《华为：2024星河AI融合SASE解决方案白皮书（25页）.pdf》由会员分享，可在线阅读，更多相关《华为：2024星河AI融合SASE解决方案白皮书（25页）.pdf（25页珍藏版）》请在薪酬报告网上搜索。

1、目 录1 概 述.012 SASE 的发展趋势.022.1 SASE 的定义.022.2 SASE 相关技术逐渐成熟并体系化.023 华为星河 AI 融合 SASE 解决方案.053.1 华为对 SASE 的理解.053.2 方案架构.064 关键技术方案.134.1 Secure SD-WAN.134.2 安全资源池.224.3 乾坤安全运营.254.4 终端安全.285 典型应用场景.365.1 企业客户典型场景.365.2 运营商和 MSP 典型场景.396 术 语.4001版权所有 华为技术有限公司1 概 述随着数字化转型的不断深入，业务加速上云，万物智能互联，分布式新型应用层出不穷，

2、企业 IT 环境也变得更加复杂。企业将面临以下几方面挑战：首先，业务上多云后，流量访问模型更加复杂，所对应的策略变化快、数量多。而企业运维人员需要同时维护云、网络及安全策略，运维难度显著提高，最终导致业务无法实现快速上线。其次，远程办公和移动办公越来越普及，员工可能在任何时间和地点远程接入。当员工通过不安全的网络访问企业资源时，会令企业网络面临不确定的安全风险。此外，当海量的员工和企业分支通过 Internet互联时，较大的网络延迟和糟糕的 VPN（Virtual Private Network，虚拟专用网络）体验，也会使得关键业务质量难以保障。最后，网络和安全建设的割裂，也导致投资成本、管理

3、效率等问题愈发严重。因此，企业迫切需要一种高效灵活的组网，可以实现分支与总部的快捷互联，满足员工随时随地安全访问云应用的诉求。而 SASE（Secure Access Service Edge，安全访问服务边缘）的出现，解决了企业对连接性和安全性等方面的诉求。03版权所有 华为技术有限公司02SASE 的发展趋势02版权所有 华为技术有限公司2 S AS E 的发展趋 势2.1 SASE 的定义SASE 是一种新兴的云架构模型，旨在提供云原生的网络和安全服务，以满足现代企业的需求。SASE通过将网络和安全功能集成到云平台中，简化并统一了企业的网络和安全架构，提供了更灵活、更安全、更高效的网络连

4、接和应用访问体验。SASE 的核心思想是将网络和安全功能从传统的物理设备转移到云平台上，并通过软件定义技术和虚拟化技术将其与网络流量紧密结合。最终，企业可通过云端集中管理和调整网络连接和安全策略，无论用户和应用程序位于何处，都能获得高效、安全和一致的访问体验。2.2 SASE 相关技术逐渐成熟并体系化在业界中，SASE 相关技术已经逐渐成熟并形成体系化。自 2021 年开始，已经走出最初的技术炒作期，逐步迈向实用落地阶段。各个厂商的 SASE 解决方案开始迅速涌现，并面向市场推出。部分厂商在网络服务上更有经验和优势，通过在广域网接入点增加安全服务来提供 SASE 服务。部分厂商则通过合作方式构

5、建自己的 SASE 服务，且更加注重安全服务能力的发展。Gartner 将这类注重安全服务的厂商划分为 SSE（Secure Service Edge，安全服务边缘）服务提供商，以区别于强调网络与安全融合的服务提供商。此外，也有一些厂商将专线与安全能力融合称为 SASE 服务，例如专线加云端防火墙服务等，这是 SASE 定义的延伸，属于适应国内外市场而发展起来的。在 CSA 大中华区 SASE 工作组的研究中，提出了 SASE 的四个核心技术和三个主要应用场景。其中，边缘计算是 SASE 的一个核心技术。边缘计算是一种新型的计算模式，将云计算能力下沉到靠近用户和数据源的网络边缘侧，通过融合计算

6、、网络、存储、应用和安全的分布式计算系统，在就近位置提供低延时和智能化服务。而 SASE 的网络服务和安全服务追求低延迟的效果，因此 SASE 的处理节点需要靠近企业分支和用户，流量才能得到就近的安全威胁分析和防护处理，并快速接入更优质量的网络，以实现应用加速等效果。边缘计算的智能互联服务满足了不同行业对业务实时性、数据融合、安全与隐私保护等方面的关键需求。2019年Gartner在 The Future of Network Security Is in the Cloud 提出SASE这一新兴技术概念，并将 SD-WAN、SWG、CASB、ZTNA、FWaaS 定义为 SASE 的五大核心

7、部件，如图 2-1 所示。图 2-1 SASE 的核心组件 SD-WANSD-WAN（Software-Defined WAN，软件定义广域网）通过智能路由、安全增强、性能优化、管理控制以及多链路冗余等特性，为企业提供灵活、智能且高效的网络连接，助力企业实现高效、可靠的远程办公和业务拓展。SWGSWG（Secure Web Gateway，安全 Web 网关）用于保护用户访问互联网的安全。通过集成多种功能和技术，SWG 可以实现对 Web 流量的控制与检测，阻止网络威胁和数据泄露，防范恶意软件、恶意网站和不良内容的传播。CASBCASB（Cloud Access Security Broker

8、，云访问安全代理）用于保护企业在使用云服务时的安全性和合规性。CASB 充当了企业内部网络和云提供商之间的中间代理，为企业提供了云环境中的数据和应用程序的可见性、控制和保护。04版权所有 华为技术有限公司05版权所有 华为技术有限公司华为星河 AI 融合 SASE 解决方案白皮书 ZTNAZTNA（Zero Trust Network Access，零信任网络访问）是 SASE 的关键能力之一。ZTNA 基于“永不信任，始终验证”的原则，对每个访问请求进行严格的身份验证和授权。通过细粒度的访问控制，确保只有授权用户和设备才能访问特定的应用程序和服务。ZTNA 通常与 IAM（Identity

9、and Access Management，身份识别与访问管理）系统集成，以实现动态的访问控制。用户需要先认证，才能访问资源。ZTNA 会实时监测用户访问行为，杜绝越权访问，并及时处置安全威胁。FWaaSFWaaS（Firewall as a Service，服务化部署的防火墙）是指以云服务的模式提供防火墙功能。FWaaS 将传统的基于硬件的防火墙功能移至云端，通过云服务提供商来提供和管理防火墙服务，以保护企业的网络和应用程序安全。2020 年，MEF（Metro Ethernet Forum，城域以太论坛）发布了白皮书MEF SASE Services Framework，旨在为 SASE

10、服务框架制定统一的标准，涵盖 SD-WAN、安全性、自动化和其他标准化工作。为了进一步推动 SASE 服务的规范化，MEF 还启动了 SASE 服务定义项目，该项目致力于制定一系列标准化规范，包括 SD-WAN 服务属性与框架、SD-WAN 服务的应用安全、零信任安全框架与服务属性、通用 SD-WAN 边缘设备、SD-WAN 服务的性能监控与服务准备测试、基于意图的编排和策略驱动的业务流程等。在 Gartner 和 MEF 的引领下，SASE 正朝着更加开放和标准化的方向发展，一个更加开放、灵活和安全的网络未来正在逐步成型。3 华 为 星 河 A I 融 合 S A S E 解决方案3.1 华

11、为对 SASE 的理解如图 3-1 所示，企业数字化转型过程中，业务上云、混合办公、IoT（Internet of Things，物联网）等场景改变了访问和连接网络的要求。传统的“从分支到总部的访问”变为“Anywhere 的访问”，用户需要随时随地上网和办公。应用和数据上云后，也导致数据安全存在风险，数据生命全周期充满安全挑战。图 3-1 华为对 SASE 的理解这些变化和挑战体现在以下几个方面：从分散到融合随着技术的进步，企业网络安全架构正从依赖单一产品和单一解决方案，向集成化和平台化转变。这种趋势意味着不同的安全工具和解决方案将更加紧密地协同工作，以提供更全面的保护。例如，安全网关060

12、7版权所有 华为技术有限公司版权所有 华为技术有限公司华为星河 AI 融合 SASE 解决方案白皮书03华为星河 AI 融合 SASE 解决方案和广域网关的集成，以及终端 NAC（Network Access Control，网络准入控制）和 EDR（Endpoint Detection and Response，端点检测和响应）的结合，都是为了提供更统一的安全防护。从静态到动态传统的网络安全策略往往是静态的，而现代企业面临的威胁是不断变化的。因此，企业正在转向更动态的安全策略，如零信任模型。这种模型假设网络内部和外部都存在威胁，并实时验证所有访问请求，以确保网络的安全。从单点到协同企业正在从

13、依赖单一安全产品的策略转向多产品和多策略的协同工作。这种协同不仅包括内部安全组件的合作，还包括与外部安全服务提供商的合作，以实现更全面的威胁检测和响应。从人工到智能人工智能（AI，Artificial Intelligence）和机器学习（ML，Machine Learning）技术的应用正在改变网络安全领域。这些技术可以帮助自动化威胁检测和响应过程，提高效率，并减少对人工分析的依赖。生成式 AI 和大模型的应用，以及 AI 在安全运营和威胁分析中的集成，都是这一趋势的体现。华为不仅提供云、网络、安全和终端一体化产品与解决方案，而且具备全场景、全日制分析与管控的能力。为了应对以上挑战，华为推出

14、“云网边端”一体的星河 AI 融合 SASE 解决方案（下文简称为“SASE解决方案”）。该方案专为企业分支设计，结合 MEF 的 SASE 模型标准，采用创新的“云网边端”一体化架构，将 SD-WAN 组网、安全性和远程访问融合到统一的网安融合解决方案中，实现了监测、分析和运营的统一。这种集成化的方法极大地减小了威胁扩散的潜在范围，并能迅速地做出响应。同时，该方案确保用户在 SASE 环境以及整个网络中能够享受到灵活的交付体验，并且在任何边缘网络中都能得到一致的企业级安全标准防护。3.2 方案架构3.2.1 动态、按需、弹性的架构如图 3-2 所示，华为基于业界安全发展趋势和自身的安全实践经

15、验，以“终端安全平台、网络安全平台和安全服务平台”为基础，遵循服务化的理念和乐高化的架构，最终实现动态、按需、弹性的 SASE 解决方案。从逻辑功能上划分，SASE 解决方案分为管控层、SSE 层、网络层和终端层。管控层面向终端、用户和应用，提供统一的网络和安全管理能力。减少产品堆叠和技术堆叠，保证业务体验的一致性、易用性和有效性。SSE 层通过模块化灵活组合，为用户提供多种安全服务，包括 SWG、CASB、ZTNA、FWaaS 等流量型安全能力或非流量型安全能力。网络层网络层实现了网安融合，形成网络、安全、资产（终端、用户、应用）的统一视图。依托华为在网络协议上的深厚技术积累，通过扩展 BG

16、P EVPN（Border Gateway Protocol Ethernet Virtual Private Network，边界网关协议以太网虚拟私有网络）协议，提供多 VPN 实例接入能力，满足不同租户的业务隔离要求。BGP 融合 IKE（Internet Key Exchange，互联网密钥交换）协议后，支持自动化创建分支间隧道，可实现分钟级站点开局。独立 EVPN RR（Route Reflector，路由反射器）做控制器，可实现水平扩展，满足 SASE 解决方案大规模组网的扩展性和可靠性要求。终端层支持移动和固定 OS（Operating System，操作系统），兼容第三方安全组

17、件，提供 ZTNA 接入、EDR 和 EPP（Endpoint Protection Platform，终端防护平台）终端防护能力。图 3-2 华为星河 AI 融合 SASE 解决方案架构0809版权所有 华为技术有限公司版权所有 华为技术有限公司华为星河 AI 融合 SASE 解决方案白皮书03华为星河 AI 融合 SASE 解决方案各层的关键组件如下：管控层：iMaster NCE-Campus&乾坤安全服务平台实现网安管控析一体化，统一管理网安设备和策略。提供用户自助服务，一站式订阅、开通网络及安全服务能力。支持私有云、公有云多种部署方式，满足企业、运营商、MSSP（Managed Se

18、curity Service Provider，托管安全服务提供商）自建 SASE 解决方案和运营 SASE 服务的诉求。SSE 层：HiSec xGuard提供边缘云安全资源池解决方案，实现边缘集中式 SWG、CASB、ZTNA、FWaaS 等安全接入和防护能力。网络层：USG 系列、Eudemon 系列SASE网关（防火墙）实现网络特性和安全特性融合，即LAN（Local Area Network，局域网）、WAN（Wide Area Network，广域网）、安全融合一体，满足 Secure SD-WAN 的接入和防护能力要求。终端层：HiSec Endpoint通过多维检测、溯源处置等

19、功能，提供高效检出、一键恢复、轻量部署的端侧安全防护能力，以及统一集成 ZTNA 接入能力。3.2.2 乾坤安全运营华为乾坤安全运营为企业提供分支、总部以及 POP（Point Of Presence，入网点）点的网络集中管控和安全分析运营。乾坤安全运营以业务级一致体验为核心目标，通过统一数字地图、统一运营运维、统一业务编排、统一模型和统一客户端等技术，可以完成分钟级业务发放，实现对终端或用户位置的轨迹可视，构建高清网安数字地图，完成网络和安全的一站式运营运维。集中化管理，一致网安体验乾坤安全运营通过统一的数据和业务模型，实现业务服务的按需部署和加载，并通过统一的业务策略编排，实现网络、安全、

20、终端等的集中化管理。乾坤安全运营集成了无线接入、有线接入、防火墙、负载均衡、终端 EDR 和 ZTNA 等网络设备和服务，使得业务管理员可以在统一的多租户平台上进行管理，极大地简化了网络及安全的运维工作，为业务管理员提供了良好的用户体验。AI 使能网络安全，运营运维效率倍增乾坤安全运营采用了先进的 AI 技术，网络实现自动化故障定位、优化配置、安全防护等功能，大大提升了网络运行的稳定性和安全性。这种智能化运营不仅提高了效率，也减少了人为错误，使得网络管理更加精准。同时，依托华为长期积累的经验模型和 AI 模型，可以实现分钟级自动威胁判定、攻击溯源、联动处置，自动闭环处置率超过 99%。在网络安

21、全大模型方面，可以实现云端算力共享，降低客户的初期使用成本。在部署资源方面，乾坤安全运营满足小型化部署要求，并通过一键式网络安全问题闭环，降低运维运营问题的闭环难度，效率提升 10 倍。协同联动处置，威胁快速闭环借助云边端架构，乾坤安全运营提供分钟级威胁闭环的在线自动处置方案。通过联动互联网边界、内网区域边界、信息终端和信息系统，乾坤安全运营可实现联防联控，快速高效地处置威胁。同时，借助云端算力，乾坤安全运营可快速完成威胁信息的生产，实现一处检出威胁，全网免疫防护。通过安全态势大屏和安全运营中心，为客户提供可感知、可管理、可托付的全局掌控能力。3.2.3 安全资源池安全资源池集成了华为产品专业

22、的安全与网络能力，并进行了深度的网安融合。基于云原生技术，提供领先的弹性伸缩、多租户、高可靠等能力，有效应对企业用户的安全边界变化，满足了运营商、MSP（Managed Service Provider，管理服务提供商）对 SASE 部署与运营的诉求，助力用户在云时代的数字转型。统一服务，精准防护通过部署一系列网络和安全服务资源，如 NGFW、IDS（Intrusion Detection System，入侵检测系统）、IPS（Intrusion Prevention System，入侵防御系统）、SWG、WAF（Web Application Firewall，Web应用防火墙）、CASB、

23、SSL（Secure Socket Layer，安全传输层）解密检测过滤等安全原子能力，安全资源池提供对网络流量的实时监控、分析和保护。安全防护效果可达到秒级威胁处置，实现精准防护。弹性扩缩容，极致性能通过采用分布式架构，安全资源池突破单机设备容量和带宽的上限，支持超大容量和超大带宽。通过自动化资源编排和业务动态发放，避免纵向扩容重启带来的业务迁移与业务中断，降低扩容复杂度，支持无损扩容。通过资源池化技术，避免传统方式扩容后资源利用率下降，支持按需和最小步长扩容，避免资源空置。多租户运营，极高可靠性支持控制面、管理面和数据面的故障隔离。管理面支持三个副本。数据面支持 N-way 技术，保障系统

24、可用性大于99.999%。控制面支持NSR主备冗余，保证路由不中断。通过分片混排算法来实现多租户隔离，提供配置隔离、故障隔离和性能隔离，保障租户 SLA（Service Level Agreement，服务水平协议）。同时支持租户弹性扩展架构，轻松应对各种复杂场景。3.2.4 Secure SD-WANSecure SD-WAN 为企业提供分支与分支、分支与数据中心、分支与多云或 SaaS（Software as a Service，软件即服务）之间的全场景互联，并通过应用级的智能选路、智能加速、智能运维和一体化安全，构建更好、更安全的业务体验，重塑企业 WAN 互联的全流程。Secure S

25、D-WAN 主要提供以下能力：1011版权所有 华为技术有限公司版权所有 华为技术有限公司华为星河 AI 融合 SASE 解决方案白皮书03华为星河 AI 融合 SASE 解决方案 云原生 SD-WAN，弹性网络随需互联SD-WAN 支持单层组网、分层组网、Hub-Spoke、Full-Mesh、Partial-Mesh 等丰富的组网模型，满足不同场景下的业务互访诉求。SASE 网关支持华为云等多云环境下的弹性、按需部署，结合 iMaster NCE-Campus 控制器组网自动化编排技术，能够实现分支与多云网络或 SaaS 的分钟级业务开通，让企业业务随处可达。极致体验，应用体验 0 降级S

26、D-WAN 通过“减拥塞、降丢包、增补偿”的多维技术手段来保障应用的极致体验。华为独有的全局选路智能算法，能够实现全网负载最优，减少网络中的拥塞点。应用级动态 QoS（Quality of Service，服务质量）技术能够在Internet等链路实际可用带宽波动导致网络拥塞时，保障关键应用0丢包。而A-FEC（Adaptive Forward Error Correction，自适应冗余率的 FEC）技术可以在 30%丢包率的情况下，确保音频、视频应用的流畅体验。结合设备内置 URL 过滤、IPS、反病毒等安全技术，可以有效保障业务访问的安全性。极简分支，智能运维SD-WAN 有效实现了 W

27、AN 和 LAN 网络的深度融合。使用一套 iMaster NCE-Campus 控制器即可同时管理 WAN 和 LAN 设备，节约了管理平台成本。WAN 和 LAN 一体化的零配置开局技术，能够实现分支出口设备即插即用上线，然后分支 LAN 侧的交换机、AP 等设备也能够自动注册免开局上线。iMaster NCE-Campus 控制器的自动化编排技术，能够实现千量级站点分钟级批量部署，大大提升新建分支的开通速度。结合 iMaster NCE-Campus 控制器的分析与可视技术，使得 SD-WAN 部署运维更智能、更轻松。3.2.5 终端安全3.2.5.1 ZTNA华为 ZTNA 解决方案采

28、用 SDP（Software Defined Perimeter，软件定义边界）技术，实现动态和细粒度的访问控制。通过三个关键组件 SDP 控制器、SDP 客户端和 SDP 网关，共同构建一个安全、可控的网络访问环境，确保网络访问的安全性。SDP 控制器是解决方案的核心，负责管理所有的身份验证和访问流程。通过定义和评估访问策略，确保只有合法的访问请求被允许。这种集中式的控制不仅提高了网络访问的安全性，也简化了网络运维，使得管理员能够更加高效地管理和监控网络访问。SDP客户端为用户提供了一个安全访问入口。无论是通过浏览器，还是专用客户端，都可以发起SDP连接，确保用户的访问请求在安全通道中传输。

29、SDP 网关位于受保护的应用程序、服务和资源的前端，充当策略执行点。SDP 网关根据 SDP 控制器的指令，决定是否允许将网络流量发送到目标服务，从而确保所有访问请求的合规性。单包认证，减少暴露面SDP 远程接入通过 SPA（Single Packet Authorization，单包授权认证）技术进行认证保护。SDP 控制器接收到客户端的 SPA 单包认证请求后，会对其合法性进行验证。当请求合法时，SDP 控制器通知SDP 网关针对该客户端的 IP 地址开放指定端口。SPA 技术可以屏蔽绝大多数非法用户的网络攻击，使漏洞扫描和 DDoS 等攻击方式失效。可信访问，精准溯源ZTNA 保证了数据

30、传输的端到端加密，只有通过了严格的身份认证，客户端和安全网关之间才能建立安全的隧道连接。ZTNA 支持 C/S 和 B/S 应用，且每个应用都对应一个专属安全隧道，保证了隧道用户的合法性和数据传输的安全性。ZTNA 可以基于用户来限制带宽，保障了多用户的应用使用体验。同时，可通过终端的 Device ID 对用户登录和应用访问等行为进行精准溯源。动态评估，动态授权访问ZTNA客户端提供了终端安全检查能力，例如防病毒软件检查、弱口令检查、软件安装检查、共享目录检查、终端高危端口扫描检查、注册表路径及属性值检查、终端进程路径及属性值检查等，可实时感知当前终端的安全状态。ZTNA 管理端可基于终端安

31、全状态中的多维度信息，定义终端检查策略，并下发到指定的用户终端。当 ZTNA 管理端感知到用户终端的安全状态异常时，将通知用户下线并提示进行安全整改，最终实现动态信任评估和动态授权访问。3.2.5.2 智能终端安全华为终端安全的防御理念与 PPDR（Predict、Prevent、Detect、Response，预测、防护、检测、响应）的安全防御模型完全吻合。智能终端安全作为整网安全的锚点和托底，整合了网络安全和云端大数据安全的深度分析能力，并进行了深度协同，形成 PPDR 的多层面自适应防御闭环。华为智能终端安全产品 HiSec Endpoint 致力于在网络空间抵御新型威胁攻击，依托 On

32、eAgent 统一终端平台，以小身材，撬动安全大乾坤。独创勒索加密文件恢复独创内核级勒索行为捕获技术，可动态感知非受信程序的可疑文件访问模式，如诱饵文件访问、批量文件遍历、修改后缀名等，实时触发本地文件备份。支持轻量化勒索 AI 动态行为本地分析，在正确研判为勒索攻击后，针对勒索病毒的整个进程链进行自动执行处置。同时，将备份文件回滚，确保恢复到原始文件，备份单文件的时长毫秒级，将文件损失数量减少到个位数或 0 损失。动静态检测引擎，捕获未知威胁HiSec Endpoint 集成了华为自主研发的下一代 AV 引擎 CDE（Content-based Detection Engine，内容检测引擎

33、），可实时扫描并发现勒索、挖矿、远程控制等早期的恶意载荷投递，阻止攻击者进一步释放有效恶意载荷。针对内核级文件实施阻断查杀技术，在有效载荷落盘或运行前进行高速扫描，确保在恶意代码运行前实现高查杀率。集成专有在线神经网络等高精度 AI 算法和反躲避等技术，可检测深度12版权所有 华为技术有限公司13版权所有 华为技术有限公司华为星河 AI 融合 SASE 解决方案白皮书隐藏、嵌套、压缩的病毒，并具备未知病毒的检测能力。在动态引擎上，HiSec Endpoint 独创内存威胁溯源图，对单终端进程树、文件和凭据等对象访问行为链进行实时捕捉，最终拟合成网状行为“快照”。基于这张“影子”行为图，HiSe

34、c Endpoint 可执行毫秒级上下文关联，覆盖原始事件可疑信号和主机 IPS 行为打点告警，信号实时沿图传播汇聚。结合威胁打分和威胁根溯源算法研判，输出高置信度恶意威胁事件，研判准确率可达 99%以上。大大消除误报和“告警疲劳”，将未知攻击实时阻断闭环在终端侧。海量遥测数据溯源与狩猎HiSec Endpoint 基于端云协同的创新溯源图，为客户提供了深度溯源与狩猎能力。客户端侧通过高性能内存图引擎，实现原始事件归并，并结合白名单自学习进行过滤去重。单日单终端上报数据量小于20M，大幅降低后端存储和事件运营成本。客户端侧还会通过本地数据库缓存全量的原始事件，确保100%可溯源。遥测数据实时存

35、入经过高度优化和定制建模的图数据库，实现百亿以上原始事件的秒级 IOC（Indicator of Compromise，入侵指标）溯源能力，溯源深度大于 10 跳以上。包含可疑域名、网络地址、MD5 和进程 UUID（Universally Unique Identifier，通用唯一识别码）的全局检索，可精确返回受害者终端列表，并用威胁图呈现失陷终端事件的完整上下文。同时，提供场景狩猎功能，通过内置华为安全团队多年积累的实战狩猎脚本，实现自动搜索，捕获逃避前置防御的高级威胁。高级狩猎支持开放自定义脚本，企业安全团队可根据自身业务特点定制狩猎脚本，并添加到例行任务中，实现精准狩猎和安全守护。轻

36、量化，易部署HiSec Endpoint 的轻量级客户端足够轻，上报噪声低，在主机操作系统上留下的足迹小，尽量降低对用户业务的影响，将安全风险面收到最小。客户端支持分钟级批量部署上线，闲时 CPU 占用率低于 1%，内存占用低于 60M。使用杀毒功能时，HiSec Endpoint 会根据操作系统资源占用情况进行智能退避，不对其他任务产生影响。HiSec Endpoint 基于可信进程树、白名单自学习和威胁图降噪专利技术，能够在各类数据采集无损的条件下，去除80%以上的噪声和冗余数据，单终端平均数据上报小于20MB每天。大大提升云端检测的有效性，降低云端的存储成本。4 关 键 技 术 方 案4

37、.1 Secure SD-WAN4.1.1 ZTP 开局，设备即插即用传统分支网络开局技术门槛高，在设备硬件安装完成后，还需要管理员到安装现场对设备进行软件调试。当设备数量较多且分布较广时，管理员需要在每一台设备上进行手工配置，既影响了部署的效率，又需要较高的人力成本。为此，SASE 解决方案提供了 ZTP（Zero Touch Provisioning，零配置部署）部署方案，可完成端到端自动化开局流程。在新出厂或空配置的设备上电启动时，ZTP 功能可以实现自动获取并加载开局文件（包括系统软件、补丁文件、配置文件等），实现了设备的免现场配置和部署，从而降低人力成本，提升部署效率。SASE 解决

38、方案支持多种 ZTP 接入方式，可以满足不同场景下的诉求，提供分钟级设备上线和网络开通的能力。U 盘批量开局 推荐场景：运营商或企业在库房中进行批量开局。方案优势：开局现场简单，开局人员无需任何专业技能，无需携带 PC 等工具。开局过程：如图 4-1 所示，通过 U 盘将开局文件批量导入设备，集中完成开局。1415版权所有 华为技术有限公司版权所有 华为技术有限公司华为星河 AI 融合 SASE 解决方案白皮书04关键技术图 4-1 U 盘批量开局过程邮件开局 推荐场景：运营商或企业站点进行现场开局。方案优势：适用于各种接入方式和运营场景。开局现场简单，对开局人员的技能要求低。开局过程：如图4

39、-2所示，发送开局邮件到指定邮箱，开局人员点击邮件中的URL，一键完成开局。图 4-2 邮件开局过程DHCP Option 开局 推荐场景：有 DHCP Server 配置权限的运营商进行开局。方案优势：站点开局即插即用，无需携带 PC 等工具。开局过程：如图 4-3 所示，搭建 DHCP 服务，CPE（Customer-Premises Equipment，客户终端设备）设备上电后自动获取 IP 地址。图 4-3 DHCP Option 开局过程注册查询中心开局 推荐场景：MSP 或企业站点进行现场开局。方案优势：站点开局即插即用，无需携带 PC 等工具。开局过程：如图 4-4 所示，CPE

40、 设备上电后自动获取 IP 地址，然后向注册中心发送请求，获取控制器地址并完成注册。1617版权所有 华为技术有限公司版权所有 华为技术有限公司华为星河 AI 融合 SASE 解决方案白皮书04关键技术图 4-4 注册查询中心开局过程4.1.2 灵活组网，自动编排企业分支不同区域的组网需求不同，除了传统的分支、总部通过 Overlay VPN 互访场景，还有多数据中心的互通场景，不同区域分层组网等。WAN 组网参数需规划 IP 地址，配置路由优先级及可靠性等参数，人工配置的效率低，易出错，且网络拓扑状态无集中可视。如图 4-5 所示，SASE 解决方案提供多种 WAN 网络拓扑自动化编排：整网

41、路由自动编排：支持分支与分支、分支与总部的整网路由自动编排，包括站点间路由、站点内 WAN 侧路由、站点内 LAN 侧路由、站点双 CPE 设备之间路由等。Overlay 自动化部署：站点开局上线后，通过控制器自动编排，可以三步实现多分支的配置，包括邻居和拓扑创建、Overlay 隧道连接、Overlay 路由分发等。Overlay Tunnel 自动编排：支持自动创建 Overlay Tunnel 接口、Overlay IP 地址自动分配、Overlay 邻居自动建立等。图 4-5 WAN 网络拓扑支持全网 Overlay 拓扑可视，实现集中网络状态实时监控与故障快速定界。通过查看 VPN

42、站点视图，确认故障范围，定义加入或移除的站点，聚焦关注区域。通过查看对应的设备和链路，确认故障对象，查看其健康度数据，判断故障原因。4.1.3 智能选路，提升带宽利用率SD-WAN 的一个重要特性是可以根据应用诉求进行智能选路。即通过实时监控网络的质量，并兼顾WAN 网络的整体使用效率，在多条不同网络质量的 WAN 链路上，自动选择符合应用 SLA 质量要求的网络路径。智能选路使用 KeepAlive 报文对链路质量进行检测，并对业务报文进行丢包统计。发送端的 KeepAlive报文中携带了本端在该周期内收发业务报文的计数和时间戳。对端根据发送端的收发计数和时间戳，结1819版权所有 华为技术

43、有限公司版权所有 华为技术有限公司华为星河 AI 融合 SASE 解决方案白皮书04关键技术合自己的收发计数和时间戳，即可计算出丢包率、时延和抖动。华为 Secure SD-WAN 支持如下智能选路方案：链路质量选路不同应用对链路质量的要求不同，比如语音和视频业务对时延、丢包率的容忍率较低，一般要求时延在150ms 以内，丢包率低于 1%。因此，可将语音和视频业务的主选链路配置为 MPLS（Multiprotocol Label Switching，多协议标记交换）链路，备选链路配置为 Internet 链路，如图 4-6 所示。并配置业务的 SLA 要求，按照链路 SLA 进行选路。图 4-

44、6 链路质量选路过程 负载分担选路如图 4-7 所示，当企业有多条链路时，希望能够充分利用链路带宽，基于链路带宽进行负载分担选路。此时可配置选路调度方式为负载分担选路。图 4-7 负载分担选路过程 应用优先级选路如图 4-8 所示，如果在同一条链路上传输多种业务报文，为了优先保证高优先级应用的传输，在发生链路拥塞时，低优先级应用会避让高优先级应用。例如，当语音、视频和文件都在 MPLS 链路上传输时，当链路带宽不足时，会优先保证语音和视频业务不受影响。图 4-8 应用优先级选路过程4.1.4 广域优化，提升应用访问体验随着音视频分辨率的提升，音视频会议和视频监控技术应用更加广泛，对带宽和时延的

45、要求也在迅速增长。为了保证低延迟，减少 TCP 握手和重传等因素的影响，这些即时通信类应用一般会选择 UDP 作为传输层协议。但是 UDP 不能像 TCP 一样保证可靠传输，在网络出现丢包的时候会导致应用质量变差。例如，视频传输在链路质量不好时的体验会非常差，常常会导致卡顿和花屏等现象。华为基于 FEC（Forward Error Correction，前向错误纠正）技术，可以优化网络出现丢包场景下的应用访问体验。华为 FEC 优化技术通过配置流策略的方式，对报文丢包进行优化。FEC 通过流分类拦截指定数据流，增加携带校验信息的冗余包，并在接收端进行校验。如果网络中出现了丢包或者报文损伤，则通

46、过冗余包还原报文。如图 4-9 所示，FEC 优化技术在发送端基于原始包，按照 RS（Reed Solomon）算法编码生成冗余包，并将原始包和冗余包都发送到连接上。接收端根据实际收到的包，解码恢复出丢包。2021版权所有 华为技术有限公司版权所有 华为技术有限公司华为星河 AI 融合 SASE 解决方案白皮书04关键技术图 4-9 FEC 优化技术原理华为FEC优化技术有两种，分别为D-FEC（Determined FEC，固定冗余率 FEC）和A-FEC（Adaptive FEC，自适应 FEC）。D-FEC 会按固定的冗余率生成冗余报文。为了保证在网络丢包突然增加的场景下也不丢包，需要把

47、丢包阀值设置得比网络最大丢包率还要高。但是，当编码块中的实际网络丢包超过冗余包数量时，此编码块中的丢包均不能还原。A-FEC 会动态调整冗余包比例。由于 D-FEC 每个编码块都会生成固定个数的冗余包，因此当网络实际丢包率不高时，会浪费带宽。而当网络丢包变多时，D-FEC 的冗余包数又可能不足以恢复丢包。A-FEC 对此做了改进，会根据解码侧返回的丢包信息动态调整编码块的冗余包数，从而解决了 D-FEC 浪费带宽和偶尔不能恢复丢包的问题。华为 FEC 优化技术的优点：相比 TCP 的重传机制，FEC 不需要对报文重传，实时性高。FEC 使用 RS 算法，相比 XOR 算法的优点在于可以还原分组

48、内的多个丢包，从而抵抗网络突发丢包。4.1.5 高性能威胁防护随着网络规模越来越大，数据传输速率越来越快，把高速的性能和最大限度的安全性有机结合在一起，有效消除性能瓶颈已经成为防火墙的一个关键技术点。传统的网关类安全产品如防火墙和 UTM 等，一般都采用通用或专用的多核处理器来完成从网络层到应用层的各种业务。由于每一个网络层次所需要的处理机制和处理能力不尽相同，这种架构下处理器很容易成为处理瓶颈。为了打破这个瓶颈，华为 SASE网关使用网络处理、加解密、入侵防御多种不同的加速器件，并通过全新研发的融合网关架构使之有机配合起来，实现了性能上的突破。在软件方面，华为提供了自研的自适应引擎 ASE（

49、Adaptive Security Engine）。如图 4-10 所示，通过基于 CPU 资源和业务流量动态调度进程，实现内容安全业务解耦，最大限度地提高资源利用率。通过组件化交付，实现各个功能独立编译、发布、部署、重启和升级，快速满足客户需求。图 4-10 动态分配内存示意图自适应引擎融合自适应高性能协议栈（HPS，High-Performance Protocol Stack）可以在流模式和代理模式之间无缝切换，最大可能保持高性能的功能和用户体验。同时，自适应引擎架构只需做一次解析，业务并行处理，提升了业务灵活性和设备性能。TLS/SSL 代理：当前加密流量的比例越来越高，因此必须对加密

50、流量进行解密和威胁检测。自适应引擎支持 SSL/TLS 解密代理，并结合加解密加速引擎，提供高性能的威胁检测能力，可以对 HTTPS、SFTP、SMTPS、POP3S、IMAPS 等协议进行解密和检测。协议解码：设备进行内容安全处理时，需要更细粒度地观测协议的内容，协议解码模块可以提供相关能力。当多个业务模块需要协议解析时，协议解码作为公共模块，可以为各个上层业务提供解码能力，并且只需在系统内做一次解码，有效提升了性能。例如，HTTP 解析后，可以同时进行 IPS、AV、LB、Web 过滤（URL 过滤）和 WAF 等多个模块的处理。2223版权所有 华为技术有限公司版权所有 华为技术有限公司

51、华为星河 AI 融合 SASE 解决方案白皮书04关键技术4.2 安全资源池4.2.1 开放平台，支持平台原生和第三方安全原子能力如图 4-11 所示，华为安全资源池支持 FW、IPS、AV、SWG、ZTNA 等安全原子能力，以虚拟化方式集成第三方原子能力，实现了协同管理、兼容编排。图 4-11 安全资源池的安全原子能力 统一引流安全资源池平台的网络能力由平台原生的安全原子能力和第三方原子能力组成，来实现基于“SRv6+APN”的隧道引流方案。兼容编排安全资源池内统一以“SRv6+APN”的方式进行业务链编排，包括对原生能力与第三方能力兼容编排（第三方需要支持 SRv6）。避免了 PBR 多次

52、引流导致低效、配置编排繁杂等问题。协同管理华为控制器 NCE-Campus 与第三方控制器可以通过标准接口实现协同管理和编排。4.2.2 资源池化，安全业务弹性扩容超宽带时代正在来临，社交网络、P2P 和多媒体等业务快速增长，这对未来网络提出了近乎无止境的带宽需求。因此，大容量和优异的弹性扩缩，以及按需无损扩容也是安全资源池的重要能力之一。如图 4-12 所示，安全资源池支持 Scale-out 横向扩容方案，突破物理边界，支持无损扩容。容量与性能支持线性扩容，突破了单机设备容量与性能限制，实现了按需扩容。支持小步长扩容，避免资源空置。同时，控制平面和转发平面支持独立扩容，按需配置资源。图 4

53、-12 安全资源池弹性扩容华为安全资源池避免了 Scale-up 纵向扩容方式带来的问题，如扩容资源利用率低，单机扩容容量有上限等。华为安全资源池具有以下优势：支持超大容量、超大带宽：分布式架构，突破单机设备容量和带宽上限。支持无损扩容：自动化资源编排和业务动态发放，避免Scale-up扩容重启带来的业务迁移与业务中断，降低扩容复杂度。支持按需、小步长扩容：通过管控分离和资源池化技术，避免传统方式扩容后资源利用率下降，实现按需付费 PAYU（Pay As You Use），避免资源空置。4.2.3 灵活编排，提升安全业务转发效率华为安全资源池采用分层业务链方案，实现安全业务与网络编排解耦，网络

54、不感知具体的安全服务。采用 SRv6+APN6 方案，网络控制器将安全资源池不同 BSID 映射为不同的业务链策略。安全资源池内根据 APNID 来识别租户信息，并映射到安全业务链，实现安全业务的灵活编排。2425版权所有 华为技术有限公司版权所有 华为技术有限公司华为星河 AI 融合 SASE 解决方案白皮书04关键技术项目传统方案：PBR 策略编排创新方案：SRv6 业务链编排和配置的复杂度高 编排复杂：每个 VAS 逐跳配置 PBR。配置量大：租户需要给每个VAS配置接口、ACL 策略和 PBR 策略。低 编排简单：起始端设备一次性业务链编排，中间节点不需要逐跳配置。配置量小：使用 AP

55、NID 区分租户，无需基于租户分配接口。转发性能低 转发效率低，时延大：流量需来回发送给不同 VAS 清洗，转发效率低。每个VAS引流均需执行策略匹配，性能差：一次策略匹配会导致转发性能下降约 10%。高 流量按照业务链路径逐个 VAS 清洗，不需要来回转发。无论多少 VAS，只需在引流侧做 1 次 ACL匹配。资源消耗和成本高ACL 和接口资源占用多，服务器 CPU 和内存消耗多。VGW 反复转发流量带宽消耗大。低 无需为租户配置接口。CPU 和网卡资源消耗是 PBR 方式的四分之一。VGW 只做一次流量转发，其带宽消耗小。4.2.4 极高可靠，业务稳定性高对于大容量安全资源池，高可靠性永远

56、是网络必不可少的重要需求，一个可靠的网络系统，能够保证长期的正常运转，在极低的概率情况下才出现故障，并且能够及时的上报故障并快速排除。高可靠性的设备和可靠性技术是保证以上可靠性的基础，业务永远能正常运行，为用户创造良好的使用体验。华为安全资源池提供了高可靠能力：管理面：三副本冗余，提升系统可靠性。控制面：NSR 主备冗余，路由不中断。数据面：主备单点故障保护提升为 N-way 多点故障保护，达到电信级可靠性（99.999%）。多租分片混排实现租户隔离。4.3 乾坤安全运营4.3.1 统一管理界面和网安数字地图，提升客户体验华为 SASE 解决方案管控平台统一了网络、安全和用户数据模型，提供统一

57、管理界面。基于安全事件、资产状态、网络拓扑和流量全局可视的数字地图，是网安数字孪生的可视化表达，可作为 SASE 运营运维的入口，有效提升 SASE 运营运维效率。网安数字地图基于网安协同能力，构筑核心功能特性。网安协同能力 多分支安全防护：分支和总部 WAN 侧部署 SASE 网关，增强分支和外部网络、分支之间的安全防护能力，支持分支之间、分支和总部之间的扩散风险识别。高精溯源能力提升：将园区网络设备或准入认证识别到的终端信息同步到资产管理，并关联威胁事件。基于威胁事件可快速定位到风险资产，或者基于风险站点快速查找到风险资产分布和高风险资产（包括位置、用户、类型、失陷时间等信息）。链路风险可

58、视：通过识别网络链路，支持链路风险可视，包括站点到应用、资产到应用、站点到站点、资产到站点、资产到资产等，便于路径的风险诊断和攻击链路溯源。结合安全风险指标分析网络体验：安全风险指标可协助网络运维人员分析存在的体验问题。例如，排查是否存在主机频繁外联，导致网络体验变差的问题。接入风险资产控制：ZTNA 场景下，对于特定风险的资产进行 ACL 策略控制，如基于资产的风险标签和风险评分，控制资产的访问范围和接入权限。全网风险可视 全网风险实时监测：网安数字地图服务基于乾坤安全服务平台和 NCE-Campus 统一架构，支持对客户的站点和资产等资源对象进行风险统一建模，评估风险严重等级，实时监测网络

59、中存在的安全风险问题。全网风险一图可视：基于数字地图的 GIS 地图和网络拓扑，对客户的站点和资产等资源对象的网络状况和风险一图可视。全网风险一键处置：基于数字地图的风险视图提供站点风险评分排序、风险标签等风险指标，可以确认风险处置优先级，快速定位到风险对象，进行风险的一键处置。4.3.2 威胁事件自动化处置，提升运维效率企业环境日益复杂，事件数量增加，大量低价值和重复告警造成警报疲劳。事件需要手动操作，涉及设2627版权所有 华为技术有限公司版权所有 华为技术有限公司华为星河 AI 融合 SASE 解决方案白皮书04关键技术备种类多，团队配合缺乏自动化。如图 4-13 所示，华为 SASE

60、解决方案管控析平台集成的威胁响应和处理流程，可以实现威胁事件自动处置闭环。图 4-13 安全分析与处置中心威胁分析处理中心获取业务数据后，与威胁检测、事件分析与响应、安全管理等模块配合，完成自动化分析和安全响应。在自动化分析中，通过威胁图基线、异常检测算法、研判规则、多维资产风险评分建模、高阶威胁信息提取和利用技术、大模型辅助运营的应用等，安全事件自动化处置率 99%，提升运维效率。4.3.3 一体化联动检测，云网端协同快速闭环如图 4-14 所示，依托云边端一体化联动方案，提供失陷主机一键处置，主机网络威胁全网封堵，威胁事件云网端协同检测的能力。图 4-14 一体化联动检测 HiSec En

61、dpoint 与 SASE 网关自动关联客户已开通边界防护及响应服务，并在终端 PC 或者服务器上安装 HiSec Endpoint Agent。该主机会与SASE 网关自动匹配，无需人工干预，免去客户的关联配置工作。协同检测相较于单独的流量检测或者主机病毒检测，通过边界防护与终端防护进行协同检测，可以将恶意流量检测与主机异常行为识别结合。检测更快、更准，全量覆盖热门挖矿家族和币种，勒索检测覆盖上百个ATT&CK（Adversarial Tactics,Techniques and Common Knowledge，对抗战术、技术和常识）攻击路径，检测更全面。主机威胁全网封堵当智能终端安全服务

62、识别到主机存在暴力破解、异常登录和横向扩散等网络威胁时，通过与边界防护与2829版权所有 华为技术有限公司版权所有 华为技术有限公司华为星河 AI 融合 SASE 解决方案白皮书04关键技术响应服务联动，支持联动网络边界的 SASE 网关设置 IP 黑名单，对攻击地址进行一键封禁，实现全网攻击免疫。失陷主机一键处置当边界防护与响应服务发现存在恶意流量的失陷主机时，通过联动智能终端安全服务进行一键处置，分钟级闭环主机风险。终端细粒度响应包括文件隔离和删除、进程终止、定时任务清除、注册表恢复、感染文件恢复、勒索备份回滚等。4.4 终端安全4.4.1 ZTNA4.4.1.1 单包认证，减少威胁暴露面

63、SPA（Single Packet Authorization，单包授权认证）是“信用”-“认证”-“连接”的信用检查机制，其原理是在建立连接之前验证接入终端的合法性。只有被信任的终端才能与 SDP 控制器建立连接，并继续后续的认证过程，未授权的终端不能访问认证端口。在完成同 SDP 控制器的鉴权后，向 SDP 客户端返回相关应用信息和 SDP 网关信息，并向 SDP 网关下发被信任的终端表项。后续 SDP 客户端向 SDP网关发起应用访问时，SDP 网关会先检查是否为可信终端，在明确为可信终端后才会建立隧道链接。通过应用 SPA 单包认证，可以有效防止对代理和内部服务的漏洞扫描、漏洞探测攻击

64、和弱口令破解攻击等。技术原理图 4-15 单包认证技术原理1.如图 4-15 所示，SDP 客户端向 SDP 控制器发起 SPA 认证，将所有必要信息集成在单个 UDP数据包里。在完成 SPA 单包认证后，发起用户认证。2.SDP 控制器进行终端和用户身份信息校验。3.鉴权成功后，通知 SDP 客户端可访问的应用列表和 SDP 网关信息，通知 SDP 网关可信终端信息和开放服务信息。4.SDP 客户端发起隧道链接，用于承载后续应用访问。在该隧道协商中会携带相关可信资产信息，SDP 网关再进行应用访问的 SPA 判断，即该隧道链接为可信终端发起则建立相关应用隧道。5.隧道链接建立完成，转发应用报

65、文到真实的服务器。技术优势1.SDP 客户端为每个终端生成唯一的 Device ID 字段，避免了在源 NAT 情况下，单一客户端通过认证后，其他机器无需认证即可访问服务器的情况。2.SDP 客户端和 SDP 控制器基于 UDP 的 SPA 认证，自定义 UDP 报文的长度小且面向无连接，对系统资源消耗也更低，提高了服务器的可用性。UDP 无状态维护和拥塞控制，在高速稳定的网络环境中通信效率更高。3.SDP 客户端和 SDP 网关基于隧道协商报文的 SPA 认证，通过 TLS Option 选项或 TCP Option 选项进行 SPA 认证，将 SPA 认证融合在处理应用的业务报文前期，避免

66、不必要的端口暴露和业务开销。4.认证环节 SPA 端口和认证端口分开，利用 UDP 缩小服务器对外暴露面，减少开放不必要的TCP 对外端口。应用业务环节，利用加密通道建立过程进行 SPA 认证，减少不必要的端口暴露和业务处理。4.4.1.2 动态环境感知，动态授权访问零信任与 VPN 最大的区别之一在于零信任抛弃了传统静态授权机制，采用了动态授权的权限机制。通过周期性感知环境风险、终端风险、用户异常行为风险，评估用户信任状态。用户信任状态评估支持通过安全评分、风险等级以及信任等级来表现，一旦发现用户信任状态降低，立即收敛用户应用访问权限，甚至立即切断用户访问。当实体可信度恢复后，再放开其应有的

67、业务权限。3031版权所有 华为技术有限公司版权所有 华为技术有限公司华为星河 AI 融合 SASE 解决方案白皮书04关键技术技术原理图 4-16 动态授权访问技术原理1.如图 4-16 所示，在 SDP 客户端发起认证来获取访问授权时，SDP 控制器可根据多项信息来判断该用户是否通过认证，以及通过后又可以获得多少访问权限。2.SDP 控制器可以根据地理位置属性实施策略控制。当用户位于企业内网时，可以获得所拥有的最大访问权限。当用户在出差或者居家办公时，访问策略将动态调整为不允许访问关键信息资产。此时，该用户无法在外网访问到对应的应用。3.SDP 客户端获得对应授权之后，需要持续进行风险监测

68、及评估。在访问应用的过程中，如果终端环境或者用户行为发生了风险，访问策略将立即动态调整至当前安全状态下的最小授权。当风险解除后，对应策略也将及时恢复。4.SDP 控制器除了基于自身能识别到的风险信息动态调整策略，还可以与其他的威胁检测设备或行为分析部件对接，接收对应的风险识别结果，用于策略的动态调整。技术优势SDP 客户端提供丰富的终端安全检查能力，可以实时感知当前终端的安全状态，如防病毒软件检查、弱口令检查、软件安装检查、共享目录检查、终端高危端口扫描、注册表路径及属性值检查、终端进程路径及属性值检查等。基于终端安全状态的多维度信息定义终端检查策略，下发到指定的用户。当感知到用户终端安全状态

69、异常时，通知用户下线，并进行相关安全整改。SDP 控制器通过对接态势感知平台，具备网络环境动态评估能力。态势感知平台通过获取当前网络流量变化、网络威胁事件和终端威胁事件等进行网络安全风险评估，根据网络安全风险评估值的变化，可动态调整用户相关策略。4.4.2 智能终端安全4.4.2.1 多层勒索纵深防御，加密文件无损恢复传统的防御手段面对复杂的勒索攻击链条时往往束手无策。为了彻底控制、根除勒索软件攻击带来的影响，我们需要通过攻击可视化技术和深度溯源技术直接还原攻击入口，助力定位根因，构建完整攻击故事线，发现真实攻击意图，如图 4-17 所示。复盘企业信息系统弱点，多层次修复攻击面，构建更完善的勒

70、索防御体系。图 4-17 华为高级勒索防御方案的核心技术 NDR 高级入侵线索发现边界突破是未知勒索软件进入目标系统的关键环节，外联 C&C 通信是控制目标系统的重要手段。传统的IPS 和 IDS 设备仅能解决已知攻击检测，例如 N-day 漏洞、常规暴力破解、已知家族 C&C 信息等，面对 0-day 漏洞和占比日益增加的加密流量攻击却束手无策。IOA 高级威胁检测引擎对于绕过边界防御的勒索软件攻击，华为 IOA（Indicator of Attack，攻击指标）行为检测引擎可以做到毫秒级实时检测终端上的异常行为模式。通过华为独创的内存威胁溯源图与网络侧的攻击线索实时深度联动，以及泛化能力极

71、强的图因果关联模型、时序关联模型、时间关联模型、统计关联模型等，可以精准研判 0-day 漏洞利用成功、PowerShell 攻击投递、钓鱼入侵成功等高级无文件攻击场景，并精准识别威胁子图和威胁实体。通过 XDR（Extended Detection and Response，扩展检测和响应）与网关、终端联动，毫秒级切断攻击执行链路。对于已经执行起来的勒索软件载体，同样通过独创的内存溯源图，以及启发式的方式锁定威胁根节点，组合流行勒索软件家族专家深度分析，高维度泛化抽象加上大数据挖掘的关键因果链条，叠加信任传播算法和华为第三代静态文件检测引擎，可有效实现对勒索软件变种和未知勒索软件加密前的实时

72、精准研3233版权所有 华为技术有限公司版权所有 华为技术有限公司华为星河 AI 融合 SASE 解决方案白皮书04关键技术判。同时，基于威胁根节点毫秒级自动处置攻击链条，缓解勒索软件攻击带来的影响。内核主动诱捕技术为了从战术上扭转攻防对抗的不对等性，变被动为主动，HiSec Endpoint 产品基于内核级主动诱捕技术，可以在用户正常办公和业务无感知状态下全天候自动守护，保护客户关键数据资产免受损失。诱捕部署在拦截攻击的必经之路，捕获勒索加密第一跳。诱捕全面数据采集，打破攻击透视能力天花板。内核级快速精准研判，锁定威胁实体。内核级毫秒级处置，用户数据接近零损失。在华为乾坤未知勒索攻击测评中，

73、基于主动诱捕技术，HiSec Endpoint 产品对未知勒索文件攻击覆盖率可达 99.99%，实现毫秒级处置响应。结合轻量级备份恢复机制，保障用户关键数据资产零损失。跨域攻击链还原为了帮助客户一键完成深度清理并看清攻击入口，降低安全运营繁重的人力投入，华为 XDR 做出如下创新：跨终端、异构数据时空关联还原事件全貌，构建完整可视化进程链。构建攻击逃逸知识库，有效应对攻击路径碎片化。从终端失陷溯源可视化、攻击影响面可视化、完整攻击故事可视化等多视角提供每个威胁攻击过程的高度可视化。结合威胁信息、漏洞信息、沙箱等，组合 IOA+IOC+AI+UEBA（User and Entity Behavi

74、or Analytics，用户和实体行为分析）等全面精准研判攻击，实现威胁一键自动处置，并以可视化的方式定位根因。勒索加密文件恢复HiSec Endpoint 产品内置终端轻量级备份恢复机制作为兜底方案。可在检测到勒索攻击后，将被加密文件准确恢复至加密前的状态，并清理勒索信等垃圾文件，实现无损回滚。该机制具有如下特点：存储资源占用小：本技术是按事件触发备份，只有当关键文件修改事件发生时，内核层才会将该文件备份到保护区内。实时备份：当检测到勒索程序后，本技术可以将文件准确恢复到被加密时间之前的点，不会有文件版本差异。自动化：当检测到勒索程序后，本技术可以自动恢复用户被加密的文件，无需用户手工选择

75、备份版本恢复。4.4.2.2 深度分析，检测高级威胁远控检测一次成功的远控木马上线，包括初始入侵、隐蔽和提权、恶意功能执行等几个阶段。HiSec Endpoint 通过对各阶段典型技术的重点覆盖，可实现单点检测，并通过威胁图引擎进行攻击上下文关联分析，实现远控木马的精准检测。HiSec Endpoint 针对隐蔽和提权阶段广泛使用的 shellcode 和进程注入关键技术进行了重点突破。白加黑远控检测病毒借助知名程序加载带有恶意代码的 DLL 文件，便可绕过杀毒软件的主动防御，从而达到正常加载运行病毒的目的。如果第三方软件在编写时，没有对调用的 DLL 文件进行校验，那就很容易被木马利用，产生

76、 DLL 劫持。HiSec Endpoint 通过对系统的重要指令打点，深度监控白加黑远控木马的关键行为。通过基于细粒度指令流分析，获取恶意行为链上的关键组件，结合异常检测和智能行为分析，解决了白加黑木马利用信任程序绕过终端安全软件防护的问题。可以精准发现恶意 DLL 文件，具有高检出、低误报的特点。进程注入检测进程注入是在另一个进程的地址空间中执行任意代码的一种方法。目前，进程注入技术多变，但均可映射到获取和创建进程、注入代码写入、注入数据执行这三个阶段。HiSec Endpoint 通过 Hook 各个阶段的关键API，并在数据采集引擎内部嵌入部分检测过滤逻辑，可以避免正常事件大量上送带来

77、的效率问题。无文件攻击检测无文件攻击给传统安全软件的检测带来了极大的挑战。特别是对静态检测引擎来讲，在整个攻击过程中，能用于扫描的文件恶意代码成分比较少，真正的恶意部分都直接在内存中执行，所以对抗类似的现代威胁需要新的思路和产品。攻击者往往不在文件层面存放恶意代码，而是将真正的恶意代码存放在网络服务器中，或者存放于本地的加密文件。运行时，利用 shellcode 从网络下载，或者读取本地文件解密后，直接在内存中执行。HiSec Endpoint 产品使用以下关键技术检测无文件威胁：脚本基线和 AMSI 检测学习脚本宿主如 wscript、jscript、PowerShell 的行为基准，在发生

78、高度疑似系统破坏行为时，即时终止恶意脚本。实时进程行为检测在内核层和应用态关键函数上打点，即时检测各种进程注入技术，如远程线程、APC注入、线程上下文修改、进程挖矿、反射 DLL 注入等。深度内存分析3435版权所有 华为技术有限公司版权所有 华为技术有限公司华为星河 AI 融合 SASE 解决方案白皮书04关键技术切断无文件威胁进入内存的关键路径 shellcode，并可利用内存陷阱技术实时抓取黑客的控制服务器。即使有漏网之鱼，还可利用深度内存扫描兜底，快速扫描程序恶意内存块，精确识别恶意程序家族。漏洞检测智能终端安全服务可以防范客户端重要软件的漏洞，还可以防范操作系统远程 RCE 漏洞，各

79、种利用UAC（User Access Control，用户访问控制）、管道、令牌等的提权漏洞。服务器层面还可以防护流行的反序列化漏洞，例如如 Log4j、JNDI 注入漏洞和 SQL 注入漏洞等。基于白基线检测HiSec Endpoint 针对 0-day 漏洞攻击构建了基线防护策略。对于容易被漏洞利用的应用或进程，学习其正常运行时的行为特点，以构筑正常运行特征画像。当 HiSec Endpoint 监控到行为不符合正常特征画像时，将上报告警，并结合其他可疑信息研判攻击的真实性。同时支持实时溯源被漏洞利用的程序，并完成处置动作。该方案利用基线上下文信息进行研判，可以显著降低误报，而且对系统的影

80、响是非侵入式的，不会干扰正常业务运行。HiSec Endpoint 可以准确地捕捉 0-day 漏洞攻击初期的可疑行为，并自动结合其他可疑行为联合研判漏洞攻击，显著降低误报。确认攻击后，完成处置和事件上报，使得组织免受漏洞攻击。基于栈回溯的检测调用栈能够清晰反映程序的执行过程，还原 API 调用序列及其上下文。通过识别异常的调用序列，HiSec Endpoint 能够在漏洞利用早期及时发现攻击行为。基于栈回溯的漏洞利用检测能有效检测未知攻击，并在漏洞利用早期阶段及时阻断攻击行为。检出攻击的同时，根据获取到的攻击调用栈，能够精确还原相关过程，支持后续溯源取证。内核态漏洞拦截HiSec Endpo

81、int 可以监控内核层，实时截获细粒度指令流，及时阻断远程 RCE 漏洞。确保用户系统不会遭受严重威胁，例如类似 Wannacry 这种利用操作系统 RCE 漏洞进行快速传播的威胁。重要应用程序的漏洞检测通过深入分析现网流行漏洞的实际案例，HiSec Endpoint 对漏洞攻击中常用的攻击手法做了重点监控，例如启动可疑下载进程、释放可疑文件、执行无文件攻击等。基于自研的内存图溯源引擎检测单跳和多跳可疑漏洞攻击，可锁定攻击入口，并支持实时阻断，覆盖重要应用程序。HiSec Endpoint 可以在漏洞攻击初期迅速感知并阻断可疑行为，避免真实攻击意图展开后造成不可挽回的损失。对于未知漏洞检测，具

82、有较好的感觉和防护效果，可有效保障企业和组织的终端免受 0-day 漏洞的攻击威胁。4.4.2.3 安全溯源，提供快速调查狩猎能力各种检测规则和算法模型会导致现网产生大量告警，如何核实攻击的真实性，评估攻击影响，确定攻击源头，是每一个安全团队都必须回答的问题。大型企事业单位需要例行对企业网络进行狩猎和巡检，以捕获突破前置防御的高级威胁，或发现不恰当的网络配置和访问行为。HiSec Endpoint 基于端云协同的溯源图数据分析管道，以及高性能的图数据库底座，为客户提供自动和手动能力对事件进行调查狩猎。37版权所有 华为技术有限公司05典型应用场景36版权所有 华为技术有限公司5 典 型 应用场

83、景华为星河 AI 融合 SASE 解决方案面向多分支场景上网上云的组网和安全。针对用户群组、终端类型、访问应用和 SaaS 权限、接入地点等，统一控制接入策略。并结合安全风险感知，持续验证接入连接合规，实现零信任精细化访问控制的防护效果。在企业和运营商场景下，SASE 解决方案可以提供有竞争力的方案组合和一站式服务能力。5.1 企业客户典型场景如图 5-1 所示，基于企业客户不同需求场景，划分为终端安全接入、分支安全互联、数据中心安全、统一安全运营等。根据场景安全等级要求，叠加组合，按需部署，提供统一的终端安全、分支安全、数据中心防护、统一安全运营的一体化安全能力。图 5-1 企业客户典型场景

84、 终端安全接入如图 5-2 所示，提供对企业办公和远程接入终端的零信任接入及终端防护能力，保证终端安全接入企业网络，终端关键数据不会被勒索和窃取。图 5-2 终端安全接入场景 分支安全互联如图 5-3 所示，提供企业分支和总部通过 SD-WAN 网络连接到数据中心的能力，提供访问 Internet 和SaaS 边界隔离的安全防护能力，保证企业数据网络加密传输和访问应用的安全体验。图 5-3 分支安全互联场景3839版权所有 华为技术有限公司版权所有 华为技术有限公司05典型应用场景华为星河 AI 融合 SASE 解决方案白皮书 数据中心安全如图 5-4 所示，提供对企业数据中心边界隔离和数据中

85、心服务器的安全防护能力，保障数据中心应用数据的访问策略安全，保障数据安全，防止勒索和窃取发生。图 5-4 数据中心安全场景 统一安全运营如图 5-5 所示，提供对企业网络及安全能力的统一可视化能力。提供网络和安全事件的实时采集和分析，并对安全事件做自动化 SOAR 关联响应处置，保证安全风险不扩散。图 5-5 统一安全运营场景5.2 运营商和 MSP 典型场景如图 5-6 所示，基于运营商和 MSP 的不同需求场景划分，可提供安全专线服务、安全 SD-WAN 服务、安全 SSE 服务、终端安全服务等。根据客户场景安全等级要求，叠加组合，可按需提供订阅服务。提供专线、组网、云服务等网络和安全的建

86、设及管理，实现代建、代管、代维的一站式服务能力。图 5-6 运营商和 MSP 典型场景 Managed 安全专线为 NA 专线客户，如政府、金融、能源和电力等相关企业，提供企业专线边界防护和集中安全分析。Managed 安全 SD-WAN为企业多分支场景，如购物中心、超市和连锁店，提供灵活的 SD-WAN 网络连接、安全的企业边界互联网访问，并由企业进行管理。Managed SSE提供 POP 边缘+多云互联+SSE 安全服务，覆盖所有云端和按需的网络安全服务订阅，适用于没有数据中心并使用公共云服务的中小企业。Managed 终端为企业提供终端安全访问和终端安全防护能力，覆盖企业园区和远程终端

87、，如零信任终端、终端数据安全和防勒索服务。41版权所有 华为技术有限公司06术 语40版权所有 华为技术有限公司6 术 语英文缩写英文全称中文全称A-FECadaptive FEC自适应冗余率的 FECAIartificial intelligence人工智能ASEadaptive security engine自适应安全引擎ATT&CKAdversarial Tactics,Techniques and Common Knowledge对抗战术、技术和常识BGP EVPNborder gateway protocol ethernet virtual private network边界网关协

88、议以太网虚拟私有网络CASBcloud access security broker云访问安全代理CDEcontent-based detection engine内容检测引擎CPEcustomer-premises equipment客户终端设备D-FECdetermined FEC固定冗余率的 FECEDRendpoint detection and response端点检测和响应EPPendpoint protection platform终端防护平台EVPNEthernet VPN以太 VPN英文缩写英文全称中文全称FECforward error correction前向错误纠正FW

89、aasfirewall as a service服务化部署的防火墙HPShigh-performance protocol stack高性能协议栈IDSintrusion detection system入侵检测系统IKEInternet key exchange互联网密钥交换IoTInternet of things物联网IOAIndicator of Attack攻击指标IOCindicator of compromise入侵指标IPSintrusion prevention system入侵防御系统LANlocal area network局域网MEFmetro ethernet for

90、um城域以太论坛MLmachine learning机器学习MPLSmultiprotocol label switching多协议标记交换MSPmanaged service provider管理服务提供商MSSPmanaged security service provider托管安全服务提供商NACnetwork access control网络准入控制OSoperating system操作系统POPpoint of presence入网点PPDRpredict,prevent,detect,response预测、防护、检测、响应QoSquality of service服务质量42版

91、权所有 华为技术有限公司华为星河 AI 融合 SASE 解决方案白皮书英文缩写英文全称中文全称RRroute reflector路由反射器SaaSsoftware as a service软件即服务SASEsecure access service edge安全接入服务边界SDPsoftware defined perimeter软件定义边界SD-WANsoftware-defined WAN软件定义广域网SLAservice level agreement服务水平协议SPAsingle packet authorization单包授权认证SRv6Segment Routing IPv6基于

92、IPv6 转发平面的段路由SSEsecurity service edge安全服务边缘SSLsecure socket layer安全传输层SWGsecure web gateway安全 Web 网关UACuser access control用户访问控制UEBAuser and entity behavior analytics用户和实体行为分析UUIDuniversally unique identifier通用唯一识别码VPNvirtual private network虚拟专用网络WAFweb application firewallWeb 应用防火墙WANwide area netw

93、ork广域网XDRextended detection and response扩展检测和响应ZTNAzero trust network access零信任网络访问ZTPzero touch provisioning零配置部署华为技术有限公司地址：深圳市龙岗区坂田华为总部办公楼邮编：518129网址：https:/客户服务邮箱：客户服务电话：4008302118主编刘晔于颀谈晶郑玉飞张光明闫广辉陈立健徐志超易蜀锋徐颖徐新海张淑敏吕睿李世光张华涛编 委 会马烨梁跃旗蔡骏曹同强刘丙双高金锁徐永强参编人员（排名不分先后）谭雯朱清亚向虹媛焦丽娟贲永明李林松魏仁政孟繁库贾蕴豪刘柱赵栋杨王祥光刘高峰徐梓萌郑凯丽谢赛雨彭阳程炜陈姝杨晓芬汤海燕葛马骏金芙奇黄诗月王君楠编写单位华为技术有限公司