WHITEPAPERH3C數(shù)字化解決方案領(lǐng)導(dǎo)者輕網(wǎng)科技破界·立勢(shì)新華三信息安全技術(shù)有限公司北京輕網(wǎng)科技股份有限公司W(wǎng)HITEPAPER一、SASE是什么SASE，全稱為安全訪問服務(wù)邊緣（SecureAccessServiceEdge），是由Gartner于2019年首次提出的一種云原生的網(wǎng)絡(luò)及安全架構(gòu)。SASE將網(wǎng)絡(luò)和安全功能結(jié)合在一起，通過統(tǒng)一的云服務(wù)進(jìn)行交付。核心理念是在一個(gè)平臺(tái)上整合網(wǎng)絡(luò)和安全功能，如SD-WAN（軟件定義廣域網(wǎng)）、安全網(wǎng)關(guān)（SWG）、云訪問安全代理（CASB）、零信任網(wǎng)絡(luò)訪問（ZTNA）和防火墻即服務(wù)（FWaaS）等。SASE旨在為企業(yè)提供一種高效、安全且簡(jiǎn)化的網(wǎng)絡(luò)架構(gòu)，以更好地支持現(xiàn)代企業(yè)的云化、分布式辦公網(wǎng)絡(luò)需求。二、為什么需要SASE在過去，企業(yè)通常采用以總部或數(shù)據(jù)中心為核心的網(wǎng)絡(luò)及安全架構(gòu)，業(yè)務(wù)系統(tǒng)和數(shù)據(jù)主要托管在企業(yè)總部或數(shù)據(jù)中心內(nèi)，安全防護(hù)也一般以總部或數(shù)據(jù)中心為主。但隨著云計(jì)算、遠(yuǎn)程辦公的普及，傳統(tǒng)的企業(yè)網(wǎng)絡(luò)及安全架構(gòu)逐漸落伍，無法繼續(xù)滿足企業(yè)對(duì)高效網(wǎng)絡(luò)連接和全面安全防護(hù)的需要。1.企業(yè)上云帶來新的挑戰(zhàn)企業(yè)上云后，業(yè)務(wù)系統(tǒng)及數(shù)據(jù)不再集中于傳統(tǒng)數(shù)據(jù)中心，而是分散在多個(gè)SaaS、IaaS及混合云平臺(tái)中。員工日常辦公中要持續(xù)訪問這些云上業(yè)務(wù)和數(shù)據(jù)，但傳統(tǒng)的企業(yè)網(wǎng)絡(luò)及安全架構(gòu)卻無法保障云訪問的安全和效率：如果各分支和遠(yuǎn)程辦公人員在進(jìn)行云訪問時(shí)要先繞行企業(yè)總部或數(shù)據(jù)中心以獲取全面的安全防護(hù)，則將面臨較高的網(wǎng)絡(luò)延遲和較低的訪問效率；如果不繞行企業(yè)總部或數(shù)據(jù)中心，則無法獲取全面的安全防護(hù)，因?yàn)槠髽I(yè)分支的安全能力往往較薄弱，遠(yuǎn)程辦公的安全能力則更是近乎于零。2.遠(yuǎn)程辦公帶來新的挑戰(zhàn)遠(yuǎn)程辦公人員日常需要訪問企業(yè)位于云上及總部或數(shù)據(jù)中心的辦公業(yè)務(wù)系統(tǒng)，但其自身往往不具備安全防護(hù)能力。對(duì)于遠(yuǎn)程辦公人員的云訪問場(chǎng)景，傳統(tǒng)企業(yè)網(wǎng)絡(luò)及安全架構(gòu)往往有心無力；而對(duì)于遠(yuǎn)程辦公人員訪問總部或數(shù)據(jù)中心的場(chǎng)景，傳統(tǒng)網(wǎng)絡(luò)及安全架構(gòu)雖能提供防護(hù)，但是卻要因“需開放業(yè)務(wù)端口或者VPN端口讓遠(yuǎn)程辦公人員進(jìn)行遠(yuǎn)程接入”而面臨網(wǎng)絡(luò)暴露面擴(kuò)大、安全防護(hù)能力下降的風(fēng)險(xiǎn)。另外，傳統(tǒng)的VPN也難以滿足高效的遠(yuǎn)程訪問需求，導(dǎo)致遠(yuǎn)程辦公效率下降。3.網(wǎng)絡(luò)威脅復(fù)雜性增加帶來新的挑戰(zhàn)企業(yè)上云和遠(yuǎn)程辦公打破了企業(yè)的傳統(tǒng)安全邊界，使得企業(yè)網(wǎng)絡(luò)安全防護(hù)難度倍增。而同時(shí)，越來越復(fù)雜多變的網(wǎng)絡(luò)安全威脅則給企業(yè)網(wǎng)絡(luò)安全帶來更大的壓力，企業(yè)需要更為全面、主動(dòng)和靈活多變的安全防護(hù)能力。傳統(tǒng)的網(wǎng)絡(luò)及安全架構(gòu)往往是通過堆疊多種網(wǎng)絡(luò)及安全設(shè)備和軟件形成企業(yè)安全壁壘，管理復(fù)雜度高、靈活性和擴(kuò)展性差，難以應(yīng)對(duì)快速多變的網(wǎng)絡(luò)安全威脅。綜上，傳統(tǒng)的企業(yè)網(wǎng)絡(luò)及安全架構(gòu)在應(yīng)對(duì)新的局面時(shí)越來越力不從心。SASE徹底跳出了企業(yè)傳統(tǒng)的網(wǎng)絡(luò)及安全架構(gòu)，采用云原生架構(gòu)將網(wǎng)絡(luò)和安全融為一體，以跨地域分布式平臺(tái)化的方式對(duì)企業(yè)提供云化的網(wǎng)絡(luò)及安全服務(wù)，無論企業(yè)辦公人員身處何地、訪問何處，SASE都能提供快速安全的服務(wù)，可以很好地滿足企業(yè)上云、遠(yuǎn)程辦公等場(chǎng)景中企業(yè)對(duì)網(wǎng)絡(luò)及安全的新需求。另外，SASE以軟件定義、統(tǒng)一管理的方式實(shí)現(xiàn)網(wǎng)絡(luò)及安全功能的靈活定義和彈性擴(kuò)展，減少企業(yè)對(duì)多種網(wǎng)絡(luò)及安全設(shè)備和軟件的依賴，簡(jiǎn)化管理復(fù)雜度，提高企業(yè)在網(wǎng)絡(luò)及安全方面的靈活性和擴(kuò)展性。三、輕網(wǎng)與新華三聯(lián)合推出SASE運(yùn)營(yíng)平臺(tái)2023年11月，北京輕網(wǎng)科技股份有限公司（輕網(wǎng)科技）與新華三信息安全技術(shù)有限公司（新華三）達(dá)成戰(zhàn)略合作，結(jié)合輕網(wǎng)科技SD-WAN的全球骨干網(wǎng)資源優(yōu)勢(shì)與產(chǎn)品技術(shù)創(chuàng)新能力，以及新華三在云網(wǎng)安一體化融合和全棧全場(chǎng)景網(wǎng)絡(luò)安全解決方案方面的優(yōu)勢(shì)，共同推出SASE一站式企業(yè)網(wǎng)絡(luò)及安全服務(wù)。輕網(wǎng)科技、新華三聯(lián)合推出的SASE運(yùn)營(yíng)平臺(tái)，以輕網(wǎng)的企業(yè)級(jí)SD-WAN網(wǎng)絡(luò)通信平臺(tái)LightWAN為底座，無縫融合新華三的云化安全能力，為企業(yè)提供網(wǎng)絡(luò)、安全一體化輕網(wǎng)LightWAN平臺(tái)是基于SDN和廣域網(wǎng)優(yōu)化技術(shù)打造的下一代企業(yè)級(jí)網(wǎng)絡(luò)通信平臺(tái)，為用戶提供分支互聯(lián)和應(yīng)用加速服務(wù)。LightWAN綜合了SD-WAN的功能特點(diǎn)，既可為企業(yè)用戶提供豐富的網(wǎng)絡(luò)及流量管理能力，同時(shí)又可為企業(yè)LightWAN骨干網(wǎng)由超過600個(gè)POP節(jié)點(diǎn)組成，按需整合了世界主流運(yùn)營(yíng)商和云服務(wù)商的優(yōu)質(zhì)網(wǎng)絡(luò)資源，并創(chuàng)造性的將AI應(yīng)用于網(wǎng)絡(luò)傳輸優(yōu)化以提升網(wǎng)絡(luò)傳輸效率。通過分布式的SD-WAN控制器（Orchestrator）集中管控并智能調(diào)度整網(wǎng)資源，為客戶提供高可靠、高質(zhì)量、無處不在的企業(yè)級(jí)網(wǎng)絡(luò)通信服務(wù)。將新華三云安全資源池與部署在各公有云平臺(tái)中的LightWAN骨干網(wǎng)POP節(jié)點(diǎn)進(jìn)行無縫對(duì)接，形成具備安全能力的安全服務(wù)中心（SecurityServiceCenter，SSC），即可為企業(yè)廣域網(wǎng)提供即插即用的云化安全能力，實(shí)現(xiàn)“安全即服務(wù)”。新華三云安全資源池集成防火墻、IPS、LB、防病毒、日志審計(jì)、數(shù)據(jù)庫(kù)審計(jì)、主機(jī)安全、態(tài)勢(shì)感知等安全能力，全面提升企業(yè)廣域網(wǎng)安全。同時(shí)，在部署于用戶側(cè)的輕網(wǎng)CPE設(shè)備和軟件客戶端（MobileCPE）中也集成了新華三的安全能力，形成CPE安全融合網(wǎng)關(guān)（S-CPE）和零信任客戶端，為企業(yè)提供終端側(cè)安全防護(hù)。實(shí)際使用中，在企業(yè)辦公站點(diǎn)部署輕網(wǎng)CPE設(shè)備，在遠(yuǎn)程辦公人員的辦公終端上面安裝軟件客戶端，將辦公流量引入LightWAN骨干網(wǎng)。LightWANOrchestrator會(huì)根據(jù)辦公流量的源和目標(biāo)進(jìn)行智能路徑選擇，保障辦公流量的傳輸效率及辦公業(yè)務(wù)的使用體驗(yàn)。用戶可通過策略配置對(duì)指定流量啟用SASE安全能力，辦公流量則會(huì)在途徑的某個(gè)安全服務(wù)中心（SSC）進(jìn)行安全檢查，之后再沿剩余路徑去往目標(biāo)。輕網(wǎng)&新華三SASE方案融合了輕網(wǎng)和新華三在各自領(lǐng)域的產(chǎn)品技術(shù)積累，帶來如下1.全球高質(zhì)量覆蓋LightWAN全球骨干網(wǎng)融合了全球各區(qū)域、多運(yùn)營(yíng)商、多云平臺(tái)的專線、高質(zhì)量互聯(lián)網(wǎng)、5G及衛(wèi)星等線路資源，可在全球任意區(qū)域?yàn)槠髽I(yè)用戶提供高質(zhì)量接入。多云平臺(tái)資源的融入也能充分保障企業(yè)上云的質(zhì)量。2.順路而為，安全不繞路會(huì)按用戶業(yè)務(wù)流量的源目地址選出一條既滿足用戶SLA要求同時(shí)又途徑某個(gè)安全服務(wù)中心（SSC）的路徑，確保用戶在使用安全服務(wù)的3.廣域網(wǎng)優(yōu)化確保超高速傳輸在智能路徑選擇的基礎(chǔ)上，LightWAN通過基于AI智能的傳輸優(yōu)化專利算法顯著提升端到端傳輸質(zhì)量，降低網(wǎng)絡(luò)丟包、延時(shí)、抖動(dòng)對(duì)網(wǎng)絡(luò)數(shù)據(jù)傳輸效率的影響，大幅提升網(wǎng)絡(luò)應(yīng)用的使用效率和體驗(yàn)。對(duì)于需要超高可靠性的網(wǎng)絡(luò)應(yīng)用，還可以通過“多發(fā)選收”多路冗余傳輸專利技術(shù)來提供“萬無一失”的超高可靠性傳輸保障。4.全棧網(wǎng)安、集中智能化運(yùn)維辦公終端進(jìn)行集中化、智能化、可視化管理，將企業(yè)所有網(wǎng)絡(luò)節(jié)點(diǎn)變成一個(gè)有機(jī)整體，可簡(jiǎn)化日常巡檢、故障排查、策略變更、版本升級(jí)等運(yùn)維操作，幫助企業(yè)推進(jìn)“一張網(wǎng)”建設(shè)，5.按需訂閱、輕資產(chǎn)、降本增效輕網(wǎng)&新華三SASE服務(wù)采用策略化配置，企業(yè)用戶可按需訂閱網(wǎng)絡(luò)傳輸服務(wù)和安全服務(wù)，最小化成本支出。同時(shí)，網(wǎng)絡(luò)、安全、終端CPE設(shè)備及軟件客戶端均以服務(wù)的形式交付給企業(yè)用戶，降低用戶在網(wǎng)絡(luò)及安全方面的建設(shè)和管理成本，幫助企業(yè)降本增效。同時(shí)，輕資產(chǎn)模式有助于企業(yè)在應(yīng)對(duì)復(fù)雜多變的網(wǎng)絡(luò)威脅時(shí)的靈活性和可擴(kuò)展性。6.托管式服務(wù)企業(yè)總部、分子公司、數(shù)據(jù)中心、公有云、私有云、移動(dòng)終端等通過輕網(wǎng)&新華三SASE方案實(shí)現(xiàn)企業(yè)級(jí)安全組網(wǎng)，以云端訂閱的形式為企業(yè)提供網(wǎng)絡(luò)、安全服務(wù)。2.遠(yuǎn)程移動(dòng)辦公輕網(wǎng)&新華三SASE方案通過廣域網(wǎng)加速、智能選路、多鏈路冗余等技術(shù)提供優(yōu)質(zhì)網(wǎng)絡(luò)服務(wù)，通過零信任技術(shù)提供安全接入服務(wù)，可為居家辦公、出差等員工提供安全、可靠、快速的網(wǎng)絡(luò)接入。3.SaaS安全訪問優(yōu)化輕網(wǎng)&新華三SASE提供全球SD-WAN骨干網(wǎng)和全棧安全能力，可優(yōu)化用戶海外SaaS應(yīng)用訪問體驗(yàn)，滿足合規(guī)管控審計(jì)要求。4.自建應(yīng)用全球安全發(fā)布輕網(wǎng)&新華三SASE服務(wù)通過應(yīng)用代理方式為企業(yè)自建業(yè)務(wù)提供全球發(fā)布方案，通過訂閱安全功能，防御各類網(wǎng)絡(luò)攻擊。5.統(tǒng)一安全出口輕網(wǎng)&新華三SASE可將分支上網(wǎng)流量通過SD-WAN骨干網(wǎng)收斂到企業(yè)總部互聯(lián)網(wǎng)出口統(tǒng)一出局，總部集中建設(shè)安全資源池（FW、IPS、LB、AV、日審、數(shù)審、態(tài)勢(shì)感知等安全能力）進(jìn)行上網(wǎng)流量的安全防護(hù)、合規(guī)審計(jì)、統(tǒng)一監(jiān)督。1）LightWANOrchestrator控制器功能LightWANOrchestrator控制器功能包括基礎(chǔ)功能類型功能名稱功能介紹升級(jí)計(jì)劃管理模塊可定時(shí)、批量升級(jí)CPE、POP、移動(dòng)客戶端等軟件版本。提供基于日歷的多種視圖查看方式、同時(shí)提供新增升級(jí)計(jì)劃、刪除升提供可視化管理平臺(tái)，對(duì)全網(wǎng)進(jìn)行可視化配置、管理和監(jiān)控。為每個(gè)企業(yè)用戶提供獨(dú)享的集中式管理及信息展示頁(yè)面，統(tǒng)一管理和配置全網(wǎng)所有設(shè)備。通過對(duì)設(shè)備中各類輔助性統(tǒng)計(jì)數(shù)據(jù)的實(shí)時(shí)分析，實(shí)現(xiàn)對(duì)入網(wǎng)點(diǎn)、CPE設(shè)備及鏈路等各類網(wǎng)絡(luò)資源運(yùn)行情況的監(jiān)控、調(diào)度及自動(dòng)故障轉(zhuǎn)移。支持提供符合OpenAPI規(guī)范的接口，用于查詢配置、報(bào)表、操并允許用戶自定義告警。用戶可以通過OpenAPI進(jìn)行系統(tǒng)集成和定制化開系統(tǒng)支持分權(quán)功能，可針對(duì)不同角色賦予指定的權(quán)限，實(shí)現(xiàn)權(quán)限分配安全支持控制器的分布式部署（目前僅支持無歷史數(shù)據(jù)的控制器采用分布式部?區(qū)域間故障隔離：某個(gè)區(qū)域發(fā)生故障，影響范圍限于該區(qū)域，其他區(qū)域?統(tǒng)一管理門戶：管理員可以通過一個(gè)統(tǒng)一的管理Portal，跨區(qū)域管理所有本地化數(shù)據(jù)存儲(chǔ)：每個(gè)區(qū)域的用戶業(yè)務(wù)配置數(shù)據(jù)和報(bào)表審計(jì)數(shù)據(jù)均在本區(qū)功能類型功能名稱功能介紹提供多租戶管理功能，為不同企業(yè)客戶提供獨(dú)立的用戶側(cè)管理空間。可按租戶定制視圖配置，可規(guī)劃租戶級(jí)管理員并對(duì)站點(diǎn)等資源支持配置多個(gè)域名指向同一套控制器。支持根據(jù)客戶需要進(jìn)行客戶定制，針域名配置控制器的默認(rèn)語言和定制化界面。配置多個(gè)域名時(shí)，所有域名支持共享帶寬功能，共享高星級(jí)的空閑訂閱帶寬給低星級(jí)流量使用，由控制器根據(jù)各星級(jí)訂閱的活躍情況動(dòng)態(tài)調(diào)整。同時(shí)支持配置帶寬為0的訂支持共享訂閱功能。支持多個(gè)移動(dòng)站點(diǎn)/固定站點(diǎn)的WAN同時(shí)使用同一訂閱的帶寬，可對(duì)部分移動(dòng)站點(diǎn)/固定站點(diǎn)的WAN設(shè)定保底帶寬/最大帶支持一鍵跳轉(zhuǎn)安全智腦管理系統(tǒng)，統(tǒng)一實(shí)現(xiàn)融合網(wǎng)關(guān)的配置/日志/報(bào)表管Orch支持批量策略配置，多站點(diǎn)同類策略一鍵創(chuàng)建及下發(fā)，由控制器進(jìn)行系統(tǒng)支持模板化批量配置站點(diǎn)，同類站點(diǎn)配置一鍵下發(fā)，由控制器進(jìn)行配SaaS應(yīng)用編排支持將目標(biāo)SaaS應(yīng)用的域名/IP統(tǒng)一編排成列表。支持批量為目標(biāo)SaaS應(yīng)異構(gòu)網(wǎng)絡(luò)管理旨在集中管理不同廠商的網(wǎng)絡(luò)設(shè)備，包括自有設(shè)備和第三方第三方網(wǎng)元錄入后將作為獨(dú)立站點(diǎn)/設(shè)備，但僅作數(shù)據(jù)展示，不能參與實(shí)功能類型功能名稱功能介紹支持地圖視圖，展示站點(diǎn)的地理位置分布，同時(shí)可根據(jù)需要展示設(shè)備概支持拓?fù)湟晥D，專注于展示站點(diǎn)之間的業(yè)務(wù)邏輯關(guān)系，不涉及地理位置信息。該視圖允許用戶通過可視化的方式查看各站點(diǎn)間的業(yè)務(wù)連接，支持自定義選擇查看指定站點(diǎn)或所有站點(diǎn)的連接情況的連接情況。用戶可通過拖拽調(diào)整視圖，以便更靈活地觀察網(wǎng)絡(luò)結(jié)構(gòu)。視圖中，每個(gè)圓點(diǎn)代表一個(gè)站點(diǎn)，圓點(diǎn)的大小表示站點(diǎn)的業(yè)務(wù)流量大小，連接線的粗細(xì)則表示站點(diǎn)間的業(yè)務(wù)流量大小，幫助用戶快速識(shí)別關(guān)鍵流量路徑和潛在瓶頸，優(yōu)化網(wǎng)絡(luò)管支持監(jiān)控大屏功能，通過儀表頁(yè)把客戶關(guān)注的站點(diǎn)、流量、策略、告警、報(bào)表等核心業(yè)務(wù)以地圖為中心的形式，有效組合在一個(gè)操作界面，幫助客支持智能機(jī)器人全天候運(yùn)維，主動(dòng)告警，實(shí)時(shí)監(jiān)控設(shè)備CPU、內(nèi)存，鏈路狀態(tài)、丟包率、訂閱使用率等相關(guān)信息；設(shè)備、鏈路健康狀態(tài)異常時(shí)，以郵件、短信或者電話的形式發(fā)送告警通知；支持告警抑制，避免告警泛洪；同時(shí)允許用戶自定義配置訂閱告警閾值。支持webhook（HTTP在用戶視圖，支持對(duì)指定時(shí)段內(nèi)的流量進(jìn)行基于IP、端口、域名、策略、支持查看端到端鏈路狀態(tài)，可以實(shí)時(shí)顯示每條鏈路的延時(shí)、抖動(dòng)、丟包和支持查看設(shè)備到運(yùn)營(yíng)商網(wǎng)關(guān)的物理鏈路質(zhì)量數(shù)據(jù)以及設(shè)備間隧道的質(zhì)量數(shù)數(shù)據(jù)等參數(shù)。支持查看IPv4/IPv6隧道質(zhì)量。支持對(duì)CPE/POP等網(wǎng)元的狀態(tài)和性能進(jìn)行實(shí)時(shí)監(jiān)控，包括監(jiān)控CPU、內(nèi)系統(tǒng)支持導(dǎo)出多種統(tǒng)計(jì)數(shù)據(jù)報(bào)表，包括站點(diǎn)數(shù)、策略數(shù)量、拓?fù)鋽?shù)量、訂閱帶寬、吞吐量、連接質(zhì)量及客戶端在線數(shù)量等。用戶可以選擇一次性導(dǎo)出或周期性導(dǎo)出；支持以Excel、PDF格式導(dǎo)出報(bào)告，方便分享和通過導(dǎo)出相關(guān)設(shè)備與系統(tǒng)的資源報(bào)表，可對(duì)系統(tǒng)容量規(guī)劃問題提前進(jìn)行預(yù)功能類型功能名稱功能介紹對(duì)CPE、入網(wǎng)點(diǎn)與中央控制器之間的管理控制通道進(jìn)行加密，防范非法接支持在控制器上管理設(shè)備SN，控制器僅允許指定SN安全Orchestrator集成至設(shè)備安全管理系統(tǒng)中，設(shè)備安全管理系統(tǒng)可對(duì)安全Orchestrator進(jìn)行管理，詳細(xì)的管理功能介紹請(qǐng)參閱后續(xù)商密設(shè)備安全骨干網(wǎng)功能包括入網(wǎng)點(diǎn)資源管理、入網(wǎng)點(diǎn)網(wǎng)絡(luò)功能、跨域網(wǎng)關(guān)、SASE、應(yīng)用加速、IP功能類型功能名稱功能介紹每個(gè)區(qū)域部署若干個(gè)安全入網(wǎng)點(diǎn)。安全入網(wǎng)點(diǎn)支持與安全實(shí)例對(duì)接，為客支持為指定租戶的公共安全域分配合作伙伴的POP資源，細(xì)化到VLAN子接口的維度。此功能使特定租戶能夠使用合作伙伴POP的VLAN子接口資LightWAN實(shí)時(shí)TCP隧道技術(shù)提供全鏈路極速虛擬通道，克服互聯(lián)網(wǎng)傳輸通過規(guī)劃應(yīng)用服務(wù)的IP集、域名集，在SaaS服務(wù)器就近點(diǎn)選擇代理網(wǎng)關(guān)，使客戶享受優(yōu)質(zhì)加速網(wǎng)絡(luò)。支持100根據(jù)網(wǎng)絡(luò)質(zhì)量（延遲、抖動(dòng)、丟包率），動(dòng)態(tài)調(diào)整網(wǎng)絡(luò)路徑，確保在不同支持為POP互聯(lián)網(wǎng)口、專線等骨干網(wǎng)資源錄入費(fèi)用。AI智能規(guī)劃并自動(dòng)創(chuàng)建Link，在滿足SLA的前提下優(yōu)選費(fèi)用較低的路徑。功能類型功能名稱功能介紹1.客戶粒度獨(dú)占IP：為一個(gè)Customer分配一組若干數(shù)量的出口IP。適用于2.客戶+客戶端賬號(hào)/固定站點(diǎn)粒度獨(dú)占IP：將應(yīng)用賬號(hào)與一個(gè)客戶端賬號(hào)（或一個(gè)固定站點(diǎn)）對(duì)應(yīng)，再為每一個(gè)客戶端賬號(hào)（或一個(gè)固定站點(diǎn)）分3.客戶+固定站點(diǎn)+策略粒度獨(dú)占IP：在訪問SaaS應(yīng)用時(shí)，支持為同一化部署CPE的需要。目前手動(dòng)拉起的DockerCPE可作為落支持手動(dòng)在POP上拉起DockerCPE，滿足技術(shù)運(yùn)維人員可查看相關(guān)故障信息，及時(shí)采取措施解決問題，提高用戶網(wǎng)展示POP的磁盤、連接數(shù)、在線IP數(shù)、接口流量等數(shù)據(jù)信息，以便實(shí)時(shí)監(jiān)3）LightWANCPE及軟件客戶端（MobileCPE）功能CPE功能包括基礎(chǔ)功能、網(wǎng)絡(luò)高級(jí)功能、策略控制、安全功能、移動(dòng)客戶端、設(shè)備運(yùn)功能類型功能名稱功能介紹ZTP/零接觸配置路由旁路：CPE設(shè)備以路由的形式物理旁掛到用戶網(wǎng)絡(luò)的出口網(wǎng)關(guān)或核心網(wǎng)橋串接：CPE設(shè)備以網(wǎng)橋的形式物理串接到用戶網(wǎng)絡(luò)中，以最大限度地支持全互聯(lián)、星狀及混合組網(wǎng)等企業(yè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，支持多拓?fù)淦矫娌⒁粚?duì)站點(diǎn)間基于不同SLA質(zhì)量等級(jí)標(biāo)準(zhǔn)（延時(shí)、抖動(dòng)、丟包率）創(chuàng)建多個(gè)系統(tǒng)將流量分為8個(gè)優(yōu)先級(jí)，匹配高優(yōu)先級(jí)的支持通過策略過濾出關(guān)鍵業(yè)務(wù)，并指定關(guān)鍵業(yè)務(wù)使用相應(yīng)優(yōu)先級(jí)的出口，針對(duì)各優(yōu)先級(jí)配置帶寬限制或帶寬保障，以實(shí)現(xiàn)QoS；另外也支持給指定支持互聯(lián)網(wǎng)、專線等多種WAN接入方式，支持DHCPE設(shè)備支持使用4G/5G無線網(wǎng)絡(luò)作為WAN接入鏈路，4G/5G芯片內(nèi)置CPE的4G/5G模組支持多路APN撥號(hào)（最高支持6路）。用戶可以同時(shí)連接互聯(lián)網(wǎng)和物聯(lián)網(wǎng)專網(wǎng)等網(wǎng)絡(luò)，從而獲得質(zhì)量更好、成本更低、更安全的功能類型功能名稱功能介紹支持本地DNS功能，滿足用戶將SD-WAN設(shè)備作為DNS服務(wù)器使用的需支持接口獨(dú)立配置協(xié)議，不同的接口可各自配置協(xié)議，同一個(gè)接口的IPv4與IPv6也可以獨(dú)立配置協(xié)議，如DHCP、P其中，IPv6支持SLAAC協(xié)議，支持LAN口作為服務(wù)器通過SLAAC協(xié)議分配支持LAN口作為路由器接口通過SLAAC分配IPv6地址，支持設(shè)備WAN口CPE離線時(shí)，可保持現(xiàn)有的網(wǎng)絡(luò)配置繼續(xù)正常工作，離線狀態(tài)下設(shè)備重啟后配置不丟失。支持保存Orchestrator下發(fā)的接口地址、Policy、隧道配1）減少WAN側(cè)質(zhì)量探測(cè)包的發(fā)送頻次，用于4G/5G網(wǎng)絡(luò)接入場(chǎng)景，節(jié)省2）優(yōu)先使用有線鏈路，有線鏈路故障后自動(dòng)切換至4G/5G鏈路；有線鏈多WAN場(chǎng)景下，當(dāng)非備份WAN口不可用時(shí)，允許將流量切換到備份模式支持在CPE上配置靜態(tài)ARP,用于建立IP地址和MAC地址之間固定的映射關(guān)系。靜態(tài)ARP表項(xiàng)不會(huì)老化，且不會(huì)被動(dòng)態(tài)ARP表項(xiàng)覆蓋。應(yīng)用于無法動(dòng)支持站點(diǎn)級(jí)別的IP集合管理。在應(yīng)用策略和拓?fù)鋾r(shí)，僅對(duì)站點(diǎn)中指定的IP集合生效。此功能方便客戶將同一業(yè)務(wù)應(yīng)用的IP地址配置為IP集合，從而支持使用兩臺(tái)CPE設(shè)備組成基于設(shè)備的冗余備份，保證用戶網(wǎng)絡(luò)的穩(wěn)健性功能類型功能名稱功能介紹應(yīng)用于客戶端部署在CPE設(shè)備內(nèi)網(wǎng)的場(chǎng)景。當(dāng)客戶端認(rèn)證成功后，主機(jī)撥測(cè)工具是為運(yùn)營(yíng)商提供的自動(dòng)化測(cè)試工具，可使運(yùn)營(yíng)商合作伙伴通過運(yùn)營(yíng)商環(huán)境對(duì)特定目標(biāo)進(jìn)行網(wǎng)內(nèi)ping、tcping、http、https測(cè)試，以確定網(wǎng)內(nèi)目標(biāo)連通性。支持trace探測(cè)，顯示網(wǎng)絡(luò)鏈路中每一跳的信息。支持WAN側(cè)DNS主備切換：WAN側(cè)配置2個(gè)DNS，當(dāng)前DNS不可用時(shí)自支持LAN側(cè)DNS：支持配置域名和指定IP的對(duì)應(yīng)關(guān)系，提供LAN側(cè)主機(jī)域x86架構(gòu)CPE支持配置四層代理、HTTP正向代理支持組建點(diǎn)到點(diǎn)的二層組網(wǎng)，也支持基于虛擬交換機(jī)的大定時(shí)發(fā)送二層探測(cè)報(bào)文，檢測(cè)內(nèi)網(wǎng)是否發(fā)生環(huán)路，若發(fā)生環(huán)路則提示用戶并將環(huán)路限制在內(nèi)網(wǎng)之內(nèi)，避免溢出影響更支持將多個(gè)物理接口聚合為單一邏輯接口（Bond支持標(biāo)準(zhǔn)IPSec接入，并支持與第三方路由器進(jìn)行IPSec對(duì)接。支持功能類型功能名稱功能介紹支持基于網(wǎng)絡(luò)鏈路質(zhì)量的智能選路功能。支持為業(yè)務(wù)流量選擇滿足服務(wù)協(xié)議標(biāo)準(zhǔn)的傳輸路徑，對(duì)路徑狀況進(jìn)行實(shí)時(shí)探測(cè)，自動(dòng)躲避擁堵，并進(jìn)行路支持雙發(fā)選收功能，采用1+1雙路冗余傳輸技術(shù)，保障重要應(yīng)用的傳輸效基于SLA和出接口剩余帶寬對(duì)策略的出接口按優(yōu)先級(jí)排序，當(dāng)最優(yōu)出接口在一個(gè)策略中配置一種或多種不同類型（直接訪問、站點(diǎn)代理、網(wǎng)關(guān)代支持在每個(gè)策略中配置獨(dú)占型帶寬限速，對(duì)單個(gè)策略的整體業(yè)務(wù)流量進(jìn)行支持在多個(gè)策略中配置共享型帶寬限速，對(duì)多個(gè)策略的業(yè)務(wù)流量進(jìn)行整體支持在每個(gè)策略里配置單IP限速，對(duì)策略的源端和目的端IP進(jìn)行每個(gè)IP的支持創(chuàng)建不同類型（支持IPv4與IPv6）的探測(cè)任務(wù)，探測(cè)網(wǎng)絡(luò)連通性、時(shí)支持為指定應(yīng)用配置專用鏈路進(jìn)行傳輸。在指定應(yīng)用的流量超過設(shè)定閾值支持端到端數(shù)據(jù)傳輸加密。數(shù)據(jù)的加密和解密需均在CPE設(shè)備上完成，經(jīng)過LightWAN骨干網(wǎng)傳輸時(shí)無數(shù)據(jù)二次加解密的行為，以保障用戶數(shù)據(jù)的支持對(duì)每一個(gè)拓?fù)渑渲盟淼兰用芗?jí)別，使得不同安全級(jí)別的流量使用的加功能類型功能名稱功能介紹設(shè)備支持綁定LAN/WAN側(cè)上下游設(shè)備的MAC地址，在檢測(cè)到上下游設(shè)備在CPE上綁定允許通過的MAC地址與對(duì)應(yīng)的IPv4地址、IPv6地址，保證報(bào)文來源的安全性。對(duì)于未綁定IP與MAC的流量，可以手動(dòng)設(shè)置是否允許通用戶終端（PC、手機(jī)等）登錄認(rèn)證界面認(rèn)證成功后，才能經(jīng)由CPE轉(zhuǎn)發(fā)流支持將指定的源IP或目標(biāo)IP配置為免除項(xiàng)，免除項(xiàng)相關(guān)流量無需認(rèn)證即可支持使用IP集合或APP列表對(duì)應(yīng)用進(jìn)行過濾，將匹配條件的流量交由移動(dòng)客戶端相應(yīng)功能模塊進(jìn)行處理，其它流量則交由終端系統(tǒng)進(jìn)行處理。移動(dòng)客戶端支持臨時(shí)賬號(hào)和永久賬號(hào)，客戶管理員可為移動(dòng)賬號(hào)設(shè)置過期移動(dòng)客戶端支持對(duì)所在Windows環(huán)境進(jìn)行操作系統(tǒng)和指定應(yīng)用進(jìn)程的檢支持通過LDAP、CAS等協(xié)議與客戶自有的認(rèn)證服務(wù)器（如AD服務(wù)器）進(jìn)支持基于OAuth2.0授權(quán)碼模式、密碼模式的SSO單點(diǎn)登錄。與客戶認(rèn)證功能類型功能名稱功能介紹支持基于標(biāo)準(zhǔn)OAuth2.0協(xié)議的第三方認(rèn)證服務(wù)器登錄。目前支持與釘釘運(yùn)行于Windows系統(tǒng)上的移動(dòng)客戶端可以通過系統(tǒng)的網(wǎng)絡(luò)共享功能綁定數(shù)量限制：系統(tǒng)支持對(duì)每個(gè)移動(dòng)賬戶自動(dòng)綁定的終端設(shè)備數(shù)量設(shè)定上當(dāng)客戶端賬號(hào)為輕網(wǎng)本地賬號(hào)時(shí)，支持通過手機(jī)號(hào)和郵箱兩種方式重置登錄密碼。通過圖形驗(yàn)證碼進(jìn)行用戶名暴力破解的攔截。版本較低的客戶端以及Linux客戶端不支持圖形驗(yàn)證碼，通過Orchestrator對(duì)此接口的請(qǐng)求在客戶端使用當(dāng)前模式連接LightWAN網(wǎng)絡(luò)且網(wǎng)絡(luò)質(zhì)量不佳時(shí)，或者當(dāng)前連接模式無法連接，LightWAN網(wǎng)絡(luò)時(shí)，支持自動(dòng)切換到平臺(tái)支持的其他在管理員重置密碼為隨機(jī)密碼或新創(chuàng)建賬號(hào)為隨機(jī)密碼時(shí)，支持用戶首次支持實(shí)時(shí)抓取CPE設(shè)備網(wǎng)絡(luò)數(shù)據(jù)包，以便運(yùn)維人員獲取功能類型功能名稱功能介紹僅商密系列硬件CPE支持。內(nèi)置LightWAN密碼卡，可享受LightWAN密商密CPE集成至設(shè)備安全管理系統(tǒng)中，設(shè)備安全管理系統(tǒng)可對(duì)商密CPE進(jìn)行管理，詳細(xì)的管理功能介紹請(qǐng)參閱后續(xù)商密設(shè)備安全管理支持基于互通域，實(shí)現(xiàn)CPE之間的雙向身份認(rèn)證，保障同一互通域下CPE采用SM2、SM3、SM4等商用密碼算法，基于互通域和IKE協(xié)議，保護(hù)2.安全功能功能名稱功能介紹攻擊防范功能提供高精度的掃描攻擊、泛洪攻擊、單包攻擊的檢測(cè)與多種防范手段，允許用戶根據(jù)企業(yè)網(wǎng)絡(luò)策略需要，自由將安全實(shí)例配置到任意網(wǎng)絡(luò)支持基于對(duì)包括但不限于操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、辦公軟件、網(wǎng)頁(yè)服務(wù)等保護(hù)對(duì)象的入侵防御策略，支持基于對(duì)漏洞、惡意文件、信息收集類攻擊等的攻擊分類的防病毒功能是一種通過對(duì)報(bào)文應(yīng)用層信息進(jìn)行檢測(cè)來識(shí)別和處理病毒文件的安全機(jī)制。通過應(yīng)用層檢測(cè)引擎進(jìn)行文件識(shí)別和本地病毒檢測(cè)，同時(shí)結(jié)合云檢測(cè)功能，實(shí)現(xiàn)病毒的全面檢測(cè)，可阻止病毒入侵和傳播，有效保護(hù)企業(yè)的數(shù)據(jù)安URL過濾功能可對(duì)用戶訪問的URL進(jìn)行識(shí)別和限制，即允許或禁止訪問某個(gè)URL，文件過濾功能可以對(duì)指定類型的文件進(jìn)行批量過濾。目前，文件過濾功能支持對(duì)數(shù)據(jù)過濾功能可以對(duì)應(yīng)用層協(xié)議報(bào)文中攜帶的內(nèi)容進(jìn)行過濾，以防止企業(yè)機(jī)密信息泄露、阻止非法和敏感信息的傳播。目前，數(shù)據(jù)過濾功能支持對(duì)基于SSL加密流量檢測(cè)也被稱為SSL解密，是一種安全技術(shù)。SSL加密流量檢測(cè)通過對(duì)加密流量進(jìn)行解密，隨后防火墻對(duì)解密后的流量進(jìn)行內(nèi)容安全檢查（包括URL過濾、入侵防御、反病毒等），從而有效檢測(cè)出潛藏在加密流量中的網(wǎng)絡(luò)威脅，避應(yīng)用審計(jì)與管理是DPI深度安全技術(shù)中的一項(xiàng)特色業(yè)務(wù)。基于強(qiáng)大的應(yīng)用審計(jì)特征庫(kù)，應(yīng)用審計(jì)與管理能夠精準(zhǔn)識(shí)別用戶上網(wǎng)時(shí)使用的主流應(yīng)用（例如QQ、163郵箱、百度并對(duì)這些應(yīng)用上產(chǎn)生的用戶行為和內(nèi)容進(jìn)行深度審計(jì)，以滿足企業(yè)安全策略是一種根據(jù)報(bào)文的屬性信息對(duì)報(bào)文進(jìn)行精細(xì)化轉(zhuǎn)發(fā)控制的智能安全防護(hù)措施。它融合了多維度精確報(bào)文識(shí)別、深度報(bào)文檢測(cè)、安全動(dòng)作執(zhí)行、智能策略分析、應(yīng)用風(fēng)險(xiǎn)調(diào)優(yōu)等多種安全防護(hù)功能，為網(wǎng)絡(luò)的