华为典型安全场景解决方案

华为网络准入控制及终端安全方案一、面临挑战企业网络从有线向无线转型的过程中，为保障网络安全，需实现有线无线一体化准入。

而单一的解决方案，不能满足复杂网络环境下的多样化准入控制需求：多用户角色：传统的网络环境下，主要应用对象为企业员工，但在移动办公场景下，应用对象可扩展至访客、领导、VIP会员等多种用户角色，需基于用户角色在访问权限上做区别；多分支异构：多分支机构中网络架构也会存在差异，如何做统一地接入管理，实现一体化认证，是一项重大的技术挑战；多终端接入：传统网络主要使用PC连接，随着移动终端的普及，终端的数量及类型也随之增多，用户的体验要求也越来越高，同时也带来了更多安全上的挑战。

二、解决方案1.华为网络准入控制及终端安全方案概述宁盾网络准入控制及终端安全方案基于对终端风险以及用户身份的真实性进行双重验证，判断是否准入网络以及获得访问权限，实现接入网络终端及用户身份的双重可信，提升网络安全。

其安全管理逻辑是先对接入内网终端进行合规性检查，并确认接入网络用户身份的真实性，根据终端风险以及用户角色动态赋予访问权限，并和第三方网络审计以及态势感知平台联动，实现内外网上网实名审计以及主动防御。

在此方案中，华为无线WLC开启portal认证，认证服务器指向宁盾认证服务平台，有线部分通过ND ACE结合AM做portal的统一准入，最终实现有线无线的一体化准入控制。

2.身份认证方式2.1员工场景①用户名密码认证，用户名密码可以创建，也可以与AD、LDAP同步帐号信息；②支持802.1X认证；③支持802.1x+portal认证；④支持802.1x+portal+动态码认证。

2.2访客场景①短信认证，可设定短信内容模版、短信验证码有效期及长度等；②微信认证，通过关注微信公众号进行认证连接上网；③支持二次无感知认证，可设定有效期，超过有效期的访客须通过其他认证方式登录；④支持协助扫码认证，快速授权上网，实现访客与被访人之间可追溯；⑤支持访客自助申请认证，由指定人员审批申请信息，加强内外网访问安全控制；⑥支持邮箱认证，访客可以通过邮箱认证接入网络。

AnyOffice基础AnyOffice解决方案的基本介绍背景信息IT产品消费化趋势越来越明显，以iOS和Android为代表的移动终端凭借其时尚的外观和良好的用户体验，吸引了众多个人消费用户。

移动终端被带到了各行各业，促使企业在部分岗位配置移动终端，员工可以在同一台移动终端上处理工作，或者下载喜好的应用，办公和个人业务瞬间转换，个人和企业应用的界限越来越模糊。

同时，移动终端办公也带来了新的问题。

开放、智能的移动平台使移动终端成为了新的安全缺口，容易引入恶意代码植入、个人和企业应用混合、数据泄密、多平台的异构管理等问题，这些问题给企业IT管理带来极大挑战。

●∙对移动终端管理缺乏手段，传统针对PC的控制策略难以移植到移动终端上。

●∙移动终端行为不可控。

各类应用、服务处于无保护状态。

●∙信息外泄风险大。

手机很容易丢失或盗窃，同时给企业带来很大的关键信息泄漏风险。

针对上述问题，华为公司推出了AnyOffice移动办公安全解决方案。

方案架构方案融合了AnyOffice客户端、SVN的硬件网关设备、MDM数据服务器、以及兼具防火墙和UTM功能的USG设备。

AnyOffice客户端作为移动办公客户端运行在移动终端上。

SVN可以单臂挂接在出入口防火墙或者交换机上，也可以双臂挂接在防火墙和交换机之间。

MDM数据服务器部署在企业内网，用于存储企业应用和资产注册信息。

方案优势方案从身份和设备可识别（Identity）、数据不泄密（Privacy）和设备可管理（Compliance）三个方面帮助企业全面应对挑战，为企业提供业界最广泛的安全性和最简单易用的管理方案。

●∙Identity：统一的网络接入控制在终端认证授权方面，方案充分考虑了移动办公的特点，除传统的认证方式外，还提供了移动终端硬件特征绑定的手段，既安全又便于用户操作。

同时，基于企业用户的不同角色、设备归属精细控制用户访问企业内网资源的不同权限。

后续版本可同时对固定终端和移动终端统一管理。

一、Hierarchy VPN1.1 总体组网方案简介Hierarchy VPN场景是移动承载解决方案V6R1版本路由型解决方案ATN+CX场景的子场景之一，具备大规模动态组网能力，可以弱化盒式设备性能要求，分担顶端汇聚设备压力。

此方案对所有接入环和汇聚环在协议层面做到了完全隔离，环内链路或节点故障仅在区域内同步并收敛，环外设备不感知。

整网健壮性强，当基站归属关系需要调整或需要破环加点时，仅需调整接入环内设备配置，汇聚环无需任何更改。

Hierarchy VPN场景部署VPN业务时有两种方式：●H-VPN方式对于CSG至RSG的端到端业务，需要在CSG和RSG部署VPN实例，在ASG上部署VPN的路由反射器，CSG和RSG是反射器的客户端，ASG向CSG下发明细路由。

对于CSG之间的本地交换业务，需要在各CSG与其归属的ASG和RSG（对于CSG归属不同ASG时）上部署本地交换业务的VPN实例，ASG只向对应的CSG下发缺省路由。

●HoVPN方式对于所有业务，在ASG上指定CSG为upe，建立层次化的L3VPN，ASG只向CSG下发默认路由。

图1-1HIerarchy VPN场景简图2G TDM和3G ATM业务采用MS-PW承载，ETH业务采用Hierarchy L3VPN承载。

优点：业务隔离效果好，安全性高。

约束限制：保护倒换相对较为复杂。

1.2 典型组网按照网络设计扁平化得原则，出于简化网络结构和管理的考虑，典型的IP Backhaul网络划分为核心层，汇聚层，接入层，三级结构。

根据以往IP Backhaul网络项目的部署情况，已有的IP Backhaul网络组网可以分为三种：多级环网、汇聚枢纽型和骨干环网+接入链网。

注意事项：在两个直连的ASG或RSG之间，建议用多个10GE接口绑定为ETH-Trunk接口，当上行链路故障流量需要在节点间绕行时增加带宽，并对节点间的链路进行保护。

1.2.1 多级环网图1-2多级环网组网网络描述：多级环网是推荐的组网方式，其由两层环网组成：汇聚环和接入环。

智能家居带给您的高品质生活
智能家居的典型案例有很多，它们为人们带来了高品质的生活体验。

在智能家居交互系统的帮助下，人们可以轻松地控制家庭各种设
备和设施，以适应自己的个性化需要和日常生活节奏。

智能家居示例1：
智能温控系统——钛合智能温控系统包含了一系列智能设备，可
以实现全屋智能温控。

无论是住宅、公寓还是别墅，都可以根据不同
的环境和人们的需求实现全屋智能化。

智能家居示例2：
智能安防系统——华为智能安防系统通过高清监控、智能警戒、
智能报警、安全联动等技术手段，为人们提供一站式安防解决方案。

通过智能家居交互系统，人们可以随时随地实时了解家庭的安全状况，并作出相应的处理。

智能家居示例3：
智能灯光系统——飞利浦智能灯光系统具有智能调光、智能触控、智能场景等功能，可以根据人们的生活规律、照明需求和心情来自由
调整灯光亮度和色彩，为人们节省用电成本的同时也提高了家庭的舒
适度。

总之，智能家居的典型案例丰富多彩、应用范围广泛。

可以适应人们的生活节奏和个性化需要，方便、安全、高效地管理家庭设备，提升了生活的品质和趣味性。

模块化数据中心FusionModule2000-S 智能微模块数据中心FusionModule2000-S 是华为新一代智能微模块，致力于为用户提供极简、绿色、智能、安全的数据中心解决方案。

FusionModule2000-S 采用模块化设计，将智能母线、温控、机柜、通道、布线、监控等集成在一个单排通道内，达到快速交付，按需部署的需求。

与此同时，华为智能微模块通过i 3构筑核心子系统智能化，全面提升供配电、温控系统可靠性、节能性，并引入AI 技术，实现供配电和制冷的智能联动控制，并对机房资产进行自动化管理，显著提升数据中心的可靠性、可用性及运维效率。

产品简介•高密HPC 超算：1600mm 深度密闭冷、热通道，单柜密度最大可支持30kW/R ，可应用于高校，科研院所，研究机构超算应用等，可适配900mm 超深服务器安装，为HPC 提供成套基础设施解决方案。

•极简单排MDC ：1350mm 深度密闭热通道，极简设计免通道设计，建筑适应性强，可应用于空间小，层高低等恶劣条件下绝大多数机房的部署需求。

应用场景极简:•All-in-One 一体化设计，一站式快速部署，柔性灵活扩容•机房改造场景量身打造，无需架高底板，最低部署高度仅2.3m ，通道紧凑设计，1350mm 深实现机柜内密闭热通道，1600mm 深实现冷热全密闭绿色:•冷电控一体化设计，SmartLi Inside * 支持华为智能锂电池入列，高密节地，相比传统“插花式”部署，节省占地50%+•环境适应性强：独立冷热通道，机房冷量无占用，周边设备无影响。

•低PUE ，相比传统方式PUE 降低30%智能:•列间温控垂直智能分区，精确匹配主设备散热特性。

风量冷量智能跟随，稳定运行无热点安全:•温控系统N+1 备份，智能母线支持2N 备份，提供电信级可靠性•冷热通道密闭机柜自动弹门，实现应急散热，消防联动产品性能机柜内自带热通道一体化U P S智能锂电柜IT IT空调IT IT IT空调IT IT IT1350mm配电柜IT IT空调IT IT IT空调IT IT IT密闭冷通道（热通道机柜自带）1600mm高密HPC 场景典型布局示意图极简单排MDC 场景典型布局示意*为可选配置技术参数版权所有©华为技术有限公司2021。

（华为桌面云解决方案是基于华为云平台的一种虚拟桌面应用，通过在云平台上部署华为桌面云软件，使终端用户通过瘦客户端或者其他任何与网络相连的设备来访问跨平台的应用程序，以及整个客户桌面。

华为桌面云解决方案涵盖云终端、云硬件、云软件、网络与安全、咨询与集成设计服务，为客户提供端到端的解决方案。

华为桌面云解决方案以安全可靠、卓越体验及敏捷高效为特点，目前已经凭借全球2500多合作伙伴，服务全球100多个国家、1300多家企业，并拥有10万+桌面的全球最大规模桌面云项目实施经验，广泛部署于政府、医疗、教育、金融、电信、能源、交通、媒资、制造业等行业。

解决方案亮点安全可靠华为桌面云解决方案通过云-管-端-控系统化的安全可靠性设计，从终端安全、网络安全、云平台安全到管理安全，多层次安全保障设计，以预防为主，监控与审计为辅，全方位保障企业信息安全。

同时提供从终端到平台的可靠性保障。

●终端安全：终端证书认证，指纹、USB Key多因子身份认证，端口、外设集中管控等●网络安全：VM安全组隔离；安全VPN连接，加密传输，安全上网专业方案等●云平台安全：分布式存储，分级存储，数据盘加密，数据无痕处理，虚拟化防病毒，桌面安全水印等●管理安全：分权分域、三员分立，管理员行为监控与审计，堡垒主机，日志审计等●全方位可靠性保障：网络状态自动侦测，网络闪断自动重连，桌面代理软件防误删防误杀，关键部件HA资源预留，虚拟机快照，业务容灾等卓越体验华为桌面云解决方案针对不同应用场景进行场景优化和性能优化，最佳匹配用户个性化需求，提供卓越用户体验。

●语音旁路、语音分离、硬电话解决方案，VoIP语音达到电信级语音质量，PESQ均值达到3.8●非自然图像的无损压缩技术结合图像未变化部分识别技术，可提供4K级的高清显示效果●视频场景智能识别，视频数据动态自适应和帧率动态调整，多媒体重定向和视频硬件加速重定向技术结合视频解码能力的TC，提供流畅的4K级超清视频体验和4K级视频编辑能力●GPU直通/硬件虚拟化技术，满足工业制图等专业级应用的性能需求，支持常见的主流制图软件，如：AutoCAD、ProE等●应用虚拟化，实现应用的集中部署及远程发布、移动办公●全面支持主流应用软件，兼容支持5000+业务系统、500+外设、50+TC 敏捷高效软硬件一体化调优，运维简化高效，为企业IT运维管理带来成本与效率的平衡。