《新华三：破界·立势-SASE安全智能化演进白皮书2025（26页）.pdf》由会员分享，可在线阅读，更多相关《新华三：破界·立势-SASE安全智能化演进白皮书2025（26页）.pdf（26页珍藏版）》请在三个皮匠报告上搜索。

1、云 化 网 络 领 航 者WHITE PAPER破界 立势SASE安全智能化演进白皮书（2025）新华三信息安全技术有限公司北京轻网科技股份有限公司WHITE PAPERSASE，全称为安全访问服务边缘（Secure Access Service Edge），是由 Gartner 于 2019 年首次提出的一种云原生的网络及安全架构。SASE 将网络和安全功能结合在一起，通过统一的云服务进行交付。核心理念是在一个平台上整合网络和安全功能，如SD-WAN（软件定义广域网）、安全网关（SWG）、云访问安全代理（CASB）、零信任网络访问（ZTNA）和防火墙即服务（FWaaS）等。SASE旨在为企业

2、提供一种高效、安全且简化的网络架构，以更好地支持现代企业的云化、分布式办公网络需求。一、SASE 是什么在过去，企业通常采用以总部或数据中心为核心的网络及安全架构，业务系统和数据主要托管在企业总部或数据中心内，安全防护也一般以总部或数据中心为主。但随着云计算、远程办公的普及，传统的企业网络及安全架构逐渐落伍，无法继续满足企业对高效网络连接和全面安全防护的需要。企业上云后，业务系统及数据不再集中于传统数据中心，而是分散在多个SaaS、IaaS及混合云平台中。员工日常办公中要持续访问这些云上业务和数据，但传统的企业网络及安全架构却无法保障云访问的安全和效率：如果各分支和远程办公人员在进行云访问时要

3、先绕行企业总部或数据中心以获取全面的安全防护，则将面临较高的网络延迟和较低的访问效率；如果不绕行企业总部或数据中心，则无法获取全面的安全防护，因为企业分支的安全能力往往较薄弱，远程办公的安全能力则更是近乎于零。1.企业上云带来新的挑战远程办公人员日常需要访问企业位于云上及总部或数据中心的办公业务系统，但其自身往往不具备安全防护能力。对于远程办公人员的云访问场景，传统企业网络及安全架构往往有心无力；而对于远程办公人员访问总部或数据中心的场景，传统网络及安全架构虽能提供防护，但是却要因“需开放业务端口或者 VPN 端口让远程办公人员进行远程接入”而面临网络暴露面扩大、安全防护能力下降的风险。另外，

4、传统的VPN也难以满足高效的远程访问需求，导致远程办公效率下降。2.远程办公带来新的挑战二、为什么需要 SASEWHITE PAPER企业上云和远程办公打破了企业的传统安全边界，使得企业网络安全防护难度倍增。而同时，越来越复杂多变的网络安全威胁则给企业网络安全带来更大的压力，企业需要更为全面、主动和灵活多变的安全防护能力。传统的网络及安全架构往往是通过堆叠多种网络及安全设备和软件形成企业安全壁垒，管理复杂度高、灵活性和扩展性差，难以应对快速多变的网络安全威胁。3.网络威胁复杂性增加带来新的挑战综上，传统的企业网络及安全架构在应对新的局面时越来越力不从心。SASE 应运而生。SASE 彻底跳出了

5、企业传统的网络及安全架构，采用云原生架构将网络和安全融为一体，以跨地域分布式平台化的方式对企业提供云化的网络及安全服务，无论企业办公人员身处何地、访问何处，SASE 都能提供快速安全的服务，可以很好地满足企业上云、远程办公等场景中企业对网络及安全的新需求。另外，SASE以软件定义、统一管理的方式实现网络及安全功能的灵活定义和弹性扩展，减少企业对多种网络及安全设备和软件的依赖，简化管理复杂度，提高企业在网络及安全方面的灵活性和扩展性。2023年11月，北京轻网科技股份有限公司（轻网科技）与新华三信息安全技术有限公司（新华三）达成战略合作，结合轻网科技 SD-WAN 的全球骨干网资源优势与产品技术

6、创新能力，以及新华三在云网安一体化融合和全栈全场景网络安全解决方案方面的优势，共同推出 SASE 一站式企业网络及安全服务。三、轻网与新华三联合推出 SASE运营平台WHITE PAPER轻网科技、新华三联合推出的 SASE 运营平台，以轻网的企业级 SD-WAN 网络通信平台 LightWAN为底座，无缝融合新华三的云化安全能力，为企业提供网络、安全一体化服务。轻网 LightWAN 平台是基于 SDN 和广域网优化技术打造的下一代企业级网络通信平台，为用户提供分支互联和应用加速服务。LightWAN 综合了产品型 SD-WAN 和运营型SD-WAN 的功能特点，既可为企业用户提供丰富的网络

7、及流量管理能力，同时又可为企业用户提供覆盖全球的 SD-WAN 骨干网络接入服务。LightWAN 骨干网由超过 600 个 POP节点组成，按需整合了世界主流运营商和云服务商的优质网络资源，并创造性的将AI应用于网络传输优化以提升网络传输效率。通过分布式的 SD-WAN 控制器（Orchestrator）集中管控并智能调度整网资源，为客户提供高可靠、高质量、无处不在的企业级网络通信服务。将新华三云安全资源池与部署在各公有云平台中的LightWAN 骨干网POP节点进行无缝对接，形成具备安全能力的安全服务中心（Security Service Center，SSC），即可为企业广域网提供即插即

8、用的云化安全能力，实现“安全即服务”。新华三云安全资源池集成防火墙、IPS、LB、防病毒、日志审计、数据库审计、主机安全、态势感知等安全能力，全面提升企业广域网安全。同时，在部署于用户侧的轻网CPE设备和软件客户端（Mobile CPE）中也集成了新华三的安全能力，形成CPE安全融合网关（S-CPE）和零信任客户端，为企业提供终端侧安全防护。WHITE PAPER实际使用中，在企业办公站点部署轻网CPE设备，在远程办公人员的办公终端上面安装软件客户端，将办公流量引入 LightWAN 骨干网。LightWAN Orchestrator会根据办公流量的源和目标进行智能路径选择，保障办公流量的传输

9、效率及办公业务的使用体验。用户可通过策略配置对指定流量启用SASE安全能力，办公流量则会在途径的某个安全服务中心（SSC）进行安全检查，之后再沿剩余路径去往目标。轻网&新华三 SASE 方案融合了轻网和新华三在各自领域的产品技术积累，带来如下优势。LightWAN 全球骨干网融合了全球各区域、多运营商、多云平台的专线、高质量互联网、5G及卫星等线路资源，可在全球任意区域为企业用户提供高质量接入。多云平台资源的融入也能充分保障企业上云的质量。1.全球高质量覆盖受益于 LightWAN 全球骨干网资源及智能路径选择机制，企业用户在使用轻网 新华三 SASE服务时，不会出现为使用安全资源而不得不绕路

10、而行的情况。LightWAN Orchestrator会按用户业务流量的源目地址选出一条既满足用户SLA要求同时又途径某个安全服务中心（SSC）的路径，确保用户在使用安全服务的同时依然享有高质量的传输路径。2.顺路而为，安全不绕路四、轻网&新华三 SASE 方案优势WHITE PAPER在智能路径选择的基础上，LightWAN通过基于AI智能的传输优化专利算法显著提升端到端传输质量，降低网络丢包、延时、抖动对网络数据传输效率的影响，大幅提升网络应用的使用效率和体验。对于需要超高可靠性的网络应用，还可以通过“多发选收”多路冗余传输专利技术来提供“万无一失”的超高可靠性传输保障。3.广域网优化确保

11、超高速传输轻网&新华三 SASE 服务提供提供云端全栈安全能力，用户侧CPE设备及软件客户端可提供扩展安全能力，向用户交付云边端一体化安全防护。轻网&新华三 SASE 运营平台提供集中管理平台，对企业总部、数据中心、分支及远程办公终端进行集中化、智能化、可视化管理，将企业所有网络节点变成一个有机整体，可简化日常巡检、故障排查、策略变更、版本升级等运维操作，帮助企业推进“一张网”建设，显著提高企业网络及安全运维效率。4.全栈网安、集中智能化运维轻网&新华三 SASE服务采用策略化配置，企业用户可按需订阅网络传输服务和安全服务，最小化成本支出。同时，网络、安全、终端CPE设备及软件客户端均以服务的

12、形式交付给企业用户，降低用户在网络及安全方面的建设和管理成本，帮助企业降本增效。同时，轻资产模式有助于企业在应对复杂多变的网络威胁时的灵活性和可扩展性。5.按需订阅、轻资产、降本增效轻网&新华三 SASE 服务为企业用户提供7*365专业网络及安全运维托管服务，极大减轻企业在网络及安全运维方面的压力。6.托管式服务企业总部、分子公司、数据中心、公有云、私有云、移动终端等通过轻网&新华三 SASE方案实现企业级安全组网，以云端订阅的形式为企业提供网络、安全服务。1.企业安组网五、轻网&新华三 SASE 方案适用场景WHITE PAPER轻网&新华三 SASE 方案通过广域网加速、智能选路、多链路

13、冗余等技术提供优质网络服务，通过零信任技术提供安全接入服务，可为居家办公、出差等员工提供安全、可靠、快速的网络接入。2.远程移动办公轻网&新华三 SASE 提供全球SD-WAN骨干网和全栈安全能力，可优化用户海外SaaS应用访问体验，满足合规管控审计要求。3.SaaS 安全访问优化WHITE PAPER轻网&新华三 SASE 服务通过应用代理方式为企业自建业务提供全球发布方案，通过订阅安全功能，防御各类网络攻击。4.自建应用全球安全发布轻网&新华三 SASE 可将分支上网流量通过SD-WAN骨干网收敛到企业总部互联网出口统5.统一安全出口WHITE PAPER一出局，总部集中建设安全资源池（F

14、W、IPS、LB、AV、日审、数审、态势感知等安全能力）进行上网流量的安全防护、合规审计、统一监督。LightWAN Orchestrator控制器功能包括基础架构、网络编排与运营、报表与监控、安全功能、商密功能等。WHITE PAPER附、轻网&新华三 SASE 主要功能点升级计划管理模块可定时、批量升级CPE、POP、移动客户端等软件版本。提供基于日历的多种视图查看方式、同时提供新增升级计划、删除升级计划、查看升级历史等功能。提供可视化管理平台，对全网进行可视化配置、管理和监控。为每个企业用户提供独享的集中式管理及信息展示页面，统一管理和配置全网所有设备。通过对设备中各类辅助性统计数据的实

15、时分析，实现对入网点、CPE设备及链路等各类网络资源运行情况的监控、调度及自动故障转移。支持列表视图、地图视图、层级视图展示站点、CPE、流量等信息。提供符合OpenAPI规范的接口，用于查询配置、报表、操作日志等信息，并允许用户自定义告警。用户可以通过OpenAPI进行系统集成和定制化开发，满足不同的业务需求。系统支持分权功能，可针对不同角色赋予指定的权限，实现权限分配安全可控。支持控制器的分布式部署（目前仅支持无历史数据的控制器采用分布式部署，已运行的控制器暂时无法迁移为分布式部署）。主要特点如下：多地域负载分担：在不同地域部署中央控制器，实现负载分担；区域间故障隔离：某个区域发生故障，影

16、响范围限于该区域，其他区域的客户业务不受影响；为保障数据本地化存储，不进行故障转移。全局资源共享：各区域共享全局骨干网资源，减少资源浪费；统一管理门户：管理员可以通过一个统一的管理Portal，跨区域管理所有客户；本地化数据存储：每个区域的用户业务配置数据和报表审计数据均在本区域进行本地存储，确保数据处理的效率和安全合规。1.SD-WAN 功能1）LightWAN Orchestrator控制器功能功能类型功能名称功能介绍软件升级管理基础架构可视化管理OpenAPI权限管理分布式控制器WHITE PAPER提供多租户管理功能，为不同企业客户提供独立的用户侧管理空间。可按租户定制视图配置，可规划

17、租户级管理员并对站点等资源授权管理。支持配置多个域名指向同一套控制器。支持根据客户需要进行客户定制，针域名配置控制器的默认语言和定制化界面。配置多个域名时，所有域名共用同一套客户定制。支持共享带宽功能，共享高星级的空闲订阅带宽给低星级流量使用，由控制器根据各星级订阅的活跃情况动态调整。同时支持配置带宽为0的订阅，使用该订阅时，相当于使用空闲的高星级带宽。支持共享订阅功能。支持多个移动站点/固定站点的WAN同时使用同一订阅的带宽，可对部分移动站点/固定站点的WAN设定保底带宽/最大带宽，由LightWAN进行带宽的动态分配与管理，保障订阅带宽利用率。支持一键跳转安全智脑管理系统，统一实现融合网关

18、的配置/日志/报表管理。功能类型功能名称功能介绍多租户管理 网络编排与运营异构网络管理控制器域名管理带宽共享管理共享型订阅安全智脑Orch支持批量策略配置，多站点同类策略一键创建及下发，由控制器进行配置和管理。系统支持模板化批量配置站点，同类站点配置一键下发，由控制器进行配置和管理。目前站点模板只支持用于移动站点。策略模板站点模板支持将目标SaaS应用的域名/IP统一编排成列表。支持批量为目标SaaS应用配置骨干网资源、配置访问策略等。SaaS应用编排异构网络管理旨在集中管理不同厂商的网络设备，包括自有设备和第三方设备：数据接入：支持录入第三方网元站点，接收其报表和告警数据；状态监控：在报表页

19、查看设备状态和性能数据；拓扑展示：大屏显示网络逻辑拓扑和站点状态；客户可以在控制器上高效地监控所有网络设备；第三方网元录入后将作为独立站点/设备，但仅作数据展示，不能参与实际组网。当前仅支持接入华为光传输网络设备。跨厂商统一网络监控支持地图视图，展示站点的地理位置分布，同时可根据需要展示设备概况、网络性能参数等监控部件。支持拓扑视图，专注于展示站点之间的业务逻辑关系，不涉及地理位置信息。该视图允许用户通过可视化的方式查看各站点间的业务连接，支持自定义选择查看指定站点或所有站点的连接情况的连接情况。用户可通过拖拽调整视图，以便更灵活地观察网络结构。视图中，每个圆点代表一个站点，圆点的大小表示站点

20、的业务流量大小，连接线的粗细则表示站点间的业务流量大小，帮助用户快速识别关键流量路径和潜在瓶颈，优化网络管理和资源配置。支持监控大屏功能，通过仪表页把客户关注的站点、流量、策略、告警、报表等核心业务以地图为中心的形式，有效组合在一个操作界面，帮助客户快速完成对自身业务的整体了解。地图与拓扑视图报表与监控监控大屏智能告警系统在用户视图，支持对指定时段内的流量进行基于IP、端口、域名、策略、应用等维度的流量Top N展示。帮助用户了解和分析网络中的主要流量来源及其使用情况，优化网络资源配置和性能。流量排行展示支持智能机器人全天候运维，主动告警，实时监控设备CPU、内存，链路状态、丢包率、订阅使用率

21、等相关信息；设备、链路健康状态异常时，以邮件、短信或者电话的形式发送告警通知；支持告警抑制，避免告警泛洪；同时允许用户自定义配置订阅告警阈值。支持webhook（HTTP），主动推送告警数据到第三方系统中。应用排行展示支持查看端到端链路状态，可以实时显示每条链路的延时、抖动、丢包和吞吐等统计信息。链路质量监控支持基于接入列表对访问目标应用的流量进行统计，并在用户视图中展示。帮助用户了解网络中访问频率最高的应用，便于优化带宽分配和应用管理。隧道质量监控支持对CPE/POP等网元的状态和性能进行实时监控，包括监控CPU、内存、硬盘、网络端口等使用情况及健康状态。设备状态监控支持查看设备到运营商网关

22、的物理链路质量数据以及设备间隧道的质量数据，并能够导出吞吐趋势、端到端质量、设备WAN到运营商网关网络质量数据等参数。支持查看IPv4/IPv6隧道质量。网络巡检与报表导出支持查看控制器下账号的操作日志，包括操作时间、操作人员、操作类型等。操作日志系统支持导出多种统计数据报表，包括站点数、策略数量、拓扑数量、订阅带宽、吞吐量、连接质量及客户端在线数量等。用户可以选择一次性导出或周期性导出；支持以Excel、PDF格式导出报告，方便分享和保存。通过导出相关设备与系统的资源报表，可对系统容量规划问题提前进行预判，以巡检设备与系统的可预判故障，增加系统的容错性。WHITE PAPER功能类型功能名称

23、功能介绍WHITE PAPER控制器登录支持短信和验证器的双因子认证，保障账号安全。对CPE、入网点与中央控制器之间的管理控制通道进行加密，防范非法接入、信息泄露、数据篡改等安全问题。支持ACL策略配置，在部署控制器时最小化开通对外开放端口。支持在控制器上管理设备SN，控制器仅允许指定SN序列号的可信设备上线，避免未知来源的设备带来的安全风险。功能类型功能名称功能介绍双因子认证安全功能商密功能组件通信安全策略防护主机安全防护可信设备校验内置LightWAN密码卡，支持用LightWAN密码卡功能，如商密算法、组合运算等。安全Orchestrator集成至设备安全管理系统中，设备安全管理系统可对

24、安全Orchestrator进行管理，详细的管理功能介绍请参阅后续商密设备安全管理系统章节。内置密码卡设备安全管理系统集成商密CPE上线前需与OSM（Orch Security Module）进行双向身份认证，认证通过才允许商密CPE上线。接入认证支持DDoS防护，异地登录报警、暴力破解告警等安全防护功能。WHITE PAPER骨干网功能包括入网点资源管理、入网点网络功能、跨域网关、SASE、应用加速、IP独占、Docker CPE、设备运维、系统监控、骨干安全等。支持阿里云、腾讯云、华为云、AWS等主流云平台对接。支持为指定租户的公共安全域分配合作伙伴的POP资源，细化到VLAN子接口的维度

25、。此功能使特定租户能够使用合作伙伴POP的VLAN子接口资源，从而帮助合作伙伴实现对其POP资源的精确控制。入网点可以配置黑名单，黑名单流量不会走到对应入网点。2）LightWAN 骨干网功能功能类型功能名称功能介绍云平台对接部署由600多个入网点组成的骨干网。轻网骨干网络每个区域部署若干个安全入网点。安全入网点支持与安全实例对接，为客户提供防病毒、数据防泄漏、vWAF等SASE相关的安全服务。安全入网点CPE设备上线后自动选择就近入网点，入网点故障自动切换。就近接入入网点资源管理合作伙伴POP资源管理LightWAN实时TCP隧道技术提供全链路极速虚拟通道，克服互联网传输瓶颈并消除物理链路丢

26、包，支持多种数据安全加密算法。LTT隧道技术入网点黑名单支持给入网点配置静态路由。静态路由配置支持BGP、BGPv4+动态路由协议。动态路由配置POP故障或者POP公网IP被封时，相关策略自动切换到其他可用POP。自动切换入网点网络功能POP的Internet WAN、Internal WAN上均支持创建VLAN。支持与已有MPLS VPN网路建立整网级别对接（包括运营商MPLS VPN网络、卫星网络等）。VLAN通过规划应用服务的IP集、域名集，在SaaS服务器就近点选择代理网关，使客户享受优质加速网络。支持100+主流SaaS应用加速。就近接入跨域网关SaaS应用加速根据网络质量（延迟、抖

27、动、丢包率），动态调整网络路径，确保在不同网络条件下始终达到服务级别协议（SLA）的要求。SLA智能选路支持为POP互联网口、专线等骨干网资源录入费用。AI智能规划并自动创建Link，在满足SLA的前提下优选费用较低的路径。路径AI优化智能选路WHITE PAPER支持三种粒度的IP独占功能：1.客户粒度独占IP：为一个Customer分配一组若干数量的出口IP。适用于高校数据库访问场景。2.客户+客户端账号/固定站点粒度独占IP：将应用账号与一个客户端账号（或一个固定站点）对应，再为每一个客户端账号（或一个固定站点）分配一个出口IP。适用于直播和跨境电商场景。3.客户+固定站点+策略粒度独占

28、IP：在访问SaaS应用时，支持为同一Customer ID（可选加上CPE ID限制）访问指定AU的策略分配同一个固定IP。适用于TikTok直播等场景。Docker CPE 容器dCPE 支持手动在POP上拉起Docker CPE，满足容器化部署CPE的需要。目前手动拉起的Docker CPE可作为落地CPE、应用代理CPE使用。支持手动在POP上拉起Docker CPE，满足容器化部署CPE的需要。目前手动拉起的Docker CPE可作为落地CPE、应用代理CPE使用。功能类型功能名称功能介绍SaaS NAT增强IP独占网络诊断容器dCPE支持POP配置ACL策略，最小化开通对外开放端口

29、。对于非认证隧道流量会触发安全机制，丢弃异常数据。安全策略异常流量检测支持对POP进行一键诊断，采集诊断日志，以便及时发现POP节点故障，技术运维人员可查看相关故障信息，及时采取措施解决问题，提高用户网络体验。设备运维Docker CPE展示POP的磁盘、连接数、在线IP数、接口流量等数据信息，以便实时监控POP节点的资源使用情况。POP报表系统监控骨干安全WHITE PAPERCPE功能包括基础功能、网络高级功能、策略控制、安全功能、移动客户端、设备运维、报表统计功能等。CPE设备安装后，通过访问邮件中的激活链接完成一键式配置，即插即用。支持全互联、星状及混合组网等企业网络拓扑结构，支持多拓

30、扑平面并存。每个拓扑可以应用相应拓扑结构的策略模板，一键给拓扑配置策略。星状拓扑允许配置站点到站点、站点到互联网（直连、代理站点）的策略模板。基于TCP协议，融合高效广域网优化算法，端到端高速数据传输通道。3）LightWAN CPE及软件客户端（Mobile CPE）功能功能类型功能名称功能介绍ZTP/零接触配置路由串接：CPE设备以路由的形式物理串接到用户网络中。路由旁路：CPE设备以路由的形式物理旁挂到用户网络的出口网关或核心交换机上。网桥串接：CPE设备以网桥的形式物理串接到用户网络中，以最大限度地减少用户网络中上下游设备上的配置更改。部署方式基础功能拓扑结构高速传输隧道一对站点间基于

31、不同SLA质量等级标准（延时、抖动、丢包率）创建多个走不同路径的SD-WAN传输隧道。多质量等级系统将流量分为8个优先级，匹配高优先级的数据流会优先传输。支持通过策略过滤出关键业务，并指定关键业务使用相应优先级的出口，针对各优先级配置带宽限制或带宽保障，以实现QoS；另外也支持给指定策略直接设置限速，以保障关键应用的使用效率。QoS支持互联网、专线等多种WAN接入方式，支持DHCP、PPPOE、静态IP等多种接口协议。WAN接入支持CPE设备作为中继器，中继其他Wi-Fi作为网络资源使用。仅MiFi设备支持。Wi-Fi中继CPE设备支持使用4G/5G无线网络作为WAN接入链路，4G/5G芯片内

32、置在CPE设备内部以保证其安全耐用。4G/5G（内置芯片）CPE的4G/5G模组支持多路APN拨号（最高支持6路）。用户可以同时连接互联网和物联网专网等网络，从而获得质量更好、成本更低、更安全的无线网络。单物联网SIM卡多APN/WAN当链路不通时，自动切换到链路端口池中的其他端口，尝试恢复链路。链路端口切换Wi-Fi接口工作在AP模式，允许Wi-Fi终端扫描和连接CPE Wi-Fi。WLAN支持单AP 2.4G/5G Wi-Fi接入。仅LW1X06型号支持。Wi-Fi双频接入WHITE PAPER支持DHCP服务器和DHCP中继功能。支持配置多个DNS地址。包括URL审计、域名审计、NAT审

33、计、合规性审计、通用审计。支持通过IPv6协议进行通信。功能类型功能名称功能介绍DHCP 支持本地DNS功能，满足用户将SD-WAN设备作为DNS服务器使用的需求。本地DNS基础功能上网审计支持IPv6支持接口独立配置协议，不同的接口可各自配置协议，同一个接口的IPv4与IPv6也可以独立配置协议，如DHCP、PPPoE、Static等。其中，IPv6支持SLAAC协议，支持LAN口作为服务器通过SLAAC协议分配IPv6地址，也支持设备WAN口通过SLAAC获取IPv6地址。接口协议配置支持LAN口作为路由器接口通过SLAAC分配IPv6地址，支持设备WAN口通过SLAAC获取IPv6地址。

34、SLAACCPE离线时，可保持现有的网络配置继续正常工作，离线状态下设备重启后配置不丢失。支持保存Orchestrator下发的接口地址、Policy、隧道配置，不支持保存OSPF/BGP、NAT ALG配置。持久配置1）减少WAN侧质量探测包的发送频次，用于4G/5G网络接入场景，节省网络流量。2）优先使用有线链路，有线链路故障后自动切换至4G/5G链路；有线链路恢复后及时自动切回，避免消耗无线网络流量。流量节省模式多WAN场景下，当非备份WAN口不可用时，允许将流量切换到备份模式的WAN口上。备份模式网口根据另一端设备的连接速率和双工模式，通过协商自动配置自己速率和双工模式。当另一端设备不

35、支持自协商时，需要强制指定速率和双工模式。网卡协商速率和模式设置单个网卡的MTU，各网卡独立配置。网卡 MTU设置支持在CPE上配置静态ARP,用于建立IP地址和MAC地址之间固定的映射关系。静态ARP表项不会老化，且不会被动态ARP表项覆盖。应用于无法动态学习MAC地址或被ARP攻击报文错误更新MAC地址表项等场景。静态ARP支持站点级别的IP集合管理。在应用策略和拓扑时，仅对站点中指定的IP集合生效。此功能方便客户将同一业务应用的IP地址配置为IP集合，从而精确控制网络业务的生效IP范围。站点IP集合管理支持使用两台CPE设备组成基于设备的冗余备份，保证用户网络的稳健性和高可用性。CPE

36、高可用WHITE PAPER应用于客户端部署在CPE设备内网的场景。当客户端认证成功后，主机地址会加入到可信内网IP列表中，允许通过CPE访问组网业务。拨测工具是为运营商提供的自动化测试工具，可使运营商合作伙伴通过运营商环境对特定目标进行网内ping、tcping、http、https测试，以确定网内目标连通性。支持trace探测，显示网络链路中每一跳的信息。功能类型功能名称功能介绍支持CPE集群模式部署，目前仅有LW7系列型号支持。CPE 集群基础功能网络高阶功能站点可信内网IP验证运营商拨测工具x86架构CPE支持配置四层代理、HTTP正向代理、反向代理、代理缓存、数据压缩等服务。应用代理

37、dCPE支持配置四层代理。支持DNS代理：支持使用指定内外网DNS服务解析域名。支持多路DNS：支持使用多个DNS服务器地址解析域名。支持WAN侧DNS主备切换：WAN侧配置2个DNS，当前DNS不可用时自动切换到下一个可用的DNS。支持LAN侧DNS：支持配置域名和指定IP的对应关系，提供LAN侧主机域名解析。高级DNS功能代理服务支持BGP、BGPv4+、OSPF、OSPFv3 动态路由协议。动态路由协议定时发送二层探测报文，检测内网是否发生环路，若发生环路则提示用户并将环路限制在内网之内，避免溢出影响更大范围内的客户网络。二层组网环路检测支持组建点到点的二层组网，也支持基于虚拟交换机的大

38、规模二层组网。二层组网支持使用VLAN子接口作为LAN/WAN接口。（LW1系列不予支持）VLAN 支持Orch上配置多个LAN。多LAN支持将多个物理接口聚合为单一逻辑接口（Bond模式）。链路聚合支持配置静态DNAT、基于端口的DNAT。支持自定义DNAT规则顺序。DNAT支持配置静态SNAT、基于端口的SNAT。支持自定义SNAT规则顺序。SNAT支持NAT ALG功能，实现对SIP、H323、FTP等特殊应用的协议报文内IP的NAT转换。NAT ALG支持标准IPSec接入，并支持与第三方路由器进行IPSec对接。支持IKEv1、IKEv2等密钥交换协议。IPSecWHITE PAPE

39、R功能类型功能名称功能介绍支持基于网络链路质量的智能选路功能。支持为业务流量选择满足服务协议标准的传输路径，对路径状况进行实时探测，自动躲避拥堵，并进行路径切换以保障传输效率。基于SLA的智能选路策略控制支持双发选收功能，采用1+1双路冗余传输技术，保障重要应用的传输效率和高可用性。双发选收在一个策略中配置一种或多种不同类型（直接访问、站点代理、网关代理）的出接口，统一参与出接口故障切换。混合出接口基于SLA和出接口剩余带宽对策略的出接口按优先级排序，当最优出接口故障或失效时，数据智能切换至次优出接口转发。出接口故障切换支持在每个策略中配置独占型带宽限速，对单个策略的整体业务流量进行限速。支持

40、在多个策略中配置共享型带宽限速，对多个策略的业务流量进行整体限速。支持在每个策略里配置单IP限速，对策略的源端和目的端IP进行每个IP的业务流量限速。速率限制支持多出接口负载均衡，提高出接口使用率。出接口负载分担支持创建不同类型（支持IPv4与IPv6）的探测任务，探测网络连通性、时延抖动丢包情况。自动探测支持在访问单元中指定探测目标，在策略运行时同步探测设备到目标地址的网络质量（即端到端的质量），并将探测结果作为出接口切换的质量依据。策略端到端质量探测支持为指定应用配置专用链路进行传输。在指定应用的流量超过设定阈值时，独占其专用链路时，不允许其它应用使用该链路，在该链路上的其它应用流量会被立

41、刻切走；在指定应用的流量低于设定阈值时，该链路资源可被释放给其它应用使用。应用独占支持端到端数据传输加密。数据的加密和解密需均在CPE设备上完成，经过LightWAN骨干网传输时无数据二次加解密的行为，以保障用户数据的传输安全。端到端传输加密支持对每一个拓扑配置隧道加密级别，使得不同安全级别的流量使用的加密级别不同。定制隧道加密级别支持DES、DES3、AES128、AES192、AES256、SM4等会话加密算法；支持 I P S E C-P S K-A E S 2 5 6-H M A C-S H A 2 5 6-1 2 8、IPSEC-PSK-AES128-HMAC-SHA1-96、IPS

42、EC-PSK-SM4-HMAC-SM3（软商密）、IPSEC-IKE-SM2-SM4-HMAC-SM3（硬商密或软件商密）组合算法加密算法安全功能WHITE PAPER功能类型功能名称功能介绍安全功能设备支持绑定LAN/WAN侧上下游设备的MAC地址，在检测到上下游设备变动时自动转入异常状态，产生告警。可信设备准入移动客户端支持临时账号和永久账号，客户管理员可为移动账号设置过期时间。过期的移动账号无法登录客户端。客户端账号有效期移动客户端支持对所在Windows环境进行操作系统和指定应用进程的检测，不满足条件时拒绝登录。工作环境检测支持通过LDAP、CAS等协议与客户自有的认证服务器（如AD服

43、务器）进行对接，完成用户登录信息验证。LDAP/CAS认证支持基于OAuth2.0授权码模式、密码模式的SSO单点登录。与客户认证平台对接，实现统一身份认证。SSO单点登录CPE提供登录认证门户页面，与用户现有认证服务器联动。CPE LAN侧的用户终端（PC、手机等）登录认证界面认证成功后，才能经由CPE转发流量以正常使用网络。支持将指定的源IP或目标IP配置为免除项，免除项相关流量无需认证即可正常使用网络。用户接入认证在CPE上绑定允许通过的MAC地址与对应的IPv4地址、IPv6地址，保证报文来源的安全性。对于未绑定IP与MAC的流量，可以手动设置是否允许通过。IP/MAC绑定 支持在CP

44、E上划分不同的逻辑安全域，实现不同域内数据流量的安全隔离。安全域轻网与安全厂商合作提供的SASE解决方案。支持在站点标识类策略模板、Spoke-Hub拓扑、网关代理模式下配置。允许用户为组网、SaaS访问的策略配置安全服务，命中策略的流量将被传输至云上的安全实例中，执行对应的安全功能。安全服务包括入侵检测、防病毒、应用识别、URL过滤、Web应用防火墙、威胁情报等。LightWAN NSaaS系统支持配置短信认证和认证器认证作为双因子认证方式。管理员可以在控制器上设置两种方式供用户选择。用户登录时需先进行用户名和密码验证，然后选择短信或验证器应用获取验证码以完成第二步验证。此功能提升了登录的安

45、全性和灵活性。双因子认证 支持使用IP集合或APP列表对应用进行过滤，将匹配条件的流量交由移动客户端相应功能模块进行处理，其它流量则交由终端系统进行处理。macOS只支持IP过滤，不支持APP过滤，iOS不支持IP和APP过滤。IP或APP过滤移动客户端登录支持对用户级别，用户分组级别进行并发数限制，提供细粒度的并发限制。以覆盖母公司使用一个客户账号，多个子公司进行客户端接入的用户场景。登录并发限制软件客户端功能WHITE PAPER功能类型功能名称功能介绍管理员可在控制器上强制客户端用户下线，保障客户端使用的安全性。强制下线当客户端账号为轻网本地账号时，支持通过手机号和邮箱两种方式重置登录密

46、码。通过图形验证码进行用户名暴力破解的拦截。版本较低的客户端以及Linux客户端不支持图形验证码，通过Orchestrator对此接口的请求频率进行限制，从而实现爆破拦截。忘记密码在管理员重置密码为随机密码或新创建账号为随机密码时，支持用户首次登录时强制修改密码。首次登录修改密码在客户端使用当前模式连接LightWAN网络且网络质量不佳时，或者当前连接模式无法连接，LightWAN网络时，支持自动切换到平台支持的其他模式连接LightWAN网络连接模式自动切换登录终端验证：客户端只能在经过授权的终端上进行登录。系统会在登录时验证当前设备是否与登录账户持有的绑定关系一致，仅支持已完成绑定的设备登

47、录使用。绑定关系管理：管理员可以通过后台管理系统预设移动账户与终端设备之间的绑定关系。同时，用户也可在客户端上提交绑定申请，经管理员审核通过后，系统将自动进行账户与设备的绑定。绑定数量限制：系统支持对每个移动账户自动绑定的终端设备数量设定上限。设备绑定数目不超过设定值时，新设备绑定可自动通过，无需管理员审批；账户绑定的设备数达到此上限值时，新设备的绑定需要提交绑定申请，经管理员审核后，才能进行绑定。管理员在控制台上手动进行设备绑定时不受此数量上限的限制。终端绑定可以进一步提高用户访问内网和Saas服务的安全性。终端绑定运行于Windows系统上的移动客户端可以通过系统的网络共享功能（Wi-Fi

48、热点或者双网卡路由）为其它终端提供LightWAN接入。轻网共享接入软件客户端功能支持基于标准OAuth2.0协议的第三方认证服务器登录。目前支持与钉钉应用对接，允许使用钉钉账号进行登录。第三方服务器认证登录设备运维支持实时抓取 CPE 设备网络数据包，以便运维人员获取相应报文进行网络排障。诊断抓包支持记录设备所有历史日志，以便进行运维排障等操作。操作日志支持通过SSH远程登录CPE设备。SSH Proxy一键采集CPE系统诊断信息日志。一键采集日志WHITE PAPER功能类型功能名称功能介绍设备运维流量质量上报。质量上报站点LAN/WAN流量实时统计上报。站点接口报表流量统计上报。流量统计

49、LAN侧在线IP数量上报。在线IP数量上报CPE CPU、内存、磁盘等实时使用情况上报。CPE参数上报WAN不同优先级实时统计上报。站点WAN优先级报表商密功能仅商密系列硬件CPE支持。内置LightWAN密码卡，可享受LightWAN密码卡的所有功能。内置密码卡采用SM2、SM3、SM4等商用密码算法，基于互通域和IKE协议，保护CPE与CPE之间的业务数据的机密性、完整性、真实性及不可否认性。数据传输安全支持基于互通域，实现CPE之间的双向身份认证，保障同一互通域下CPE与CPE之间的互信连接。双向身份认证商密CPE集成至设备安全管理系统中，设备安全管理系统可对商密CPE进行管理，详细的管

50、理功能介绍请参阅后续商密设备安全管理系统章节。设备安全管理系统集成WHITE PAPER2.安全功能1）SSC 安全功能攻击防范功能提供高精度的扫描攻击、泛洪攻击、单包攻击的检测与多种防范手段，允许用户根据企业网络策略需要，自由将安全实例配置到任意网络接口上。入侵防御功能能够对 Web 攻击识别和防护，如跨站脚本攻击、SQL 注入攻击等。支持基于对包括但不限于操作系统、网络设备、办公软件、网页服务等保护对象的入侵防御策略，支持基于对漏洞、恶意文件、信息收集类攻击等的攻击分类的防护策略。防病毒功能是一种通过对报文应用层信息进行检测来识别和处理病毒文件的安全机制。通过应用层检测引擎进行文件识别和本

51、地病毒检测，同时结合云检测功能，实现病毒的全面检测，可阻止病毒入侵和传播，有效保护企业的数据安全。URL过滤功能可对用户访问的URL进行识别和限制，即允许或禁止访问某个URL，达到规范用户上网行为的目的。功能名称功能介绍攻击防范入侵防御（IPS）防病毒（AV）URL过滤文件过滤功能可以对指定类型的文件进行批量过滤。目前，文件过滤功能支持对基于HTTP、FTP、SMTP、IMAP、NFS、POP3、RTMP 和 SMB 协议传输的文件进行检测和过滤。数据过滤功能可以对应用层协议报文中携带的内容进行过滤，以防止企业机密信息泄露、阻止非法和敏感信息的传播。目前，数据过滤功能支持对基于 HTTP、FT

52、P、RTMP、POP3、SMTP、IMAP、SMB、NFS 协议传输的内容进行检测和过滤。文件过滤数据过滤SSL加密流量检测也被称为SSL解密，是一种安全技术。SSL加密流量检测通过对加密流量进行解密，随后防火墙对解密后的流量进行内容安全检查（包括URL过滤、入侵防御、反病毒等），从而有效检测出潜藏在加密流量中的网络威胁，避免恶意用户通过加密流量窃取机密数据或者传输病毒等。SSL加密流量检测安全策略是一种根据报文的属性信息对报文进行精细化转发控制的智能安全防护措施。它融合了多维度精确报文识别、深度报文检测、安全动作执行、智能策略分析、应用风险调优等多种安全防护功能，为网络的安全性提供全方位保障

53、。安全策略应用审计与管理是DPI深度安全技术中的一项特色业务。基于强大的应用审计特征库，应用审计与管理能够精准识别用户上网时使用的主流应用（例如QQ、163邮箱、百度），并对这些应用上产生的用户行为和内容进行深度审计，以满足企业对用户上网行为的多种安全管控需求。应用管理与审计威胁情报目前支持 IP 信誉、域名信誉和 URL 信誉，信誉库主要是具有僵尸主机DDoS攻击、命令注入攻击、木马下载和端口扫描等风险的 IP 地址/域名/URL 集合，融合安全网关设备可以根据信誉库中的信息对网络流量进行过滤。威胁情报WHITE PAPER带宽限速支持基于应用层协议设置流控策略，包括设置最大带宽、保证带宽、

54、协议流量优先级等。支持带宽通道独占以及共享管理模式,支持父子带宽策略。Web应用防护功能用于对Web攻击进行防御。当设备收到Web访问请求后，会对请求内容的安全性和合法性进行检测和验证，实时阻断非法的请求，实现对Web服务器的有效防护。功能名称功能介绍带宽限速Web应用防护攻击防范功能提供高精度的扫描攻击、泛洪攻击、单包攻击的检测与多种防范手段，允许用户根据企业网络策略需要，自由将安全实例配置到任意网络接口上。入侵防御功能能够对 Web 攻击识别和防护，如跨站脚本攻击、SQL 注入攻击等。支持基于对包括但不限于操作系统、网络设备、办公软件、网页服务等保护对象的入侵防御策略，支持基于对漏洞、恶意

55、文件、信息收集类攻击等的攻击分类的防护策略。功能名称功能介绍攻击防范入侵防御（IPS）防病毒功能是一种通过对报文应用层信息进行检测来识别和处理病毒文件的安全机制。通过应用层检测引擎进行文件识别和本地病毒检测，同时结合云检测功能，实现病毒的全面检测，可阻止病毒入侵和传播，有效保护企业的数据安全。URL过滤功能可对用户访问的URL进行识别和限制，即允许或禁止访问某个URL，达到规范用户上网行为的目的。防病毒（AV）URL过滤文件过滤功能可以对指定类型的文件进行批量过滤。目前，文件过滤功能支持对基于HTTP、FTP、SMTP、IMAP、NFS、POP3、RTMP 和 SMB 协议传输的文件进行检测和

56、过滤。数据过滤功能可以对应用层协议报文中携带的内容进行过滤，以防止企业机密信息泄露、阻止非法和敏感信息的传播。目前，数据过滤功能支持对基于HTTP、FTP、RTMP、POP3、SMTP、IMAP、SMB、NFS 协议传输的内容进行检测和过滤。文件过滤数据过滤应用审计与管理是DPI深度安全技术中的一项特色业务。基于强大的应用审计特征库，应用审计与管理能够精准识别用户上网时使用的主流应用（例如QQ、163邮箱、百度），并对这些应用上产生的用户行为和内容进行深度审计，以满足企业对用户上网行为的多种安全管控需求。安全策略是一种根据报文的属性信息对报文进行精细化转发控制的智能安全防护措施。它融合了多维度

57、精确报文识别、深度报文检测、安全动作执行、智能策略分析、应用风险调优等多种安全防护功能，为网络的安全性提供全方位保障。应用管理与审计安全策略2）CPE 安全融合网关安全功能WHITE PAPER功能名称功能介绍威胁情报目前支持 IP 信誉、域名信誉和 URL 信誉，信誉库主要是具有僵尸主机DDoS攻击、命令注入攻击、木马下载和端口扫描等风险的 IP 地址/域名/URL 集合，融合安全网关设备可以根据信誉库中的信息对网络流量进行过滤。带宽限速支持基于应用层协议设置流控策略，包括设置最大带宽、保证带宽、协议流量优先级等。支持带宽通道独占以及共享管理模式,支持父子带宽策略。威胁情报带宽限速Web应用防护功能用于对Web攻击进行防御。当设备收到Web访问请求后，会对请求内容的安全性和合法性进行检测和验证，实时阻断非法的请求，实现对Web服务器的有效防护。Web应用防护云 化 网 络 领 航 者