华为园区安全解决方案

2.0
3.0
4.0
2017.5 2018.2 2018.8 2019.3
Wannacry 出现的短短2个月变种
多次
1.0
2.0
2017.3 2017.5.12
新样本
2017.5. 14
攻击立体化
更多业务被加密 检测难
34 2017年
来自于内部威胁，逐年攀升
Source：Verizon
75 2019年 Web流量被加密
E
E
接入用户
分支机构
分支AIFW 分支流量/ECA探针 分支诱捕器
5G PSTN VPDN
E
E
接入用户
管理区
CIS安全态势感知系统
管理区AIFW
CIS： 可视化呈现 基恶资器 于意产A加管I密的理流全网络量流控量检制威测胁检测
安全策略管理平台
ECA探针： • 加密流量的特征提取 • 填入EC充A检运M维测e审分ta计类d系a模t统a型后进送
流量/ECA探针诱捕探针
广域网区
骨干节点AIFW 诱捕探针：
安全沙箱
感知针对未使用IP、在用IP的
未开放端口扫描行为，代答、
流量/ECA探针
诱导攻击者攻击诱流捕量器/ECA探 针
Internet
互联网接入区
2015年-2017年， 华为园区网络无线终端增加50%， 带宽增加100%
无线终端持续增加
20+ ICT系统
每楼宇
Source:CABA
移动互联网、办公网、IoT-安防、 IoT-能效、一卡通、视频会议、IP 电话、广播、智能停车…
园区业务多样融合
45,000 主机
10小时
2017年5月12日， WannaCry勒索软件10小时感染74 个国家45000主机
有韧性的全网安全
安全 可视
全网资产安全态势感知， 整体把握并改善安全状况
精准 分析
贴近客户业务，更快更准 检测已知、未知安全威胁
快速 响应
自动化响应安全威胁事件， 做到快速取证和止损，恢 复业务
保护 兼容现有安全技术和资源， 投资 挖掘已有投资的附加值
华为HiSec园区主动防御解决方案架构图
基于AI的威胁检测，准确度>99%
• 利用大数据处理技术和AI（人工智能）技 术，准确识别新型安全威胁
网络与安全协防，分钟级闭环处置
• 利用防火墙、交换机等设备，响应对园区 安全威胁的闭环处置任务
安全策略管理平台 （安全控制器）
Internet
分支机构
分支FW
威胁识别 机器学习
业务识别 流量采集
用户行为识别 大数据分析
全网威胁态势 （安全分析器）
邮件服务器 E 应用服务器 E
服务器区
E
E E
安全沙箱
互联网接入区
WDAFMZ区 流量采集
DMZ区AIFW
流量/ECA探针
诱捕探针
安全沙箱 数据库审计
服务器区IPS 服务器区AIFW
服务器区 流量采集
诱捕探针
核心交换区
流量/ECA探针
防火墙诱 捕探针
Internet
检测
清 洗 ATIC DDoS防御
攻击溯源/调查取证 •大数据平台，存储协议元数据，辅助调查分析高级威胁 •可疑流量PCAP抓包，辅助事件确认调查分析
全网安全态势感知 •全网感知安全态势，发现C&C、高级威胁攻击、内网感染主机 、异常文件外发等
安全联动防护 •联动网络安全设备执行防护动作，如清除感染终端恶意程序， 阻断C&C外联，阻断隐蔽通道外发等行为。
勒索软件从入侵到内部扩散，传统防御捉襟见肘
【传统边界安全】
• 勒索软件渗透内网成功后， 边界防火墙无能为力
FW
数据中心
广域网
FW
园区
分支网络 Internet
数据中心网络
【终端安全】 针对勒索软件的杀毒软件 在没有升级特征库前无法
发现病毒
园区网络
【边界安全+终端安全】 防火墙无法及时判断勒索软件是 否有害，需要等待终端调查取证，
华为园区安全解决方案
目录
1 园区安全风险 2 华为园区安全解决方案全景图 3 华为园区分场景主动防御体系 4 华为安全能力介绍 5 华为园区安全解决方案案例
企业园区数字化引入新的安全威胁
移动接入的安全
复杂的网络安全环境
新型未知安全威胁入侵
72%
移动终端办公占比
2020年
Source: IDC 注: 2015年是37.2%
服务器区
E
E E
安全沙箱
互联网接入区
WAF
DMZ区AIFW
Internet
流量/ECA探针
诱捕探针
安全沙箱 数据库审计
服务器区IPS 服务器区AIFW
流量/ECA探针
诱捕探针
核心交换区
防火墙诱 捕探针
检测
清洗 ATIC DDoS防御
边界AIFW
安全沙箱
SSL VPN网关
互联网区IPS
上网行为管理
核心流量/ECA探针 核心诱捕器
企业园区网络安全协防流程（AC3.0）
eLog云服务收集全网安全日志， 呈现多租户安全报表
公有云
租户信息同步 安全日志上报
CIS大数据安全分析
AC3.0(集成 SecoManager)
AC3.0与SecoManager服务化集 成， 对防火墙安全策略管理（含 内容安全、云端沙箱、信誉服务等）
通过AC3.0统一下发配置
运维审计系统 安全事件管理中心 漏洞扫描 终端安全准入系统 EDR控制中心
企业园区网络安全协防流程（AC1.0）
网络安全联动协防
方案价值
Internet
执行器 （Router/Switch/FW）
⑤阻断隔离 主机隔离
④策略下发
控制器 （AC1.0）
控制器联动
②高级威胁分析
③联动处置
威胁阻断
分析器 （CIS/沙箱/）
安全防御孤点？
是否能应对新型威胁？
防火墙检测不了加密流量，怎么办？
日志太多，怎么处置？
各产品之间是否协同联动？
8
Huawei Confidential
面向等保2.0，华为提供从产品到方案的HiSec智能防御体系
联动闭环 自动取证
智能防御
集中管理
FW IPS AV 日志审计 数据库审计
等保1.0
等保2.0
核心AIFW 核心IPS
广域网区
骨干节点AIFW
流量/ECA探针
安全沙箱 流量/ECA探针
办公网
E
E
接入用户
交换机诱捕探针 /ECA探针（可选）
E
E
接入用户
分支机构
分支AIFW
分支流量/ECA探针
分支诱捕器
5G PSTN VPDN
E
E
接入用户
管理区
CIS安全态势感知系统
网络控制器
安全策略管理平台
管理区AIFW
接入用户
服务器区
E
上网行为管理
E
流量/ECA探针
E
AIFW
安全沙箱
IPS
DMZ
Web服务器
E
邮件服务器 E
WAF
应用服务器E
流量/ECA探针
流量/ECA探针
办公网
流量/ECA探针
诱捕探针
诱捕器
执行器
E
E
接入用户 接入用户
华为HiSec园区主动防御解决方案全景图
DMZ区
Web服务器
E
邮件服务器 E 应用服务器 E
ASIS：静态而零散防御设备
TOBE：主动防御体系
智能威胁检测，全网态势感知
分析器
态势感知 沙箱
• Netflow按需引流
安全策略统一调度
控制器
• 主机隔离 • IP流量阻断 • 按需引流
+AI
网络控制器 • 网络拓扑 安全控制器
/
隔 离 引 流 策 略
办
Internet
公
区
防火墙
防火墙
互联 网出 口区
无所不在的威胁
威胁演进：复杂多样，变种频繁，立体化，传统防御失效
威胁复杂多样
防护更加困难
19
漏洞类
APT类
201
90
9
病毒
蠕虫
DD
钓鱼
木马
Web威
高级威胁 勒索软件 内网威胁
M2M攻
oS
胁
击
威胁变种频繁
传统升级特征库检测 响应慢
Globelmpo 2年内4次变种，加密算法+文件后缀变化
ster
1.0
华为HiSec：智能防御，保护万物互联的数字世界
平安城市
政务云 电信云
科研企业
……
制造业
政务安全大脑 产业园区
威胁情报
分析器
CIS
FireHunter
控制器
身份控制器
SecoManager Agile Controller
IAM
执行器 ICT基础设施
检 测
99%
智 未知威胁检测准确率
能 安全大脑CIS系统，基于AI的威胁智能检测，平均威胁检 测时间从84天缩短到1天
防火墙
• 安全事件日志 • 文件信誉 • 探针元数据
防火墙 管 理 区
数据中心 （云平台）
威胁扩散范围，从区域边界降低为主机边界
HiSec：通过安全大脑为核心构建有韧性的全网安全
安全大脑
P:预测
P:防御
R:响应
D:检测
事前预测 防御
基于完整攻击链的安全防护
风险管理：帮助客户摸清资产状况，识别关键资产，对 资产进行安全威胁和脆弱性管理 预测攻击：通过对历史全网安全情况以及现网流行攻击 和情报系统，综合预判攻击行为，提供改进建议 转移攻击：网络集成诱捕陷阱，主动捕获入侵行为
事中检 测
安全监控：持续实时的监控，动态感知基线变化 安全分析：利用沙箱、流量探针、日志探针，结合攻击 链多种AI模型，快速精准检测安全威胁
关联分析：整合网络和终端的信息，确定真实攻击事件
事后响 应
威胁响应编排：提供涵盖终端、网络的SOAR响应能力 （取证、溯源、修复） 自动生成情报：联动现网SecoManager/FW/IPS等安全 策略执行点，实现防御闭环
本地CIS-SM-AC3.0-FW/交换机安全联动 CIS大数据安全分析
私有云
AC3.0(集成 SecoManager)
总部
Netflow/ECA/诱捕信息
Internet
AR
Internet
AP
POS
POS
❶单点接入场景，微型销售门店。 例如：零售行业
Internet
AR SW
AP
Internet
Source：NSS LABS
企业园区安全风险总览
分支接入安全
勒索软件 蠕虫扩散
访客接入管理 社会工程学
勒索软件、蠕虫扩散
学生上网行为管理和审计
园区安全
安全分区分域 终端病毒管理
数据中心安全
数据安全 挖矿木马 WEB安全
DMZ安全
数据安全 挖矿木马 WEB安全
DDoS入侵
终端安全
勒索软件、蠕虫扩散
处 秒级
置 智
威胁响应处置时间
能 网络设备成为安全大脑的信息采集器和策略执行器，基
于SecoManager与安全产品形成联动，实现秒级威胁闭
环处置
运 80%
维 智 OPEX 安全运维成本 能 安全策略智能调优，分钟级策略发放和业务上线
业界首创威胁响应编排引擎（SOAR），自动协同响应威 胁处置
HiSec：由静态的对抗转变为基于AI的主动防御
行判安定全事件管理中心
漏洞扫描 终端安全准入系统 EDR控制中心
全网诱捕探针及诱捕器部署
DMZ区
Web服务器
E
邮件服务器 E 应用服务器 E
服务器区
E
E E
安全沙箱
WAF DMZ区AIFW
DMZ区 入侵诱捕
诱捕探针 流量/ECA探针
安全沙箱 数据库审计
服务器区IPS服务器区AIFW
服务器区 入侵诱捕
FW SW
AP
❷SMB&分支接入，销售门店&普教等。 例如：教育行业，金融行业
Internet
FW
S12
7
随板AC
S57 …
…
…
❸中大型园区，大型 商超等。
分支1
分支2
分支3
FW SW AP
❹大型园区敏捷园区下的高级威胁联动闭环。
全网流量/ECA探针部署，恶意加密流量无所遁形
DMZ区
Web服务器
E
安全 能力
安全可信
产品 安全基石
自主可控
9
Huawei Confidential
华为HiSec安全解决方案
平安城市 政务云 电信云
科研企业
……
制造业
政务安全大脑 产业园区
威胁情报
分析器
CIS
FireHunter
控制器
身份控制器
SecoManager Agile Controller
IAM
执行器
ICT基础设施
造成渗透行为已经发生
目录
1 园区安全风险 2 华为园区安全解决方案全景图 3 华为园区分场景主动防御体系 4 华为安全能力介绍 5 华为园区安全解决方案案例
保障园区信息系统安全，需要全面的安全设计
访客接入安全怎么解决？
安全产品自身安全能力是否有问题？
运维能否更简单些？
基础安全设施是否完善？
通报预警机制是否完善？
①网络信息收集 （交换机1:1NetStream；
CIS探针）
网络信息收集 控制器策略下发
未知、高级威胁检测 •基于流量检测未知攻击，识别未知感染主机、未知僵尸主机 •基于文件检测未知恶意文件，识别未知恶意文件传输 •基于文件和流量，检测APT渗透、隐蔽通道
信息泄露防护 •APT全攻击链检测，及时发现信息泄露风险 •C&C抓取，文件外发统计分析，关键资产的保护
流量
流量
安全策略联动 处置任务
日志、 NetFlow
网络策略联动 处置任务
流量 流量
网络策略管理Leabharlann 台 （网络控制器）全网探针和诱捕，主动威胁数据采集和防御
• 利用网络欺骗和业务仿真技术，实现对威胁源的主 动定位与隔离
AntiDDoS 流量/ECA探针 AIFW 安全沙箱
IPS VPN
流量/ECA探针
边界AIFW
安全沙箱
SSL VPN网关
互联网区/办公网 流互量联采网区集IPS
上网行为管理
核心流量/ECA探针 核心诱捕器
核心AIFW 核心IPS
广域网区
骨干节点AIFW
广域网区 流量采集
流量/ECA探针
安全沙箱 流量/ECA探针
办公网 办公网区（可选） 流量采集
E
E
接入用户
交换机诱捕探针 /ECA探针（可选）