华为AgileController方案.docx

华为 Agile Controller 方案概述移动办公、BYOD、WLAN的基本特征就是作为信息消费者的用户终端，物理位置变得不固定，这对传统以手工静态配置为核心的传统网络形成了挑战： 1. 不同的位置、不同的终端，如何保证一致的用户办公体验？让用户感觉不到位置的差异？ 2. 如何动态配置用户的权限、安全、QoS优先级等网络策略？传统的固定网络用户可以跟一个物理端口绑定，策略是管理员手工配置到离用户最近的网络设备上的，当用户位置不固定时，我们不能要求网络管理员通过手工配置去适应每个人位置的变化。这就要求网络需要具备动态分配资源和部署策略的能力，网络资源需要跟着用户走。3. 网络安全如何部署？传统的网络安全泄漏点主要是在企业到互联网的边界，很多企业也都把防火墙等安全设备部署到这个边界位置进行防护。但移动性的引入，以及网络攻击手段的发展，使得安全防护失去了边界：Wi-Fi、移动终端、远程办公引入了大量的新的安全泄漏点，以及内部攻击手段(病毒/木马/APT攻击)的出现，都让传统的边界防护手段彻底失效。敏捷控制器（Agile Controller）是华为面向企业市场发布的下一代网络解决方案敏捷网络的核心部件，全面覆盖敏捷园区、敏捷分支、敏捷广域、敏捷数据中心各种应用场景，实现从接入到数据中心端到端联接的应用策略控制。Agile Controller应用SDN集中化控制原则，以业务体验为中心，基于用户和应用动态调配全网资源，实现网络与安全资源跟随用户自由移动，让网络更敏捷地为业务服务。产品特点 以业务体验为中心重新定义网络从以前关注技术、设备、连通性，到关注用户、业务、体验；从以前手工配置，到用自然语言规划和自动部署。 将SDN集中化控制思想引入园区，动态调配整个园区的网络与安全资源，让资源跟随用户移动，实现业务随行。 可灵活调整全网权限、QoS、安全等策略，大大缩短新业务开通或网络扩容周期，适应越来越快的业务变化需要。 让用户不再需要关注各种设备差异，只需使用自然语言进行规划，一键式完成全网策略统一部署和同步。 实现基于最终用户的QoS调度，在网络资源有限的情况下，优先转发VIP用户流量，确保VIP用户业务体验良好。基于全网视角的安全协防从以前更多关注单点，到更多关注全网；从单点防护步入全网防护时代。 统一采集网络设备、安全设备、业务系统的日志，应用大数据关联分析，发现单点设备难于发现的攻击和威胁。 提供虚拟化的安全资源中心能力，通过智能联动将特性用户的流量进行阻断、引流，主动防御网络攻击行为。 提供完善的终端安全、桌面管理功能，预置5000+终端安全策略，确保网络终端接入安全。产品开放合作，易与客户现有系统对接 提供丰富的南北向接口，开放API，实现转发面与控制面的可编程，可与客户现有设备与业务系统进行对接，提升端到端运维效率，加快新业务上线速度，营造企业快速创新环境。 实现与业界主流云平台华为FusionSphere 、VMware vSphere、Openstack、Microsoft Hyper-v等的无缝对接，致力于打造一个弹性、开放平台，集成各个领域的优秀实践，让用户可根据业务需要灵活定义网络，做到即需即用。基于高可靠保护的弹性架构设计 提供集中式、分布式、分级式组网方式，适用于各种网络。 提供接入认证备份、数据库备份等高可靠保护，保证服务的连续性。 B/S架构，基于华为全新敏捷UI设计，简单易用。产品组成Agile Controller针对不同的应用场景提供多个业务组件，满足不同客户的需求。组件简介接入控制组件提供企业统一的网络接入策略，支持802.1x、Portal认证、MAC认证、SACG等多种认证方式，实现企业网络有线、无线和VPN接入的统一接入管理，基于角色身份、接入时间、接入地点、终端类型、终端归属、接入方式（5W1H）的精细化授权，满足企业多种网络接入、多种终端接入的统一运维管理需求。访客管理组件提供全生命流程的访客管理，实现访客账号申请、审批、分发、认证、审计、注销等统一管理，账号申请支持访客自注册、员工代申请、微信申请、二维码申请等多种方式，访客账号申请与认证页面支持“所见即所得”的自定义功能，可灵活推送广告。业务随行组件配合华为敏捷交换机和NGFW，基于安全组的策略规划，在传统网络接入控制NAC的基础上，实现全网策略的统一部署与自动同步，确保全网策略一致，让用户自动移动时享受一致的业务体验。同时，提供基于用户组的QoS策略部署，在网络资源有限的情况下，优先转发VIP用户的流量，保障用户的业务体验。业务编排组件将原来物理安全设备的能力，抽象成虚拟服务概念，对用户屏蔽具体的物理形态和位置，形成”安全资源中心”。用户根据具体业务的需要，将流量引至安全资源中心进行处理，提升物理资源利用率，节省用户成本。终端安全管理组件严格控制用户终端安全接入网络的基准，对接入网络的用户终端强制实施企业安全策略，提供终端健康检查、员工行为管控、软件分发、补丁管理、资产管理等功能，确保所有接入网络的用户终端的自防御能力，符合企业的安全策略，保障企业网络安全。全网安全协防组件对整网的网络、安全、IT设备的日志信息与安全事件进行集中管理，运用大数据关联分析技术，从全网视角综合评估安全态势，识别高危资产和区域，帮助用户实施全网防护和主动防御，解放网络风险的人工分析溯源工作。接入控制组件产品概述随着企业信息化水平的提高，为了满足用户接入企业网络，通常会把网络铺设到办公区的每个角落。公司内大量流动的办公人员和合作伙伴经常会带着笔记本电脑接入公司的局域网，这将给公司的信息安全带来很大的挑战。外来的非法终端接入公司的网络，除了可能带来计算机病毒方面的安全威胁外，还可能通过接入公司的网络，非法获取公司的商业秘密。另外，WLAN技术的成熟以及智能终端的普及，许多企业开始考虑允许员工自带智能设备使用企业内部应用。企业的目标是在满足员工自身对于新科技和个性化追求的同时提高员工的工作效率，降低企业在移动终端上的成本和投入。WLAN在企业的应用，给企业带来很大的信息安全风险。华为Agile Controller接入控制组件通过与网络接入控制设备联动，控制企业内部和外部终端对网络的访问，实施统一的接入控制策略，同时提供灵活的认证策略和授权策略管理功能，支持多维度的接入控制策略，满足不同客户的业务控制需求。产品特点全面的准入控制技术，适用于各种网络认证方案技术特点适用范围802.1x认证 通过交换机或者AC开启802.1x 可实现二层隔离 认证点多，维护较复杂 交换机需支持802.1x能力大、中、小型园区，网路安全要求严格，可与华为全系列交换机、路由器及Wlan设备以及第三方标准802.1x交换机联动MAC旁路认证 通过交换机或者AC开启802.1x+MAC自适应混合认证 终端以MAC地址作为身份凭据到认证服务器进行认证主要用于IP电话、打印机等哑终端设备Portal认证 汇聚层部署portalMAC自适应混合认证，无线用户AC集中认证 终端免配置，可按需需要选择是否安装客户端； 接入层交换机无需支持802.1x仅可与华为全系列交换机、路由器及Wlan设备联动，尤其是无需客户端的场景SACG网关认证 采用USG防火墙旁挂在路由器或者交换机，通过策略路由控制终端访问，旁挂方式，无需改变现网拓扑架构 认证点很少，方便管理维护 控制点在汇聚或者核心层，二层控制力度较弱园区网络环境较为复杂的场景，园区已经存量大量第三方交换机、路由器等数通设备，尤其适合园区网改造场景。层次化的部门与用户管理，满足企业组织管理复杂化的需求 部门下可以同时带子部门和用户。 部门最大级数支持10级，能够满足最复杂的组织结构的需求。 支持使用Excel表格方式批量导入导出部门和用户信息。支持与企业身份数据源和社交平台无缝对接 系统支持多种认证协议，可以与主流的AD、LDAP、Radius以及动态令牌系统对接。认证协议系统自建账户ADLDAPRadius TokenRadius中继PAPYESYESYESYES依赖外部系统CHAPYESNONONO依赖外部系统EAP-PEAP-MSCHAPV2YESYESNONO依赖外部系统EAP-MD5YESNONONO依赖外部系统EAP-TLSYESYESYESNO依赖外部系统EAP-TTLS-PAPYESYESYESYES依赖外部系统EAP-PEAP-GTCYESYESYESYES依赖外部系统 系统支持按需同步、按过滤条件同步等特性，满足各类用户的个性需求。基于5W1H情景感知的精细化授权，灵活与安全并重维度解决问题举例Who 谁接入了网络管理层、普通员工、VIP用户、访客等Where 从什么地方接入研发区、非研发区、家里等When 什么时间接入上班时间、下班时间、工作日等Whose 谁的设备公司标配、自带设备等What 什么设备接入Windows、Linux、iOS、Andorid等How 如何接入 有线、无线、VPN互联网等终端智能识别，认证页面自适配，满足BYOD终端权限控制 多达200种终端识别模板, 支持MAC OUI、DHCP Option、HTTP User-Agent、SNMP等多种方式识别设备。 支持相同用户账号根据终端类型分配不同的业务策略，细化用户权限控制粒度。 根据终端类型，认证页面自动适配，保留用户操作习惯。 根据终端类型赋予不同的业务策略，如VLAN/ACL/带宽限制等。运行环境用户数2000的中小规模场景，配置要求如下：硬件配置 CPU：E5-2640 6c 2.5GHz或以上 内存：8G 硬盘：600G 网卡：2*千兆网卡操作系统 Windows Server 2008 R2 (X64) 数据库 Microsoft SQL Server 2005 Microsoft SQL Server 2008 Microsoft SQL Server 2008 R2 用户数2000的大规模场景，配置要求如下：硬件配置 CPU：2*E5-2640 6c 2.5GHz或以上 内存：16G 硬盘：2T 网卡：2*千兆网卡操作系统 Windows Server 2008 R2 (X64) 数据库 Microsoft SQL Server 2005 Microsoft SQL Server 2008 Microsoft SQL Server 2008 R2 组网应用802.1x接入控制在靠近终端的交换机上启用802.1X，终端正常接入网络前，需要先部署安全代理，或者部署操作系统自带的802.1X客户端。当终端通过802.1x认证后，Agile Controller服务器给接入交换机下发VLAN/ACL等授权参数，控制终端的网络访问权限。对于网络中的打印机/IP PHONE等哑终端，启用MAC旁路认证功能，当哑终端接入网络的时候，设备自动触发MAC旁路认证，开通网络访问权限。Portal接入控制在接入终端的网关位置，启用Portal+MAC旁路认证功能，终端可以使用WEB认证的方式接入网络，也可以在终端上使用Agile Controller的NAC客户端接入网络。哑终端使用MAC旁路认证接入网络。SACG接入控制对于较为复杂园区网络环境，特别是已经存量大量第三方交换机、路由器等数通设备，可以采用SACG接入控制方式。SACG设备侧挂在三层交换机或者路由器上。通过在交换机上配置报文重定向，或者在路由器上配置策略路由，把来自终端PC的上行流量重定向到SACG设备，通过SACG设备过滤后，再回到交换机/路由器上执行正常的路由转发。配套设备设备角色设备类型认证设备 华为Sx7系列交换机 华为AR路由器 华为WLAN AC设备 华为USG防火墙 第三方主流厂商802.1x交换机订购信息描述备注Agile Controller接入控制功能必配Agile Controller接入控制终端数-含200个接入终端License选配Agile Controller接入控制终端数-含500个接入终端License选配Agile Controller接入控制终端数-含1000个接入终端License选配Agile Controller接入控制终端数-含2000个接入终端License选配Agile Controller接入控制终端数-含5000个接入终端License选配Agile Controller接入控制终端数-含10000个接入终端License选配Agile Controller接入控制终端数-含50000个接入终端License选配访客管理组件产品概述随着WLAN技术的成熟以及智能终端的普及，许多企业开始考虑面向到访客户和合作伙伴开放网络。在公共领域（如商场、酒店、展馆、连锁门店、景区、营业厅、候客厅等），大量用户接入网络，蕴含着大量的广告机会。华为Agile Controller访客管理组件提供全生命流程的访客管理，实现访客账号申请、审批、分发、认证、审计、注销等统一管理，账号申请支持访客自注册、员工代申请、微信申请、二维码申请等多种方式，访客账号申请与认证页面支持“所见即所得”的自定义功能，可灵活推送广告。产品特点一套系统实现员工与访客统一管理，降低客户建设成本和IT运维成本 访客管理组件与接入控制组件，可同时部署，也可单独部署。全生命周期访客管理，灵活选择审批和免审批模式阶段可选方式注册 员工申请 访客自注册审批 自动审批（免审批） 管理员审批 接待人审批分发 手机SMS（包括短信猫和短信网关两种） Email WEB方式认证 用户名/密码认证 Passcode认证 VLAN/ACL权限隔离审计与注销 用户上下线审计 到期后自动注销 定期清理账号Portal界面定制和灵活推送，助力企业品牌提升和广告营销 支持登录页面、注册页面的“所见即所得”定制，为企业提供个性化的展示界面，提高企业品牌形象。用户名密码欢迎访问XX本店提供的免费WIFI网络注册 通过认证后，可以自动重定向到认证前页面，或者管理员配置的URL ，十分适合进行品牌定向推广 可基于位置（ SSID和AP）的页面推送，个性化的资讯推送 可基于终端IP和终端类型的页面推送与企业的微信公众账号绑定，增加公众账号的粉丝，可定期推送信息使用二维码扫描审批，“零输入”快速开通访客账号，提升访客满意度智能终端无感知认证，实现一次认证，多次接入 首次Portal+MAC认证，后续自动MAC认证运行环境用户数2000的中小规模场景，配置要求如下：硬件配置 CPU：E5-2640 6c 2.5GHz或以上 内存：8 G 硬盘：600G 网卡：2*千兆网卡操作系统 Windows Server 2008 R2 (X64) 数据库 Microsoft SQL Server 2005 Microsoft SQL Server 2008 Microsoft SQL Server 2008 R2 用户数2000的大规模场景，配置要求如下：硬件配置 CPU：2*E5-2640 6c 2.5GHz或以上 内存：16 G 硬盘：2T 网卡：2*千兆网卡操作系统 Windows Server 2008 R2 (X64) 数据库 Microsoft SQL Server 2005 Microsoft SQL Server 2008 Microsoft SQL Server 2008 R2 组网应用在接入终端的网关位置，通常启用Portal+MAC旁路认证功能，终端使用WEB认证的方式接入网络。网络Agile ControllerPortal交换机配套设备设备角色设备类型认证设备 华为Sx7系列交换机随板AC 华为AR路由器随板AC 华为WLAN AC设备订购信息描述备注Agile Controller访客管理功能必配Agile Controller访客管理功能-含管理200个访客账号License选配Agile Controller访客管理功能-含管理500个访客账号License选配Agile Controller访客管理功能-含管理1000个访客账号License选配Agile Controller访客管理功能-含管理2000个访客账号License选配Agile Controller访客管理功能-含管理5000个访客账号License选配Agile Controller访客管理功能-含管理10000个访客账号License选配Agile Controller访客管理功能-含管理50000个访客账号License选配业务随行组件产品概述随着移动办公、BYOD的普及推广，用户在企业总部、分支、出差都有接入公司网络的需求，终端的物理位置变得不再固定，私有终端也开始处理公司办公业务。如何保证不同的终端在不同的位置，却能享受一致的办公体验，成为大家普遍关注的问题。华为Agile Controller业务随行组件在传统网络接入控制NAC的基础上，配合华为敏捷交换机和NGFW，基于安全组的策略规划，实现全网策略的统一部署与自动同步，确保全网策略一致，让用户自动移动时享受一致的业务体验。同时，提供基于用户组的QoS策略部署，在网络资源有限的情况下，优先转发VIP用户的流量，保障用户的业务体验。产品特点基于安全组的策略控制替代传统VLAN/ACL的控制方案，大幅度提升效率 全网策略统一规划，一键式完成部署。 同时与交换机、防火墙、SVN智能联动，保证全网一致，实现用户自由移动，一致体验。 全网策略集中管理，可以灵活调整，并实现增量下发。实现用户组与资源组、用户组到用户组的访问权限控制面向自然语言的快速授权，全面优化5W1H配置体验基于用户组的带宽/QoS策略，保障VIP用户的体验保障 运行环境因为业务随行组件依赖于接入控制组件，所以运行环境参考接入控制组件组网应用业务随行组件无特殊组网要求，只需Agile Controller服务器与联动的网络设备IP可达即可，通常部署在数据中心区域。配套设备设备角色设备类型认证设备 框式交换机：S77/97/127 V2R6C00 盒式交换机：S5720HI V2R6C00 防火墙 ：USG63/65/66 V1R1C20 VPN网关： SVN 56/58 V2R3C00订购信息描述备注Agile Controller接入控制功能必配Agile Controller业务随行功能必配业务编排组件产品概述企业园区、数据中心网络中，安全防护的传统原则是设定边界，并在不同安全等级的边界上部署安全设备，如Firewall、Anti-DDos、AV、IPS、DLP等。随着网络规模越来越庞大，接入网络的用户越来越复杂，传统手段使得企业的投资成本以指数形式倍增。另外，很多用户按流量峰值25倍指标采购安全设备，实际工作中，防火墙、IPS、DDOS等高性能安全设备利用非常率低，造成资源极大浪费。华为Agile Controller业务编排组件将原来物理安全设备的能力，抽象成虚拟服务概念，对用户屏蔽具体的物理形态和位置，形成”安全资源中心”。用户根据具体业务的需要，将流量引至安全资源中心进行处理，提升物理资源利用率，节省用户成本。产品特点将物理安全资源虚拟化，基于业务流调配资源，实现深层次的安全防护 提升硬件资源的利用率，降低用户投资全面的业务流管理，可基于IP或者用户组五元组定义 基于源IP+源端口+目的IP+目的端口+协议定义业务流 基于源用户组+源端口+目的用户组+目的端口+协议定义业务流基于角色的业务链资源管理 业务设备可定义为防火墙、防毒墙、上网行为监控等角色 管理员可在编排设备（交换机）与业务设备间建立GRE隧道，以便将指定的业务流量引流到业务设备处进行安全监控等操作。基于业务流创建业务链，针对不同业务实施差异化的安全策略 支持图形化集中展示业务链编排策略的配置情况，管理员直接拖拽业务设备，重新排列业务设备运行环境因为业务编排组件依赖于接入控制组件，所以运行环境参考接入控制组件。组网应用业务编排组件的硬件主要由如下三个部分组成： Agile Controller业务服务器：作为业务编排子系统，负责业务链的业务逻辑配置。 编排设备：需要使用华为的敏捷交换机。主要负责识别业务流量并按照用户指定的业务处理次序上，将流量依次引导至各个业务设备上处理。编排设备与业务设备之间为IP路由可达。 业务设备：负责将引导过来的业务流量进行相关的业务处理。各种业务设备与编排设备处于三层组网上，之间通过GRE隧道连接。业务设备可以旁挂于核心路由器或核心交换机或汇聚交换机，具体原则如下：核心层：避免流量迂回，可以通过IP信息定义业务流。汇聚层：不关心流量迂回，通过用户信息定义业务流配套设备设备角色设备类型编排设备 框式交换机：S77/97/127 V2R6C00 盒式交换机：S5720HI V2R6C00业务设备 防火墙 ：USG63/65/66 V1R1C20 Juniper设备：SRX210订购信息描述备注Agile Controller接入控制功能必配Agile Controller业务随行功能必配Agile Controller业务编排功能必配终端安全管理组件产品概述接入终端的安全健康状况是评估一个企业安全管控水平的关键指标。公司内大量流动的办公人员和合作伙伴经常会带着笔记本电脑接入公司的局域网，这将给公司的信息安全带来很大的挑战。外来的非法终端接入公司的网络，除了可能带来计算机病毒方面的安全威胁外，还可能通过接入公司的网络，非法获取公司的商业秘密。华为Agile Controller终端安全管理组件严格控制用户终端安全接入网络的基准，对接入网络的用户终端强制实施企业安全策略，提供终端健康检查、员工行为管控、软件分发、补丁管理、资产管理等功能，确保所有接入网络的用户终端的自防御能力，符合企业的安全策略，保障企业网络安全。产品特点终端安全加固确保接入终端满足企业要求 预置5000+终端安全策略,包括弱口令检查，非法外连监控，Web访问监控，防病毒软件监控，移动存储设备监控等。 针对不同的用户角色或部门定义不同安全规则。智能补丁管理系统，帮助终端用户修复系统漏洞，提高企业终端安全水平 支持Microsoft Windows操作系统补丁、Microsoft SQL Server数据库补丁、Microsoft Internet Explorer补丁、Microsoft Office补丁。 自动从微软网站下载补丁，允许服务器通过代理连接互联网。自动化软件分发，将软件手工或按计划自动分发到终端主机，提高部署效率 支持支持任意文件格式分发，对exe或msi文件可自动执行。 支持按部门、操作类型、终端用户、IP地址段、时间段分发软件。 支持子网快速下载方式分发软件审计员工终端与网络行为，降低信息泄密风险 网络行为审计，包括Web访问审计，非法外联审计，网络流量监控。 外设使用审计，包括USB拔插操作，USB文件操作，其他外设使用审计等。 终端文件审计，包括文件创建，复制，重命名，删除等。 终端操作审计，包括控制各类非标准软件，监控进程、服务，禁用只读光驱和刻录光驱。企业级资产管理，避免员工私自更改终端主机的配置，降低资产遗失的风险 自动采集资产的信息，包括操作系统、软件清单、硬件清单、硬盘序列号和BIOS等信息。 生成资产报表，提供资产的统计和变更分析 资产变更告警，当资产发生变更时产生告警，便于管理员持续跟踪资产信息。运行环境因为终端安全组件依赖于接入控制组件，所以运行环境参考接入控制组件。组网应用组网参考接入控制组件。启用终端安全特性的终端需要安装Agile Controller专用的NAC客户端。配套设备终端操作系统版本Windows Microsoft Windows XP Microsoft Windows Vista Microsoft Windows 7 Microsoft Windows 8 Microsoft Windows 8.1订购信息描述备注Agile Controller接入控制功能必配Agile Controller终端安全管理功能必配Agile Controller终端安全管理功能-每管理200个终端License选配Agile Controller终端安全管理功能-每管理50个终端License选配Agile Controller终端安全管理功能-每管理1000个终端License选配Agile Controller终端安全管理功能-每管理2000个终端License选配Agile Controller终端安全管理功能-每管理5000个终端License选配Agile Controller终端安全管理功能-每管理10000个终端License选配Agile Controller终端安全管理功能-每管理50000个终端License选配全网安全协防组件产品概述传统的网络安全泄漏点主要是在企业到互联网的边界，很多企业也都把防火墙等安全设备部署到这个边界位置进行防护。但移动性的引入，以及网络攻击手段的发展，使得安全防护失去了边界：Wi-Fi、移动终端、远程办公引入了大量的新的安全泄漏点，以及内部攻击手段(病毒/木马/APT攻击)的出现，都让传统的边界防护手段彻底失效。华为Agile Controller全网安全协防组件对整网的网络、安全、IT设备的日志信息与安全事件进行集中管理，运用大数据关联分析技术，从全网视角综合评估安全态势，可识别单个安全设备难以识别的安全问题，并展示TOPN高危资产和区域，帮助用户实施全网防护和主动防御，解放网络风险的人工分析溯源工作。产品特点独特的架构设计，从全网视角重新定义网络安全 可识别单个安全设备难以识别的安全问题。 可通过自定义关联规则来满足各种用户的差异化安全需求。 领导层能直观清晰的获悉、掌控当前的安全态势，执行层可以高效的进行安全问题处置。全面的安全日志采集能力，可对接第三方设备 支持采集华为网络、安全设备日志。 支持采集第三方设备日志，接口支持Syslog、SNMP、FTP/SFTP、OPSEC、ODBC等。预置关联规则，用户可自定义关联规则，发现全网安全事件 系统内置丰富的关联分析，包括多台设备密码猜解、病毒扩散、区域网络攻击、成功DDoS、DMZ区服务器渗透、绕过堡垒机登录等。 用户可自定义关联分析规则，包括基本统计关联、动态统计关联、多规则嵌套关联、多维度拓展关联等。直观的安全态势呈现，为主动防御措施提供依据 基于全网拓扑的安全视图，将全网划分若干个区域，以不同颜色展示。 识别全网TOPN高危资产，对整网进行一个安全等级评估评分，帮助用户快速掌握网络安全状况。 将安全事件的详情及相应的处理建议展示给管理员，供管理员解决安全问题时做参考。运行环境安全协防服务器的配置要求如下：硬件配置 CPU：2*E5-2640 6c2.5GHz或以上 内存：32 G 硬盘：2*1T 网卡：2*千兆网卡操作系统 SUSE Linux 11数据库 Mongo DB MySql 5.5配套设备设备角色设备类型华为安全设备 NGFW DDOS ASG NIP SVN华为网络设备 Sx7交换机 AR路由器 WLAN设备第三方设备支持标准协议采集相关日志的设备： Syslog SNMP FTP/SFTP OPSEC ODBC 通用文件和专用日志采集接口组网应用Agile Controller安全协防服务器无特殊组网要求，只需与联动的网络设备IP可达即可。