华为ASG5000上网行为管理产品解决方案

ASG5300系列上网行为管理产品ASG5300系列上网行为管理产品（以下简称“ASG5300”）是华为面向中小企业发布的业界应用识别丰富，威胁防护全面的上网行为管理产品。

该系列产品提供URL过滤、应用行为控制、流量管理、数据防泄漏、恶意软件防护、互联网行为记录等多项功能，为企业机构提升员工工作效率、营造安全办公环境、以及法规遵从提供了一体化的解决方案。

产品图ASG5305ASG5310ASG5320产品特点全面的网络安全接入• 支持本地认证、第三方认证服务器认证、IP/MAC认证、单点登录、U-Key认证、微信认证、短信认证、Portal认证、APP认证和混合认证等多种用户识别手段，将各类用户上网行为定位到“人”。

• 支持主流入侵攻击和病毒的检测和防御并保证每周更新特征库。

• 支持网络私接行为识别和管理，可自定义设置PC终端和移动终端的接入数量阀值，有效保障网络安全接入。

精准的上网行为管理• 采用先进多核架构，精准高效识别主流网络应用和网址；同时，支持对应用的使用动作进行审计和控制，让网络管理者可对各类网络应用进行更精细的管控。

• 具备详细、清晰、易用的审计日志，全面记录用户上网行为、使用流量、访问网站、所用终端系统及设备类型平台等信息；支持快速查询和导出日志，让事后审计省时省力。

• 具备高应用识别能力、多样的日志上报手段、灵活的组网方式，以及与主流网监后台进行对接，为各类客户的上网业务安全合规提供保障。

精细的流量控制• 基于地址、用户、服务、应用、时间等新五元组提供多级流量通道管理特性，形成差异化流量控制机制。

• 支持流量动态调配技术，智能租借空闲流量，动态调整网络拥堵通道的最大带宽值，避免带宽资源浪费，保障业务价值最大化。

• 支持个性化流量管理，可基于上网时长和上网流量额度为用户定制上网套餐并支持定期提醒套餐余额，实现业务差异化管理。

多种营销增值服务• 通过主动缓存、被动缓存和模糊匹配等技术，将应用缓存在设备本地，配合APP身份认证，实现应用快速下发。

华为整体网络解决方案精编W O R D版IBM system office room 【A0816H-A0912AAAHH-GX8Q8-GNTHHJ8】项目编号: 华为网络整体解决方案目录1概述........................................................2企业网络建设设计原则........................................3华为产品解决方案............................................3.1整体架构设计 .........................................3.1.1总体网络架构......................................3.1.2有线网络解决方案..................................核心层网络设计.................................汇聚层网络设计.................................接入层网络设计.................................3.1.3数据中心解决方案..................................3.1.4无线网络解决方案..................................无线网络的建设需求.............................无线网络解决方案...............................3.2高可靠性设计 .........................................3.2.1网络高可靠性设计..................................3.2.2设备高可靠性设计..................................重要部件冗余...................................设备自身安全...................................3.3安全方案设计 .........................................3.3.1园区网安全方案总体设计............................3.3.2园区内网安全设计..................................防IP/MAC地址盗用和ARP中间人攻击..............防IP/MAC地址扫描攻击..........................广播/组播报文抑制..............................3.3.3园区网边界防御....................................3.3.4园区网出口安全....................................3.3.5无线安全设计......................................无线局域网的安全威胁..........................华为无线网络的安全策略.........................4设备介绍....................................................4.1Quidway® S9300系列交换机.............................4.2Quidway® S7700系列交换机.............................4.3Quidway® S5700系列交换机.............................4.4无线控制器WS6603 .....................................1 概述企业园区网络承载企业所有IT基础设施和企业所有上层软件应用，对一个企业的重要性不言而喻。

5000系列操作演示一、硬件配置：1.多功能高速交换模块（FEM）：用于提供高速的数据转发和处理功能。

支持多种接口类型，包括千兆以太网、万兆以太网和光纤通信。

可根据实际需求插入不同类型的FEM模块。

2.冗余电源模块（PSM）：用于提供设备的电源备份，以确保设备在电源中断时的正常运行。

3.热插拔风扇模块（FM）：用于散热和保持设备的正常工作温度。

4.控制处理器模块（CPM）：用于管理和控制设备的各个模块，确保设备的正常运行。

二、软件功能：1.网络配置和管理：5000系列设备支持通过命令行界面（CLI）和图形用户界面（GUI）进行网络的配置和管理。

管理员可以通过配置界面轻松地设置网络参数、开启和关闭接口、管理子网、进行路由配置等操作。

2. 安全性：5000系列设备支持各种安全特性，包括访问控制列表（ACL）、虚拟专用网（VPN）、IPSec加密、防火墙等功能，保护网络免受安全威胁。

3.服务质量（QoS）：5000系列设备支持流量控制和优先级设置，确保网络中关键应用的性能，并提供带宽控制和流量监测功能。

4.路由协议：5000系列设备支持各种路由协议，包括静态路由、动态路由（如OSPF、BGP）等，以实现网络的自动化路由选择和快速故障恢复。

5. 网络扩展：5000系列设备支持网络的扩展和维护，包括虚拟局域网（VLAN）、链路聚合（LAG）和端口镜像（Port Mirroring）等功能。

三、操作演示：以下是5000系列设备的基本操作演示，包括设备的启动、登录、配置和管理。

1.设备启动：将5000系列设备连接到电源和网络，并确保连接的各模块正确安装。

按下电源按钮，设备将开始启动。

在启动过程中，可以通过连接到设备的控制台端口观察启动信息。

2.登录设备：待设备启动完毕后，使用CLI或GUI登录设备。

输入正确的用户名和密码，确认登录成功。

3.配置网络参数：使用CLI或GUI进入设备的配置界面，设置设备的IP地址、子网掩码和网关地址。

华为ASG5000 系列上网行为管理产品技术白皮书华为ASG5000 上网行为管理产品技术白皮书目录目录1概述 (1)1.1行为管理产品产生 (1)1.2行为管理产品简介 (1)1.3行为管理设备的使用指南 (2)2行为管理设备的技术原则 (3)2.1行为管理的可靠性设计 (3)2.2行为管理的性能模型 (3)2.3行为管理组网能力 (4)2.4行为管理路由特性 (5)2.5链路负载均衡 (5)2.6服务器负载均衡 (5)2.7地址转换 (6)2.8动态域名服务 (6)2.9VRF 路由 (7)2.10入侵防御 (7)2.11病毒防护 (8)2.12SSL 网站解密 (8)2.13无线非经 (9)2.14双因子设备管理 (9)2.15三权管理 (9)2.16行为管理系统管理方式 (9)2.17身份认证 (10)2.18应用识别 (10)2.19IPv4 一体化策略 (10)2.20流量、时长限额 (11)2.21防私接路由 (11)3ASG5000 系列行为管理技术特点 (11)3.1高可靠性设计 (11)3.2丰富的用户认证 (14)华为ASG5000 上网行为管理产品技术白皮书目录3.3高精度的用户审计 (14)3.4精细化的用户流控 (16)3.5领先的合规维护 (17)3.6丰富的攻击防御手段 (18)3.7优秀的组网能力 (19)3.8完善的日志系统 (21)4典型部署 (23)4.1网桥部署 (23)4.2路由部署 (24)4.3旁路部署 (24)华为ASG5000 系列上网行为管理产品技术白皮书关键词：ASG、SSO摘要：本文详细介绍了华为ASG5000上网行为管理产品的特点、技术特性和部署模式。

1 概述ASG5000 系列产品，是业界应用识别最丰富，威胁防护最全面的上网行为管理产品。

该系列产品提供URL 过滤、应用行为控制、流量管理、数据防泄漏、恶意软件防护、互联网行为记录等多项功能，为企业机构提升员工工作效率、营造安全办公环境、以及法规遵从提供了一体化的解决方案。

华为5G网管操作指导-图文详细介绍2020 5G修改波束（场景覆盖模式）MODNRDUCELLTRPBEAM:NRDUCELLTRPID=0,COVERAGESCENARIO=SCEN ARIO_13;MODNRDUCELLTRPBEAM:NRDUCELLTRPID=1,COVERAGESCENARIO=DEFA ULT;(默认场景)MODNRDUCELLTRPBEAM:NRDUCELLTRPID=1,COVERAGESCENARIO=EXPA ND_SCENARIO_1;（扩展场景）4/5G信令跟踪提取（UU、S1、X2标口，Cell DT日志）一键式日志提取DSP BRD:；（柜号框号槽号查询）批量指令执行（集中任务管理）实时干扰查询：监控->信令跟踪->信令跟踪管理->RSSI 统计监控（查询输入RSSI 自动搜索）->创建->填写跟踪站点名批量小区状态导出：1、配置->报表->网元报表（站点状态）2、配置->报表->RAN报表（基站小区状态）XML文件导出（点击）维护->备份管理->（点击）网元备份->全选网元->（点击）执行（备份）->（点击）刷新->（点击）选择自己备份时间文件->（点击）下载已经选中文件小区偏移量与小区偏置的作用于区别小区偏移量(分贝)该参数表示DU小区与邻区之间的小区偏移量，用于控制测量事件发生的难易程度。

小区偏置(分贝)5G分流参数设置LST GNBPDCPPARAMGROUPSCG ONLY不分流（上下行不分流）MODGNBPDCPPARAMGROUP:PDCPPARAMGROUPID=5,DLDATAPDCPSPLIT MODE=SCG_ONLY,ULDATASPLITPRIMARYPATH=SCG,ULDATASPLITTH RESHOLD=INFINITY;SCG_AND_MCG分流（上下行动态分流）MODGNBPDCPPARAMGROUP:PDCPPARAMGROUPID=5,DLDATAPDCPSPLIT MODE=SCG_AND_MCG,ULDATASPLITPRIMARYPATH=MCG,ULDATASPL ITTHRESHOLD=BIT100;ANR功能开启小区级ANR功能开启LST CELLALGOSWITCH (ANR自动邻区添加功能查询)MODCELLALGOSWITCH:LOCALCELLID=161,ANRFUNCTIONSWITCH=INTRA_ RAT_ANR_SW-1;基站级ANR 功能开启LST ENODEBALGOSWITCH （基站级ANR 开关查询）MOD ENODEBALGOSWITCH:ANRSWITCH=IntraRatEventAnrSwitch-1; (修改)4G\5G 虚用户信令跟踪Trace id460300000000015：37154（CPE ） 460300000000011:8096（CPE ） 460300000000031：49117 (TUE)5G核心网跟踪Trace id5G 设备信息批量导出（RRU和AAU型号导致）测量事件门限，如A1\A2\A3\B1查询NR小区关系LST NRCELLRELATION:;（查询NR小区关系）输出项名称输出结果解释NR小区标识该参数表示小区的标识，在本基站范围内唯一标识一个小区。

ASG5000系列上网行为管理产品ASG5000系列上网行为管理产品（以下简称“ASG5000”）是华为面向各类企业、政府、大中型数据中心以及各类无线非经营性场所研发的业界领先的综合上网行为管理产品，该产品融合了应用控制、行为审计、网络业务优化等功能，为用户提供了一套综合、完善的上网行为审计解决方案。

该系列产品可深度识别、管控和审计IM聊天软件、P2P下载软件、炒股软件、网络游戏应用、流媒体在线视频应用等近千种常见应用，并利用多级流控、精准阻断、智能路由等技术提供强大的带宽管理特性。

配合创新的网络应用行为精细化管理功能和清晰的易管理日志等功能，帮助企业及各类机构提升员工工作效率、营造安全办公环境。

产品图ASG5505ASG5510ASG5520ASG5530ASG5550ASG5610产品特点全面的网络安全接入• 支持本地认证、第三方认证服务器认证、IP/MAC认证、单点登录、U-Key认证、微信认证、短信认证、Portal认证、APP认证和混合认证等多种用户识别手段，将各类用户上网行为定位到“人”。

• 支持主流入侵攻击和病毒的检测和防御并保证每周更新特征库。

• 支持网络私接行为识别和管理，可自定义设置PC终端和移动终端的接入数量阀值，有效保障网络安全接入。

精准的上网行为管理• 采用先进多核架构，精准高效识别主流网络应用和网址；同时，支持对应用的使用动作进行审计和控制，让网络管理者可对各类网络应用进行更精细的管控。

• 具备详细、清晰、易用的审计日志，全面记录用户上网行为、使用流量、访问网站、所用终端系统及设备类型平台等信息；支持快速查询和导出日志，让事后审计省时省力。

• 具备高应用识别能力、多样的日志上报手段、灵活的组网方式，以及与主流网监后台进行对接，为各类客户的上网业务安全合规提供保障。

精细的流量控制• 基于地址、用户、服务、应用、时间等新五元组提供多级流量通道管理特性，形成差异化流量控制机制。

华为WAF5000系列Web应用防火墙网站作为商务贸易、客户交流、信息共享平台，承载着各类虚拟业务的运营，蕴含客户账号、交易记录等重要信息。

与此同时，由于攻击技术门槛低以及可带来的巨大商业利益，网站已成为各国黑客的主要攻击目标。

通常网络中会部署防火墙、IPS等安全产品，但是这类产品对于HTTP和HTTPS的Web应用层攻击往往无法察觉，不能起到理想的防护效果。

专门针对Web应用防护的WAF(Web Application Firewall)产品应运而生。

华为WAF专注于7层防护，采用最为先进的双引擎技术，用户行为异常检测引擎、透明代理检测引擎相结合的安全防护机制实现各类SQL注入、跨站、挂马、扫描器扫描、敏感信息泄露、盗链行为等攻击防护，并有效防护0day攻击，支持网页防篡改。

适用于PCI-DSS、等级保护、企业内控等规范中信息安全的合规建设。

同时，华为WAF支持Web应用加速，支持HA/Bypass部署配置以及维护。

此外，华为WAF支持透明模式、旁路监听模式、反向代理模式等部署模式，广泛适用于“金融、运营商、政府、公安、教育、能源、税务、工商、社保、卫生、电子商务”等涉及Web应用的各个行业。

产品图华为WAF5000系列Web应用防火墙包括四款硬件型号WAF5110、WAF5250、WAF5260和WAF5510，满足不同处理性能要求。

此外，还支持WAF5000-V系列软件形态WAF产品。

华为WAF5000系列Web应用防火墙华为WAF5000系列Web 应用防火墙黑白名单•通过安全白名单检测引擎快速识别正常访问业务流量并快速转发，提供网站最优访问体验。

•通过黑名单检测引擎实现HTTP 协议完整还原，对疑似攻击流量深入检测，从根源上避免绕过及穿透攻击。

•黑白名单双引擎架构协同工作，既能有效识别和阻断Web 攻击又不影响正常的Web 业务运营。

全面检测•多项专利技术保障识别能力，精确识别OWASP Top 10等各种Web 通用攻击。

USG5000系列统一安全网关一、应用领域USG5000系列统一安全网关能够为用户提供防火墙、VPN、IPS、反病毒、反垃圾邮件、URL过滤等多项领先的安全功能，提供全方位的网络系统安全防护，保障网络系统高效运行。

二、设备特性1、特性（1）技术领先：融合华为公司先进的IPS和反病毒技术，涵盖21种解压算法，支持业界主流的50多种容器文件类型，整合虚拟引擎、脚本解析引擎、PDF引擎等独特引擎技术，融合数十种反躲避检测技术，配合持续更新的特征库，铸就99%以上的检测率，真正安全。

（2）部署简单：图形化友好的设备管理、配置界面，点击鼠标并配合少量的键盘输入，即可实现设备的管理和配置。

同时，IPS功能还支持默认策略零配置，在保证零误报率的前提下，避免了设备部署时大量、反复的调测工作，实现设备快速部署，真正易用。

（3）精准识别、实时控制：URL过滤功能拥有超大型、持续更新URL分类库，7种语言3支撑、4000万网络域名监控，96%以上的精准识别，有效过滤恶意、无关网站；P2P 限流功能同样拥有业界领先的识别率，对于业界主流50多种P2P协议均可精准识别，持续关注新的P2P协议及变种并及时提供设备更新，结合灵活的策略配置，实现精准识别、实时控制，有效保证用户网络带宽有效利用。

(4) 强劲的DDoS攻击防范: DDoS攻击防范功能基于强劲的“每秒新建连接数”指标，对于DDoS攻击的防护能够达到每秒数百万包以上，可以有效防护网络边界安全，为用户业务系统提供保障。

强大的协议分析能力，可支持对等多种DDoS攻击和其他攻击种类的准确识别和防御，同时还能提供蠕虫病毒流量的识别和防范能力。

结合华为专有的ICA智能连接算法，保证在准确识别攻击的同时不影响用户的正常业务，实现在复杂网络环境下的真正安全防护。

(5) 专业安全能力中心: 华为技术有限公司拥有业界一流的安全问题分析研究团队，在全球部署多个攻防实验室、密网和蜜罐系统，检测超过10000G的网络流量，监控4000万网络域名，实时了解最新的安全威胁、攻击等信息，并提取相关特征，支撑产品7X24小时更新，维持产品的高安全性，保证客户投资的持续增值。

华为 ASG5000 系列上网行为管理产品无线非经技术白皮书目录1技术背景 (2)2概念及原理 (3)2.1非经的概念 (3)2.2非经对接的原理 (4)2.2.1终端认证、场所、AP 信息获取 (4)2.2.2用户行为、终端指纹和其它关键信息获取 (4)2.2.3信息写入设备本地 (4)2.2.4数据关联 (5)2.2.5根据后端厂商规范进行数据拼接 (5)2.2.6根据后端场所规范进行数据上报 (6)2.3认证的概念 (6)2.4认证的原理 (6)2.5审计的概念 (7)2.6审计的原理 (7)3运营与部署 (9)3.1非经的部署方式 (9)3.2非经对接支持情况 (10)3.3非经对接方式总结 (11)华为ASG5000 系列上网行为管理产品技术白皮书关键词：ASG摘要：本文详细介绍了华为ASG5000上网行为管理产品的特点、技术特性和部署模式。

非经前端设备非经后端平台1技术背景从 2006 年开始，《互联网安全保护技术措施规定》（公安部第 82 号令）一直是互联网安 全建设的指导文件，对于上网行为审计方面，公安部第 82 号令主要强调“留存”：需要将用户实名信息、用户登录和退出时间、主叫号码、账号、互联网地址或域名、网络运行状态、网络安全事件、系统维护日志等关键信息进行留存备用，留存周期为 3 个月、 6 个月或 1 年不等。

2015 年 4 月，公安部十一局发布实施了“公共场所无线上网安全管理系统无线上网接入安全技术要求”技术规范，此规范主要针对对象为非经营性上网场所（除网吧以外的如餐饮、金融、购物、旅店宾馆等不经营但提供互联网服务的场所），该技术规范是针对“留存”的方案升级，需要前端设备将采集到的信息加工后实时上传到后端平台，我们将这一应用场景称为无线非经，示意图如下。

序号 数据类型 序号 数据类型 1 认证类型 1 APP 类型 2 认证账号 2 APP 登陆ID 3 终端IP 3 搜索关键字 4 终端MAC 4 发帖内容 5 上线时间 5 经度 6 下线时间 6 维度 7 场所信息 7 IMEI 8AP MAC8 认证账号9…相对于公安部第 82 号令，无线非经场景除了将静态的留存升级成了动态的实时上传以外，在数据层面也进行了升级，主要体现在了以下两个方面：首先是与 WLAN 相关的信息参数，例如 AP MAC 、场所信息等，主要是对WiFi 环境的特定信息采集；其次是范围更广更详细的数据，例如位置信息（经纬度）、移动终端的 IMEI 串号等，举例来说， 当某台终端使用叫车软件时，乘车人出发和到达的位置信息可以做到实时上传到非经后端平台。