《華為：2024星河AI融合SASE解決方案白皮書（25頁）.pdf》由會員分享，可在線閱讀，更多相關《華為：2024星河AI融合SASE解決方案白皮書（25頁）.pdf（25頁珍藏版）》請在三個皮匠報告上搜索。

1、目 錄1 概 述.012 SASE 的發展趨勢.022.1 SASE 的定義.022.2 SASE 相關技術逐漸成熟并體系化.023 華為星河 AI 融合 SASE 解決方案.053.1 華為對 SASE 的理解.053.2 方案架構.064 關鍵技術方案.134.1 Secure SD-WAN.134.2 安全資源池.224.3 乾坤安全運營.254.4 終端安全.285 典型應用場景.365.1 企業客戶典型場景.365.2 運營商和 MSP 典型場景.396 術 語.4001版權所有 華為技術有限公司1 概 述隨著數字化轉型的不斷深入，業務加速上云，萬物智能互聯，分布式新型應用層出不窮，

2、企業 IT 環境也變得更加復雜。企業將面臨以下幾方面挑戰：首先，業務上多云后，流量訪問模型更加復雜，所對應的策略變化快、數量多。而企業運維人員需要同時維護云、網絡及安全策略，運維難度顯著提高，最終導致業務無法實現快速上線。其次，遠程辦公和移動辦公越來越普及，員工可能在任何時間和地點遠程接入。當員工通過不安全的網絡訪問企業資源時，會令企業網絡面臨不確定的安全風險。此外，當海量的員工和企業分支通過 Internet互聯時，較大的網絡延遲和糟糕的 VPN（Virtual Private Network，虛擬專用網絡）體驗，也會使得關鍵業務質量難以保障。最后，網絡和安全建設的割裂，也導致投資成本、管理

3、效率等問題愈發嚴重。因此，企業迫切需要一種高效靈活的組網，可以實現分支與總部的快捷互聯，滿足員工隨時隨地安全訪問云應用的訴求。而 SASE（Secure Access Service Edge，安全訪問服務邊緣）的出現，解決了企業對連接性和安全性等方面的訴求。03版權所有 華為技術有限公司02SASE 的發展趨勢02版權所有 華為技術有限公司2 S AS E 的發展趨 勢2.1 SASE 的定義SASE 是一種新興的云架構模型，旨在提供云原生的網絡和安全服務，以滿足現代企業的需求。SASE通過將網絡和安全功能集成到云平臺中，簡化并統一了企業的網絡和安全架構，提供了更靈活、更安全、更高效的網絡連

4、接和應用訪問體驗。SASE 的核心思想是將網絡和安全功能從傳統的物理設備轉移到云平臺上，并通過軟件定義技術和虛擬化技術將其與網絡流量緊密結合。最終，企業可通過云端集中管理和調整網絡連接和安全策略，無論用戶和應用程序位于何處，都能獲得高效、安全和一致的訪問體驗。2.2 SASE 相關技術逐漸成熟并體系化在業界中，SASE 相關技術已經逐漸成熟并形成體系化。自 2021 年開始，已經走出最初的技術炒作期，逐步邁向實用落地階段。各個廠商的 SASE 解決方案開始迅速涌現，并面向市場推出。部分廠商在網絡服務上更有經驗和優勢，通過在廣域網接入點增加安全服務來提供 SASE 服務。部分廠商則通過合作方式構

5、建自己的 SASE 服務，且更加注重安全服務能力的發展。Gartner 將這類注重安全服務的廠商劃分為 SSE（Secure Service Edge，安全服務邊緣）服務提供商，以區別于強調網絡與安全融合的服務提供商。此外，也有一些廠商將專線與安全能力融合稱為 SASE 服務，例如專線加云端防火墻服務等，這是 SASE 定義的延伸，屬于適應國內外市場而發展起來的。在 CSA 大中華區 SASE 工作組的研究中，提出了 SASE 的四個核心技術和三個主要應用場景。其中，邊緣計算是 SASE 的一個核心技術。邊緣計算是一種新型的計算模式，將云計算能力下沉到靠近用戶和數據源的網絡邊緣側，通過融合計算

6、、網絡、存儲、應用和安全的分布式計算系統，在就近位置提供低延時和智能化服務。而 SASE 的網絡服務和安全服務追求低延遲的效果，因此 SASE 的處理節點需要靠近企業分支和用戶，流量才能得到就近的安全威脅分析和防護處理，并快速接入更優質量的網絡，以實現應用加速等效果。邊緣計算的智能互聯服務滿足了不同行業對業務實時性、數據融合、安全與隱私保護等方面的關鍵需求。2019年Gartner在 The Future of Network Security Is in the Cloud 提出SASE這一新興技術概念，并將 SD-WAN、SWG、CASB、ZTNA、FWaaS 定義為 SASE 的五大核心

7、部件，如圖 2-1 所示。圖 2-1 SASE 的核心組件 SD-WANSD-WAN（Software-Defined WAN，軟件定義廣域網）通過智能路由、安全增強、性能優化、管理控制以及多鏈路冗余等特性，為企業提供靈活、智能且高效的網絡連接，助力企業實現高效、可靠的遠程辦公和業務拓展。SWGSWG（Secure Web Gateway，安全 Web 網關）用于保護用戶訪問互聯網的安全。通過集成多種功能和技術，SWG 可以實現對 Web 流量的控制與檢測，阻止網絡威脅和數據泄露，防范惡意軟件、惡意網站和不良內容的傳播。CASBCASB（Cloud Access Security Broker

8、，云訪問安全代理）用于保護企業在使用云服務時的安全性和合規性。CASB 充當了企業內部網絡和云提供商之間的中間代理，為企業提供了云環境中的數據和應用程序的可見性、控制和保護。04版權所有 華為技術有限公司05版權所有 華為技術有限公司華為星河 AI 融合 SASE 解決方案白皮書 ZTNAZTNA（Zero Trust Network Access，零信任網絡訪問）是 SASE 的關鍵能力之一。ZTNA 基于“永不信任，始終驗證”的原則，對每個訪問請求進行嚴格的身份驗證和授權。通過細粒度的訪問控制，確保只有授權用戶和設備才能訪問特定的應用程序和服務。ZTNA 通常與 IAM（Identity

9、and Access Management，身份識別與訪問管理）系統集成，以實現動態的訪問控制。用戶需要先認證，才能訪問資源。ZTNA 會實時監測用戶訪問行為，杜絕越權訪問，并及時處置安全威脅。FWaaSFWaaS（Firewall as a Service，服務化部署的防火墻）是指以云服務的模式提供防火墻功能。FWaaS 將傳統的基于硬件的防火墻功能移至云端，通過云服務提供商來提供和管理防火墻服務，以保護企業的網絡和應用程序安全。2020 年，MEF（Metro Ethernet Forum，城域以太論壇）發布了白皮書MEF SASE Services Framework，旨在為 SASE

10、服務框架制定統一的標準，涵蓋 SD-WAN、安全性、自動化和其他標準化工作。為了進一步推動 SASE 服務的規范化，MEF 還啟動了 SASE 服務定義項目，該項目致力于制定一系列標準化規范，包括 SD-WAN 服務屬性與框架、SD-WAN 服務的應用安全、零信任安全框架與服務屬性、通用 SD-WAN 邊緣設備、SD-WAN 服務的性能監控與服務準備測試、基于意圖的編排和策略驅動的業務流程等。在 Gartner 和 MEF 的引領下，SASE 正朝著更加開放和標準化的方向發展，一個更加開放、靈活和安全的網絡未來正在逐步成型。3 華 為 星 河 A I 融 合 S A S E 解決方案3.1 華

11、為對 SASE 的理解如圖 3-1 所示，企業數字化轉型過程中，業務上云、混合辦公、IoT（Internet of Things，物聯網）等場景改變了訪問和連接網絡的要求。傳統的“從分支到總部的訪問”變為“Anywhere 的訪問”，用戶需要隨時隨地上網和辦公。應用和數據上云后，也導致數據安全存在風險，數據生命全周期充滿安全挑戰。圖 3-1 華為對 SASE 的理解這些變化和挑戰體現在以下幾個方面：從分散到融合隨著技術的進步，企業網絡安全架構正從依賴單一產品和單一解決方案，向集成化和平臺化轉變。這種趨勢意味著不同的安全工具和解決方案將更加緊密地協同工作，以提供更全面的保護。例如，安全網關060

12、7版權所有 華為技術有限公司版權所有 華為技術有限公司華為星河 AI 融合 SASE 解決方案白皮書03華為星河 AI 融合 SASE 解決方案和廣域網關的集成，以及終端 NAC（Network Access Control，網絡準入控制）和 EDR（Endpoint Detection and Response，端點檢測和響應）的結合，都是為了提供更統一的安全防護。從靜態到動態傳統的網絡安全策略往往是靜態的，而現代企業面臨的威脅是不斷變化的。因此，企業正在轉向更動態的安全策略，如零信任模型。這種模型假設網絡內部和外部都存在威脅，并實時驗證所有訪問請求，以確保網絡的安全。從單點到協同企業正在從

13、依賴單一安全產品的策略轉向多產品和多策略的協同工作。這種協同不僅包括內部安全組件的合作，還包括與外部安全服務提供商的合作，以實現更全面的威脅檢測和響應。從人工到智能人工智能（AI，Artificial Intelligence）和機器學習（ML，Machine Learning）技術的應用正在改變網絡安全領域。這些技術可以幫助自動化威脅檢測和響應過程，提高效率，并減少對人工分析的依賴。生成式 AI 和大模型的應用，以及 AI 在安全運營和威脅分析中的集成，都是這一趨勢的體現。華為不僅提供云、網絡、安全和終端一體化產品與解決方案，而且具備全場景、全日制分析與管控的能力。為了應對以上挑戰，華為推出

14、“云網邊端”一體的星河 AI 融合 SASE 解決方案（下文簡稱為“SASE解決方案”）。該方案專為企業分支設計，結合 MEF 的 SASE 模型標準，采用創新的“云網邊端”一體化架構，將 SD-WAN 組網、安全性和遠程訪問融合到統一的網安融合解決方案中，實現了監測、分析和運營的統一。這種集成化的方法極大地減小了威脅擴散的潛在范圍，并能迅速地做出響應。同時，該方案確保用戶在 SASE 環境以及整個網絡中能夠享受到靈活的交付體驗，并且在任何邊緣網絡中都能得到一致的企業級安全標準防護。3.2 方案架構3.2.1 動態、按需、彈性的架構如圖 3-2 所示，華為基于業界安全發展趨勢和自身的安全實踐經

15、驗，以“終端安全平臺、網絡安全平臺和安全服務平臺”為基礎，遵循服務化的理念和樂高化的架構，最終實現動態、按需、彈性的 SASE 解決方案。從邏輯功能上劃分，SASE 解決方案分為管控層、SSE 層、網絡層和終端層。管控層面向終端、用戶和應用，提供統一的網絡和安全管理能力。減少產品堆疊和技術堆疊，保證業務體驗的一致性、易用性和有效性。SSE 層通過模塊化靈活組合，為用戶提供多種安全服務，包括 SWG、CASB、ZTNA、FWaaS 等流量型安全能力或非流量型安全能力。網絡層網絡層實現了網安融合，形成網絡、安全、資產（終端、用戶、應用）的統一視圖。依托華為在網絡協議上的深厚技術積累，通過擴展 BG

16、P EVPN（Border Gateway Protocol Ethernet Virtual Private Network，邊界網關協議以太網虛擬私有網絡）協議，提供多 VPN 實例接入能力，滿足不同租戶的業務隔離要求。BGP 融合 IKE（Internet Key Exchange，互聯網密鑰交換）協議后，支持自動化創建分支間隧道，可實現分鐘級站點開局。獨立 EVPN RR（Route Reflector，路由反射器）做控制器，可實現水平擴展，滿足 SASE 解決方案大規模組網的擴展性和可靠性要求。終端層支持移動和固定 OS（Operating System，操作系統），兼容第三方安全組

17、件，提供 ZTNA 接入、EDR 和 EPP（Endpoint Protection Platform，終端防護平臺）終端防護能力。圖 3-2 華為星河 AI 融合 SASE 解決方案架構0809版權所有 華為技術有限公司版權所有 華為技術有限公司華為星河 AI 融合 SASE 解決方案白皮書03華為星河 AI 融合 SASE 解決方案各層的關鍵組件如下：管控層：iMaster NCE-Campus&乾坤安全服務平臺實現網安管控析一體化，統一管理網安設備和策略。提供用戶自助服務，一站式訂閱、開通網絡及安全服務能力。支持私有云、公有云多種部署方式，滿足企業、運營商、MSSP（Managed Se

18、curity Service Provider，托管安全服務提供商）自建 SASE 解決方案和運營 SASE 服務的訴求。SSE 層：HiSec xGuard提供邊緣云安全資源池解決方案，實現邊緣集中式 SWG、CASB、ZTNA、FWaaS 等安全接入和防護能力。網絡層：USG 系列、Eudemon 系列SASE網關（防火墻）實現網絡特性和安全特性融合，即LAN（Local Area Network，局域網）、WAN（Wide Area Network，廣域網）、安全融合一體，滿足 Secure SD-WAN 的接入和防護能力要求。終端層：HiSec Endpoint通過多維檢測、溯源處置等

19、功能，提供高效檢出、一鍵恢復、輕量部署的端側安全防護能力，以及統一集成 ZTNA 接入能力。3.2.2 乾坤安全運營華為乾坤安全運營為企業提供分支、總部以及 POP（Point Of Presence，入網點）點的網絡集中管控和安全分析運營。乾坤安全運營以業務級一致體驗為核心目標，通過統一數字地圖、統一運營運維、統一業務編排、統一模型和統一客戶端等技術，可以完成分鐘級業務發放，實現對終端或用戶位置的軌跡可視，構建高清網安數字地圖，完成網絡和安全的一站式運營運維。集中化管理，一致網安體驗乾坤安全運營通過統一的數據和業務模型，實現業務服務的按需部署和加載，并通過統一的業務策略編排，實現網絡、安全、

20、終端等的集中化管理。乾坤安全運營集成了無線接入、有線接入、防火墻、負載均衡、終端 EDR 和 ZTNA 等網絡設備和服務，使得業務管理員可以在統一的多租戶平臺上進行管理，極大地簡化了網絡及安全的運維工作，為業務管理員提供了良好的用戶體驗。AI 使能網絡安全，運營運維效率倍增乾坤安全運營采用了先進的 AI 技術，網絡實現自動化故障定位、優化配置、安全防護等功能，大大提升了網絡運行的穩定性和安全性。這種智能化運營不僅提高了效率，也減少了人為錯誤，使得網絡管理更加精準。同時，依托華為長期積累的經驗模型和 AI 模型，可以實現分鐘級自動威脅判定、攻擊溯源、聯動處置，自動閉環處置率超過 99%。在網絡安

21、全大模型方面，可以實現云端算力共享，降低客戶的初期使用成本。在部署資源方面，乾坤安全運營滿足小型化部署要求，并通過一鍵式網絡安全問題閉環，降低運維運營問題的閉環難度，效率提升 10 倍。協同聯動處置，威脅快速閉環借助云邊端架構，乾坤安全運營提供分鐘級威脅閉環的在線自動處置方案。通過聯動互聯網邊界、內網區域邊界、信息終端和信息系統，乾坤安全運營可實現聯防聯控，快速高效地處置威脅。同時，借助云端算力，乾坤安全運營可快速完成威脅信息的生產，實現一處檢出威脅，全網免疫防護。通過安全態勢大屏和安全運營中心，為客戶提供可感知、可管理、可托付的全局掌控能力。3.2.3 安全資源池安全資源池集成了華為產品專業

22、的安全與網絡能力，并進行了深度的網安融合?；谠圃夹g，提供領先的彈性伸縮、多租戶、高可靠等能力，有效應對企業用戶的安全邊界變化，滿足了運營商、MSP（Managed Service Provider，管理服務提供商）對 SASE 部署與運營的訴求，助力用戶在云時代的數字轉型。統一服務，精準防護通過部署一系列網絡和安全服務資源，如 NGFW、IDS（Intrusion Detection System，入侵檢測系統）、IPS（Intrusion Prevention System，入侵防御系統）、SWG、WAF（Web Application Firewall，Web應用防火墻）、CASB、

23、SSL（Secure Socket Layer，安全傳輸層）解密檢測過濾等安全原子能力，安全資源池提供對網絡流量的實時監控、分析和保護。安全防護效果可達到秒級威脅處置，實現精準防護。彈性擴縮容，極致性能通過采用分布式架構，安全資源池突破單機設備容量和帶寬的上限，支持超大容量和超大帶寬。通過自動化資源編排和業務動態發放，避免縱向擴容重啟帶來的業務遷移與業務中斷，降低擴容復雜度，支持無損擴容。通過資源池化技術，避免傳統方式擴容后資源利用率下降，支持按需和最小步長擴容，避免資源空置。多租戶運營，極高可靠性支持控制面、管理面和數據面的故障隔離。管理面支持三個副本。數據面支持 N-way 技術，保障系統

24、可用性大于99.999%?？刂泼嬷С諲SR主備冗余，保證路由不中斷。通過分片混排算法來實現多租戶隔離，提供配置隔離、故障隔離和性能隔離，保障租戶 SLA（Service Level Agreement，服務水平協議）。同時支持租戶彈性擴展架構，輕松應對各種復雜場景。3.2.4 Secure SD-WANSecure SD-WAN 為企業提供分支與分支、分支與數據中心、分支與多云或 SaaS（Software as a Service，軟件即服務）之間的全場景互聯，并通過應用級的智能選路、智能加速、智能運維和一體化安全，構建更好、更安全的業務體驗，重塑企業 WAN 互聯的全流程。Secure S

25、D-WAN 主要提供以下能力：1011版權所有 華為技術有限公司版權所有 華為技術有限公司華為星河 AI 融合 SASE 解決方案白皮書03華為星河 AI 融合 SASE 解決方案 云原生 SD-WAN，彈性網絡隨需互聯SD-WAN 支持單層組網、分層組網、Hub-Spoke、Full-Mesh、Partial-Mesh 等豐富的組網模型，滿足不同場景下的業務互訪訴求。SASE 網關支持華為云等多云環境下的彈性、按需部署，結合 iMaster NCE-Campus 控制器組網自動化編排技術，能夠實現分支與多云網絡或 SaaS 的分鐘級業務開通，讓企業業務隨處可達。極致體驗，應用體驗 0 降級S

26、D-WAN 通過“減擁塞、降丟包、增補償”的多維技術手段來保障應用的極致體驗。華為獨有的全局選路智能算法，能夠實現全網負載最優，減少網絡中的擁塞點。應用級動態 QoS（Quality of Service，服務質量）技術能夠在Internet等鏈路實際可用帶寬波動導致網絡擁塞時，保障關鍵應用0丟包。而A-FEC（Adaptive Forward Error Correction，自適應冗余率的 FEC）技術可以在 30%丟包率的情況下，確保音頻、視頻應用的流暢體驗。結合設備內置 URL 過濾、IPS、反病毒等安全技術，可以有效保障業務訪問的安全性。極簡分支，智能運維SD-WAN 有效實現了 W

27、AN 和 LAN 網絡的深度融合。使用一套 iMaster NCE-Campus 控制器即可同時管理 WAN 和 LAN 設備，節約了管理平臺成本。WAN 和 LAN 一體化的零配置開局技術，能夠實現分支出口設備即插即用上線，然后分支 LAN 側的交換機、AP 等設備也能夠自動注冊免開局上線。iMaster NCE-Campus 控制器的自動化編排技術，能夠實現千量級站點分鐘級批量部署，大大提升新建分支的開通速度。結合 iMaster NCE-Campus 控制器的分析與可視技術，使得 SD-WAN 部署運維更智能、更輕松。3.2.5 終端安全3.2.5.1 ZTNA華為 ZTNA 解決方案采

28、用 SDP（Software Defined Perimeter，軟件定義邊界）技術，實現動態和細粒度的訪問控制。通過三個關鍵組件 SDP 控制器、SDP 客戶端和 SDP 網關，共同構建一個安全、可控的網絡訪問環境，確保網絡訪問的安全性。SDP 控制器是解決方案的核心，負責管理所有的身份驗證和訪問流程。通過定義和評估訪問策略，確保只有合法的訪問請求被允許。這種集中式的控制不僅提高了網絡訪問的安全性，也簡化了網絡運維，使得管理員能夠更加高效地管理和監控網絡訪問。SDP客戶端為用戶提供了一個安全訪問入口。無論是通過瀏覽器，還是專用客戶端，都可以發起SDP連接，確保用戶的訪問請求在安全通道中傳輸。

29、SDP 網關位于受保護的應用程序、服務和資源的前端，充當策略執行點。SDP 網關根據 SDP 控制器的指令，決定是否允許將網絡流量發送到目標服務，從而確保所有訪問請求的合規性。單包認證，減少暴露面SDP 遠程接入通過 SPA（Single Packet Authorization，單包授權認證）技術進行認證保護。SDP 控制器接收到客戶端的 SPA 單包認證請求后，會對其合法性進行驗證。當請求合法時，SDP 控制器通知SDP 網關針對該客戶端的 IP 地址開放指定端口。SPA 技術可以屏蔽絕大多數非法用戶的網絡攻擊，使漏洞掃描和 DDoS 等攻擊方式失效?？尚旁L問，精準溯源ZTNA 保證了數據

30、傳輸的端到端加密，只有通過了嚴格的身份認證，客戶端和安全網關之間才能建立安全的隧道連接。ZTNA 支持 C/S 和 B/S 應用，且每個應用都對應一個專屬安全隧道，保證了隧道用戶的合法性和數據傳輸的安全性。ZTNA 可以基于用戶來限制帶寬，保障了多用戶的應用使用體驗。同時，可通過終端的 Device ID 對用戶登錄和應用訪問等行為進行精準溯源。動態評估，動態授權訪問ZTNA客戶端提供了終端安全檢查能力，例如防病毒軟件檢查、弱口令檢查、軟件安裝檢查、共享目錄檢查、終端高危端口掃描檢查、注冊表路徑及屬性值檢查、終端進程路徑及屬性值檢查等，可實時感知當前終端的安全狀態。ZTNA 管理端可基于終端安

31、全狀態中的多維度信息，定義終端檢查策略，并下發到指定的用戶終端。當 ZTNA 管理端感知到用戶終端的安全狀態異常時，將通知用戶下線并提示進行安全整改，最終實現動態信任評估和動態授權訪問。3.2.5.2 智能終端安全華為終端安全的防御理念與 PPDR（Predict、Prevent、Detect、Response，預測、防護、檢測、響應）的安全防御模型完全吻合。智能終端安全作為整網安全的錨點和托底，整合了網絡安全和云端大數據安全的深度分析能力，并進行了深度協同，形成 PPDR 的多層面自適應防御閉環。華為智能終端安全產品 HiSec Endpoint 致力于在網絡空間抵御新型威脅攻擊，依托 On

32、eAgent 統一終端平臺，以小身材，撬動安全大乾坤。獨創勒索加密文件恢復獨創內核級勒索行為捕獲技術，可動態感知非受信程序的可疑文件訪問模式，如誘餌文件訪問、批量文件遍歷、修改后綴名等，實時觸發本地文件備份。支持輕量化勒索 AI 動態行為本地分析，在正確研判為勒索攻擊后，針對勒索病毒的整個進程鏈進行自動執行處置。同時，將備份文件回滾，確?；謴偷皆嘉募?，備份單文件的時長毫秒級，將文件損失數量減少到個位數或 0 損失。動靜態檢測引擎，捕獲未知威脅HiSec Endpoint 集成了華為自主研發的下一代 AV 引擎 CDE（Content-based Detection Engine，內容檢測引擎

33、），可實時掃描并發現勒索、挖礦、遠程控制等早期的惡意載荷投遞，阻止攻擊者進一步釋放有效惡意載荷。針對內核級文件實施阻斷查殺技術，在有效載荷落盤或運行前進行高速掃描，確保在惡意代碼運行前實現高查殺率。集成專有在線神經網絡等高精度 AI 算法和反躲避等技術，可檢測深度12版權所有 華為技術有限公司13版權所有 華為技術有限公司華為星河 AI 融合 SASE 解決方案白皮書隱藏、嵌套、壓縮的病毒，并具備未知病毒的檢測能力。在動態引擎上，HiSec Endpoint 獨創內存威脅溯源圖，對單終端進程樹、文件和憑據等對象訪問行為鏈進行實時捕捉，最終擬合成網狀行為“快照”?；谶@張“影子”行為圖，HiSe

34、c Endpoint 可執行毫秒級上下文關聯，覆蓋原始事件可疑信號和主機 IPS 行為打點告警，信號實時沿圖傳播匯聚。結合威脅打分和威脅根溯源算法研判，輸出高置信度惡意威脅事件，研判準確率可達 99%以上。大大消除誤報和“告警疲勞”，將未知攻擊實時阻斷閉環在終端側。海量遙測數據溯源與狩獵HiSec Endpoint 基于端云協同的創新溯源圖，為客戶提供了深度溯源與狩獵能力?？蛻舳藗韧ㄟ^高性能內存圖引擎，實現原始事件歸并，并結合白名單自學習進行過濾去重。單日單終端上報數據量小于20M，大幅降低后端存儲和事件運營成本?？蛻舳藗冗€會通過本地數據庫緩存全量的原始事件，確保100%可溯源。遙測數據實時存

35、入經過高度優化和定制建模的圖數據庫，實現百億以上原始事件的秒級 IOC（Indicator of Compromise，入侵指標）溯源能力，溯源深度大于 10 跳以上。包含可疑域名、網絡地址、MD5 和進程 UUID（Universally Unique Identifier，通用唯一識別碼）的全局檢索，可精確返回受害者終端列表，并用威脅圖呈現失陷終端事件的完整上下文。同時，提供場景狩獵功能，通過內置華為安全團隊多年積累的實戰狩獵腳本，實現自動搜索，捕獲逃避前置防御的高級威脅。高級狩獵支持開放自定義腳本，企業安全團隊可根據自身業務特點定制狩獵腳本，并添加到例行任務中，實現精準狩獵和安全守護。輕

36、量化，易部署HiSec Endpoint 的輕量級客戶端足夠輕，上報噪聲低，在主機操作系統上留下的足跡小，盡量降低對用戶業務的影響，將安全風險面收到最小?？蛻舳酥С址昼娂壟坎渴鹕暇€，閑時 CPU 占用率低于 1%，內存占用低于 60M。使用殺毒功能時，HiSec Endpoint 會根據操作系統資源占用情況進行智能退避，不對其他任務產生影響。HiSec Endpoint 基于可信進程樹、白名單自學習和威脅圖降噪專利技術，能夠在各類數據采集無損的條件下，去除80%以上的噪聲和冗余數據，單終端平均數據上報小于20MB每天。大大提升云端檢測的有效性，降低云端的存儲成本。4 關 鍵 技 術 方 案4

37、.1 Secure SD-WAN4.1.1 ZTP 開局，設備即插即用傳統分支網絡開局技術門檻高，在設備硬件安裝完成后，還需要管理員到安裝現場對設備進行軟件調試。當設備數量較多且分布較廣時，管理員需要在每一臺設備上進行手工配置，既影響了部署的效率，又需要較高的人力成本。為此，SASE 解決方案提供了 ZTP（Zero Touch Provisioning，零配置部署）部署方案，可完成端到端自動化開局流程。在新出廠或空配置的設備上電啟動時，ZTP 功能可以實現自動獲取并加載開局文件（包括系統軟件、補丁文件、配置文件等），實現了設備的免現場配置和部署，從而降低人力成本，提升部署效率。SASE 解決

38、方案支持多種 ZTP 接入方式，可以滿足不同場景下的訴求，提供分鐘級設備上線和網絡開通的能力。U 盤批量開局 推薦場景：運營商或企業在庫房中進行批量開局。方案優勢：開局現場簡單，開局人員無需任何專業技能，無需攜帶 PC 等工具。開局過程：如圖 4-1 所示，通過 U 盤將開局文件批量導入設備，集中完成開局。1415版權所有 華為技術有限公司版權所有 華為技術有限公司華為星河 AI 融合 SASE 解決方案白皮書04關鍵技術圖 4-1 U 盤批量開局過程郵件開局 推薦場景：運營商或企業站點進行現場開局。方案優勢：適用于各種接入方式和運營場景。開局現場簡單，對開局人員的技能要求低。開局過程：如圖4

39、-2所示，發送開局郵件到指定郵箱，開局人員點擊郵件中的URL，一鍵完成開局。圖 4-2 郵件開局過程DHCP Option 開局 推薦場景：有 DHCP Server 配置權限的運營商進行開局。方案優勢：站點開局即插即用，無需攜帶 PC 等工具。開局過程：如圖 4-3 所示，搭建 DHCP 服務，CPE（Customer-Premises Equipment，客戶終端設備）設備上電后自動獲取 IP 地址。圖 4-3 DHCP Option 開局過程注冊查詢中心開局 推薦場景：MSP 或企業站點進行現場開局。方案優勢：站點開局即插即用，無需攜帶 PC 等工具。開局過程：如圖 4-4 所示，CPE

40、 設備上電后自動獲取 IP 地址，然后向注冊中心發送請求，獲取控制器地址并完成注冊。1617版權所有 華為技術有限公司版權所有 華為技術有限公司華為星河 AI 融合 SASE 解決方案白皮書04關鍵技術圖 4-4 注冊查詢中心開局過程4.1.2 靈活組網，自動編排企業分支不同區域的組網需求不同，除了傳統的分支、總部通過 Overlay VPN 互訪場景，還有多數據中心的互通場景，不同區域分層組網等。WAN 組網參數需規劃 IP 地址，配置路由優先級及可靠性等參數，人工配置的效率低，易出錯，且網絡拓撲狀態無集中可視。如圖 4-5 所示，SASE 解決方案提供多種 WAN 網絡拓撲自動化編排：整網

41、路由自動編排：支持分支與分支、分支與總部的整網路由自動編排，包括站點間路由、站點內 WAN 側路由、站點內 LAN 側路由、站點雙 CPE 設備之間路由等。Overlay 自動化部署：站點開局上線后，通過控制器自動編排，可以三步實現多分支的配置，包括鄰居和拓撲創建、Overlay 隧道連接、Overlay 路由分發等。Overlay Tunnel 自動編排：支持自動創建 Overlay Tunnel 接口、Overlay IP 地址自動分配、Overlay 鄰居自動建立等。圖 4-5 WAN 網絡拓撲支持全網 Overlay 拓撲可視，實現集中網絡狀態實時監控與故障快速定界。通過查看 VPN

42、站點視圖，確認故障范圍，定義加入或移除的站點，聚焦關注區域。通過查看對應的設備和鏈路，確認故障對象，查看其健康度數據，判斷故障原因。4.1.3 智能選路，提升帶寬利用率SD-WAN 的一個重要特性是可以根據應用訴求進行智能選路。即通過實時監控網絡的質量，并兼顧WAN 網絡的整體使用效率，在多條不同網絡質量的 WAN 鏈路上，自動選擇符合應用 SLA 質量要求的網絡路徑。智能選路使用 KeepAlive 報文對鏈路質量進行檢測，并對業務報文進行丟包統計。發送端的 KeepAlive報文中攜帶了本端在該周期內收發業務報文的計數和時間戳。對端根據發送端的收發計數和時間戳，結1819版權所有 華為技術

43、有限公司版權所有 華為技術有限公司華為星河 AI 融合 SASE 解決方案白皮書04關鍵技術合自己的收發計數和時間戳，即可計算出丟包率、時延和抖動。華為 Secure SD-WAN 支持如下智能選路方案：鏈路質量選路不同應用對鏈路質量的要求不同，比如語音和視頻業務對時延、丟包率的容忍率較低，一般要求時延在150ms 以內，丟包率低于 1%。因此，可將語音和視頻業務的主選鏈路配置為 MPLS（Multiprotocol Label Switching，多協議標記交換）鏈路，備選鏈路配置為 Internet 鏈路，如圖 4-6 所示。并配置業務的 SLA 要求，按照鏈路 SLA 進行選路。圖 4-

44、6 鏈路質量選路過程 負載分擔選路如圖 4-7 所示，當企業有多條鏈路時，希望能夠充分利用鏈路帶寬，基于鏈路帶寬進行負載分擔選路。此時可配置選路調度方式為負載分擔選路。圖 4-7 負載分擔選路過程 應用優先級選路如圖 4-8 所示，如果在同一條鏈路上傳輸多種業務報文，為了優先保證高優先級應用的傳輸，在發生鏈路擁塞時，低優先級應用會避讓高優先級應用。例如，當語音、視頻和文件都在 MPLS 鏈路上傳輸時，當鏈路帶寬不足時，會優先保證語音和視頻業務不受影響。圖 4-8 應用優先級選路過程4.1.4 廣域優化，提升應用訪問體驗隨著音視頻分辨率的提升，音視頻會議和視頻監控技術應用更加廣泛，對帶寬和時延的

45、要求也在迅速增長。為了保證低延遲，減少 TCP 握手和重傳等因素的影響，這些即時通信類應用一般會選擇 UDP 作為傳輸層協議。但是 UDP 不能像 TCP 一樣保證可靠傳輸，在網絡出現丟包的時候會導致應用質量變差。例如，視頻傳輸在鏈路質量不好時的體驗會非常差，常常會導致卡頓和花屏等現象。華為基于 FEC（Forward Error Correction，前向錯誤糾正）技術，可以優化網絡出現丟包場景下的應用訪問體驗。華為 FEC 優化技術通過配置流策略的方式，對報文丟包進行優化。FEC 通過流分類攔截指定數據流，增加攜帶校驗信息的冗余包，并在接收端進行校驗。如果網絡中出現了丟包或者報文損傷，則通

46、過冗余包還原報文。如圖 4-9 所示，FEC 優化技術在發送端基于原始包，按照 RS（Reed Solomon）算法編碼生成冗余包，并將原始包和冗余包都發送到連接上。接收端根據實際收到的包，解碼恢復出丟包。2021版權所有 華為技術有限公司版權所有 華為技術有限公司華為星河 AI 融合 SASE 解決方案白皮書04關鍵技術圖 4-9 FEC 優化技術原理華為FEC優化技術有兩種，分別為D-FEC（Determined FEC，固定冗余率 FEC）和A-FEC（Adaptive FEC，自適應 FEC）。D-FEC 會按固定的冗余率生成冗余報文。為了保證在網絡丟包突然增加的場景下也不丟包，需要把

47、丟包閥值設置得比網絡最大丟包率還要高。但是，當編碼塊中的實際網絡丟包超過冗余包數量時，此編碼塊中的丟包均不能還原。A-FEC 會動態調整冗余包比例。由于 D-FEC 每個編碼塊都會生成固定個數的冗余包，因此當網絡實際丟包率不高時，會浪費帶寬。而當網絡丟包變多時，D-FEC 的冗余包數又可能不足以恢復丟包。A-FEC 對此做了改進，會根據解碼側返回的丟包信息動態調整編碼塊的冗余包數，從而解決了 D-FEC 浪費帶寬和偶爾不能恢復丟包的問題。華為 FEC 優化技術的優點：相比 TCP 的重傳機制，FEC 不需要對報文重傳，實時性高。FEC 使用 RS 算法，相比 XOR 算法的優點在于可以還原分組

48、內的多個丟包，從而抵抗網絡突發丟包。4.1.5 高性能威脅防護隨著網絡規模越來越大，數據傳輸速率越來越快，把高速的性能和最大限度的安全性有機結合在一起，有效消除性能瓶頸已經成為防火墻的一個關鍵技術點。傳統的網關類安全產品如防火墻和 UTM 等，一般都采用通用或專用的多核處理器來完成從網絡層到應用層的各種業務。由于每一個網絡層次所需要的處理機制和處理能力不盡相同，這種架構下處理器很容易成為處理瓶頸。為了打破這個瓶頸，華為 SASE網關使用網絡處理、加解密、入侵防御多種不同的加速器件，并通過全新研發的融合網關架構使之有機配合起來，實現了性能上的突破。在軟件方面，華為提供了自研的自適應引擎 ASE（

49、Adaptive Security Engine）。如圖 4-10 所示，通過基于 CPU 資源和業務流量動態調度進程，實現內容安全業務解耦，最大限度地提高資源利用率。通過組件化交付，實現各個功能獨立編譯、發布、部署、重啟和升級，快速滿足客戶需求。圖 4-10 動態分配內存示意圖自適應引擎融合自適應高性能協議棧（HPS，High-Performance Protocol Stack）可以在流模式和代理模式之間無縫切換，最大可能保持高性能的功能和用戶體驗。同時，自適應引擎架構只需做一次解析，業務并行處理，提升了業務靈活性和設備性能。TLS/SSL 代理：當前加密流量的比例越來越高，因此必須對加密

50、流量進行解密和威脅檢測。自適應引擎支持 SSL/TLS 解密代理，并結合加解密加速引擎，提供高性能的威脅檢測能力，可以對 HTTPS、SFTP、SMTPS、POP3S、IMAPS 等協議進行解密和檢測。協議解碼：設備進行內容安全處理時，需要更細粒度地觀測協議的內容，協議解碼模塊可以提供相關能力。當多個業務模塊需要協議解析時，協議解碼作為公共模塊，可以為各個上層業務提供解碼能力，并且只需在系統內做一次解碼，有效提升了性能。例如，HTTP 解析后，可以同時進行 IPS、AV、LB、Web 過濾（URL 過濾）和 WAF 等多個模塊的處理。2223版權所有 華為技術有限公司版權所有 華為技術有限公司

51、華為星河 AI 融合 SASE 解決方案白皮書04關鍵技術4.2 安全資源池4.2.1 開放平臺，支持平臺原生和第三方安全原子能力如圖 4-11 所示，華為安全資源池支持 FW、IPS、AV、SWG、ZTNA 等安全原子能力，以虛擬化方式集成第三方原子能力，實現了協同管理、兼容編排。圖 4-11 安全資源池的安全原子能力 統一引流安全資源池平臺的網絡能力由平臺原生的安全原子能力和第三方原子能力組成，來實現基于“SRv6+APN”的隧道引流方案。兼容編排安全資源池內統一以“SRv6+APN”的方式進行業務鏈編排，包括對原生能力與第三方能力兼容編排（第三方需要支持 SRv6）。避免了 PBR 多次

52、引流導致低效、配置編排繁雜等問題。協同管理華為控制器 NCE-Campus 與第三方控制器可以通過標準接口實現協同管理和編排。4.2.2 資源池化，安全業務彈性擴容超寬帶時代正在來臨，社交網絡、P2P 和多媒體等業務快速增長，這對未來網絡提出了近乎無止境的帶寬需求。因此，大容量和優異的彈性擴縮，以及按需無損擴容也是安全資源池的重要能力之一。如圖 4-12 所示，安全資源池支持 Scale-out 橫向擴容方案，突破物理邊界，支持無損擴容。容量與性能支持線性擴容，突破了單機設備容量與性能限制，實現了按需擴容。支持小步長擴容，避免資源空置。同時，控制平面和轉發平面支持獨立擴容，按需配置資源。圖 4

53、-12 安全資源池彈性擴容華為安全資源池避免了 Scale-up 縱向擴容方式帶來的問題，如擴容資源利用率低，單機擴容容量有上限等。華為安全資源池具有以下優勢：支持超大容量、超大帶寬：分布式架構，突破單機設備容量和帶寬上限。支持無損擴容：自動化資源編排和業務動態發放，避免Scale-up擴容重啟帶來的業務遷移與業務中斷，降低擴容復雜度。支持按需、小步長擴容：通過管控分離和資源池化技術，避免傳統方式擴容后資源利用率下降，實現按需付費 PAYU（Pay As You Use），避免資源空置。4.2.3 靈活編排，提升安全業務轉發效率華為安全資源池采用分層業務鏈方案，實現安全業務與網絡編排解耦，網絡

54、不感知具體的安全服務。采用 SRv6+APN6 方案，網絡控制器將安全資源池不同 BSID 映射為不同的業務鏈策略。安全資源池內根據 APNID 來識別租戶信息，并映射到安全業務鏈，實現安全業務的靈活編排。2425版權所有 華為技術有限公司版權所有 華為技術有限公司華為星河 AI 融合 SASE 解決方案白皮書04關鍵技術項目傳統方案：PBR 策略編排創新方案：SRv6 業務鏈編排和配置的復雜度高 編排復雜：每個 VAS 逐跳配置 PBR。配置量大：租戶需要給每個VAS配置接口、ACL 策略和 PBR 策略。低 編排簡單：起始端設備一次性業務鏈編排，中間節點不需要逐跳配置。配置量?。菏褂?AP

55、NID 區分租戶，無需基于租戶分配接口。轉發性能低 轉發效率低，時延大：流量需來回發送給不同 VAS 清洗，轉發效率低。每個VAS引流均需執行策略匹配，性能差：一次策略匹配會導致轉發性能下降約 10%。高 流量按照業務鏈路徑逐個 VAS 清洗，不需要來回轉發。無論多少 VAS，只需在引流側做 1 次 ACL匹配。資源消耗和成本高ACL 和接口資源占用多，服務器 CPU 和內存消耗多。VGW 反復轉發流量帶寬消耗大。低 無需為租戶配置接口。CPU 和網卡資源消耗是 PBR 方式的四分之一。VGW 只做一次流量轉發，其帶寬消耗小。4.2.4 極高可靠，業務穩定性高對于大容量安全資源池，高可靠性永遠

56、是網絡必不可少的重要需求，一個可靠的網絡系統，能夠保證長期的正常運轉，在極低的概率情況下才出現故障，并且能夠及時的上報故障并快速排除。高可靠性的設備和可靠性技術是保證以上可靠性的基礎，業務永遠能正常運行，為用戶創造良好的使用體驗。華為安全資源池提供了高可靠能力：管理面：三副本冗余，提升系統可靠性?？刂泼妫篘SR 主備冗余，路由不中斷。數據面：主備單點故障保護提升為 N-way 多點故障保護，達到電信級可靠性（99.999%）。多租分片混排實現租戶隔離。4.3 乾坤安全運營4.3.1 統一管理界面和網安數字地圖，提升客戶體驗華為 SASE 解決方案管控平臺統一了網絡、安全和用戶數據模型，提供統一

57、管理界面?；诎踩录?、資產狀態、網絡拓撲和流量全局可視的數字地圖，是網安數字孿生的可視化表達，可作為 SASE 運營運維的入口，有效提升 SASE 運營運維效率。網安數字地圖基于網安協同能力，構筑核心功能特性。網安協同能力 多分支安全防護：分支和總部 WAN 側部署 SASE 網關，增強分支和外部網絡、分支之間的安全防護能力，支持分支之間、分支和總部之間的擴散風險識別。高精溯源能力提升：將園區網絡設備或準入認證識別到的終端信息同步到資產管理，并關聯威脅事件?；谕{事件可快速定位到風險資產，或者基于風險站點快速查找到風險資產分布和高風險資產（包括位置、用戶、類型、失陷時間等信息）。鏈路風險可

58、視：通過識別網絡鏈路，支持鏈路風險可視，包括站點到應用、資產到應用、站點到站點、資產到站點、資產到資產等，便于路徑的風險診斷和攻擊鏈路溯源。結合安全風險指標分析網絡體驗：安全風險指標可協助網絡運維人員分析存在的體驗問題。例如，排查是否存在主機頻繁外聯，導致網絡體驗變差的問題。接入風險資產控制：ZTNA 場景下，對于特定風險的資產進行 ACL 策略控制，如基于資產的風險標簽和風險評分，控制資產的訪問范圍和接入權限。全網風險可視 全網風險實時監測：網安數字地圖服務基于乾坤安全服務平臺和 NCE-Campus 統一架構，支持對客戶的站點和資產等資源對象進行風險統一建模，評估風險嚴重等級，實時監測網絡

59、中存在的安全風險問題。全網風險一圖可視：基于數字地圖的 GIS 地圖和網絡拓撲，對客戶的站點和資產等資源對象的網絡狀況和風險一圖可視。全網風險一鍵處置：基于數字地圖的風險視圖提供站點風險評分排序、風險標簽等風險指標，可以確認風險處置優先級，快速定位到風險對象，進行風險的一鍵處置。4.3.2 威脅事件自動化處置，提升運維效率企業環境日益復雜，事件數量增加，大量低價值和重復告警造成警報疲勞。事件需要手動操作，涉及設2627版權所有 華為技術有限公司版權所有 華為技術有限公司華為星河 AI 融合 SASE 解決方案白皮書04關鍵技術備種類多，團隊配合缺乏自動化。如圖 4-13 所示，華為 SASE

60、解決方案管控析平臺集成的威脅響應和處理流程，可以實現威脅事件自動處置閉環。圖 4-13 安全分析與處置中心威脅分析處理中心獲取業務數據后，與威脅檢測、事件分析與響應、安全管理等模塊配合，完成自動化分析和安全響應。在自動化分析中，通過威脅圖基線、異常檢測算法、研判規則、多維資產風險評分建模、高階威脅信息提取和利用技術、大模型輔助運營的應用等，安全事件自動化處置率 99%，提升運維效率。4.3.3 一體化聯動檢測，云網端協同快速閉環如圖 4-14 所示，依托云邊端一體化聯動方案，提供失陷主機一鍵處置，主機網絡威脅全網封堵，威脅事件云網端協同檢測的能力。圖 4-14 一體化聯動檢測 HiSec En

61、dpoint 與 SASE 網關自動關聯客戶已開通邊界防護及響應服務，并在終端 PC 或者服務器上安裝 HiSec Endpoint Agent。該主機會與SASE 網關自動匹配，無需人工干預，免去客戶的關聯配置工作。協同檢測相較于單獨的流量檢測或者主機病毒檢測，通過邊界防護與終端防護進行協同檢測，可以將惡意流量檢測與主機異常行為識別結合。檢測更快、更準，全量覆蓋熱門挖礦家族和幣種，勒索檢測覆蓋上百個ATT&CK（Adversarial Tactics,Techniques and Common Knowledge，對抗戰術、技術和常識）攻擊路徑，檢測更全面。主機威脅全網封堵當智能終端安全服務

62、識別到主機存在暴力破解、異常登錄和橫向擴散等網絡威脅時，通過與邊界防護與2829版權所有 華為技術有限公司版權所有 華為技術有限公司華為星河 AI 融合 SASE 解決方案白皮書04關鍵技術響應服務聯動，支持聯動網絡邊界的 SASE 網關設置 IP 黑名單，對攻擊地址進行一鍵封禁，實現全網攻擊免疫。失陷主機一鍵處置當邊界防護與響應服務發現存在惡意流量的失陷主機時，通過聯動智能終端安全服務進行一鍵處置，分鐘級閉環主機風險。終端細粒度響應包括文件隔離和刪除、進程終止、定時任務清除、注冊表恢復、感染文件恢復、勒索備份回滾等。4.4 終端安全4.4.1 ZTNA4.4.1.1 單包認證，減少威脅暴露面

63、SPA（Single Packet Authorization，單包授權認證）是“信用”-“認證”-“連接”的信用檢查機制，其原理是在建立連接之前驗證接入終端的合法性。只有被信任的終端才能與 SDP 控制器建立連接，并繼續后續的認證過程，未授權的終端不能訪問認證端口。在完成同 SDP 控制器的鑒權后，向 SDP 客戶端返回相關應用信息和 SDP 網關信息，并向 SDP 網關下發被信任的終端表項。后續 SDP 客戶端向 SDP網關發起應用訪問時，SDP 網關會先檢查是否為可信終端，在明確為可信終端后才會建立隧道鏈接。通過應用 SPA 單包認證，可以有效防止對代理和內部服務的漏洞掃描、漏洞探測攻擊

64、和弱口令破解攻擊等。技術原理圖 4-15 單包認證技術原理1.如圖 4-15 所示，SDP 客戶端向 SDP 控制器發起 SPA 認證，將所有必要信息集成在單個 UDP數據包里。在完成 SPA 單包認證后，發起用戶認證。2.SDP 控制器進行終端和用戶身份信息校驗。3.鑒權成功后，通知 SDP 客戶端可訪問的應用列表和 SDP 網關信息，通知 SDP 網關可信終端信息和開放服務信息。4.SDP 客戶端發起隧道鏈接，用于承載后續應用訪問。在該隧道協商中會攜帶相關可信資產信息，SDP 網關再進行應用訪問的 SPA 判斷，即該隧道鏈接為可信終端發起則建立相關應用隧道。5.隧道鏈接建立完成，轉發應用報

65、文到真實的服務器。技術優勢1.SDP 客戶端為每個終端生成唯一的 Device ID 字段，避免了在源 NAT 情況下，單一客戶端通過認證后，其他機器無需認證即可訪問服務器的情況。2.SDP 客戶端和 SDP 控制器基于 UDP 的 SPA 認證，自定義 UDP 報文的長度小且面向無連接，對系統資源消耗也更低，提高了服務器的可用性。UDP 無狀態維護和擁塞控制，在高速穩定的網絡環境中通信效率更高。3.SDP 客戶端和 SDP 網關基于隧道協商報文的 SPA 認證，通過 TLS Option 選項或 TCP Option 選項進行 SPA 認證，將 SPA 認證融合在處理應用的業務報文前期，避免

66、不必要的端口暴露和業務開銷。4.認證環節 SPA 端口和認證端口分開，利用 UDP 縮小服務器對外暴露面，減少開放不必要的TCP 對外端口。應用業務環節，利用加密通道建立過程進行 SPA 認證，減少不必要的端口暴露和業務處理。4.4.1.2 動態環境感知，動態授權訪問零信任與 VPN 最大的區別之一在于零信任拋棄了傳統靜態授權機制，采用了動態授權的權限機制。通過周期性感知環境風險、終端風險、用戶異常行為風險，評估用戶信任狀態。用戶信任狀態評估支持通過安全評分、風險等級以及信任等級來表現，一旦發現用戶信任狀態降低，立即收斂用戶應用訪問權限，甚至立即切斷用戶訪問。當實體可信度恢復后，再放開其應有的

67、業務權限。3031版權所有 華為技術有限公司版權所有 華為技術有限公司華為星河 AI 融合 SASE 解決方案白皮書04關鍵技術技術原理圖 4-16 動態授權訪問技術原理1.如圖 4-16 所示，在 SDP 客戶端發起認證來獲取訪問授權時，SDP 控制器可根據多項信息來判斷該用戶是否通過認證，以及通過后又可以獲得多少訪問權限。2.SDP 控制器可以根據地理位置屬性實施策略控制。當用戶位于企業內網時，可以獲得所擁有的最大訪問權限。當用戶在出差或者居家辦公時，訪問策略將動態調整為不允許訪問關鍵信息資產。此時，該用戶無法在外網訪問到對應的應用。3.SDP 客戶端獲得對應授權之后，需要持續進行風險監測

68、及評估。在訪問應用的過程中，如果終端環境或者用戶行為發生了風險，訪問策略將立即動態調整至當前安全狀態下的最小授權。當風險解除后，對應策略也將及時恢復。4.SDP 控制器除了基于自身能識別到的風險信息動態調整策略，還可以與其他的威脅檢測設備或行為分析部件對接，接收對應的風險識別結果，用于策略的動態調整。技術優勢SDP 客戶端提供豐富的終端安全檢查能力，可以實時感知當前終端的安全狀態，如防病毒軟件檢查、弱口令檢查、軟件安裝檢查、共享目錄檢查、終端高危端口掃描、注冊表路徑及屬性值檢查、終端進程路徑及屬性值檢查等?；诮K端安全狀態的多維度信息定義終端檢查策略，下發到指定的用戶。當感知到用戶終端安全狀態

69、異常時，通知用戶下線，并進行相關安全整改。SDP 控制器通過對接態勢感知平臺，具備網絡環境動態評估能力。態勢感知平臺通過獲取當前網絡流量變化、網絡威脅事件和終端威脅事件等進行網絡安全風險評估，根據網絡安全風險評估值的變化，可動態調整用戶相關策略。4.4.2 智能終端安全4.4.2.1 多層勒索縱深防御，加密文件無損恢復傳統的防御手段面對復雜的勒索攻擊鏈條時往往束手無策。為了徹底控制、根除勒索軟件攻擊帶來的影響，我們需要通過攻擊可視化技術和深度溯源技術直接還原攻擊入口，助力定位根因，構建完整攻擊故事線，發現真實攻擊意圖，如圖 4-17 所示。復盤企業信息系統弱點，多層次修復攻擊面，構建更完善的勒

70、索防御體系。圖 4-17 華為高級勒索防御方案的核心技術 NDR 高級入侵線索發現邊界突破是未知勒索軟件進入目標系統的關鍵環節，外聯 C&C 通信是控制目標系統的重要手段。傳統的IPS 和 IDS 設備僅能解決已知攻擊檢測，例如 N-day 漏洞、常規暴力破解、已知家族 C&C 信息等，面對 0-day 漏洞和占比日益增加的加密流量攻擊卻束手無策。IOA 高級威脅檢測引擎對于繞過邊界防御的勒索軟件攻擊，華為 IOA（Indicator of Attack，攻擊指標）行為檢測引擎可以做到毫秒級實時檢測終端上的異常行為模式。通過華為獨創的內存威脅溯源圖與網絡側的攻擊線索實時深度聯動，以及泛化能力極

71、強的圖因果關聯模型、時序關聯模型、時間關聯模型、統計關聯模型等，可以精準研判 0-day 漏洞利用成功、PowerShell 攻擊投遞、釣魚入侵成功等高級無文件攻擊場景，并精準識別威脅子圖和威脅實體。通過 XDR（Extended Detection and Response，擴展檢測和響應）與網關、終端聯動，毫秒級切斷攻擊執行鏈路。對于已經執行起來的勒索軟件載體，同樣通過獨創的內存溯源圖，以及啟發式的方式鎖定威脅根節點，組合流行勒索軟件家族專家深度分析，高維度泛化抽象加上大數據挖掘的關鍵因果鏈條，疊加信任傳播算法和華為第三代靜態文件檢測引擎，可有效實現對勒索軟件變種和未知勒索軟件加密前的實時

72、精準研3233版權所有 華為技術有限公司版權所有 華為技術有限公司華為星河 AI 融合 SASE 解決方案白皮書04關鍵技術判。同時，基于威脅根節點毫秒級自動處置攻擊鏈條，緩解勒索軟件攻擊帶來的影響。內核主動誘捕技術為了從戰術上扭轉攻防對抗的不對等性，變被動為主動，HiSec Endpoint 產品基于內核級主動誘捕技術，可以在用戶正常辦公和業務無感知狀態下全天候自動守護，保護客戶關鍵數據資產免受損失。誘捕部署在攔截攻擊的必經之路，捕獲勒索加密第一跳。誘捕全面數據采集，打破攻擊透視能力天花板。內核級快速精準研判，鎖定威脅實體。內核級毫秒級處置，用戶數據接近零損失。在華為乾坤未知勒索攻擊測評中，

73、基于主動誘捕技術，HiSec Endpoint 產品對未知勒索文件攻擊覆蓋率可達 99.99%，實現毫秒級處置響應。結合輕量級備份恢復機制，保障用戶關鍵數據資產零損失?？缬蚬翩溸€原為了幫助客戶一鍵完成深度清理并看清攻擊入口，降低安全運營繁重的人力投入，華為 XDR 做出如下創新：跨終端、異構數據時空關聯還原事件全貌，構建完整可視化進程鏈。構建攻擊逃逸知識庫，有效應對攻擊路徑碎片化。從終端失陷溯源可視化、攻擊影響面可視化、完整攻擊故事可視化等多視角提供每個威脅攻擊過程的高度可視化。結合威脅信息、漏洞信息、沙箱等，組合 IOA+IOC+AI+UEBA（User and Entity Behavi

74、or Analytics，用戶和實體行為分析）等全面精準研判攻擊，實現威脅一鍵自動處置，并以可視化的方式定位根因。勒索加密文件恢復HiSec Endpoint 產品內置終端輕量級備份恢復機制作為兜底方案?？稍跈z測到勒索攻擊后，將被加密文件準確恢復至加密前的狀態，并清理勒索信等垃圾文件，實現無損回滾。該機制具有如下特點：存儲資源占用?。罕炯夹g是按事件觸發備份，只有當關鍵文件修改事件發生時，內核層才會將該文件備份到保護區內。實時備份：當檢測到勒索程序后，本技術可以將文件準確恢復到被加密時間之前的點，不會有文件版本差異。自動化：當檢測到勒索程序后，本技術可以自動恢復用戶被加密的文件，無需用戶手工選擇

75、備份版本恢復。4.4.2.2 深度分析，檢測高級威脅遠控檢測一次成功的遠控木馬上線，包括初始入侵、隱蔽和提權、惡意功能執行等幾個階段。HiSec Endpoint 通過對各階段典型技術的重點覆蓋，可實現單點檢測，并通過威脅圖引擎進行攻擊上下文關聯分析，實現遠控木馬的精準檢測。HiSec Endpoint 針對隱蔽和提權階段廣泛使用的 shellcode 和進程注入關鍵技術進行了重點突破。白加黑遠控檢測病毒借助知名程序加載帶有惡意代碼的 DLL 文件，便可繞過殺毒軟件的主動防御，從而達到正常加載運行病毒的目的。如果第三方軟件在編寫時，沒有對調用的 DLL 文件進行校驗，那就很容易被木馬利用，產生

76、 DLL 劫持。HiSec Endpoint 通過對系統的重要指令打點，深度監控白加黑遠控木馬的關鍵行為。通過基于細粒度指令流分析，獲取惡意行為鏈上的關鍵組件，結合異常檢測和智能行為分析，解決了白加黑木馬利用信任程序繞過終端安全軟件防護的問題?？梢跃珳拾l現惡意 DLL 文件，具有高檢出、低誤報的特點。進程注入檢測進程注入是在另一個進程的地址空間中執行任意代碼的一種方法。目前，進程注入技術多變，但均可映射到獲取和創建進程、注入代碼寫入、注入數據執行這三個階段。HiSec Endpoint 通過 Hook 各個階段的關鍵API，并在數據采集引擎內部嵌入部分檢測過濾邏輯，可以避免正常事件大量上送帶來

77、的效率問題。無文件攻擊檢測無文件攻擊給傳統安全軟件的檢測帶來了極大的挑戰。特別是對靜態檢測引擎來講，在整個攻擊過程中，能用于掃描的文件惡意代碼成分比較少，真正的惡意部分都直接在內存中執行，所以對抗類似的現代威脅需要新的思路和產品。攻擊者往往不在文件層面存放惡意代碼，而是將真正的惡意代碼存放在網絡服務器中，或者存放于本地的加密文件。運行時，利用 shellcode 從網絡下載，或者讀取本地文件解密后，直接在內存中執行。HiSec Endpoint 產品使用以下關鍵技術檢測無文件威脅：腳本基線和 AMSI 檢測學習腳本宿主如 wscript、jscript、PowerShell 的行為基準，在發生

78、高度疑似系統破壞行為時，即時終止惡意腳本。實時進程行為檢測在內核層和應用態關鍵函數上打點，即時檢測各種進程注入技術，如遠程線程、APC注入、線程上下文修改、進程挖礦、反射 DLL 注入等。深度內存分析3435版權所有 華為技術有限公司版權所有 華為技術有限公司華為星河 AI 融合 SASE 解決方案白皮書04關鍵技術切斷無文件威脅進入內存的關鍵路徑 shellcode，并可利用內存陷阱技術實時抓取黑客的控制服務器。即使有漏網之魚，還可利用深度內存掃描兜底，快速掃描程序惡意內存塊，精確識別惡意程序家族。漏洞檢測智能終端安全服務可以防范客戶端重要軟件的漏洞，還可以防范操作系統遠程 RCE 漏洞，各

79、種利用UAC（User Access Control，用戶訪問控制）、管道、令牌等的提權漏洞。服務器層面還可以防護流行的反序列化漏洞，例如如 Log4j、JNDI 注入漏洞和 SQL 注入漏洞等?；诎谆€檢測HiSec Endpoint 針對 0-day 漏洞攻擊構建了基線防護策略。對于容易被漏洞利用的應用或進程，學習其正常運行時的行為特點，以構筑正常運行特征畫像。當 HiSec Endpoint 監控到行為不符合正常特征畫像時，將上報告警，并結合其他可疑信息研判攻擊的真實性。同時支持實時溯源被漏洞利用的程序，并完成處置動作。該方案利用基線上下文信息進行研判，可以顯著降低誤報，而且對系統的影

80、響是非侵入式的，不會干擾正常業務運行。HiSec Endpoint 可以準確地捕捉 0-day 漏洞攻擊初期的可疑行為，并自動結合其他可疑行為聯合研判漏洞攻擊，顯著降低誤報。確認攻擊后，完成處置和事件上報，使得組織免受漏洞攻擊?；跅；厮莸臋z測調用棧能夠清晰反映程序的執行過程，還原 API 調用序列及其上下文。通過識別異常的調用序列，HiSec Endpoint 能夠在漏洞利用早期及時發現攻擊行為?；跅；厮莸穆┒蠢脵z測能有效檢測未知攻擊，并在漏洞利用早期階段及時阻斷攻擊行為。檢出攻擊的同時，根據獲取到的攻擊調用棧，能夠精確還原相關過程，支持后續溯源取證。內核態漏洞攔截HiSec Endpo

81、int 可以監控內核層，實時截獲細粒度指令流，及時阻斷遠程 RCE 漏洞。確保用戶系統不會遭受嚴重威脅，例如類似 Wannacry 這種利用操作系統 RCE 漏洞進行快速傳播的威脅。重要應用程序的漏洞檢測通過深入分析現網流行漏洞的實際案例，HiSec Endpoint 對漏洞攻擊中常用的攻擊手法做了重點監控，例如啟動可疑下載進程、釋放可疑文件、執行無文件攻擊等?；谧匝械膬却鎴D溯源引擎檢測單跳和多跳可疑漏洞攻擊，可鎖定攻擊入口，并支持實時阻斷，覆蓋重要應用程序。HiSec Endpoint 可以在漏洞攻擊初期迅速感知并阻斷可疑行為，避免真實攻擊意圖展開后造成不可挽回的損失。對于未知漏洞檢測，具

82、有較好的感覺和防護效果，可有效保障企業和組織的終端免受 0-day 漏洞的攻擊威脅。4.4.2.3 安全溯源，提供快速調查狩獵能力各種檢測規則和算法模型會導致現網產生大量告警，如何核實攻擊的真實性，評估攻擊影響，確定攻擊源頭，是每一個安全團隊都必須回答的問題。大型企事業單位需要例行對企業網絡進行狩獵和巡檢，以捕獲突破前置防御的高級威脅，或發現不恰當的網絡配置和訪問行為。HiSec Endpoint 基于端云協同的溯源圖數據分析管道，以及高性能的圖數據庫底座，為客戶提供自動和手動能力對事件進行調查狩獵。37版權所有 華為技術有限公司05典型應用場景36版權所有 華為技術有限公司5 典 型 應用場

83、景華為星河 AI 融合 SASE 解決方案面向多分支場景上網上云的組網和安全。針對用戶群組、終端類型、訪問應用和 SaaS 權限、接入地點等，統一控制接入策略。并結合安全風險感知，持續驗證接入連接合規，實現零信任精細化訪問控制的防護效果。在企業和運營商場景下，SASE 解決方案可以提供有競爭力的方案組合和一站式服務能力。5.1 企業客戶典型場景如圖 5-1 所示，基于企業客戶不同需求場景，劃分為終端安全接入、分支安全互聯、數據中心安全、統一安全運營等。根據場景安全等級要求，疊加組合，按需部署，提供統一的終端安全、分支安全、數據中心防護、統一安全運營的一體化安全能力。圖 5-1 企業客戶典型場景

84、 終端安全接入如圖 5-2 所示，提供對企業辦公和遠程接入終端的零信任接入及終端防護能力，保證終端安全接入企業網絡，終端關鍵數據不會被勒索和竊取。圖 5-2 終端安全接入場景 分支安全互聯如圖 5-3 所示，提供企業分支和總部通過 SD-WAN 網絡連接到數據中心的能力，提供訪問 Internet 和SaaS 邊界隔離的安全防護能力，保證企業數據網絡加密傳輸和訪問應用的安全體驗。圖 5-3 分支安全互聯場景3839版權所有 華為技術有限公司版權所有 華為技術有限公司05典型應用場景華為星河 AI 融合 SASE 解決方案白皮書 數據中心安全如圖 5-4 所示，提供對企業數據中心邊界隔離和數據中

85、心服務器的安全防護能力，保障數據中心應用數據的訪問策略安全，保障數據安全，防止勒索和竊取發生。圖 5-4 數據中心安全場景 統一安全運營如圖 5-5 所示，提供對企業網絡及安全能力的統一可視化能力。提供網絡和安全事件的實時采集和分析，并對安全事件做自動化 SOAR 關聯響應處置，保證安全風險不擴散。圖 5-5 統一安全運營場景5.2 運營商和 MSP 典型場景如圖 5-6 所示，基于運營商和 MSP 的不同需求場景劃分，可提供安全專線服務、安全 SD-WAN 服務、安全 SSE 服務、終端安全服務等。根據客戶場景安全等級要求，疊加組合，可按需提供訂閱服務。提供專線、組網、云服務等網絡和安全的建

86、設及管理，實現代建、代管、代維的一站式服務能力。圖 5-6 運營商和 MSP 典型場景 Managed 安全專線為 NA 專線客戶，如政府、金融、能源和電力等相關企業，提供企業專線邊界防護和集中安全分析。Managed 安全 SD-WAN為企業多分支場景，如購物中心、超市和連鎖店，提供靈活的 SD-WAN 網絡連接、安全的企業邊界互聯網訪問，并由企業進行管理。Managed SSE提供 POP 邊緣+多云互聯+SSE 安全服務，覆蓋所有云端和按需的網絡安全服務訂閱，適用于沒有數據中心并使用公共云服務的中小企業。Managed 終端為企業提供終端安全訪問和終端安全防護能力，覆蓋企業園區和遠程終端

87、，如零信任終端、終端數據安全和防勒索服務。41版權所有 華為技術有限公司06術 語40版權所有 華為技術有限公司6 術 語英文縮寫英文全稱中文全稱A-FECadaptive FEC自適應冗余率的 FECAIartificial intelligence人工智能ASEadaptive security engine自適應安全引擎ATT&CKAdversarial Tactics,Techniques and Common Knowledge對抗戰術、技術和常識BGP EVPNborder gateway protocol ethernet virtual private network邊界網關協

88、議以太網虛擬私有網絡CASBcloud access security broker云訪問安全代理CDEcontent-based detection engine內容檢測引擎CPEcustomer-premises equipment客戶終端設備D-FECdetermined FEC固定冗余率的 FECEDRendpoint detection and response端點檢測和響應EPPendpoint protection platform終端防護平臺EVPNEthernet VPN以太 VPN英文縮寫英文全稱中文全稱FECforward error correction前向錯誤糾正FW

89、aasfirewall as a service服務化部署的防火墻HPShigh-performance protocol stack高性能協議棧IDSintrusion detection system入侵檢測系統IKEInternet key exchange互聯網密鑰交換IoTInternet of things物聯網IOAIndicator of Attack攻擊指標IOCindicator of compromise入侵指標IPSintrusion prevention system入侵防御系統LANlocal area network局域網MEFmetro ethernet for

90、um城域以太論壇MLmachine learning機器學習MPLSmultiprotocol label switching多協議標記交換MSPmanaged service provider管理服務提供商MSSPmanaged security service provider托管安全服務提供商NACnetwork access control網絡準入控制OSoperating system操作系統POPpoint of presence入網點PPDRpredict,prevent,detect,response預測、防護、檢測、響應QoSquality of service服務質量42版

91、權所有 華為技術有限公司華為星河 AI 融合 SASE 解決方案白皮書英文縮寫英文全稱中文全稱RRroute reflector路由反射器SaaSsoftware as a service軟件即服務SASEsecure access service edge安全接入服務邊界SDPsoftware defined perimeter軟件定義邊界SD-WANsoftware-defined WAN軟件定義廣域網SLAservice level agreement服務水平協議SPAsingle packet authorization單包授權認證SRv6Segment Routing IPv6基于

92、IPv6 轉發平面的段路由SSEsecurity service edge安全服務邊緣SSLsecure socket layer安全傳輸層SWGsecure web gateway安全 Web 網關UACuser access control用戶訪問控制UEBAuser and entity behavior analytics用戶和實體行為分析UUIDuniversally unique identifier通用唯一識別碼VPNvirtual private network虛擬專用網絡WAFweb application firewallWeb 應用防火墻WANwide area netw

93、ork廣域網XDRextended detection and response擴展檢測和響應ZTNAzero trust network access零信任網絡訪問ZTPzero touch provisioning零配置部署華為技術有限公司地址：深圳市龍崗區坂田華為總部辦公樓郵編：518129網址：https:/客戶服務郵箱：客戶服務電話：4008302118主編劉曄于頎談晶鄭玉飛張光明閆廣輝陳立健徐志超易蜀鋒徐穎徐新海張淑敏呂睿李世光張華濤編 委 會馬燁梁躍旗蔡駿曹同強劉丙雙高金鎖徐永強參編人員（排名不分先后）譚雯朱清亞向虹媛焦麗娟賁永明李林松魏仁政孟繁庫賈蘊豪劉柱趙棟楊王祥光劉高峰徐梓萌鄭凱麗謝賽雨彭陽程煒陳姝楊曉芬湯海燕葛馬駿金芙奇黃詩月王君楠編寫單位華為技術有限公司