一、背景与挑战

传统的网络安全建设中面临部署了大量网络安全设备，投资大，但网络安全建设防御效果不佳、缺少专业安全服务人员，运维困难的难题。因此各个安全设备厂商在尝试采用新的思路去解决传统安全防护方案的问题。希望通过新的设计模式，达到更好更精准的防护效果，同时为安全运维人员提供更简易更高效的运维手段。在各种模式的发展趋势中，通过云端实现安全服务，从而替代单独的安全设备已经成为网络安全演进的重要趋势。

在深入分析了用户在网络安全建设方面的困扰后得知，传统的网络安全方案无论是在防护效果上及安全运维上已经无法从根本上解决这些问题，需要借助新的模式来提升效率、降低成本，同时还要保障乃至实现更好效果。在此种情况下，华为认为安全服务资源并不在都在客户本地，而是集中在某处，需要按需购买。此时，这种需求就符合资源集中在云端，按需购买的“云服务”特征（类似安全即服务）。

二、解决方案

解决方案由部署在华为公有云上的华为“乾坤”安全云服务平台和部署在客户本地网络的华为“天关”防护节点构成，实现云端服务+本地设备联动，构建简单、高效、易用的安全云服务方案。

华为乾坤安全云服务通过云边融合的创新架构，仅在本地保留天关硬件，天关不仅实现本地流量型安全功能，还与云端联动将云上安全能力输入本地，实现产品交付、服务交付云化提供，资源、信息全局共享，有效降低单局点成本，提升防护效果。
具体架构模型如下图所示：

华为天关防护节点（以下简称“天关”）部署在客户本地的网络出口，具备2-7层的安全防护能力，并同乾坤安全云服务平台联动，作为服务的基础，其核心能力包括：

1、具备全面的内容安全能力，如入侵防御、恶意文件检测等，为用户检测、阻断应用层攻击事件；
2、配备华为安全人工智能智能检测引擎，提供边缘侧的智能安全检测能力，能够检测传统基于特征签名无法完成的检测任务，例如：暴力破解、C&C、DGA、ECA等算法；
3、实现与华为乾坤安全云服务平台的联动，上报安全事件相关的关键信息，并可以根据云服务平台的指令对安全事件进行闭环，如下发黑名单配置对攻击流量进行阻断。

华为乾坤安全云服务平台（以下简称“云服务平台”），为基于华为云PaaS打造且符合三级等保保障的平台。云服务平台结合天关上报的安全日志与取证数据，实现安全事件分析、防护策略的联动，为用户提供安全分析、事件闭环、安全预警、安全咨询等服务，其核心能力包括：

1、 接收天关上报的安全事件相关的关键信息（如安全日志采集、安全取证数据采集等）；
2、对天关上报的海量安全事件信息通过分布式索引、关联分析并进行基于智能检测能力进行数据处理，对数据进行归并降噪处理；
3、结合华为专业安全攻防团队能力，对已降噪的安全事件进行判断，将准确的分析结果反馈给用户。
4、对于授权云端自动处置的用户，提供安全事件自动闭环服务，将闭环策略直接下发到天关；对于未授权云端自动处置的用户，提供安全事件的处置建议，指导用户自主闭环安全事件；
5、为用户提供周报、月报、紧急安全事件短信通知等服务，通过短信、邮件、及联动移动端APP为客户提供统一安全分析、专家服务、安全事件处置指导，使安全运维工作易懂、高效。