《华为设备功能总结.docx》由会员分享,可在线阅读,更多相关《华为设备功能总结.docx(35页珍藏版)》请在三一办公上搜索。
1、L网络管控&分析软件(致力实现网络全生命周期自动化与智能化)1.1.园区自动驾驶网络管理控制系细iMasterNCE-Campus是华为面向园区网络的新T弋自动驾驶网络管理控制系统,是集管理、控制、分析和AI智能功能于一体的网络自动化与智能化平台,提供园区网络的全生命周期自动化、基于大数据和Al的故障智能闭环能力,帮助企业降低OPEX运维成本,加速企业云化与数字化转型,让网络管理更自动、网络运维更智能。网络部署自动化设备即插即用,分钟级网络发放;端到端VxLAN网络自动化部署,业务隔离,一网多用;LAN-WAN融合,统一管理,统一监控,端到端业务保障业务策略自动化海量终端准入认证,随时随地接入
2、,业务随行,体验随身;智能识别终端,策略自动匹配,终端即插即用;基于用户、业务优先级的多级QoS层次化调度智能运维每用户每应用每时刻全旅程体验可视;主动问题识别、分钟级故障定位、智能故障预测;无线网络信道冲突评估,预测性调优,提升整网性能50%+特性描述网络极提供APP扫码开局、DHCP开局、注册查询中心开局、邮件开局简部署等网络设备即插即用方式,适应不同的网络场景,通过图形化界特性描述面实现网络规划和部署,分钟级网络发放,大幅度降低网络部署难度,缩短网络建设周期。虚拟网络业务自动化发放 基于VxLAN的虚拟网络自动化部署能力,支持基于GUI的Fabric规划、配置和发放功能,端到端VxLAN
3、网络自动化部署,实现业务隔离、一网多用。 业务可视化配置,提供基于拓扑的虚拟网络配置和监控,实时查看业务下发状态。 基于BGP-EVPN协议,支持自动建立VXLAN隧道。 支持集中式/分布式VXLAN网关方案,弹性扩展,灵活高效。SD-WAN融合管理 应用EVPN.云计算等技术,实现企业总部到分支、分支到分支的专线业务自动化部署能力,为企业快速提供云化专线管理服务,同时帮助企业降低OPEX,加速.业务上云与数字化转型。 企业分支互联专线业务自动化部署,支持业务策略、增值服务编排和VPN动态连接等全业务的自动化配置,简化分支网络部署复杂度。 应用体验优先,支持基于带宽&链路质量综合选路。 可视化
4、运维,全网应用流量可视,支持应用&链路的可视化管理,全网状态可视,实时掌控网络状态,提升运维效率。多租户管理 基于物理共享、逻辑隔离的云化管理模型,支持基于用户角色、区域的多租户管理,为企业用户提供灵活的分权分域管理。 支持系统管理员、MSP(ManagedServiceProvider,管理服务提供商)、租户三级用户管理模型,系统管理员负责整个平台的管理和运维;MSP管理员则可以创建下属租户,并支持为租户提供代建代维服务;租户管理员对自己的网络部署、运维负责,也可以指定本租户的网络由MSP代维。 支持分权分域,在三级用户管理模型中,可基于管理员的角色、站点等设置不同的管理员,提高网络管理的安
5、全性。 租户之间彼此业务不可见,各租户的数据端到端隔离,在数据库中通过租户标识区分租户的数据,有且只有租户所属管理员才能访问其数据,最大程度保证租户的数据安全。用户接引入新的认证协议HTTP2.0协议,支持海量网络设备管理和特性描述人认证用户网络准入认证功能,提供802.Ix认证、POrtal认证、短信认证、社交媒体认证等多种用户接入方式,满足接入用户策略管控需求,有效提高网络的安全性。支持用户与IP解耦,随时随地接入网络并保持权限一致,做到业务随行,体验随身,满足权限管控需求的同时,有效保隙用户体验。终端智能识别内置终端指纹库,通过智能识别,多种识别方法综合运用,大幅度提高终端类型识别的准确
6、率,海量IoT终端智能接入,策略自动匹配,自动下发,IoT终端即插即用。智能HQoS支持基于用户、业务优先级的多级QoS层次化调度能力,实现不同用户,不同应用,有不同的策略,带宽策略管控更精细,更有效保障用户的接入体验。智能运维 基于GIS地图的网络监控、网络巡检、健康度评估等手段,实时监控设备告警,提前感知网络情况,提前预防;出现问题后,提供多种问题定位手段,快速定位问题,实现快速修复故障; 基于每区域、每用户、每应用的实时体验可视,实现故障可回溯,快速智能定界问题设备,分析质差根因; 通过终端持续训练的AI算法进行主动问题识别、分钟级故隙定位、智能故障预测,能识别出90%的网络潜在问题,并
7、给出有效的修复建议;实时评估无线网络信道冲突情况,进行无线网络的预测性调优并查看调优前后的增益对比,提升整网性能50%+。能力开放提供遵循RESTful协议的北向API接口,包括用户管理、拓扑管理、准入认证、业务配置、性能监控等170+接口,携手30+合作伙伴共同发布30+行业应用,大幅度简化与第三方系统的集成,缩短业务上线时间。数据中心自动驾驶网络管理控制系自iMasterNCE-Fabric控制器是华为CIoudFabric数据中心网络解决方案的核心组件,可实现对多个本地数据中心及公有云网络资源的统一控制和动态调度,快速部署云业务,支持企业云业务高速发展。iMasterNCE-Fabric
8、采用开放架构,支持开放丰富的标准接口,北向可提供独立业务发放UI,并支持与业界主流OPenStaCk云平台、Kubernetes容器编排平台实现L2L7层对接,南向支持管理物理交换机、虚拟交换机、防火墙等物理和虚拟网络设备,支持通过驱动加载方式实现异构网络设备管理。通过北向接口接收以用户为中心的业务诉求,并将其智能转换为具体网络配置、仿真校验、批量下发,实现网络自动化及智能化。iMasterNCE-Fabric提供高可靠集群能力,系统采用负载分担方式对南北向业务进行处理,同时支持主备集群部署,实现异地容灾,满足数据中心业务的高可靠性要求。网络E2E自动部署 ZeroTouchProvision
9、ing,提供极简开局并支持灵活规划,满足客户流程设计的同时极大提升了业务上线效率 容器网络自动化,插件对接容器编排系统,容器网络随需创建,统一管理,简化运维网络仿真及校验 意图驱动网络部署,基于AI模型实现业务意图向网络模型的自动转换,提供优选方案供用户选择 意图网络校验,基于现网状态预先评估变更风险,避免配置错误引入故障1-3-5闭环AI算法构建网络知识图谱,典型故障1分钟感知,3分钟定位,5分钟恢复特性描述零接触调配支持iMasterNCE-Fabric自动识别和纳管设备,实现UnderIay网络自动化部署网络业务发放提供与业界主流OpenStack云平台或第三方APP实现L2“L7层对接
10、,由云平台或第三方APP通过标准接口调用,完成网络业务发放提供由iMasterNCE-FabriC独立完成网络业务发放(含与计算平台联动),实现网络的自动化部署Fabric管理支持业界标准的VxLAN协议,通过iMasterNCE-Fabric实现网络的自动化部署,包括VXLAN协议封装,VXLAN二层互通、三层互通、以及VXLAN和传统网络互通支持丰富的VxLAN组网场景,具备管控软硬件网络设备的能力支持不同场景下物理服务器、虚拟机、裸金属机等多类型终端混合接入业务链支持IETF标准的服务链(SFe)模型,采用标准PBR或NSH技术,根据用户预配置策略自动引导业务流量到不同的服务节点上进行相
11、关增值服务处理,实现拓扑无关的、图形化编排的、动态配置的业务链能力支持增值服务包括安全策略、NAT.IPSecVPN等网络安全支持微分段,基于更加精细的分组,如子网、IP、VM名、宿主机名等,实施安全隔离支持基于角色的访问控制,实现多租户间的隔离和多用户账户和权限的管理支持基于密码的本地认证,及RadiUs、AD等安全用户认证运维与支持监控物理资源、逻辑资源、租户资源等特性描述故障定位支持应用/逻辑/物理三层网络拓扑互视:可分别展示应用/逻辑/物理三层网络拓扑,并支持从应用到逻辑、逻辑到物理拓扑的映射关系展示支持真实转发路径探测:基于VM和VTEP的转发路径展示,实现逻辑到物理网络精确定位支持
12、环路智能检测:对可能的环路进行检测,并提供一键式修复支持连通性检测:通过IPPing和MACPing,检测VM之间、VM与外部网络的二三层连通性,协助故障快速定位支持流量镜像(将VM/BM的流量通过GRE隧道镜像到远端地址)可靠性iMasterNCE-Fabric采用分布式集群部署,单集群最大可扩展到128成员节点,业务控制节点支持动态扩展,扩展时业务不中断集群成员既支持在同一二层网络内部署,也支持跨三层部署,保证群集成员之前路由可达即可集群具备北向负载均衡能力,接受云平台API主动请求或Web访问时,会将请求发送到不同的集群成员节点上集群具备南向负载均衡能力,全数据中心网络设备被均匀分配,由
13、不同的集群成员节点负责管理。其中一个成员节点发生故障时,它所管理的网络设备可平滑迁移到其他正常运行成员节点上,保证管理业务不中断iMasterNCE-Fabric支持主、备集群部署,实现高可靠异地容灾开放性iMasterNCE-Fabric基于ONOS、兼容ODL架构设计北向支持ReStfU1、RestConfWebServiceSySlOg等接口,支持与业界主流OPenStaCk平台(标准OPenStack、RedHa1、MirantisUnitedStaCk等)实现L2L7层对接南向支持SNMPNetConfOpenFlowd.3/1.4)、OVSDB、JSON-RPCSFIoW等协议,与
14、物理和虚拟网络设备对接东西向支持与计算资源管理系统如VMWareVCenter、MicrosoftSystemCenIer对接,实现网络与计算资源协同管理容典型配置(3节点)特性描述量与性能管理物理网络设备数量:1,800台管理物理服务器数量:9,000台管理VM数量:180,000台VM上线速率:200个/秒典型配置(5节点)管理物理网络设备数量:3,000台管理物理服务器数量:15,000台管理VM数量:300,000台VM上线速率:350个/秒广域自动驾驶网络管理控制系自HUAWEIiMasterNCE-IP网络数字地图自动驾驶网络管理与控制系统是业界首个集管理、控制、分析和Al智能功能
15、于一体的网络自动化与智能化平台,实现了物理网络与商业意图的有效连接,向下实现全局网络的集中管理、控制和分析,面向商业和业务意图使能资源云化、全生命周期网络自动化,以及数据分析驱动的智能闭环;向上提供开放网络API与IT快速集成。让网络更加简单、智慧、开放和安全,加速企业的业务转型和创新。网络数字地图 一连可视:通过NCE数字挛生引擎的海量数据秒级采集智能处理能力,实现从物理层到路由业务层的实时全息可视,精准分析网络问题,牵引网络改造 一网一地图:网络数字地图支持多厂商,实现一张地图全网可视,同时有强大的拓扑显示能力,支持GIS地图关联,支持按子网无极缩放 一键调优:网络数字地图内置了包括带宽、
16、时延、流量、可用度等15+因子算路算法,并实时感知网络拥塞、自动做出调整,让业务SLA得到持续保障VPN业务保障 VPN业务保障基于IFIT检测协议构建专线业务SLA保障能力,实现VPN业务逐跳检测,支持回放故障发生时段的业务状态,快速定位问题,提升运维效率。应用场景:质差发生,启动VPN业务流的逐跳诊断,还原真实业务流路径,自动识别疑似故障根因,分钟级定界定位 日常主动运维,通过SLA多维可视能力,主动管理TOPN质差专线,生成每周运营报表,支撑日常运营,提升用户体验网络切片 全生命周期自动化管理,创建、监控、调整、删除 网络分片功能采用FIeXE接口或信道化接口将一张物理网切割为多个带宽硬
17、隔离的切片 每个切片独立布放业务,带宽硬隔离,相互不影响。解决客户一网多用的诉求特征描述网络基础管理即插即用、存量管理拓扑管理、网络性能管理告警管理、网元软件管理网元安全管理、网络基础配置变更审计、基础故障定位网络业务管理IP业务发放、IP业务360业务资源池管理、业务模板管理VPN业务拓扑可视、路径和状态可视化支持链路、隧道、VPN的连通性检测网络业务控制业务驱动隧道建立、业务按需BOD、隧道发放、隧道策略控制网络优化MPLS网络优化支持MPLS隧道全局优化算路和单业务路径优化支持RSVP-TE/SR-TESRv6Policy创新ROAM启发算法,基于时延、带宽等约束高效精准算路网络基础分析
18、采集全网流量质量数据,进行大数据智能分析通过概览、拓扑、地图、报表等方式多维度呈现设备及网络状态NCE-IP网络智能分析故障检测、根因分析、异常检测、群隙分析NCE-IP北向能力开放业务发放API存量管理APl告警管理APl性能管理API网络优化API支持隧道调优容量64K单次重优化时间2分钟(500台设备,32KTELSP)高可用性支持集群和异地容灾部署支持业务数据一致性1.4接入自动驾驶网络管理控制系自MasterNCE-FAN是华为智简全光网的核心使能部件,应用于接入家庭宽带、家庭网络等多种场景。通过自动化管控和智能运维,提升用户体验和运维效率,转变基于用户投诉的存量运维模式,打造下一代
19、自动化的接入网络。业务发放自动化基于云端认证,即插即用策略,业务级APL流程可编排等能力,自动完成设备配置、部署、远程软调,大大提高部署效率,降低网络建设成本智能运维主动识别家庭侧、网络侧故障;通过对数据特征挖掘,运用AI识别故障模式口故障位置,快速问题诊断和根因分析带宽按需调整傩宽日历客户可根据其实际业务诉求,实现带宽的(实时/预约)扩容满足突发流量诉求。同时可实现Pay-as-Grow的商业模式参数NCE-FAN基础功能拓扑管理性能管理存量管理网元软件管理网络管理接入网络管理接入网络自动化家庭网络管理参数NCE-FAN分析与保隙接入宽带保障故障识别和处理家庭侧故障主动识别网络侧故障主动识别
20、云端故障主动识别高可靠性本地高可用性异地容灾高可用性系统与公共系统管理告警管理用户管理日志管理上网络自动驾驶网络管理控制系与iMasterNCE-T(TranSPortDomain)是华为“智慧光网的核心使能部件,应用于骨干、城域、企业接入等多种传送组网场景,提供资源实时可视、敏捷业务发放,网络自动运维等丰富的功能特性,满足企业专线和DC互联对传送网络提出的创新业务体验和网络灵活高效的新要求。资源部署在自愿部署和划分阶段,NCE-T提供CPE快速部署能力和OTSN资源划分能力,TTM由天级-小时级业务自动发放在用户明确业务意图(源、宿,保护类型,带宽等)后,自动计算最优路由,并完成业务发放(实
21、时、预约)带宽按需调整/带宽日历客户可根据其实际业务诉求,实现带宽的(实时/预约)扩容满足突发流量诉求。同时可实现Pay-as-Grow的商业模式时延地图网络时延可视可管、可监控、路径可选,服务高价值用户型号NCE-T资源可视基于iMasterNCE统一的数据底座,分钟级完成聚合分析、自动对账,实现资源状态的实时可视,资源核查效率提升数倍,精准预测扩容,资源提前就绪,TTM缩短至小时级时延地图基于物理单板时延实测技术,精度可达01ms,实现专线时延可感知、可销售、可承诺、可保障,使能时延商业变现CPE即插即用一次进站,CPE设备自动发现、自动创建,在线调测,简化运营商对CPE设备的管理,节省人
22、力成本,交付效率提升60%,提供IT化、类家宽、全自助的客户体验,实现CPE上线30分钟业务即通业务敏捷发放专线资源货架化展示,秒级专线业务E2E快速发放,具备用户带宽自助调整能力,实现新业务快速创新。支持LegaCy+SDN网络,兼容存量,简化业务模式,降低与BSS/0SS50%对接工作量,加速业务创新;OTSN光电灵活硬切片,物理安全隔离,保障不同业务SLA,一网多用,资源共享,实现网络价值最优型号NCE-TSLA可视可保隙打破黑盒模式,专线SLA实时可视,租户自服务,可对专线KPl指标实时感知:故隙时间/时延/丢包率等,专线SLA运营保障,主动进行业务关怀,提升用户体验健康预测通过大数据
23、和Al算法,分析每条光纤和波道的健康情况,并根据光性能变化趋势,提前1小时、1天、1周、1月内预测故障发生的风险和具体故障风险点,从而提前规避网络风险,提供修亚建议,实现主动运维,保障用户体验,故障处理成本降低20%2.网络安全产品2.1、HiSecEngineUSG12000系列防火墙(以下简称USG12000系歹U)是华为公司推出的首款T级Al防火墙,在网络边界实时防护已知与未知威胁,通常部署在云计算数据中心,大型企业及园区网出口,为数据中心、企业及园区网络提供领先的安全防护能力。USG12000系列采用先进的硬件架构设计,应用多种绿色节能创新技术,大幅降低设备能源消耗。提供全类型接口板,
24、单槽位接口密度最高可达18xl00GE,满足大流量需求。广泛应用于政府,金融,安平,教育,医疗,企业等行业。提供高达T级的业务处理性能,集成NAT、CGN.VPN、虚拟化以及内容安全等多种安全特性,应对新时代大流量、多业务威胁防御场景。具备完善的运营商级高可靠性架构和方案,支持双主控、双机热备、NSR.GR等多种可靠性机制。采用基于硬件的软件完整性校验,避免非法软件运行,打造安全基石。用户可以根据不同的网络需求进行灵活的选择。华为USG9500系列T级下T弋防火墙是面向云服务提供商、大型数据中心和大型企业园区网络推出的新一代T级多合一数据中心防火墙。通常部署在云计算数据中心,大型企业及园区网出
25、口,为数据中心、企业及园区网络提供领先的安全防护能力。USG9500提供高达T级的处理性能和99.999%可靠性,集成NAT、VPN、IPS、虚拟化、业务感知等多种安全特性,帮助企业构建面向云计算时代的数据中心边界安全防护,降低机房空间投资和每MbPS总体拥有成本。型号USG9520/SG9560/G9580基本特性支持6000+应用层协议识别和流量控制、应用层包过滤(ASPF)、访问控制、状态合法性检测、地址转换、黑白名单、虚拟防火墙在多出口场景下可根据多种负载均衡算法(如带宽比例、链路健康状态等)进行智能选路、负载均衡、安全域划分等,在大多数场景下,一台设备可以代替传统防火墙、流控、负载均
26、衡等多台网络设备NAT/CGN支持各种场景下的大规模地址翻译,具备400+专利,特性支持包括目的NAT/PAT,NATNO-PAT,源NAT-IPaddresspersistency,源IP地址池组,NATServer,双向NAT,NAT-ALG,不受限IP地址扩展,基于策略的目的NAT,端口范围预分配,发夹访问模式,SMARTNAT,NAT64,DS-Lite,6RD(IPv6快速部署)等型号USG9520/SG9560/G9580应用安全特性支持超过5000种漏洞特征的攻击检测和防御。支持Web攻击识别和防护,如跨站脚本攻击、SQL注入攻击等;高性能病毒引擎,可防护500万种以上的病毒和木
27、马,病毒特征库每日更新;采用基于云的URL分类过滤,预定义的分类库超过80个大类,8500多万VPN/PKI支持主流加解密协议如IPSec.GRE、L2TP等,支持手动密钥、PKI(X.509)、IKEV2、冗余VPN网关、EAP认证等虚拟系统支持企业多租户管理,一台物理主机最多虚拟4096虚拟软件系统(VSYS),支持VLAN虚拟化,安全域虚拟化,自定义虚拟资源,虚拟系统间路由,基于虚拟系统的流量CAR,管理虚拟化,多租户虚拟资源隔离等DDoS攻击防护支持包括应用层在内的多种DoS和DDoS攻击防范:SYNFIood、SIPFloodsTCMPFIood、UDPFlood.DNSQueryF
28、lood、DNS缓存投毒攻击、DNS反射攻击、COnneCtiOnFlood.HTTPFlood.HTTPSFIoOd等支持DDOS流量自学习功能,可根据现网流量真实情况精确制定流量阈值基线数据防泄漏对传输的文件和内容进行识别过滤。可识别120+种常见文件类型,防止通过修改后缀名的病毒攻击。能对Word.Excel.PPT、PDF、RAR等30+文件进行还原和内容过滤,防止企业关键信息通过文件泄露华为USG6700E系列是面向下一代数据中心和和大型企业园区网推出的万兆AI防火墙,在提供NGFW能力的基础上,联动其他安全设备,主动防御网络威胁,增强边界检测能力,有效防御高级威胁,同时解决性能下降
29、问题。NP引擎提供快速转发能力,防火墙性能显著提升。广泛适用于金融、政府、大企业等行业。型号USG6712EUSG6716E固定接口2X100G(QSFP28)+2x40G(QSFP+)+20xIOGE(SFP+)+2XIOGE(SFP+)HA+1XUSB3.0产品形态IU本地存储选配2.5英寸形态硬盘,支持SSD240GBHDDITB一体化防护集传统防火墙、VPN,入侵防御、防病毒、数据防泄漏、带宽管理、Anti-DDoSURL过滤、反垃圾邮件等多种功能于一身,全局配置视图和一体化策略管理应用识别与管控识别6000+应用,访问控制精度到应用功能,例如:区分微信的文字和语音。应用识别与入侵检测
30、、防病毒、内容过滤相结合,提高检测性能和准确率。带宽管理在识别业务应用的基础上,可管理每用户/IP使用的带宽,确保关键业务和关键用户的网络体验。管控方式包括:限制最大带宽或保障最小带宽、应用的策略路由、修改应用转发优先级等入侵防御与Web防护第一时间获取最新威胁信息,准确检测并防御针对漏洞的攻击。可防护各种针对Web的攻击,包括SQL注入攻击和跨站脚本攻击等。APT防御与本地/云端沙箱联动,对恶意文件进行检测和阻断。支持流探针信息采集功能,对流量信息进行全面的信息采集,并将采集的信息发送到网络安全智能系统(HiSeCInSight)进行分析、评估、识别网络中的威胁和APT攻击。加密流量无需解密
31、,联动HiSeCInsight,实现对加密流量威胁型号USG6712EUSG6716E检测。主动响应恶意扫描行为,并通过联动HiSeCInSight进行行为分析,快速发现,记录恶意行为,实现对企业威胁的实时防护。云管理模式设备自行向云管理平台发起认证注册,实现即插即用,简化网络创建和开局远程业务配置管理、设备监控故障管理,实现海量设备的云端管理云应用安全感知可对企业云应用进行精细化和差异化的控制,满足企业对用户使用云应用的管控需求。华为HiSecEngineUSG6700F系列是华为面向下一代数据中心推出的高性能万兆AI防火墙,通过全新软硬件架构,打造具备智能防御、卓越性能、极简运维三大关键能
32、力的新一代AI防火墙,有效应对挑战。USG6700F系列使用智能技术赋能边界防御,精准阻断已知和未知威胁;内置多个安全专用加速引擎有效提升IPv4IPv6转发、内容安全检测、IPSeC等关键业务处理性能;通过安全运维平台实现防火墙、入侵防御、抗DDoS等多类安全产品的统一管理和运维,降低安全运维OPEX。支持联动华为乾坤安全云服务,提供边界防护与响应服务,端云联动,立体防御。广泛适用于金融、政府、大企业等行业。功能特性一体化防护集传统防火墙、VPN,入侵防御、防病毒、带宽管理、Anti-DDoSURL过滤等多种功能于一身,全局配置视图和一体化策略管理。应用识别与管控识别6000+应用,访问控制
33、精度到应用功能。应用识别与入侵检测、防病毒相结合,提高检测性能和准确率入侵防御与Web防护第一时间获取最新威胁信息,准确检测并防御针对漏洞的攻击。可防护各种针对Web的攻击,包括SQL注入攻击和跨站脚本攻击等。抗DDoS攻击防护支持DDOS攻击防护,防范SYNflood.UDPflood等10+种常见DDOS攻击。URL关键字检测及阻断,日志告警VPN加密支持丰富高可靠性的VPN特性,如IPSecVPN.SSLVPN、GRE等;支持多种加密算法。防病毒支持智能防病毒引擎,支持亿级变种病毒检测。2.2.华为乾坤安全云服务解决方案华为乾坤安全云服务解决方案,使用全新云边一体架构,集成多种安全能力、
34、按需订阅、快速开通;云端专家+智能分析解决安全疑难杂症,一处检出,全局共享;通过智能分析、大数据技术等提升自动运维效率,快速闭环处置;为用户提供防护、响应为一体的云化安全服务。按需订阅云端提供多种安全能力按需订阅,替代本地部署多种传统安全产品,减少投资简化运维云端专家7x24小时在线服务,替代本地运维人员;智能分析提升自动运维效率,减少本地运维工作提升实效云端专家深入攻防过程,解决“疑难杂症;云端自动应对新型攻击,一处发现威胁,全局快速免疫服务类型服务能力项能力描述边界防护与响应应用识别与管控识别6000+应用,访问控制精度到应用功能,例如:区分微信的文字和语音。应用识别与入侵检测、防病毒相结
35、合,提高检测性能和准确率。定期周报月报基于安全防护事件,定期生成周报、月报,并通过邮件发送至用户邮箱。紧急安全通知基于安全防护事件,提取紧急通知,并同时通过短信、邮件两种方式通知用户。攻击识别库实时更新为开通的安全功能提供实时的检测特征库升级,保障检测能力保持最新、最强的检测能力,包括IPS/AV/URL地址库/恶意域名库等。监测、断网内网问题主机基于已知流量特征,监测发现内网问题主机并切断问题主机外联行为(如C&C、远控、对外攻击等行为)。阻拦已知的钓鱼邮件、恶意软件传输基于已知的文件特征与检测能力,阻拦钓鱼邮件、恶意软件(如病毒、木马)的传输行为。服务类型服务能力项能力描述应用访问可视化监
36、测内部用户应用访问行为,按周/月提供统计分析报表。安全事件可视化针对所有安全事件,按周/月提供统计分析报表0安全事件分析利用智能结合专家人工手段对防护节点检测到的安全事件进行分析确认,保障攻击拦截以及安全告警的准确性,及时优化攻击识别规则,提升现网防护效果。攻击源自动阻拦对基于安全事件分析的结果产生外部高危(持续攻击、复合攻击)攻击源进行黑名单下发,直接阻拦其后续的攻击行为。暴露面风险评估通过对互联网暴露面端口扫描,对用户网络安全状态实时看护,提示用户网络内不必要暴露端口。入侵检测防御华为HiSecEngineIPS6000F/IPS6000FD系列产品是华为推出的新一代专业入侵检测防御产品,
37、主要应用于企业、IDC、校园网和运营商等,为客户提供运营安全保障.HiSecEngineIPS6000F/IPS6000FD系列产品在传统IPS产品的基础上增加了对被检测内容、深度应用和网络环境的感知能力,以及对未知威胁的防御能力,实现更精准的检测能力,和更优化的管理体验。全方位保障客户应用和业务安全,实现对客户网络基础设施、服务器、客户端以2.4、DDoS攻击防御及网络带宽性能的全面防护。安全策略一体化策略管理,内置场景模板,支持策略优先级设置,支持基于IP地址、应用、时间段等对象下发指定的安全策略。应用识别与管控识别6000+应用,访问控制精度到应用功能,例如:区分微信的文字和语音。应用识
38、别与入侵检测、防病毒相结合,提高检测性能和准确率。入侵防御准确检测并防御针对操作系统、应用、服务器等各种漏洞的攻击,支持0day攻击防护。可防护各种针对web的攻击,包括SQL注入攻击和跨站脚本攻击等。反病毒支持智能防病毒引擎,支持亿级变种病毒检测。DoS/DDoS攻击防护/检测支持DDoS攻击防护,可防范SYNflood、UDPflood等种常见网络层DDoS攻击及HnP、HnPS、SIP、DNS等应用层DDoS攻击。支持智能学习流量模型。URL过滤支持URL关键字检测及阻断,日志告警华为HiSeCEngineAmiDDoSl2000系列提供最高2.4TbPS安全防护性能和拓展能力,有效应对
39、大流量DDoS攻击;针对上百种复杂攻击,秒级甚至毫秒级防御,有效阻断攻击,保护客户业务永续。适用于金融、政府、教育、大企业、IDC等各行业客户。 畸形报文防御:支持LAND、FragglesSmurf、WinnukesPingofDeathsTearDropxTCPErrorFlag等攻击防御。 扫描窥探型攻击防御:支持端口扫描、地址扫描、TRACERT控制报文攻击、IP源站选路选项攻击、IP时间戳选项攻击、IP路由记录选项攻击等攻击防御。 网络泛洪攻击防御:支持SYNFIOod、SYN-ACKFlood.ACKFlood.FINFlood.RSTFlood.TCPFragmentFlood、
40、TCPMalformedFlood.UDPFlood、UDPMalformedxUDPFragmentFlood.IPFlood.ICMPFragmentFlood.ICMPFlood.OtherFlood等常见网络层泛洪攻击防御;支持扫段攻击、脉冲攻击防御。 会话层攻击防御:支持真实源SYNFlood、真实源ACKFlood、TCP连接耗尽、SockstressxTCP空连接等常见会话层攻击防御。 UDP反射攻击防御:支持NTP、DNSxSSDP.CLDAPxMemcached.Chargen.SNMP、WSD等常见UDP反射放大攻击静态过滤规则;支持动态生成过滤规则防御新型UDP反射放大攻
41、击。 TCP反射攻击防御:支持基于网络层特征创建静态过滤规则;支持动态生成TCP反射攻击过滤规则。 TCP回放攻击防御:支持基于网络层特征创建静态过滤规则;支持动态生成TCP回放攻击过滤规则。 HTTP应用层攻击防御:支持基于行为分析防御高频HTTP应用攻击/HTTPCC;支持基于机器学习防御低频HTTP应用攻击/HTTPCC;支持基于行为分析防御慢速HTTP攻击,包括HTTPSlowHeader.HTTPSlowPost.RUDY、LOICxHTTPMulti-Methods.HTTPRange放大、HTTP空连接等。 HTTPS应用/TLS加密应用攻击防御:支持高频HPSTLS加密攻击防御
42、;支持慢速TLS不完整会话及空连接防御。 DNS应用攻击防御:支持DNSMalformed.DNSQueryFlood.NXDomainFlood.DNSReplyFloodxDNS缓存投毒防御;支持源限速、域名限速。 SlP应用攻击防御:支持SlPFlood/SIPMethodsFlood防御,包括:RegisterFlood、DeregistrationFloodxAuthenticationFlood,CallFlood等攻击防御;支持源限速。 自定义过滤规则:支持自定义本地软件及硬件过滤规则,支持自定义BGPflowspec过滤规则执行远端过滤,可定义的字段包括:源/目的IP、报文长度
43、、IP协议、IP载荷、源/目的端口、TCP-Flag.TCP载荷、UDP载荷、ICMP载荷、DNS域名、HTTPURI、HKPUser-Agent字段、SlPCalIer字段、SlPCalIee字段等。 地理位置过滤:阻断策略支持自定义,海外到国家,国内到省。 共栈防御:支持IPv4IPv6共栈DDoS攻击防御。 防御策略智能调优:支持攻击流量快照及防御效果评估;支持防御策略自动调优;支持攻击自动取证。 基线学习:支持动态流量基线学习,学习周期可配。 抓包取证:支持基于攻击事件自动抓包和自定义ACL抓包,支持抓包文件在线解析分析、溯源及下载本地分析。全态势感知及APT防御HiSeClnSigh
44、t安全态势感知基于成熟自研商用大数据平台FusionInsight开发,结合智能检测算法可进行多维度海量数据关联分析,主动实时的发现各类安全威胁事件,还原出整个APT攻击链攻击行为。同时华为安全态势感知可采集和存储多类网络信息数据,帮助用户在发现威胁后调查取证以及处置问责。华为安全态势感知以发现威胁、阻断威胁、取证、溯源、响应、处置的思路设计,助力用户完成全流程威胁事件闭环。适用于政府、金融、电力、大企业、教育等各行业客户。智能检测全攻击链智能检测算法30+,动态识别APT、Oday、勒索病毒等高级威胁智能运维关联分析告警降噪,安全编排自动化与响应SOAR,运维效率提升30%智能防御云、网、安
45、、端协同联动,威胁事件秒级处置全可控平台支持国产服务器硬件,支持国产操作系统、国产大数据平台、国产数据库软件大数据平台采用商用Hadoop平台,支持按照用户要求对HBase和HiVe中的数据进行加密流量采集支持TLS协议、ICMP协议、HnP协议、邮件协议、DNS协议、FTP协议、NFS协议、SMB协议等常用协议解析以及文件还原,并按照抓包规则进行抓包日志采集支持采集第三方系统、安全设备的SySlog日志,支持采集网络设备、安全设备上报的NetfIOw日志C&C异常检测DGA域名检测、恶意C&C流检测ECA加密流量检测支持加密流量非解密检测、C&C通信、渗透扫描事件关联分析支持日志有预定义规则
46、、自定义关联规则、子规则流量基线异常检测支持配置流量控制规则、支持垂直扫描和水平扫描流量异常检测支持检测违规访问、流量超限、频次超限邮件异常检测发件服务器分析、收发件人分析、用户自定义邮件黑白名单、邮件附件检测隐蔽通道检测可检测PingTunnelDNSTunnel、文件防躲避Web应用攻击检测支持检测针对Web应用的攻击检测资产风险管理支持资产手工添加,支持划分资产组,支持查看资产风险列表用户可信检测在非特定时间或地点访问某特定业务系统等异常行为。通过获取终端环境、认证中心、权限中心的日志,基于UEBA技术,通过关联分析和风险建模,发现用户的异常或违规行为。确定用户可信评价环境感知服务环境感知服务具备生成终端身份标识、系统环境感知与度量、物理环境感知与度量、安全配置风险感知与度量、安全环境感知报告及报告传递等功能业务安全策略控制业务安全策略控制服务从环境感知服务获取环境信息,结合其他风险信息进行综合风险判定,基于判定结果向可
