动策略下发给联动设备，实现联动响应动作。AC-Campus 首选威胁源的认证点为联动设备，否则会向全网的 XMPP 设备下发联动策略。执行器一方面是安全日志、安全数据的产生者，将日志以及疑似威胁的数据上报给CIS系统或者沙箱

13、。园区交换机新增内置 ECA 和诱捕功能，实现更多威胁信息的采集；另一方面作为执行设备，当安全事件发生后，执行器接收 AC-Campus 下发的联动策略，阻断威胁源。本文中将 CloudCampusAC-Campus 简写为 AC-Campus 3.0，Agile Controller-Campus 简写为AC-Campus 1.0。 3 ECA 检测方案 HYPERLINK l _bookmark7 方案架构 HYPERLINK l _bookmark8 方案原理方案架构华为CIS 通过对加密流量的握手信息、数据包的时序关系、流的统计信息、加密流量的背景流量信息进行特征抽取，并基于关键特征采

14、用机器学习的方式进行建模，然后就可以用模型对正常加密流量和恶意加密流量进行分类，能够有效地检测出恶意加密流量。整个ECA 检测方案分为 ECA 探针和ECA 分析系统。ECA 探针主要负责加密流量的特征提取，填充 Metadata 后送入ECA 检测分类模型进行判定。ECA 分析系统，结合自研的检测模型检测发现恶意加密流量。方案原理整个ECA 工作流程分为 3 大部分：1、首先安全研究人员通过获取的黑白样本集，结合查询情报，包括域名、IP、SSL 相关证书的情报信息，来对样本进行标记。通过对黑白样本的客户端与服务器握手中的相关信息、TCP 流统计特征以及 DNS 等特征提取特征向量。通过对黑白

15、样本的客户端签名和服务器证书的签名进行分析；基于上述分析取证的特征向量，采用机器学习的方法，利用样本数据进行训练，从而生成分类器模型。这就形成CIS 最核心的 ECA 检测分类模型。2、通过 ECA 探针提取网络流量中加密流量的特征数据，包括 TLS 握手信息、TCP 统计信息、DNS/HTTP 相关信息，统一上报给CIS 系统。3、CIS 结合自身的大数据关联分析能力，对探针上送的各类特征数据进行处理，利用ECA 检测分类模型识别加密流量中的异常 C&C 连接，从而发现僵尸主机或者APT 攻击在命令控制阶段的异常行为。支持 TLS 版本为 TLS1.0，TLS1.1，TLS1.2。TLS 协

16、商过程TLS 协商过程中的参数特征是TLS 加密流量的主要特征，在一个TLS 连接开始建立的过程中，多个数据报文都没有被加密，首先会进行加密方式的协商。从一个握手包开始，客户端（浏览器或恶意软件）会给对端通信的服务器发送ClientHello 消息。“Hello”消息包含一组参数，例如使用的密码套件、可接受的版本以及可选的扩展。服务器收到客户端请求后，向客户端发出回应，即SeverHello 消息，确认使用的加密通信协议版本、确认使用的加密方法和服务器证书。客户端收到服务器回应以后，首先验证服务器证书。如果证书不是可信机构颁 布、或者证书中的域名与实际域名不一致、或者证书已经过期，就会向访问者

17、显示一个警告，由其选择是否还要继续通信。如果证书没有问题，客户端就会从证书中取出服务器的公钥。然后，向服务器发送随机数、编码改变通知、客户端握手结束通知信息。服务器的最后回应编码改变通知和服务器握手结束通知。整个握手阶段全部结束。接下来，客户端与服务器进入加密通信。网络行为特征分析TLS 协议中，除了 TLS 的握手信息，其他信息都是加密的。所以我们只能从TLS 握手信息和其他上下文信息来提取特征。我们提取的特征分为两类，一类采集自TLS 流本身，包括TLS 协商过程中的参数特征以及 TCP/IP 流数据包长度和时间相关统计特征， 另一类基于 TLS 上下文的DNS、HTTP 提取的特征。TL

18、S 流特征TLS 握手阶段都是明文的，从这个过程中可以提取出证书信息和双方选择的加密方法。因此TLS 握手信息（ClientHello，ServerHello）流中未加密的元数据包含黑客无法隐藏的数据指纹，可用于进行检测算法训练。对于握手过程的信息，我们将其分为客户端指纹信息和服务器证书信息两部分。对于客户端指纹信息，以TLS 握手时客户端使用的加密套件信息为例来分析。从图中客户端使用的加密套件的分布情况可以看出，加密套件在黑、白样本中使用情况差异 较明显。正常情况下，每个客户端都会有几个加密套件组合而成，OWASP 推荐使用ECDH/DH AES cipher suites，而使用基于 MD

19、5 和RC4 的套件被认为是弱的、不安全的加密套件。而在黑样本中SSL 现有版本不推荐的套件占比较大。加密套件套件算法000aTLS_RSA_WITH_3DES_EDE_CBC_SHA0005TLS_RSA_WITH_RC4_128_SHA0004TLS_RSA_WITH_RC4_128_MD50013TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHAC02bTLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 （推荐）C02fTLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 （推荐）对于交互的服务器证书，黑样本也有很多特殊的

20、地方。如上图所示，左图为正常的证书，证书使用者是正规网站，证书信息填写详细明确； 右图为黑样本证书，证书为自签名证书，且证书多个字段为空。从上图可以看出，黑样本中多于 3 个空字段的比例更高，白样本中大多数都是少于 3个空字段。部分TLS 握手信息中提取的字段数据如下：序号特征名描述1CipherSuitesTLS 客户端支持加密套件列表2SelectedTLS 服务器端选择的加密套件3Cert_Duration服务器证书的有效期(单位天)4Self_Signed服务器证书是否为自签名证书5Cert_Nums服务器证书链中的证书数量TCP 流相关的统计特征一条完整的 TCP 流，从建流到流结束

21、，除了五元组（目的 IP 地址、源 IP 地址、目的端口号、源端口号、协议号）信息外，还可以提取整条流的持续时间、这条流的包间隔、包长度分布等。部分TCP 统计特征中提取的字段数据如下：序号特征名描述1DurationTCP 流的持续时间，时间单位毫秒2Bytes.srcTCP 连接过程中发送的总字节数3Num.srcTCP 连接过程中发送的总包数上下文流量信息关联恶意软件的网络行为中，除了HTTPS 的流量，还包含 DNS 查询的流量、HTTP 请求的流量等，关联相同源 IP 在加密流量的上下文的流量，分析这些没有加密的流量，可以找到一些线索，辅助进行检测和取证。针对DNS，主要用途是获得

22、IP 地址，还有可能进行敏感数据外传。为了获取 IP 地 址，恶意软件可能使用 DGA 域名、动态域名、IP 直连的方式，在获取到 IP 地址之后存在后续的请求；敏感数据外传的场景下，有大量的 DNS 请求但后续没有操作。针对HTTP，可能下载一些恶意脚本、其他的恶意软件，与C&C 服务器通信获取控制命令、敏感数据外传等。例如下载恶意软件的 HTTP 流，响应字节数/请求字节数比较大；敏感数据外传响应字节数/请求字节数比较小；被感染主机发送的请求包，响应的数据包可能在头部信息多，响应体的内容为空；存在可疑的User-Agent、可疑的页面跳转等。部分上下文流量信息中提取的字段数据如下：序号特征

23、名描述1Suffix目的 IP 关联的域名后缀2TTL目的 IP 关联的域名的生存时间3domain_len目的 IP 关联的域名长度4User_Agent源 IP 关联的 HTTP Request 消息中的User_Agent字段5Client_Content_Type源 IP 关联的 HTTP Request 消息中的 content_type字段ECA 检测分类模型网络行为中提取的特征可以用来生成 ECA 检测分类模型。ECA 检测分类模型下发到CIS 分析器，交换机、网络探针提取现网的流量特征发送给CIS 分析器，CIS 分析器检测 TLS 流是否是恶意的流量。机器学习算法的选择上，主

24、要是从样本量需求、样本处理工作量、模型准确度要求、模型训练周期、模型调优工作量，以及模型占用资源的可控程度几个维度来考虑，最终选择业界成熟的随机森林（RF）算法，利用样本数据进行训练，从而生成分类器模型。随机森林算法大大减少了普通决策树算法的 variance，并且可以直观的展现每个特征的重要程度及判断过程。首先从训练样本集中使用Boostraping 方法随机抽取部分训练样本，进行 k 轮抽取。然后得到的 k 个样本集分别用来训练 k 个决策树模型，而在构造决策树时并不是对所有特征找到能使得指标（如信息增益）最大，而是在特征中随机抽取的一部分特征中寻找分裂特征。最后由投票表决判定为恶意的样本

25、的概率。 4 网络诱捕方案 HYPERLINK l _bookmark15 方案架构 HYPERLINK l _bookmark16 方案原理方案架构攻击过程一般分为系统信息收集、脆弱性判定、针对性攻击三个阶段。传统意义上的网络防御是围绕攻击事件识别的防御，在针对性攻击阶段才进行防御，一方面，依赖攻击事件识别技术，复杂度高、防御周期长；另一方面，随着攻击影响范围的扩散， 防御成本不断提高。网络诱捕技术，是基于攻击意图的防御。华为网络诱捕系统，利用网络混淆技术、仿真交互技术，通过对网络探测活动的欺骗，展现虚假资源，发现攻击者；虚假资源与攻击活动交互，误导攻击过程，确认攻击意图，使得攻击者无法发现

26、真实目标并促使攻击者暴露；识别到攻击事件后，通过联动处置能力将攻击源快速隔离。网络诱捕过程为防御赢得宝贵时间，可在攻击造成破坏前阻断威胁，保护真实系统。方案关键组件：如图所示，网络诱捕方案由网络诱捕系统与CIS 配合完成。网络诱捕系统由诱捕探针、诱捕器两个关键组件构成。诱捕探针：感知针对未使用 IP、在用 IP 的未开放端口扫描行为，代答、诱导攻击者攻击诱捕器。诱捕器：模拟HTTP，SMB，RDP，SSH 服务与协议交互并产生告警、记录交互过程、捕获 payload（脚本、文件）。CIS：根据诱捕器上报告警、协议交互文件行为等进行关联分析、威胁呈现。在 CloudCampus 场景中，诱捕探针

27、内置在园区交换机中，诱捕器内置在 CIS 流探针服务器上。关键流程步骤：网络扫描行为识别：诱捕探针识别针对 IP、端口的网络扫描；特定流量引流：诱捕探针可以将可疑流量引流到诱捕器；应用模拟：诱捕器支持HTTP，SMB，RDP，SSH 应用模拟，包括：认证、登录；SMB 协议下载，HTTP 协议上传下载；针对密码破解、文件上传、文件下载活动进行监控并发送可疑日志和攻击日志；事件告警：诱捕器支持向CIS 提交告警；威胁分析及呈现：CIS 根据诱捕系统告警信息关联分析，判定、呈现威胁状况， 下发处置决策给控制器处置闭环。方案价值：通过识别针对 IP/端口报文扫描，加上协议交互确认攻击行为，降低误报；

28、及时感知威胁在内网的扩散。方案原理诱捕原理业务流程：攻击源发起 IP、端口扫描；诱捕探针识别扫描行为；诱捕探针将攻击源诱导到诱捕器(IP 扫描时：行为代答，端口扫描时：引流至诱捕器)；诱捕探针向诱捕器上报扫描事件；攻击源被诱导到诱捕器；诱捕器记录攻击行为，获取攻击 playload；诱捕器向CIS 上报日志、Dataflow 告警；CIS 关联分析，判定威胁状况；CIS 做威胁可视化呈现。比如，诱捕探针发现攻击者有扫描行为，并且扫描未开放 IP，如攻击者发起对不存在IP 的ARP 请求，诱捕探针回应本设备 MAC 给攻击者，让攻击者误以为 IP 存在，并引流后续流量到诱捕器进行应用层的欺骗。诱

29、捕探针发现攻击者有扫描行为，并且扫描未开放端口，如攻击者发起对未开放端口的 SYN 请求，诱捕探针回应 SYN-ACK 给攻击者，让攻击者误以为端口开放，并引流后续流量到诱捕器进行应用层的欺骗。关键技术网络混淆技术网络混淆技术即通过向攻击者展现大量虚假资源，使攻击者无法获得真实资源和漏洞信息。此方案中，诱捕探针内置在交换机中，更靠近受保护网络，同时可在网络中广泛部署。相比部署传统蜜罐成本更低、密度更高、覆盖面更广、防御效果更佳。诱捕功能开启后，交换机上的诱捕探针在网络中展现大量虚假资源，对攻击者的网络扫描行为进行响应，向攻击者展现虚假拓扑，实现虚假网元与真实网元混合组网，有效迟滞扫描器、蠕虫等

30、自动攻击程序的攻击速度，达到干扰攻击者采集系统信息与脆弱性判定过程的目的。以端口资源利用为例，攻击者进行端口扫描时，如果被扫设备端口未开放，诱捕探针代替这些设备响应端口扫描请求，诱骗攻击者对这些端口进一步访问。如果攻击者真的访问未开放端口，流量就被诱捕探针引流到诱捕器进行应用层的诱骗，来进一步确认攻击者意图。仿真交互技术仿真交互技术即用虚假资源实现攻击交互，准确识别攻击意图，使攻击者暴露。诱捕器能根据周边环境模拟出相似的仿真业务，这些仿真业务带有较明显的漏洞，由于攻击者无法分辨真假，可诱使攻击者对这些业务发起攻击。一方面，通过攻击交互过程，能准确识别攻击意图。比如正常的扫描器、爬虫的行为，会响

31、应扫描到的资 源，但不会有针对漏洞发起的攻击。另一方面，仿真业务通常会诱导攻击者进攻其他仿真业务，导致攻击者陷入连环陷阱，为攻击防御争取了更多时间。同时，通过仿真交互过程，网络诱捕系统可以捕获更多的攻击信息和情报，便于CIS 分析并采取更准确的防御行为，降低真实系统被攻击的概率，最大限度减少损失。诱捕器当前支持对HTTP、SMB、RDP、SSH 应用的仿真交互。以 HTTP 为例，诱捕器可模拟生成与真实业务相似的 WEB 服务，但是相比真实系统开放了更多服务，且某些服务未做安全加固，攻击者发现并利用仿真系统的漏洞做进一步攻击，诱捕器上的 漏洞被触发，此时可以确认发起者为恶意攻击者。 5 园区安

32、全联动闭环方案园区安全联动是基于传统网络安全特性的增强方案，通过大数据采集技术，采集并处理网络流量、Netstream 数据，以及网络设备、安全设备的传统网络安全特性运行记录的日志信息，通过关联分析技术提取出安全威胁事件信息，最终在 CIS 系统统一展现全网的安全态势，并自动或手动对安全威胁事件做安全响应。园区安全联动闭环方案主要由CIS、AC-Campus 和防火墙、交换机等执行器组成。CIS 分析发现威胁事件后，联动 AC-Campus 下发阻断/隔离策略给执行器，完成威胁事件闭环。 HYPERLINK l _bookmark22 5.1AC-Campus 1.0 联动场景AC-Campu

33、s 1.0 联动场景方案架构各组件的功能如下：日志采集防火墙、Firehunter 将各类安全日志、文件检测日志上报CIS。交换机提供 1：1 Netstream 流量日志。诱捕器上报诱捕威胁日志给 CIS 分析器。流量采集流探针采集全流量日志，提取流量元数据 Metadata 上报给 CIS。交换机提供 ECA 特征提取数据给 CIS。分析器-CIS日志处理：对采集的安全日志、流量信息，ECA 特征，诱捕日志等进行过滤、格式标准化、压缩、存储等处理。关联分析：将归一化的日志进行安全事件的关联分析。威胁检测：实现对加密流量和非加密流量的各类高级威胁检测，通过诱捕系统发现更多的攻击者特征和威胁事

34、件。安全态势：配置安全事件的关联规则、响应动作，并展示全网安全态势。联动策略下发：向 AC-Campus 下发联动动作。控制器-AC-CampusAC-Campus 将从分析器接收的联动策略，下发给联动设备，实现联动响应动作。执行器安全事件发生后，接收AC-Campus 下发的联动策略，阻断威胁源。方案原理安全协防的简单工作流程如下：在 CIS 上配置联动设备，联动规则（自动/手动）、联动动作（告警/阻断）及联动设备（设备 IP）。在 AC-Campu1.0 控制器配置业务随行，以及对接CIS 的地址。各网元或探针使能业务随行，配置网络流量信息上报 CIS 的方式：NetStream 或日志。

35、如有需要，配置内置 ECA、诱捕功能开启，设备将日志数据上报 CIS。CIS 对原始数据进行关联分析，满足预配置的关联规则时，触发安全威胁事件。预配置的联动动作包含阻断时，CIS 会下发阻断策略给 AC-Campus 控制器。阻断策略可以实现针对任意 IP 的流量的阻断。策略下发成功后，在CIS 界面呈现威胁事件和阻断效果。AC-Campus 控制器通过Restful 接收 CIS 下发的联动策略，并通过XMPP 接口下发阻断策略给网络中所有已对接的策略执行点设备。隔离超时或威胁解除，管理员手动解除威胁后，CIS 下发取消阻断的策略给控制器。AC-Campus 控制器通过 Restful 接收

36、 CIS 下发的取消策略，并通过XMPP 接口删除所有策略执行点设备上的阻断策略。 6安全业务云管理增强 HYPERLINK l _bookmark26 方案架构 HYPERLINK l _bookmark27 方案原理方案架构对于小型园区及海量分支接入的场景，防火墙快速注册、快速部署上线，并通过云管理平台实现统一纳管，可大大提高运维效率。云管理园区场景下，通过 SecoManager 与 AC-Campus 3.0 服务化集成，所有业务的配置入口是控制器，控制器复用SecoManager 的策略管理服务功能，增强 AC-Campus 3.0 对防火墙的安全业务管理能力。园区方案中，AC-Ca

37、mpus 3.0 控制器作为网络设备的管控维（包括 L2L7 业务），SecoManager 作为服务集成到 AC-Campus 3.0 上，主要提供策略管理服务。架构如下：融合后，AC-Campus 3.0 安全业务管理能力增强范围包括：安全策略支持入侵防御功能（IPS）支持反病毒（AV）支持URL 过滤方案原理安全策略全量下发，即用安全控制器（SecoManager）上的策略替换 FW 设备上的策略，设备上原有安全策略会删除，最后以控制器上下发的为准。SecoManager 服务化集成到 AC-Campus 3.0 中，来增强安全策略管理能力。SecoManager 提供站点/站点模板的安

38、全策略配置，实现策略的自动部署。AC-Campus 3.0 定义了租户、站点、站点模板等模型。以站点为业务核心模型，所有安全策略都是基于站点来进行配置。为了便于用户管理设备和提升业务部署效率，同一个租户下，同一个网络的设备可以规划到一个站点中。同一个站点中所有 FW 设备的安全策略一致。站点的使用场景有如下几种：FW 设备新加入站点将站点中已配置的策略全量下发到新加入的 FW 设备。FW 设备切换站点将该 FW 原先配置的策略删除，并将新站点中已配置的策略全量下发到该 FW 设备。添加多个站点时，往往需要配置相同的网关类型的业务。通过定制站点模板可以将这些重复的配置信息模块化，在配置站点时通过

39、引用站点模板可以自动填写这些相同的配置信息，提升配置效率。站点模板关联站点的 FW 设备安全策略一致。站点模板的使用场景有如下几种：FW 设备新加入站点将站点关联的站点模板中已配置的策略全量下发到新加入的 FW 设备。FW 设备切换站点将该 FW 原先配置的策略删除，并将新站点关联的站点模板中已配置的策略全量下发到该 FW 设备站点绑定站点模板将站点模板中已配置的策略全量下发到新加入的站点的所有 FW 设备。站点切换站点模板将该站点内所有 FW 原先配置的策略删除，并将新站点模板中已配置的策略全量下发到该站点所有 FW 设备。 7 典型部署场景/典型组网 HYPERLINK l _bookma

40、rk29 ECA 检测方案部署 HYPERLINK l _bookmark30 网络诱捕方案部署 HYPERLINK l _bookmark31 园区安全联动闭环方案部署 HYPERLINK l _bookmark33 安全业务云管理增强ECA 检测方案部署部署说明：ECA 探针主要部署在总部出口或数据中心出口，提取加密流量特征。当前CloudCampus 场景中ECA 探针的形态有两种：流探针形态、园区交换机内置ECA 探针。ECA 探针形态选择需结合出口流量及设备处理性能进行综合考虑。由于流探针是CIS 的必配组件，所以建议在总部出口的流探针上启用ECA 功能。将核心交换机的上行口流量镜像到流探针，保障外发加密流量安全。分支出口建议部署独立流探针并开启 ECA 功能。若未部署独立流探针，可通过园区交换机或防火墙开启内置 ECA 探针实现分支 ECA 检测。内置 ECA 功能对园区交换机转