华为光通信技术白皮书(共6篇)
华为光通信技术白皮书 篇1
上海证券交易所通信网络技术白皮书
目 录
第一章 总 则
第二章 本所通信网络架构及用户接入方式
2.1 通信网络整体架构 2.2 用户接入方式 2.3 地面广域网接入 2.4 卫星网接入 第三章 通信网络接入规范 第四章 网络安全与管理
4.1 网络安全与保密 4.2 安全组织结构 4.3 安装、使用与管理 附录:引用规范及名词术语
第一章 总则
1.1 上海证券交易所(以下简称“本所”)通信网络是我国证券行业技术网络架构的组成部分,是实现证券行业通信现代化、保障通信安全的重要基础设施。1.2 《上海证券交易所通信网络技术白皮书》(以下简称“《白皮书》”)所指通信网络是由上海证券通信有限责任公司负责建设、运行和管理的,接入本所核心交易系统的证券交易通信专网。本所通信网络的设计宗旨是:从技术上保障通信网络系统稳定运行,降低市场运行的技术风险。1.3 为保证证券交易通信网络安全、可靠运行,规范网络建设,本所编制和发布本《白皮书》,用于规范参与本所证券交易业务的会员单位的证券通信网络建设,其他直接拥有或租用本所交易单元的机构参照执行。1.4 编制《白皮书》的主要依据是:相关法律法规、行业发展战略规划、国际和国家的相关技术标准、我国通信设施的现状与未来发展趋势、本所的业务需求、技术现状和规划目标。
1.5 本所将适时修订《白皮书》,以适应业务和技术的发展。1.6 《白皮书》由本所负责解释,自发布之日起施行。
第二章 本所通信网络架构及用户接入方式 2.1 本所通信网络架构采用“地地天”网络通信布局,即由两个网络中心组成:一个网络中心支持地面通信线路接入, 另一个网络中心支持地面和卫星通信线路接入,具有同城异址的灾难恢复功能。
2.2 本所的通信网络接入由地面广域网接入、卫星网接入组成,支持会员单位及其所属营业部以卫星通信线路和地面通信线路两种不同的通信方式接入,也称“天地备份”接入。随着行
业的发展与业务创新的需求变化,本所将紧密跟进最新的技术发展,研究国际相关行业网络的先进技术实现,规划本所通信网络的新的蓝图,逐步推出符合中国国情的、契合行业业务需求的高速接入、链路服务产品,为会员单位提供基础技术保障。
2.3 地面广域网接入 2.3.1 SDH及MSTP接入
本所SDH及MSTP接入基于电信运营商光纤网实现宽带传输,实现用户总部及区域中心与本所交易系统的连接,SDH接入传输速率为2Mbps,MSTP接入传输速率为4Mbps及以上。
主要应用有委托申报、成交回报、地面备份行情、大宗交易、综合业务平台、固定收益平台等,同时支持其它的业务系统,如中国证券登记结算有限责任公司上海分公司的PROP系统等。
2.3.2 DDN接入
本所DDN接入是基于电信运营商DDN专用地面传输网实现数据传输,实现用户与本所交易系统的通信连接,DDN接入传输速率为64Kbps和128Kbps。
主要应用有委托申报、成交回报、大宗交易等。2.4 卫星网接入 2.4.1 双向卫星接入
双向卫星系统由一个出境载波和多个入境载波组成。系统提供了基于IP协议的标准通信平台,支持VPN接入,使各项业务互不干扰。
双向卫星接入模式分为直接报盘接入和集中交易备份接入。2.4.1.1直接报盘接入
直接报盘接入的传输速率为8.3Kbps、64Kbps、128Kbps、256Kbps,主要应用有委托申报、成交回报等。
2.4.1.2集中交易备份接入
集中交易备份接入的传输速率为256Kbps、512Kbps。主要应用是在集中交易模式下,用于会员单位营业网点与集中交易运行中心之间实现通信线路备份。
2.4.2单向卫星接入
本所单向卫星接入基于高速单向卫星广播网络实现数据分发,支持基于IP的单播、组播及广播。
主要应用有本所实时行情、重要通知、投资者教育节目、上市公司年报、公告信息等,并作为深圳证券交易所实时行情发布的备份通道,转发深圳证券交易所实时行情,及提供其它增值信息服务。
第三章 通信网络接入规范
3.1 会员单位的交易委托、行情线路必须连接到本所的两个网络中心。
3.2 会员单位完成证券交易业务的集中运行中心,其通信网络接入应达到以下几点要求: 3.2.1 必须有两个(含)以上能够互为备份的运行中心。3.2.2 会员单位运行中心必须与本所两个同城异址网络中心做到证券交易业务的直连地面通信线路和卫星通信线路互为备份:
地面通信线路应具有至少2Mbps带宽; 双向卫星通信线路应具有至少64Kbps带宽; 通信线路的带宽应满足相关业务需求。
3.2.3 会员单位运行中心和营业部之间应采用至少2条不同运营商或不同介质的通信线路,建立安全、可靠通信连接,且线路带宽能够满足营业部业务需要并留有冗余。网络通信设备应有冗余备份,保证发生故障时实现及时切换。
3.2.4 会员单位运行中心必须通过单向卫星接入和高速地面广域网接入,实现接收本所行情的“天地备份”。
3.3营业部通信网络建设应参照《证券公司证券营业部信息技术指引》的要求执行;依据《证券公司证券营业部信息技术指引》第四条,对会员单位营业部信息系统建设模式的划分,在保障信息系统正常、稳定、安全运行的前提下,A型营业部的通信系统规范要求如下: 必须通过单向卫星接入接收本所行情;
必须通过地面线路从会员单位的集中交易运行中心接收行情。
第四章
网络安全与管理
4.1 网络安全与保密
4.1.1 本所通信网络为行业专网,会员单位接入本所通信网络后,应:
不得与Internet等其他公众网络直接互联; 应确保自身管理的网络范围内的信息传输安全性; 应采取必要的技术手段,确保自身管理的网络范围内的病毒等恶意软件的防治;
遵循国家、行业的相关法律法规,完成对接后自身网络的相关安全管理。4.2 安全组织结构
4.2.1 为保证通信安全,与本所联网的单位应具有相应的责任部门、机构或岗位。
4.2.2 与本所联网的会员单位应当指定专人担任技术联络人,履行下列职责:
(1)负责会员单位与本所之间的沟通和联络。
(2)对所负责的通信网络、通信系统运行安全承担责任。(3)组织进行符合通信安全标准的通信网络、通信系统规划并实施。
(4)定期对通信网络进行风险分析,提出相应防范对策。(5)审定各项规章制度和制定各种意外事件的应急计划。(6)监督各项规章制度的执行。
(7)定期或不定期地组织测试和应急演练,组织参加本所要求的各项全网测试,做好测试记录,及时反馈测试结果。
4.3 安装、使用与管理
4.3.1 本所通信网络接入对用户接入端的环境要求为:室内部分与计算机机房环境要求相同,室外部分应满足卫星小站建站要求,用户可参照有关国家标准执行。
4.3.2 本所提供的证券交易通信接入专用设备应安装在经本所相关部门批准的营业场所内。
4.3.3 通信接入专用设备的使用应严格按照操作规程操作。
4.3.4 使用双向卫星接入的会员单位必须遵守国家的相关法律、法规,与当地无线电管理单位保持联系,办理无线电台执照。使用单向卫星接入的会员单位必须向当地无线电管理单位报备相关内容。
4.3.5 为保证证券通信安全,会员单位需遵守本所通信网络的相关规定,并有义务完成本所及本所授权部门通信网络升级、建设、测试等工作。
4.3.6 会员单位应按照本所的相关规定和要求进行网络运行和维护工作,保证通信畅通。
4.3.7 为保证投资者利益,本所负责组织对会员单位通信网络建设及运行状况进行检查,并对社会公布会员单位集中交易
运行中心和营业部交易、行情等主备通信网络接入建设及运行状况,各会员单位通信网络建设达标情况作为会员单位申请新业务资格的重要条件。
附录
引用规范 1)2)3)4)名词术语
IP(Internet Protocol)—互联网际协议 BroadCast—广播 MultiCast—组播 UniCast—单播
DDN(Digital Data Network)—数字数据网
SDH(Synchronous Digital Hierarchy)—同步数字系列 MSTP(Multi-Service Transfer Platform)—基于SDH 的多业务传送平台
证券公司集中交易安全管理技术指引 证券公司证券营业部信息技术指引 上海证券交易所会员管理规则
上海证券交易所会员交易及相关系统技术管理实施细则
华为光通信技术白皮书 篇2
《TD白皮书》是业界第一个掷地有声的TD宣言, 全方位地回顾了TD技术的产生和发展历程, 以及向TD-LTE的演进道路, 全面阐述了诺基亚西门子通信致力于推动TD技术商业化与国际化的立场和承诺, 为TD技术全球运营和产业发展勾画出清晰的脉络。
根据《TD白皮书》的内容, 全球移动互联网和与之相关的智能终端的迅猛发展、TD标准国际化、以及TD-SCDMA技术在中国市场的规模产业化等三大方面将成为TD技术实现全球化和产业化发展的重要驱动力。此外, 诺基亚西门子通信为TD技术在中国移动无线网络体系的定位提出了建议, 首次提出了“多层蛋糕”式的网络契合方式, 以保证提升GSM网络的节能和频谱效率、TD-SCDMA网络的不断完善、TD-LTE的平滑演进和TD-LTE网络的逐渐成熟和妥善实施。
作为TD技术的主要推动者和TD产业国际厂商中最重要的贡献者, 诺基亚西门子通信承诺同步协调发展TDD和FDD, 全力支持TD产业的国际化进程, 并在技术创新、运营商合作、市场推广等各方面付出了积极的努力。为推动产业成熟和终端进展, 诺基亚西门子通信4月在杭州启动业内首个TD-LTE开放实验室, 并携手三星完成首个端到端TD-LTE数据呼叫;5月, 诺基亚西门子通信完成全球首次TD-SCDMA与TD-LTE共模演示;在上海世博会期间, 诺基亚西门子通信成功实现全球首个横跨海峡两岸的TD-LTE高清视频通话, 成为TD-LTE走向国际舞台的一个重要里程碑, 同时配合中国移动在NGMN大会上向全球运营商推广TD-LTE, 全面提升了TD-LTE对运营商和产业界的影响。此外, 诺基亚西门子通信与母公司诺基亚长期在终端方面进行紧密的合作, 以期增强更好的用户体验。
华为光通信技术白皮书 篇3
深信服下一代防火墙NGAF 技术白皮书
深信服科技有限公司 二零一四年四月 / 28
NGAF技术白皮书文档密级:公开
目录
目录..................................................................................................................................................2一、二、2.1 2.2 概述...................................................................................................................................4 为什么需要下一代防火墙...............................................................................................4 网络发展的趋势使防火墙以及传统方案失效...........................................................4 现有方案缺陷分析.......................................................................................................5 2.2.1 2.2.2 2.2.3 2.2.4三、四、4.1 4.2 单一的应用层设备是否能满足?...................................................................5 “串糖葫芦式的组合方案”...........................................................................5 UTM统一威胁管理..........................................................................................6 其他品牌下一代防火墙能否解决?...............................................................6
深信服下一代防火墙定位...............................................................................................6 深信服下一代防火墙—NGAF..........................................................................................7 产品设计理念...............................................................................................................7 产品功能特色...............................................................................................................7 4.2.1 4.2.2 4.2.3 4.2.4 4.2.5 4.2.6 可视的网络安全情况.......................................................................................7 强化的应用层攻击防护.................................................................................12 独特的双向内容检测技术.............................................................................17 智能的网络安全防御体系.............................................................................19 更高效的应用层处理能力.............................................................................20 涵盖传统安全功能.........................................................................................21 4.3 产品优势技术.............................................................................................................21 4.3.1 4.3.2 4.3.3 4.3.4 4.3.5 4.3.6 4.3.7 深度内容解析.................................................................................................21 双向内容检测.................................................................................................22 分离平面设计.................................................................................................22 单次解析架构.................................................................................................23 多核并行处理.................................................................................................24 智能联动技术.................................................................................................24 Regex正则引擎..............................................................................................24
五、部属方式.........................................................................................................................25
/ 28
NGAF技术白皮书文档密级:公开
5.1 5.2 5.3 5.4
六、互联网出口-内网终端上网........................................................................................25 互联网出口-服务器对外发布....................................................................................26 广域网边界安全隔离.................................................................................................26 数据中心.....................................................................................................................27 关于深信服.....................................................................................................................27
/ 28
NGAF技术白皮书文档密级:公开
一、概述
防火墙自诞生以来,在网络安全防御系统中就建立了不可替代的地位。作为边界网络安全的第一道关卡防火墙经历了包过滤技术、代理技术和状态监视技术的技术革命,通过ACL访问控制策略、NAT地址转换策略以及抗网络攻击策略有效的阻断了一切未被明确允许的包通过,保护了网络的安全。防火墙就像机场的安检部门,对进出机场/防火墙的一切包裹/数据包进行检查,保证合法包裹/数据包能够进入机场/网络访问合法资源同时防止非法人员通过非法手段进入机场/网络或干扰机场/网络的正常运行。传统的防火墙正如机场安检人员,通过有限的防御方式对风险进行防护,成本高,效率低,安全防范手段有限。而下一代防火墙则形如机场的整体安检系统,除了包括原有的安检人员/传统防火墙功能外,还引入了先进的探测扫描仪/深度内容安全检测构成一套完整的整体安全防护体系。自2009年10月Gartner提出“Defining the Next-Generation Firewall”一文,重新定义下一代防火墙,下一代防火墙的概念在业内便得到了普遍的认可。深信服也在经过10年网络安全技术6年的应用安全技术沉淀之后,于2011年正式发布深信服“下一代防火墙”——NGAF。
二、为什么需要下一代防火墙
2.1 网络发展的趋势使防火墙以及传统方案失效
近几年来,越来越多的安全事故告诉我们,安全风险比以往更加难以察觉。随着网络安全形势逐渐恶化,网络攻击愈加频繁,客户对自己的网络安全建设变得越来越不自信。到底怎么加强安全建设?安全建设的核心问题是什么?采用什么安全防护手段更为合适?已成为困扰用户安全建设的关键问题。
问题一:看不看得到真正的风险?
一方面,只有看到L2-7层的攻击才能了解网络的整体安全状况,而基于多产品组合方案大多数用户没有办法进行统一分析,也就无法快速定位安全问题,同时也加大了安全运维的工作量。另一方面,没有攻击并不意味着业务就不存在漏洞,一旦漏洞被利用就为时已晚。好的解决方案应能及时发现业务漏洞,防患于未然。最后,即使有大量的攻击也不意味着业务安全威胁很大,只有针对真实存在的业务漏洞进行的攻击才是有效攻击。看不到有效攻击的方案,就无法让客户看到网络和业务的真实的安全情况。
问题二:防不防得住潜藏的攻击?
一方面,防护技术不能存在短板,存在短板必然会被绕过,原有设备就形同虚设;另一
/ 28
NGAF技术白皮书文档密级:公开
方面,单纯防护外部黑客对内网终端和服务器的攻击是不够的,终端和服务器主动向外发起的流量中是否存在攻击行为和泄密也需要检测,进而才能找到黑客针对内网的控制通道,同时发现泄密的风险,最后通过针对性的安全防护技术加以防御。
综上所述,真正能看到攻击与业务漏洞,及时查漏补缺,并能及时防住攻击才是最有效的解决方案。那么基于攻击特征防护的传统解决方案是否真的能够达到要求呢?
2.2 现有方案缺陷分析
2.2.1
单一的应用层设备是否能满足?
1、入侵防御设备
应用安全防护体系不完善,只能针对操作系统或者应用软件的底层漏洞进行防护,缺乏针对Web攻击威胁的防御能力,对Web攻击防护效果不佳。缺乏攻击事后防护机制,不具备数据的双向内容检测能力,对未知攻击产生的后果无能为力,如入侵防御设备无法应对来自于web网页上的SQL,XSS漏洞,无法防御来自内网的敏感信息泄露或者敏感文件过滤等等。
2、Web应用防火墙
传统Web防火墙面对当前复杂的业务流量类型处理性能有限,且只针对来自Web的攻击防护,缺乏针对来自应用系统底层漏洞的攻击特征,缺乏基于敏感业务内容的保护机制,只能提供简单的关键字过滤功能,无法对Web业务提供L2-L7层的整体安全防护。
2.2.2 “串糖葫芦式的组合方案”
由于防火墙功能上的缺失使得企业在网络安全建设的时候针对现有多样化的攻击类型采取了打补丁式的设备叠加方案,形成了“串糖葫芦”式部署。通常我们看到的网络安全规划方案的时候都会以防火墙+入侵防御系统+网关杀毒+„„的形式。这种方式在一定程度上能弥补防火墙功能单一的缺陷,对网络中存在的各类攻击形成了似乎全面的防护。但在这种环境中,管理人员通常会遇到如下的困难:
一,有几款设备就可以看到几种攻击,但是是割裂的难以对安全日志进行统一分析;有攻击才能发现问题,在没有攻击的情况下,就无法看到业务漏洞,但这并不代表业务漏洞不存在;即使发现了攻击,也无法判断业务系统是否真正存在安全漏洞,还是无法指导客户进行安全建设;
二,有几种设备就可以防护几种攻击,但大部分客户无法全部部署,所以存在短板;即使全部部署,这些设备也不对服务器和终端向外主动发起的业务流进行防护,在面临新的未
/ 28
NGAF技术白皮书文档密级:公开
知攻击的情况下缺乏有效防御措施,还是存在被绕过的风险。
2.2.3
UTM统一威胁管理
2004年IDC推出统一威胁管理UTM的概念。这种设备的理念是将多个功能模块集中如:FW、IPS、AV,联合起来达到统一防护,集中管理的目的。这无疑给安全建设者们提供了更新的思路。事实证明国内市场UTM产品确实得到用户认可,据IDC统计数据09年UTM市场增长迅速,但2010年UTM的增长率同比有明显的下降趋势。这是因为UTM设备仅仅将FW、IPS、AV进行简单的整合,传统防火墙安全与管理上的问题依然存在,比如缺乏对WEB服务器的有效防护等;另外,UTM开启多个模块时是串行处理机制,一个数据包先过一个模块处理一遍,再重新过另一个模块处理一遍,一个数据要经过多次拆包,多次分析,性能和效率使得UTM难以令人信服。Gartner认为“UTM安全设备只适合中小型企业使用,而NGFW才适合员工大于1000人以上规模的大型企业使用。”
2.2.4 其他品牌下一代防火墙能否解决?
大部分下一代防火墙只能看到除web攻击外的大部分攻击,极少部分下一代防火墙能够看到简单的WEB攻击,但均无法看到业务的漏洞。攻击和漏洞无法关联就很难确定攻击的真实性;另外,大部分下一代防火墙防不住web攻击,也不对服务器/终端主动向外发起的业务流进行防护,比如信息泄露、僵尸网络等,应对未知攻击的方式比较单一,只通过简单的联动防护,仍有被绕过的风险。
三、深信服下一代防火墙定位
全球最具权威的IT研究与顾问咨询公司——Gartner,在2009年发布了一份名为《Defining the Next-Generation Firewall》的文章,给出了真正能够满足用户当前安全需求的下一代防火墙定义:下一代防火墙是一种深度包检测防火墙,超越了基于端口、协议的检测和阻断,增加了应用层的检测和入侵防护,下一代防火墙不应该与独立的网络入侵检测系统混为一谈,后者只包含了日常的或是非企业级的防火墙,或者把防火墙和IPS简单放到一个设备里,整合的并不紧密。
结合目前国内的互联网安全环境来看,更多的安全事件是通过Web层面的设计漏洞被黑客利用所引发。据统计,国内用户上网流量与对外发布业务流量混合在一起的比例超过50%。以政府为例,60%以上的政府单位门户网站和用户上网是共用电子政务外网的线路。在这种场景下,如果作为出口安全网关的防火墙不具备Web应用防护能力,那么在新出现的APT攻击的大环
/ 28
NGAF技术白皮书文档密级:公开
境下,现有的安全设备很容易被绕过,形同虚设,下一代防火墙做为一款融合型的安全产品,不能存针对基于Web的应用安全短板。做为国内下一代防火墙产品的领导者,和公安部第二代防火墙标准制定的参与者,深信服走在前沿,在产品推出伊始就把Web应用防护这个基因深深地植入到深信服下一代防火墙当中,深信服下一代防火墙(Next-Generation Application Firewall)NGAF面向应用层设计,能够精确识别用户、应用和内容,具备完整的L2-L7层的安全防护体系,强化了在Web层面的应用防护能力,不仅能够全面替代传统防火墙,并具在开启安全功能的情况下还保持有强劲应用层处理能力的全新网络安全设备。
四、深信服下一代防火墙—NGAF
4.1 产品设计理念
更精细的应用层安全控制:
贴近国内应用、持续更新的应用识别规则库
识别内外网超过1500多种应用、3000多种动作(截止2014年2月14日)支持包括AD域、Radius等8种用户身份识别方式 面向用户与应用策略配置,减少错误配置的风险
更全面的内容级安全防护:
基于攻击过程的服务器保护,防御黑客扫描、入侵、破坏三步曲
强化的WEB应用安全,支持多种SQL注入防范、XSS攻击、CSRF、权限控制等 完整的终端安全保护,支持漏洞、病毒防护等
双向内容检测,功能防御策略智能联动 更高性能的应用层处理能力:
单次解析架构实现报文一次拆解和匹配 多核并行处理技术提升应用层分析速度 Regex正则表达引擎提升规则解析效率 全新技术架构实现应用层万兆处理能力
更完整的安全防护方案 可替代传统防火墙/VPN、IPS所有功能,实现内核级联动
4.2 产品功能特色
4.2.1 可视的网络安全情况
/ 28
NGAF技术白皮书文档密级:公开
NGAF独创的应用可视化技术,可以根据应用的行为和特征实现对应用的识别和控制,而不仅仅依赖于端口或协议,摆脱了过去只能通过IP地址来控制的尴尬,即使加密过的数据流也能应付自如。目前,NGAF的应用可视化引擎不但可以识别1200多种的内外网应用及其2700多种应用动作,还可以与多种认证系统(AD、LDAP、Radius等)、应用系统(POP3、SMTP等)无缝对接,自动识别出网络当中IP地址对应的用户信息,并建立组织的用户分组结构;既满足了普通互联网边界行为管控的要求,同时还满足了在内网数据中心和广域网边界的部署要求,可以识别和控制丰富的内网应用,如Lotus Notes、RTX、Citrix、Oracle EBS、金蝶EAS、SAP、LDAP等,针对用户应用系统更新服务的诉求,NGAF还可以精细识别Microsoft、360、Symantec、Sogou、Kaspersky、McAfee、金山毒霸、江民杀毒等软件更新,保障在安全管控严格的环境下,系统软件更新服务畅通无阻。因此,通过应用可视化引擎制定的L4-L7一体化应用控制策略, 可以为用户提供更加精细和直观化控制界面,在一个界面下完成多套设备的运维工作,提升工作效率。4.2.1.1 可视化的网络应用 随着网络攻击不断向应用层业务系统转移,传统的网络层防火墙已经不能有效实施防护。因此,作为企业网络中最重要的屏障,如何帮助用户实现针对所有业务的安全可视化变得十分重要。NGAF以精确的应用识别为基础,可以帮助用户恢复对网络中各类流量的掌控,阻断或控制不当操作,根据企业自身状况合理分配带宽资源等。
NGAF的应用识别有以下几种方式:
第一,基于协议和端口的检测仅仅是第一步(传统防火墙做法)。固定端口小于1024的协议,其端口通常是相对稳定,可以根据端口快速识别应用。第二,基于应用特征码的识别,深入读取IP包载荷的内容中的OSI七层协议中的应用层信息,将解包后的应用信息与后台特征库进行比较来确定应用类型。第三,基于流量特征的识别,不同的应用类型体现在会话连接或数据流上的状态各有不同,例如,基于P2P下载应用的流量模型特点为平均包长都在450字节以上、下载时间长、连接速率高、首选传输层协议为TCP等;NGAF基于这一系列流量的行为特征,通过分析会话连接流的包长、连接速率、传输字节量、包与包之间的间隔等信息来鉴别应用类型。4.2.1.2 可视化的业务和终端安全
NGAF可对经过设备的流量进行实时流量分析,相比主动漏洞扫描工具或者是市场的漏扫设备,被动漏洞分析最大的优势就在于能实时发现客户网络环境的安全缺陷,且不会给网
/ 28
NGAF技术白皮书文档密级:公开
络产生额外的流量。此模块设计的初衷就是希望能够实时发现和跟踪网络中存在的主机、服务和应用,发现服务器软件的漏洞,实时分析用户网络中存在的安全问题,为用户展现AF的安全防护能力。实时漏洞分析功能主要可以帮助用户从以下几个方面来被动的对经过的流量进行分析: 底层软件漏洞分析
实时分析网络流量,发现网络中存在漏洞的应用,把漏洞的危害和解决方法通过日志和报表进行展示,支持的应用包括:HTTP服务器(Apache、IIS),FTP服务器(FileZilla),Mail服务器(Exchange),Realvnc,OpenSSH,Mysql,DB,SQL,Oracle等 Web应用风险分析
针对用户WEB应用系统中存在的如下风险和安全问题进行分析:
1.SQL注入、文件包含、命令执行、文件上传、XSS攻击、目录穿越、webshell; 2.发现网站/OA存在的设计问题,包括: a)在HTTP请求中直接传SQL语句; b)在HTTP请求中直接传javascript代码;
c)URL包含敏感信息:如user、username、pass、password、session、jsessionid、sessionid等;
3.支持第三方插件的漏洞检测,如:媒体库插件jplayer,论坛插件 discuz,网页编辑器 fckeditor,freetextbox,ewebeditor,webhtmleditor,kindeditor等 Web不安全配置检测
各种应用服务的默认配置存在安全隐患,容易被黑客利用,例如,SQL Server 的默认安装,就具有用户名为sa,密码为空的管理员帐号。不安全的默认配置,管理员通常难以发觉,并且,随着服务的增多,发现这些不安全的配置就更耗人力。
NGAF支持常用Web服务器不安全配置检测,如Apache的httpd.conf配置文件,IIS的metabase.xml配置文件,nginx的web.xml和 nginx.conf配置文件,Tomcat的server.xml配置文件,PHP的php.ini配置文件等等,同时也支持操作系统和数据库配置文件的不安全配置检测,如Windows的ini文件,Mysql的my.ini,Oracle的sqlnet.ora等等。 弱口令检测
支持FTP,POP3,SMTP,Telnet,Web,Mysql,LDAP,AD域等协议或应用的弱口令检查。
/ 28
NGAF技术白皮书文档密级:公开
另外,NGAF还提供强大的综合风险报表功能。能够从业务和用户两个维度来对可网络中的安全状况进行全面评估,区分检测到的攻击和其中真正有效的攻击次数,并针对攻击类型,漏洞类型和威胁类型进行详细的分析给提供相应的解决建议,同时还能够针对预先定义好的业务系统进行威胁分析,还原给客户一个网络真实遭受到安全威胁的情况。4.2.1.3 智能用户身份识别 网络中的用户并不一定需要平等对待,通常,许多企业策略仅仅是允许某些IP段访问网络及网络资源。NGAF提供基于用户与用户组的访问控制策略,它使管理员能够基于各个用户和用户组(而不是仅仅基于 IP 地址)来查看和控制应用使用情况。在所有功能中均可获得用户信息,包括应用访问控制策略的制定和安全防护策略创建、取证调查和报表分析。
1、映射组织架构
NGAF可以按照组织的行政结构建立树形用户分组,将用户分配到指定的用户组中,以实现网络访问权限的授予与继承。用户创建的过程简单方便,除手工输入帐户方式外,NGAF能够根据OU或Group读取AD域控服务器上用户组织结构,并保持与AD的自动同步,方便管理员管理。此外,NGAF支持账户自动创建功能,依据管理员分配好的IP段与用户组的对应关系,基于新用户的源IP地址段自动将其添加到指定用户组、同时绑定IP/MAC,并继承管理员指定的网络权限。管理员亦可将用户信息编辑成Excel、TXT文件,将账户导入,实现快捷的创建用户和分组信息。
2、建立身份认证体系
本地认证:Web认证、用户名/密码认证、IP/MAC/IP-MAC绑定 第三方认证:AD、LDAP、Radius、POP3、PROXY等; 单点登录:AD、POP3、Proxy、HTTP POST等;
强制认证:强制指定IP段的用户必须使用单点登录(如必须登录AD域等)丰富的认证方式,帮助组织管理员有效区分用户,建立组织身份认证体系,进而形成树形用户分组,映射组织行政结构,实现用户与资源的一一对应。NGAF支持为未认证通过的用户分配受限的网络访问权限,将通过Web认证的用户重定向至显示指定网页,方便组织管理员发布通知。4.2.1.4 面向用户与应用的访问控制策略 当前的网络环境,IP不等于用户,端口不等于应用。而传统防火墙的基于IP/端口的控
/ 28
NGAF技术白皮书文档密级:公开
制策略就会失效,用户可以轻易绕过这些策略,不受控制的访问互联网资源及数据中心内容,带来巨大的安全隐患。NGAF不仅具备了精确的用户和应用的识别能力,还可以针对每个数据包找出相对应的用户角色和应用的访问权限。通过将用户信息、应用识别有机结合,提供角色为应用和用户的可视化界面,真正实现了由传统的“以设备为中心”到“以用户为中心”的应用管控模式转变。帮助管理者实施针对何人、何时、何地、何种应用动作、何种威胁等多维度的控制,制定出L4-L7层一体化基于用户应用的访问控制策略,而不是仅仅看到IP地址和端口信息。在这样的信息帮助下,管理员可以真正把握安全态势,实现有效防御,恢复了对网络资源的有效管控。
4.2.1.5 基于应用的流量管理 传统防火墙的QOS流量管理策略仅仅是简单的基于数据包优先级的转发,当用户带宽流量过大、垃圾流量占据大量带宽,而这些流量来源于同一合法端口的不同非法应用时,传统防火墙的QOS便失去意义。NGAF提供基于用户和应用的流量管理功能,能够基于应用做流量控制,实现阻断非法流量、限制无关流量保证核心业务的可视化流量管理价值。
NGAF采用了队列流量处理机制:
首先,将数据流根据各种条件进行分类(如IP地址,URL,文件类型,应用类型等分类,11 / 28
NGAF技术白皮书文档密级:公开
像skype、emule属于P2P类)然后,分类后的数据包被放置于各自的分队列中,每个分类都被分配了一定带宽值,相同的分类共享带宽,当一个分类上的带宽空闲时,可以分配给其他分类,其中带宽限制是通过限制每个分队列上数据包的发送速率来限制每个分类的带宽,提高了带宽限制的精确度。最后,在数据包的出口处,每个分类具备一个优先级别,优先级高的队列先发送,当优先级高的队列中的数据包全部发送完毕后,再发送优先级低的。也可以为分队列设置其它排队方法,防止优先级高的队列长期占用网络接口。 基于应用/网站/文件类型的智能流量管理 NGAF可以基于不同用户(组)、出口链路、应用类型、网站类型、文件类型、目标地址、时间段进行细致的带宽划分与分配,如保证领导视频会议的带宽而限制员工P2P的带宽、保证市场部访问行业网站的带宽而限制研发部访问新闻类网站的带宽、保证设计部传输CAD文件的带宽而限制营销部传输RM文件的带宽。精细智能的流量管理既防止带宽滥用,又提升带宽使用效率。
P2P的智能识别与灵活控制 封IP、端口等管控“带宽杀手”P2P应用的方式极不彻底。加密P2P、不常见P2P、新P2P工具等让众多P2P管理手段束手无策。NGAF不仅识别和管控常用P2P、加密P2P,对不常见和未来将出现的P2P亦能管控。而完全封堵P2P可能实施困难,NGAF的P2P流控技术能限制指定用户的P2P所占用的带宽,既允许指定用户使用P2P,又不会滥用带宽,充分满足管理的灵活性。
4.2.2 强化的应用层攻击防护
4.2.2.1 基于应用的深度入侵防御 NGAF的灰度威胁关联分析引擎具备4000+条漏洞特征库、3000+Web应用威胁特征库,可以全面识别各种应用层和内容级别的单一安全威胁;另外,深信服凭借在应用层领域10年以上的技术积累,组建了专业的安全攻防团队,可以为用户定期提供最新的威胁特征库更新,以确保防御的及时性。下图为灰度威胁关联分析引擎的工作原理:
/ 28
NGAF技术白皮书文档密级:公开
第一,威胁行为建模,在灰度威胁样本库中,形成木马行为库、SQL攻击行为库、P2P行为库、病毒蠕虫行为库等数十个大类行为样本,根据他们的风险性我们初始化一个行为权重,如异常流量0.32、病毒蠕虫0.36等等,同时拟定一个威胁阀值,如阀值=1。
第二,用户行为经过单次解析引擎后,发现攻击行为,立即将相关信息,如IP、用户、攻击行为等反馈给灰度威胁样本库。第三,在灰度威胁样本库中,针对单次解析引擎的反馈结果,如攻击行为、IP、用户等信息,不断归并和整理,形成了基于IP、用户的攻击行为的表单。第四,基于已有威胁样本库,将特定用户的此次行为及样本库中的行为组合,进行权值计算和阀值比较,例如某用户的行为组权重之和为1.24,超过了预设的阀值1,我们会认定此类事件为威胁事件。由此可见,威胁关联分析引擎对丰富的灰度威胁样本库和权重的准确性提出了更高的 13 / 28
NGAF技术白皮书文档密级:公开
要求,NGAF在两方面得以增强: 第一,通过NGAF抓包,客户可以记录未知流量并提交给深信服的威胁探针云,在云中心,深信服专家会对威胁反复测试,加快灰度威胁的更新速度,不断丰富灰度威胁样本库。第二,深信服不断的循环验证和权重微调,形成了准确的权重知识库,为检测未知威胁奠定了基础。
4.2.2.2 强化的WEB攻击防护 NGAF能够有效防护OWASP组织提出的10大web安全威胁的主要攻击,并于2013年1月获得了OWASP组织颁发的产品安全功能测试4星评级证书(最高评级为5星,深信服NGAF为国内同类产品评分最高)主要功能如: 防SQL注入攻击 SQL注入攻击产生的原因是由于在开发web应用时,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。NGAF可以通过高效的URL过滤技术,过滤SQL注入的关键信息,从而有效的避免网站服务器受到SQL注入攻击。
防XSS跨站脚本攻击 跨站攻击产生的原理是攻击者通过向Web页面里插入恶意html代码,从而达到特殊目的。NGAF通过先进的数据包正则表达式匹配原理,可以准确地过滤数据包中含有的跨站攻击的恶意代码,从而保护用户的WEB服务器安全。防CSRF攻击 CSRF即跨站请求伪造,从成因上与XSS漏洞完全相同,不同之处在于利用的层次上,CSRF是对XSS漏洞更高级的利用,利用的核心在于通过XSS漏洞在用户浏览器上执行功能相对复杂的JavaScript脚本代码劫持用户浏览器访问存在XSS漏洞网站的会话,攻击者可以与运行于用户浏览器中的脚本代码交互,使攻击者以受攻击浏览器用户的权限执行恶意操作。NGAF通过先进的数据包正则表达式匹配原理,可以准确地过滤数据包中含有的CSRF的攻击代码,防止WEB系统遭受跨站请求伪造攻击。主动防御技术 主动防御可以针对受保护主机接受的URL请求中带的参数变量类型,以及变量长度按照设定的阈值进行自动学习,学习完成后可以抵御各种变形攻击。另外还可以通过自定义参
/ 28
NGAF技术白皮书文档密级:公开
数规则来更精确的匹配合法URL参数,提高攻击识别能力。应用信息隐藏 NGAF对主要的服务器(WEB服务器、FTP服务器、邮件服务器等)反馈信息进行了有效的隐藏。防止黑客利用服务器返回信息进行有针对性的攻击。如: HTTP出错页面隐藏:用于屏蔽Web服务器出错的页面,防止web服务器版本信息泄露、数据库版本信息泄露、网站绝对路径暴露,应使用自定义页面返回。
HTTP(S)响应报文头隐藏:用于屏蔽HTTP(S)响应报文头中特定的字段信息。
FTP信息隐藏:用于隐藏通过正常FTP命令反馈出的FTP服务器信息,防止黑客利用FTP软件版本信息采取有针对性的漏洞攻击。URL防护 Web应用系统中通常会包含有系统管理员管理界面以便于管理员远程维护web应用系统,但是这种便利很可能会被黑客利用从而入侵应用系统。通过NGAF提供的受限URL防护功能,帮助用户选择特定URL的开放对象,防止由于过多的信息暴露于公网产生的威胁。弱口令防护 弱口令被视为众多认证类web应用程序的普遍风险问题,NGAF通过对弱口令的检查,制定弱口令检查规则控制弱口令广泛存在于web应用程序中。同时通过时间锁定的设置防止黑客对web系统口令的暴力破解。HTTP异常检测 通过对HTTP协议内容的单次解析,分析其内容字段中的异常,用户可以根据自身的Web业务系统来量身定造允许的HTTP头部请求方法,有效过滤其他非法请求信息。文件上传过滤 由于web应用系统在开发时并没有完善的安全控制,对上传至web服务器的信息进行检查,从而导致web服务器被植入病毒、木马成为黑客利用的工具。NGAF通过严格控制上传文件类型,检查文件头的特征码防止有安全隐患的文件上传至服务器。同时还能够结合病毒防护、插件过滤等功能检查上传文件的安全性,以达到保护web服务器安全的目的。用户登录权限防护 针对某些特定的敏感页面或者应用系统,如管理员登陆页面等,为了防止黑客访问并不断的进行登录密码尝试,NGAF可以提供访问URL登录进行短信认证的方式,提高访问的安全性。
/ 28
NGAF技术白皮书文档密级:公开
缓冲区溢出检测 缓冲区溢出攻击是利用缓冲区溢出漏洞所进行的攻击行动。可以利用它执行非授权指令,甚至可以取得系统特权,进而进行各种非法操作。NGAF通过对URL长度,POST实体长度和HTTP头部内容长度检测来防御此类型的攻击。4.2.2.3 全面的终端安全保护
传统网络安全设备对于终端的安全保护仅限于病毒防护。事实上终端的安全不仅仅是病毒,很多用户在部署过防病毒软件之后,终端的安全事件依然频发,如何完整的保护终端成为众多用户关注的焦点。尤其是最近几年,互联网不断披露的一些安全事件都涉及到了一种新型,复杂,存在长期影响的攻击行为——APT。
APT 全称Advanced Persistent Threat(高级持续性威胁),是以窃取核心资料为目的,针对客户所发动的网络攻击和侵袭行为,是一种蓄谋已久的“恶意商业间谍威胁”。这种行为往往经过长期的经营与策划,并具备高度的隐蔽性。APT的攻击手法,在于隐匿自己,针对特定对象,长期、有计划性和组织性地窃取数据,这种发生在数字空间的偷窃资料、搜集情报的行为,就是一种“网络间谍”的行为。
传统防毒墙和杀毒软件查杀病毒木马的效果有限,在APT场景下,因为无法解读数据的应用层内容以及木马的伪装技术逃逸杀毒软件的检测,传统防毒墙和杀毒软件更是形同虚设,因此需要一种全面的检测防护机制,用于发现和定位内部网络受病毒木马感染的机器。
APT检测
NGAF的APT检测功能主要解决的问题:针对内网PC感染了病毒、木马的机器,其病毒、木马试图与外部网络通信时,AF识别出该流量,并根据用户策略进行阻断和记录日志。帮助客户能够定位出那台PC中毒,并能阻断其网络流量,避免一些非法恶意数据进入客户端,起到更好的防护效果。
NGAF的APT检测功能主要由两部分检测内容来实现: 1.远控木马检测
在应用特征识别库当中存在一类木马控制的应用分类。这部分木马具有较明显的网络恶意行为特征,且行为过程不经由HTTP协议交互,故通过专门制作分析的应用特征来进行识别。如灰鸽子,炽天使,冰河木马,网络守望者等等。此种类型的木马也随深信服应用识别规则库的更新而更新。
2.僵尸网络检测
/ 28
NGAF技术白皮书文档密级:公开
僵尸网络检测主要是通过匹配内置的僵尸网络识别库来实现。该特征库包含木马,广告软件,恶意软件,间谍软件,后门,蠕虫,漏洞,黑客工具,病毒9大分类。特征库的数量目前已达数十万,并且依然以每两周升级一次的速度进行更新。
除了APT攻击检测功能,深信服在终端安全防护方面还提供了基于漏洞和病毒特征的增强防护,确保终端的全面安全
终端漏洞防护 内网终端仍然存在漏洞被利用的问题,多数传统安全设备仅仅提供基于服务器的漏洞防护,对于终端漏洞的利用视而不见。NGAF同时提供基于终端的漏洞保护能防护如:后门程序预防、协议脆弱性保护、exploit保护、网络共享服务保护、shellcode预防、间谍程序预防等基于终端的漏洞防护,有效防止了终端漏洞被利用而成为黑客攻击的跳板。
终端病毒防护 NGAF提供基于终端的病毒防护功能,从源头对HTTP、FTP、SMTP、POP3等协议流量中进行病毒查杀,亦可查杀压缩包(zip,rar,7z等)中的病毒,内置百万级别病毒样本,确保查杀效果。
4.2.2.4 专业攻防研究团队确保持续更新 NGAF的统一威胁识别具备4000+条漏洞特征库、数十万条病毒、木马等恶意内容特征库、3000+Web应用威胁特征库,可以全面识别各种应用层和内容级别的各种安全威胁。其漏洞特征库已通过国际最著名的安全漏洞库CVE严格的兼容性标准评审,获得CVE兼容性认证(CVE Compatible)。深信服凭借在应用层领域7年以上的技术积累组建了专业的安全攻防团队,作为微软的MAPP(Microsoft Active Protections Program)项目合作伙伴,可以在微软发布安全更新前获得漏洞信息,为客户提供更及时有效的保护,以确保防御的及时性。
4.2.3 独特的双向内容检测技术
只提供基于应用层安全防护功能的方案,并不是一个完整的安全方案,对于服务器的保护传统解决方案通常是通过防火墙、IPS、AV、WAF等设备的叠加来达到多个方面的安全防护效果。这种方式功能模块的分散,虽然能防护主流的攻击手段,但并不是真正意义上的统一防护。这既增加了成本,也增加了组网复杂度、提升了运维难度。从技术角度来说,一个黑客完整的攻击入侵过程包括了网络层和应用层、内容级别等多个层次方式方法,如果将这些威胁割裂开处理进行防护,各种防护设备之间缺乏智能的联动,很容易出现“三不管”的 17 / 28
NGAF技术白皮书文档密级:公开
灰色地带,出现防护真空。比如当年盛极一时的蠕虫“SQL Slammer”,在发送应用层攻击报文之前会发送大量的“正常报文”进行探测,即使IPS有效阻断了攻击报文,但是这些大量的“正常报文”造成了网络拥塞,反而意外的形成了DOS攻击,防火墙无法有效防护。
因此,“具备完整的L2-L7完整的安全防护功能”就是Gartner定义的“额外的防火墙智能”实现前提,才能做到真正的内核级联动,为用户的业务系统提供一个真正的“铜墙铁壁”。
4.2.3.1 网关型网页防篡改 网页防篡改是NGAF服务器防护中的一个子模块,其设计目的在于提供的一种事后补偿防护手段,即使黑客绕过安全防御体系修改了网站内容,其修改的内容也不会发布到最终用户处,从而避免因网站内容被篡改给组织单位造成的形象破坏、经济损失等问题。
/ 28
NGAF技术白皮书文档密级:公开
NGAF通过网关型的网页防篡改(对服务器“0”影响),第一时间拦截网页篡改的信息并通知管理员确认。同时对外提供篡改重定向功能,提供正常界面、友好界面、web备份服务器的重定向,保证用户仍可正常访问网站。NGAF网站篡改防护功能使用网关实现动静态网页防篡改功能。这种实现方式相对于主机部署类防篡改软件而言,客户无需在服务器上安装第三方软件,易于使用和维护,在防篡改部分基于网络字节流的检测与恢复,对服务器性能没有影响。
4.2.3.2 可定义的敏感信息防泄漏 NGAF提供可定义的敏感信息防泄漏功能,根据储存的数据内容可根据其特征清晰定义,通过短信、邮件报警及连接请求阻断的方式防止大量的敏感信息被窃取。深信服敏感信息防泄漏解决方案可以自定义多种敏感信息内容进行有效识别、报警并阻断,防止大量敏感信息被非法泄露。(如:用户信息/邮箱账户信息/MD5加密密码/银行卡号/身份证号码/社保账号/信用卡号/手机号码„„)4.2.3.3 应用协议内容隐藏 NGAF可针对主要的服务器(WEB服务器、FTP服务器、邮件服务器等)反馈信息进行了有效的隐藏。防止黑客利用服务器返回信息进行有针对性的攻击。如:HTTP出错页面隐藏、响应报头隐藏、FTP信息隐藏等。
4.2.4 智能的网络安全防御体系
/ 28
NGAF技术白皮书文档密级:公开
4.2.5.1 风险评估与策略联动 NGAF基于时间周期的安全防护设计提供事前风险评估及策略联动的功能。通过端口、服务、应用扫描帮助用户及时发现端口、服务及漏洞风险,并通过模块间的智能策略联动及时更新对应的安全风险的安全防护策略。帮助用户快速诊断电子商务平台中各个节点的安全漏洞问题,并做出有针对性的防护策略。4.2.5.2 智能的防护模块联动 智能的主动防御技术可实现NGAF内部各个模块之间形成智能的策略联动,如一个IP/用户持续向内网服务器发起各类攻击则可通过防火墙策略暂时阻断IP/用户。智能防护体系的建立可有效的防止工具型、自动化的黑客攻击,提高攻击成本,可抑制APT攻击的发生。同时也使得管理员维护变得更为简单,可实现无网管的自动化安全管理。4.2.5.3 智能建模及主动防御
NGAF提供智能的自主学习以及自动建模技术,通过匹配防护URL中的参数,学习参数的类型和一般长度,当学习次数累积达到预设定的阈值时,则会加入到白名单列表,后续过来的请求只要符合改白名单规则则放行,不符合则阻断。可实现网络的智能管理,简化运维。
4.2.5
更高效的应用层处理能力
为了实现强劲的应用层处理能力,NGAF抛弃了传统防火墙NP、ASIC等适合执行网络层
/ 28
NGAF技术白皮书文档密级:公开
重复计算工作的硬件设计,采用了更加适合应用层灵活计算能力的多核并行处理技术;在系统架构上,NGAF也放弃了UTM多引擎,多次解析的架构,而采用了更为先进的一体化单次解析引擎,将漏洞、病毒、Web攻击、恶意代码/脚本、URL库等众多应用层威胁统一进行检测匹配,从而提升了工作效率,实现了万兆级的应用安全防护能力。
4.2.6 涵盖传统安全功能
NGAF除了关注来自应用层的威胁以外,也涵盖了传统防火墙的所有基础功能,使得客户在使用原有传统防火墙的基础上可以实现无缝切换到下一代防火墙。4.2.4.1 智能DOS/DDOS攻击防护
NGAF采用自主研发的DOS攻击算法,可防护基于数据包的DOS攻击、IP协议报文的DOS攻击、TCP协议报文的DOS攻击、基于HTTP协议的DOS攻击等,实现对网络层、应用层的各类资源耗尽的拒绝服务攻击的防护,实现L2-L7层的异常流量清洗。4.2.4.2 融合领先的IPSecVPN
NGAF融合了国内市场占有率第一的IPSec VPN模块,实现高安全防护、高投资回报的分支机构安全建设目标,并支持对加密隧道数据进行安全攻击检测,对通道内存在的IPS攻击威胁进行流量清洗,全面提升广域网隔离的安全性。4.2.4.3 统一集中管理平台
NGAF提供统一集中管理平台实现对分支各设备的集中监管,可实现各分支设备的硬件资源情况实时上报以及安全日志汇总,集中管理配置下发与远程独立配置,提高管理效率,简化运维成本。
4.2.4.4 灵活的应用部署方式
NGAF支持多种部署模式,包括可以在互联网出口做代理网关,或在不改变客户原有拓扑的情况下可做透明桥接或数据转发更高效的虚拟网线模式,同时也支持在交换机上做镜像把数据映射一份到设备做旁路部署以及支持二、三层接口混合使用的混合部署等,另外还提供了端口链路聚合功能,提高链路带宽和可靠性。对于数据请求和回复包走不同路由或者数据包两次通过不同接口穿过设备的的非对称路由部署环境,NGAF也能灵活支持。
4.3 产品优势技术
4.3.1 深度内容解析
NGAF的灰度威胁识别技术不但可以将数据包还原的内容级别进行全面的威胁检测,而且还可以针对黑客入侵过程中使用的不同攻击方法进行关联分析,从而精确定位出一个黑客
/ 28
NGAF技术白皮书文档密级:公开 的攻击行为,有效阻断威胁风险的发生。灰度威胁识别技术改变了传统IPS等设备防御威胁种类单一,威胁检测经常出现漏报、误报的问题,可以帮助用户最大程度减少风险短板的出现,保证业务系统稳定运行。4.3.2 双向内容检测
深信服的双向内容检测技术,主要是针对攻击事件发生前的预防以及攻击事件发生后的检测补救措施,通过对服务器发起的请求以及服务器的回复包进行双向内容检测,使得敏感数据信息不被外发,黑客达不到攻击的最终目的。4.3.3 分离平面设计
/ 28
NGAF技术白皮书文档密级:公开
NGAF通过软件设计将网络层和应用层的数据处理分离,在底层通过应用识别模块为基础,对所有网卡接收到的数据进行识别,再通过抓包驱动把需要处理的应用数据报文抓取到应用层,如若应用层发生数据处理失败的情况,也不会影响到网络层数据的转发。实现数据报文的高效,可靠处理。4.3.4 单次解析架构
要进行应用层威胁过滤,就必须将数据报文重组才能检测,而报文重组、特征检测都会极大地消耗内存和CPU,因而UTM的多引擎,多次解析架构工作效率低下。因此,NGAF所采用的单次解析引擎通过统一威胁特征、统一匹配引擎,针对每个数据包做到了只有一次报文重组和特征匹配,消除了重复性工作对内存和资源的占用,从而系统的工作效率提高了70%-80%。但这种技术的一个关键要素就是统一特征库,这项技术的难度在于需要找到一种全新的“特征语言”将病毒、漏洞、Web入侵、恶意代码等威胁进行统一描述,这就好比是八个不同国家语言的人要想彼此无障碍交流,最笨的办法是学会7种语言,但明显不可行;
/ 28
NGAF技术白皮书文档密级:公开
因此,需要一种全新的国际语言来完成,从而提高可行性,又降低了工程的复杂度。4.3.5 多核并行处理
现在CPU核越来越多,从双核到4核,再从4核到8核,16核,现在还有128核的CPU了。这样来看,如果1个核能够做到1个G,那么16个核不就能够超过10个G了吗? 但是通常设备性能并不能够根据核的增加而迅速增加。因为虽然各个核物理上是独立的,但是有很多资源是共享的,包括CPU的Cache,内存,这些核在访问共享资源的时候是要等其他核释放资源的,因此很多工作只能串行完成。同时NGAF的多核并行处理技术进行了大量的优化工作----减少临界资源的访问,除了在软件处理流程的设计上尽量减少临界资源以及临界资源的访问周期,还需要充分利用读写锁、原子操作、内存镜像等机制来提高临界资源的访问效率。4.3.6 智能联动技术
4.3.7 Regex正则引擎
/ 28
NGAF技术白皮书文档密级:公开
NGAF使用正则表达式对流量的内容进行匹配,正则表达式是一种识别特定模式数据的方法,可以精确识别网络中的攻击。但经我们研究分析,业界已有的正则表达式匹配方法,其速度一般比较慢,制约了AF设备整机速度的提高,为此,深信服设计并实现全新的Sangfor Regex正则引擎,把正则表达式的匹配速度提高到数十Gbps,比PCRE和Google的RE2等知名引擎快数十倍,达到业界领先水平。
整体而言,Sangfor Regex大幅降低了CPU占用率,提高AF的整机吞吐,从而更高速地处理客户业务数据,这项技术尤其适合对每秒吞吐量要求非常高的场合,如运营商,电商等。
五、部属方式
5.1 互联网出口-内网终端上网
安全需求:
单向访问,内网地址隐藏
带宽有限,实现灵活流控
多线路跨运营商,如何选择最优路径
防御来自互联网的威胁,如DOS/DDOS等
保护终端上网安全,防止遭受病毒、木马、蠕虫的攻击
/ 28
NGAF技术白皮书文档密级:公开
5.2 互联网出口-服务器对外发布
安全需求:
业务面向互联网,存在大量Web攻击
服务器安全风险,操作系统、应用程序漏洞
稳定性要求高,防止拒绝服务攻击
网站形象保护,防止网页篡改
数据内容保护,防止敏感信息外传
5.3 广域网边界安全隔离
安全需求:
接入环境复杂,用户存在安全组网要求
流量复杂,病毒木马易泛滥 / 28
NGAF技术白皮书文档密级:公开
人员复杂,需要精确访问控制
设备数量繁多,需要集中管理
数据内容保护,防止敏感信息越界传播
5.4 数据中心
安全需求:
数据、应用大集中,安全域需隔离
可用性要求高,万兆环境
访问权限要求高,控制非法访问
业务类型多样,数据库系统多
数据内容敏感,泄密风险需防范
六、关于深信服
深信服公司成立于2000年,是中国最大的应用层网络设备供应商,致力于提供基于网络应用层的产品及解决方案。目前,全球有超过21,000家用户正在使用深信服的产品。在中国入选世界500强的企业中,有85%以上的企业都是深信服的用户。截止2013年3月,深信服在全球共设有49个直属分支机构,分布在全球8个国家和地区,并拥有超过1400名员工。作为中国应用层网络市场的领导者,深信服每年保持着50%以上的增长率,持续每年将总营收的15%投入到研发,并在深圳和北京设有研发中心。截至2013年3月,深信服共申
/ 28
NGAF技术白皮书文档密级:公开
请超过100项发明专利。同时,深信服还是IPSec VPN和SSL VPN两项国家标准的主要承建单位。深信服公司被评定为“国家规划布局内重点软件企业”,连续八年入选德勤“亚太地区高科技高成长500强”,连续两届荣获《财富》“卓越雇主——中国最适宜工作的公司”。
华为技术支持笔试题 篇4
1、华为公司的全称为()
A、深圳市华为技术有限公司 B、华为技术有限公司 C、华为公司 D、我司
(答案:B,答A、C者酌情给分,答D者立即辞退,我司三令五申禁止使用该华为内部 土语,屡禁不止,老员工不可教也,只好从新员工抓起,格杀勿论)
2、华为公司的企业性质是()
A、民营 B、私营 C、国营 D、上市公司
(答案:A,本题主要让考生了解公司的性质)
3、华为公司的商标象征()
A、红太阳 B、菊花 C、扇贝
(答案:B,答A者酌情给分,答C者立即辞退,天天就想着吃)
4、从下列选项中选择出公司的常务副总裁()
A、任正非 B、孙亚芳 C、李一男 D、郑宝用 E、张燕燕
(答案:BD,答C者立即辞退,让他到李一男的公司去报到吧)
5、华为公司的年终奖一般是在每年的什么时候发()
A、元旦后 B、春节前 C、7月下旬或8月上旬 D、劳动节前 E、国庆节前
(答案:C,切记,因为是年中奖,而不是年终奖)
6、华为公司的配给你的股票是()
A、免费发的 B、用自己的奖金去买
(答案:B)
7、老板常说的土八路,是指()
A、老板自己的革命年代的光辉历史 B、本地化的用服兄弟 C、季度考核为D的兄弟(答案:B)
【第二部分 部门篇】
1、你所在的一级部门为()
A、技术支援部 B、国际技术支援部 C、国际技术支援部国内分部 D、用服
(答案:B,答A、C者酌情给分,答D者作不合格处理,为了提高技术支援部形象,公 司
早就取消用服这个字眼,而且于2001年春节后悄悄地将技术支援部前加“国际”二字)
2、你所在的二级部门为()
A、传输产品技术支援管理部 B、传输工程部 C、传输用服工程中心 D、光网络产品技 术支援管理部
(答案:A,首先得把自己的部门搞清楚,答D者,有远见,有潜力,可以酌情给分,很可能在2001年未就改成这个名字,因为市场中研已经改了,就差技术支援部了)
3、传输的商标为()
A、SBS B、SDH C、OptiX D、Metro
(答案:C,答A者酌情给分,最起码还知道老商标)
4、技术支援部与国际技术支援部的关系()
A、国际技术支援部是技术支援部下面的一个部门,负责海外
B、技术支援部是国际技术支援部下面的一个部门,负责国内
C、技术支援部是国际技术支援部的前身
D、国际技术支援部是技术支援部的前身
(答案:C)
【第三部分 业务篇】
1、SBS是()
A、传输产品的老商标 B、同步骨干系统 C、傻不傻的拼音缩写 D、帅不帅的拼音缩写(答案:AB,答CD者立即辞退)
2、SDH是()
A、传输产品商标 B、同步数字序列 C、傻得很的拼音缩写 D、傻得好的拼音缩写(答案:B,答CD者立即辞退)
3、由于你是新员工,没有公配手机时,当你在现场遇到紧急事故时,你会()向公司 求助
A、打用户机房内的电话 B、借用户手机 C、拔110 D、拔200或300 E、立即打车回办 事
处
(答案:D,答CE者立即辞退,按照公司规定,不能随便使用用户的电话,以提高公司 形象)
4、在开局时,用户问你在华为干几年了,你会回答()
A、我是新员工 B、1年多了 C、2年多了 D、3年多了
(答案:B,答A者按不合格处理,按照公司规定,不能说自己是新员工,几千万的设 备,怎能让一个新员工用来练兵,用户知道鼻子不气歪才怪,答CD者,用户会哼之以鼻,在华为做了2、3年,还在下面撅个腚开局,鬼才相信你的话呢!)
5、接上题,假如你回答说在华为干1年多了,用户会说()
A、那你一定是新员工了 B、那你一定是老员工了
(答案:B,用户对华为很了解,都知道你如果在华为做一年,就已经是老员工了)
6、接上题及上上题,用户会继续问,“那你咋连手机、便携机,一个都没有呢?”,你会回答()
A、啊,我还没有转正咧,等俺转正时,误码仪、手机、便携机,一个都不能少
B、啊,没有关系,正是由于我是老员工,所以开局用不着
C、啊,真倒霉,在来的路上,被土匪打劫了
D、啊,被我的两个徒弟拿走了,因为他们是新员工,没有工具胆小,有了工具好壮(答案:BCD,答A者,立即辞退,这么点事都搞不定)
7、当你发现用户的机房中没有拖鞋时,你会()
A、入乡随俗,直接进机房
B、光脚丫
C、马上出去自己花钱买几双拖鞋送给用户
D、马上出去买几双拖鞋送给用户,之后开票回来贴票报销
E、马上出去买几双拖鞋送给用户,之后开票找局长报销
(答案:C,答A者,立即辞退,答B者,酌情给分,答D者,不合格处理,答E者,简直
是在找死,立即辞退)
8、技术支援工程师工作的特点()
A、白天睡觉,晚上干活
B、用户随叫随到
C、用户就是上帝,用户怎么说,我们就怎么做
D、我是上帝,我想咋干就咋干
(答案:ABC,答D者,立即辞退)
9、在与客户开会及纸面件交流时,你会使用()来称呼对方
A、局方 B、用户 C、客户 D、贵公司
(答案:BCD,答A者,立即辞退,我司三令五申禁止使用该华为内部土语,屡禁不 止,老员工不可教也,只好从新员工抓起,格杀勿论)
10、工程师甲对乙说:“晚上不去泡吧吗”,乙说:“哦,真不巧,我晚上要去市局割 接,下次吧”。
请问乙指的“割接”是什么意思()
A、发货电缆不够长,从别的地方割一段,然后接上
B、一个工程师替换另一个工程师守局,交接的时候要写一个报告,然后从中割开,一人拿一半。
C、局里晚上有一个庆祝活动,请他剪彩。
D、业务从旧系统上倒到新系统上
(答案:D,答错者,按不合格处理)
11、工程师A某周日晚正在家里看电视,突然手机响了,电信局运维员工突然打电话过 来,小A接起电话,用户声音很急迫,说:“不好了,瘫了,你快来处理”。
请问这里“瘫了”最有可能是什么意思()
A、设备漏电将维护人员电瘫了
B、设备支架不够结实,被压瘫了
C、设备坏了,将维护人员吓瘫了
D、设备坏了,大面积业务中断了
(答案:D,答错者,按不合格处理)
12、案例分析:某位局长到传输机房视察工作时,被某物砸伤了脑袋瓜,请问,它最 有
可能是()
A、SS02PBS电源盒盖板 B、SS03PBS电源盒盖板 C、子架盖板 D、防雷盒(答案:A)
13、下雨了,打雷了,你会()
A、收衣服
B、担心网上运行的设备遭到雷公袭击
C、担心强盗偷袭机房内的设备
D、担心食堂开饭会晚点
(答案:B)
14、夜深人静,辗转反侧的你正在考虑小布什与科尔谁当选总统会对中国更有利时,突然手机响了,最有可能发生的是()
A、主管也睡不觉,想找你喝酒
B、狐朋狗友找你去蹦的C、用户找你,因为业务断了
D、打错了,是骚扰电话
(答案:D)
15、请你选择出最常用的排除故障的方法()
A、复位 B、拔插 C、掉电 D、祷告 C、烧香拜神
(答案:ABC)
16、了为有效降低成本,除了()的电话,其它的电话一律不接,然后用固定电话回 拔
过去
A、陌生的号码 B、很熟悉的用户 C、不很熟悉的用户 D、主管与同事 E、狐朋狗友 F、老婆
(答案:C)
【第四部分 生活篇】
1、以下手段可以蒙混入关的是()
A、外地身份证 B、良民证 C、边防证 D、深圳特区暂住证 E、华为工卡 F、婚育证明 G、结婚证 H、乘华为班车
(答案:CDH)
2、如下哪些证件可以应付当地居委会的计划生育检查()
A、婚育证明 B、不育证明 C、结婚证 D、边防证
(答案:A)
3、华为公司员工在业余时间不允许做的事情()
A、打麻将 B、玩扑克 C、出入不健康场所 D、将工卡带在胸前炫耀 E、按摩洗头(答案:ACD)
4、你可以通过以下途径出租或求租住房及买卖二手商品()
A、生协Notes B、Notes Mail C、华为电子公告牌
D、一位辞职员工办的个人主页〖华为专用物业公告栏〗,地址为
5.110/hw/
(答案:D)
5、华为工卡可以用来()
A、在深银联ATM机上取款
B、在华为小卖部买东西
C、在华为食堂免费吃早餐
D、只要蹭到晚9点,就可以到食堂领免费的宵夜
(答案:BD)
6、在购买机票时,正常人可以打7折,如果你凭华为工卡,可以打()
A、5折 B、7折 C、8折 D、97折
(答案:D)
7、如下线路中,票价最便宜的是()
A、113 B、204 C、226 D、331
(答案:C)
8、如下线路中,小偷最多的是()
A、113 B、204 C、226 D、331
(答案:BC)
9、如下线路中,不能到新时代广场的是()
A、113 B、204 C、226 D、331 E、437 F、22
(答案:E)
10、如下线路中,哪一个线路能到新时代广场但不能坐的是()
A、113 B、204 C、226 D、217 E、437 F、22
(答案:F,因为它绕很远,上班会迟到)
11、在新时代广场,如果你既想拿宵夜,又想坐班车,你会()
A、晚8:50去一楼刷卡,再马上跑到三楼,准排第一,再叫大师傅将宵夜包好,卡机时间比快那么几分钟,到点刷卡后,马上顺楼梯飞奔到停车场即可,注 意千万不是坐电梯。
B、蹭到晚9点钟以后,领完宵夜,再混一会儿,坐晚9点以后的班车
C、算了,本来鱼和熊掌就不能兼得,老子不领了,下班就回家
(答案:AB)
12、到办事处出差,当地安排你住公司的集体宿舍,真倒霉,同屋的哥们雷声隆隆,你
会()
A、推醒他,给他一个红牌警告
B、找办事处主任理论
C、忍了,到客厅凳子上将就一下
D、不受那份气,搬家,到宾馆开房间
E、武力解决,找本厚书,如华为文摘、走出混饨、培训手册等,很很的砸那位哥们一 下
F、戴上耳机,听走扁美国
G、头上蒙上厚被,装听不见
H、故意打出更响的呼噜,吓一吓那位哥们
(答案:该无标准答案,只要不选BD,答D者,按不合格处理)
13、出差回来,发现出差前还在宿舍中的自己的拖鞋不翼而飞,你会()
A、死活要将属于自己的东西找回来,毫不在乎地接着穿
B、死活要将属于自己的东西找回来,用开水烫烫或用消毒水处理一下,然后接着穿
C、死活要将属于自己的东西找回来,然后丢到垃圾桶里
D、不要了,再买一双新的,以免得脚气
E、随便找一双穿,管它是谁的F、发誓下次出差前一定要将自己的拖鞋藏起来
华为光通信技术白皮书 篇5
来源:PMI中国 发布时间:2011-05-19 17:21:26
企业在提供多样化的商业服务和在不同的文化背景下时,如何能从高速业务增长中获得更大的竞争优势?
华为技术,一家中国的电信公司,采用了项目管理的技术和工具来确保每个策略的效果和效率,并且能最终带来盈利。
背景
中国的经济在过去20年来飞速发展。电信业的发展更快。在2004年11月,中国的固定电话和移动电话的用户分别增长到了313,000,000和330,000,000人。
华为技术在1988年成立时,就与中国市场不断地协同发展。华为有超过24,000名员工从事信息与通信产品、技术和解决方案的工作。华为的产品组合包括固定电话通信、移动通信、光纤通信、数据通信和移动终端和手机。
在2002年,华为启动了全面项目管理开发计划,以支持它的核心竞争力和面对竞争性不断增强的国际市场的挑战。
华为正在逐步成为领先的国际公司,2004年年收入为50.58亿美元。年度增长率为45%。40%的增长源自国际市场,包括拉丁美洲、北非、美国和欧洲。在2004年,海外业务第一次超过华为年收入的50%。
挑战
尽管华为认识到项目管理对可持续发展十分重要。大量的项目和分配到项目上的员工的数目(14,000人)带来了重大的计划编制和物流的挑战。
这些挑战对华为更为关键,因为它的海外业务已经扩展到了五大洲,是重要的收入和盈利驱动力。这让跨国和跨文化的项目管理成为新的挑战。华为管理团队开始寻找一个统一和标准的项目管理系统以适应这一新的情况。
当公司的业务范围不断扩大时,华为也经历了从制造商进化为全面的通信解决方案供应商的转型。这一个以服务为中心的新业务要求更精良的项目管理。
华为也面临着内部的挑战。公司发起了对管理结构的变更,建立了项目经理的职位。它进一步把使用项目管理纳入组织发展工具,从而建立以服务为基础的文化。
另外,客户要求有效和简洁的端对端项目管理,并要求项目经理有专业认证。特别的是,客户要求项目经理接受PMI的项目管理专业人员PMP®认证。这是华为的重要国际竞争对手已经采用的方法。
解决方案
在2002年,华为建立了全面机制来培训和发展项目经理和增强项目管理的实践和过程。计划的主要目标是
1.建立一致性的项目管理技能、资格标准和程序及培训平台来帮助项目经理提高他们的项目管理知识和绩效。
2.培养100名华为原有的项目经理通过PMP®认证。
3.建立外部合作的渠道,在组织层面提高项目管理的知识和绩效。为了完成这些目标,华为建立了业务流程再造项目管理办公室—由超过20名在项目应用和管理方面有着丰富经验的员工组成—由他们来开发和指导计划。
为确保考虑到业务的每个层面,并且员工的利益不会冲突,办公室从每个华为的部门选派员工,部门包括市场和销售、研发、客服和信息技术。在评估了主要的项目管理标准和认证计划后,华为最后决定项目管理知识体系指南PMBOK® Guide和PMP®成为它的项目管理开发计划的基础。
作为PMI的企业委员会成员,华为一直在寻求项目管理的国际合作。通过积极参与在中国和海外举办的项目管理研讨会和活动,华为与其他PMI的合作伙伴交流项目管理知识、实践、经验,并获得了大量先进的管理技能。
成果
华为建立了持续和有效的能力、资质标准和过程,并与外部机构建立了合作渠道。这带来了巨大的成功。通过对培训的承诺,目前华为已经有200多名项目经理通过了PMP认证。是原有的较高目标的两倍。
华为光通信技术白皮书 篇6
在人类的发展过程中, 通信技术也在发展。而通信关键要解决的问题就是消除人们之间交流的距离, 让相隔千里之外的两个人交流起来无距离感, 有面对面交流的体验。
如今的通信技术, 已从最开始单纯的传数据发展到传语音, 再到现在可以传视频。在这个过程中我们注意到, 通信手段的不一样, 对网络带宽的需求也不一样。
在最初的通信时期, 对带宽的要求很低, 几比特的带宽就可以达到目的;到语音时代则要求高些;后来发展到传输图象, 则需要几百KB到几MB;下一阶段进入场通信, 也就是指完全还原现场的整体信息传送到远方, 带宽的需求可能要到上百MB、甚至到GB级别。
再看技术发展之外的变化, 最大的一点就是通信使用户的价值发生了变化。最开始的通信只是为了节约企业的运营成本, 如召开视频会议, 企业的差旅费用能显著降低, 员工的舟车劳累之苦也不存在。当前用户的诉求已发生变化, 他们更希望将通信技术用于业务领域, 帮助企业完成主营业务。比如说通过远程医疗系统, 让北京的专家协助新疆的县医院医生对病人会诊;上海的优秀教师可以使用远程教学系统给千里之外的小学生上数学课。
另一方面, 用户, 作为通信系统的直接受益者, 也发生了用户体验的变革。看到对方图像, 听到对方的声音, 完成了信息量的传递, 这就够了吗?远远不够!用户还希望得到一个更好的体验。而且这种对于体验的追求是无终点的。我们称这种变革就是从满足功能变为追求体验。极致体验的目标包括将人和人之间的连接, 和所有的流程进行连接, 和所有的信息进行联接, 最终达成协同共享的目的。
VTM远程银行案例:通信创新金融服务
以VTM远程银行系统为例。我们都知道, 传统的银行柜台里面有很多的银行员工在为顾客办理业务, 顾客需要去营业厅排队叫号, 银行工作人员在柜台后面为眼前的顾客提供一对一的服务。现在随着通信技术的发展, 这个模式有了创新, 只需将一台VTM的机器, 即可视化银行柜员机, 部署在银行的营业厅里, 便可通过远程可视协作的工作方式, 让集中在视频呼叫中心的银行工作人员实时地为分布在各网点的VTM机用户提供服务。当然, 这个VTM机根据设计还可进行外观精简, 便于随身携带, 使银行的工作人员不再仅限于营业厅, 可以带着系统走到客户的家中或办公室, 提供上门服务, 甚至用户可以在家里把系统放在客厅里, 如装在机顶盒里, 作为应用。系统中所有的业务模式, 完全是一个新的变革。
VTM远程银行系统, 同传统的手机银行或网商银行有着本质的差别。过去的手机银行或网络银行都是站在银行的角度, 开一个门, 有一个服务, 只有用户有需求了, 去访问, 才会找到解决问题的业务点, 相当于自助式服务。但该系统是完全站在用户的角度服务的, 相当于有人站在旁边辅助你。其应用不仅限于银行业务, 整个以用户为中心的设计, 面临很多的目标或案例, 如远程银行、保险、教育等。“互联网+”所包含的一系列应用, 都是利用通信业务在我们业务系统进行一些发展。
“互联网+”, 融合通信驱动业务使能 (CEBP)
CEBP是通信驱动的业务流程, 通信作为基本能力, 嵌入到业务系统里。和传统的用户数量不同, 可以支持上万个用户、百万个用户甚至千万级的用户。
CEBP可以应用到以下方面:
远程银行:提供远程银行、移动银行、家庭银行、掌上银行等服务;
保险服务:通信能力植入保险工作流程当中, 提供远程车险理赔;
教育、医疗:提供远程医疗、远程教育培训、同步课堂等服务;
互联网+:通信能力集成到电商平台, 助力传统企业拥抱“互联网+”。
融合通信展望:以人为中创心新, 设下计一代智真
华为公司对未来智真的设计, 融合了多个系统的诉求。可以看到的是一个整合的架构, 包括会议室、桌面, 口袋里的手机、pad都可以参加, 主要基于4K的技术。我们认为与从传统发展到现在的1080P的技术相比, 4K技术关键是内容和通道的建设。
当一个坐在办公室里且腿部受伤的人, 想和他的伙伴一起参去远足交流, 怎么办?如果有4K的技术, 把4K全景图象放在墙上, 郊外的的声音可以到达他的桌边, 他可以身临其境感到野外场景的变化, 这些变化是融合的信息。整个系统需要高带宽低延迟的通信模式, 这就是4K技术实现场通信的例子。
※4K关键技术
1) 图像清晰度增强
整个4K的效果不仅仅是图象的进行横向增加和纵向增加, 可以看到斜线的效果, 可以看到和传统清晰一样的图象。华为ADE自适应清晰度增强技术, 清晰度可提升20%。
2) 色域空间拓展
由于摄像机传感器的技术, 大概只使用了15%的色域空间, 经过拓展, 可以达到完整的全方位完整体验的效果。华为摄像机采用ACR技术, 色彩准确性提升100%。
※H.265编码, 更低带宽, 更清晰图像
265技术比264技术对带宽需求更低, 265相对来说HP带宽需求低30%, 达到低带宽, 高清晰的体验效果。随着技术的发展, 华为现在研发的TX50只需384k的带宽即可传输1080P清晰度图像。这在过去的技术上是无法想象的。
※高清:用得起的普及化专业视讯终端
视频终端已经不再是以前高高在上的高端会议室专用设备。而是越来越多进入到业务中去, 比如政府、金融、各个行业越来越多的场景可以看到。象一体化终端, 个人终端, 桌面终端等等。未来将会有更多的视频通信系统用于业务发展, 这就导出了视频通信系统的另一个重要特性:开放性。
用户希望视频通信能力能够很容易嵌入到业务流中。那么如何嵌入呢?答案就是是能力开放。应用随性, 呼叫能力、会议能力、群组能力, 安全能力, 通过某种开放的接口, 接入到所有设备。网络通信设备、视频通信设备, 都和业务系统进行融合。所谓CEBP, 就是高清视频、高清音频, 融合通信, 接到不同业务系统。比如银行、医疗、教育等等这些行业里, 通过开放的接口, 用于业务直接使用到我们的视频设备, 而不仅仅局限于只能在一个高大上的会议室使用。
融合协作:时空互联, 提升效率
如图1所示, 通过融合协作, 可以随时、随地、任意终端接入, 高清视频沟通:户外用户可通过手机/平板客户端参加会议;传统用户可通过座机固话和手机入会;IP话机可通过音视频方式入会;会议室终端、软客户端、各类话机之间通过音、视频进行点对点和多点通信。
多场景融合通信:随你而行, 构建极致体验
【华为光通信技术白皮书】推荐阅读:
有关华为技术支持职业前景等!08-15
华为技术文档工程师面试经08-30
华为手机08-16
华为培训05-11
华为软交换05-18
华为电子培训06-21
华为面试总结07-27
华为内部讲话07-30
华为员工辞职09-01
空间光通信技术08-03