SVN5600-5800系列安全接入网关技术主打胶片课件.ppt

1、华为安全接入网关技术交流主打胶片 SVN5600/SVN5800 SVN5600/SVN5800系列1目录 附录 VPN基础知识介绍SVN 系列硬件介绍SVN 系列软件介绍 1232SVN5000安全接入网关全家福SVN5630,300M SSL加密吞吐量,1500并发用户,1U,4GE+2ComboSVN5660,500M SSL加密吞吐量，3000并发用户,1U,8GE+4SFPSVN5830,700M SSL加密吞吐量,6000并发用户,1U,8GE+4SFPSVN5850,1G SSL加密吞吐量,1.2万并发用户,1U,8GE+4SFPSVN5880,5G SSL加密吞吐量,10万并发

2、用户,3U,4*10GE+16GE+8SFPWSIC-8SFPWSIC-4GE-BYPASSWSIC-8GEWSIC-2SFP+&8GESAS-300GB扩展模块p USG5600/USG5800系列共计6款设备p 覆盖300M5G SSL加密性能，最大10万并发SSL用户p 接口最少6GE，最大扩展支持64*GE+14*10GE分销行业SVN5860,3G SSL加密吞吐量,4万并发用户,3U,2*10GE+8GE+8SFP3SVN5660SVN5630SVN5630SVN5660CPU型号Cavium CN6130(4核)Cavium CN6645(10核)形态1U1U固定接口4GE+2C

3、ombo8GE+4SFP最大接口数量4*10G+20GE+2Combo24GE+4SFP+4*10G槽位数2个扩展接口板8GE电、8GE光、8GE电+2*10GE光、4GE电口Bypass卡硬盘单硬盘300G电源标配单电源（双电源选配，可热插拔）最大功耗170WSVN5000硬件主机介绍分销5600系列4SVN5830/5850SVN5830/5860SVN5860SVN5880CPU型号Cavium CN6645(10核)CN6880 32*1.2GCN6880 32*1.2G形态1U3U3U固定接口8GE+4SFP16GE+8SFP+4*10GE16GE+8SFP+4*10GE最大接口数量

4、24GE+4SFP+4*10G56GE+8SFP+14*10G32GE+8SFP+4*10G槽位数252扩展接口板8GE电、8GE光、8GE电+2*10GE光、4GE电口Bypass卡硬盘单硬盘300G选配2*300G（RAID1）电源标配单电源（双电源选配，可热插拔）标配双电源最大功耗170W350W700WSVN5860/5880SVN5000硬件主机介绍非分销5800系列5目录SVN 系列硬件介绍SVN 系列软件介绍 12 附录 VPN基础知识介绍36Web代理文件共享端口转发网络扩展多媒体隧道云接入VPNDBRadiusSecurIDLDAPAD内置CA外置CA短信认证图形码终端标识码

5、本地用户本地组外部组主机检查缓存清理转发策略黑白名单NAT攻击防范虚拟防火墙虚拟网关内网隔离系统页面定制时间计划用户锁定管理员分级管理密码策略虚拟网关策略用户、组策略单点登录SVN功能框架7访问随心，卓越的接入能力：融合6种VPN技术，兼容7种主流操作系统业务随行，敏捷的访问体验：链路动态优选，流量带宽管理，VIP用户优先上线SVN：定义安全高效的远程接入方式安全随身，立体的防护管控：10种身份认证方式，6000+应用识别管控8访问随心，卓越的接入能力15种VPN技术7种终端类型4种访问功能9SSL VPNIPSec VPN强大VPN功能终端到网络场景nweb浏览器接入；n客户端软件接入；n用

6、户认证，角色管理，终端安全检查；网络到网络场景n网关与网关建隧道；n两端网络直接连通；L2TP over IPSec终端到网络场景n客户端软件接入；n用户认证；GRE over IPSecn与IPSec结合，保护路由协议、语音、视频等组播报文；MPLS VPNn在骨干网上转发VPN报文；10接入方式基于SSL VPN协议：web浏览器、SSL客户端软件；基于IPSec VPN协议：标准 IPSec客户端软件；接入方式基于SSL VPN协议：web浏览器；基于IPSec VPN协议：终端操作系统自带的IPSec客户端软件；泛终端接入7种主流OS11Web代理对内网Web资源的无客户端访问n无客户

7、端的SSL VPN访问，只通过标准浏览器，无需安装任何客户端软件或网页插件；nSVN网关充当客户端和服务器之间的代理；nURL改写并隐藏，使内网服务器地址对公网用户不可见；nURL级访问控制，可控制用户对某一张具体页面的访问权限。web server代理+页面URL改写web serverweb serverSVN网关Internet内网web网页地址http:/7.1.1.233:8080/news/b/hello.htm改写后用户看到的网页地址https:/webproxy/12/333333/http/1KVKVKWDXL2A2A/news/b/hello.htm,portal=112W

8、eb代理URL改写举例nSVN公网访问地址：nhttps:/218.10.1.16n管理员在SVN上配置的内网WEB网页资源A：nhttp:/7.1.1.233/newsn资源A的链接推送到客户端后的地址：nhttps:/218.10.1.16/webproxy/7.10.10.1/newsn用户访问web资源A是，目的地址转变为SVN，所有访问报文都通过SVN中转。在用户终端无需安装任何客户端程序；内网web网页A地址http:/7.1.1.233/newsSVN公网访问地址：https:/218.10.1.16在SVN上配置的web网页地址：http:/7.1.1.233/news用户发起

9、访问的实际地址：https:/218.10.1.16/webproxy/7.1.1.233/newsProxy13网络扩展实现对内网所有复杂应用的全网访问通过建立安全SSL隧道，实现对基于IP的内网业务的全面访问实现方式 1）ActiveX控件；2）专用客户端软件：一次安装，零配置；访问方式（由管理员根据不同应用场景进行配置）1）全通道（Full Tunnel）只允许访问企业内网；2）分离通道（Split Tunnel）可同时访问企业内网和本地子网；3）手动（Manual Tunnel）可访问内网特定网段的资源，同时对其他正常操作不作影响，可以访问Internet和本地子网；14网络扩展实现过

10、程1、在客户端下载控件，安装虚拟网卡，虚拟网卡获得一个可被内网识别的IP地址；2、客户端发起基于IP的内网应用，虚拟网关截获报文进行封装加密，发往SVN；3、SVN对报文解密后发往内网服务器；4、内网服务器的响应报文发到SVN，由SVN进行封装加密，发往客户端。SERVER10.1.1.10虚拟网卡10.1.1.20CLIENT202.1.1.20202.1.1.3010.1.1.3010.1.1.2010.1.1.1010.1.1.2010.1.1.10202.1.1.30202.1.1.20源 IP目的 IP源 IP目的 IP原始报文客户端封装后SVN网关解封装后10.1.1.2010.1

11、.1.10源 IP目的 IP15网络扩展访问模式Internet本地局域网VPN内网Internet本地局域网VPN内网Internet本地局域网VPN内网网段1网段2网段3全通道模式-Full Tunneln客户端所有流量都流向VPN网关；n用户在访问VPN的同时不允许访问其他网络；分离通道模式-Split Tunneln用户除了可以访问内网，还能访问客户端所在的本地子网；自定义模式-Manual Tunneln用户能够访问内网特定网段的资源，同时，客户端访问本地子网和Internet的操作不受影响；16端口转发提供丰富的内网TCP应用服务l广泛支持静态端口的TCP应用单端口单服务器（如：T

12、elnet，SSH，MS RDP，VNC等）单端口多服务器（如：Lotus Notes）多端口多服务器（如：Outlook）l支持动态端口的TCP应用动态端口（如：FTP被动模式，Oracle）l提供端口级的访问控制17端口转发实现原理l用户点击客户端页面“启动端口转发功能”按钮，自动安装运行一个Windows ActiveX控件，获取到管理端配置的端口转发资源列表（目的服务器IP、端口）；l控件将客户端发起的TCP报文与资源列表进行比对，当发现报文的目的IP/Port 与资源列表中的表项匹配，则截获报文，开启侦听端口（目的端口经过特定算法得出）。将目的地址改写为回环地址，转发到侦听端口。l对

13、该报文加密封装，添加私有报文头，将目的地址设为SVN的IP地址，经由侦听端口发往SVN。lSVN收到报文进行解密，发往真实的目的服务器端口。lSVN收到服务器的响应后，再加密封装回传给用户终端的侦听端口。18端口转发实现原理SVNTCP 110TCP 25TCP 21TCP 23应用请求应用代理CLIENTSERVERSSLInternet提供对内网TCP应用的安全接入！Port 44319提供对内网文件系统的安全访问 采用协议转换技术，无需安装专用客户端，直接通过通用浏览器安全接入内部文件系统；将客户发起的文件共享请求，转换成相应的协议格式，与服务器进行交互；支持：-SMB协议（Window

14、s）-NFS协议（LINUX）文件共享新 建文件夹浏览文件下载文件改 名文件(夹)删 除文件(夹)上传文件支持Windows(SMB)/UNIX(NFS)文件20文件共享实现过程以访问内网Windows文件服务器为例：1、客户端向内网文件服务器发起HTTPS格式的请求，发送到SVN；2、SVN将HTTPS格式的请求报文转换为SMB格式的报文；3、4、文件服务器接受请求报文，将请求结果发送给SVN，用的是SMB报文；5、SVN将SMB应答报文转换为HTTPS格式；6、将请求结果（HTTPS格式）发送到客户端；文件服务器客户端SMB/NFSHTTPSHTTPSSMB/NFSSVN21业务隔离虚拟网

15、关nSVN通过虚拟网关提供SSL VPN服务；n每个虚拟网关都是独立可管理的，可以配置各自的资源、用户、认证方式、访问控制规则以及管理员等；独立型n 每个虚拟网关对应一个独立的IP地址或者域名；共享型n 多个虚拟网关共享一个IP地址或者域名，通过子域名加以区分，例如：虚拟网关A、B，都为共享型，并且共享同一个域名，则通过子域名来区分两个虚拟网关，分别为 ADVPN网关本地数据库网关本地数据库账号、密码认证账号、密码认证CA认证系统认证系统证书认证证书认证or证书证书+账号密码认证账号密码认证密码密码+PIN码码+动态密码认证动态密码认证丰富的认证方式，支持多级认证、混合认证。丰富的认证方式，支

16、持多级认证、混合认证。One-time passwordUSB Key短信猫、短信平台短信猫、短信平台联动联动硬件硬件Key+CA数字数字证书，即插即用证书，即插即用24本地用户数据库认证1、用户访问SVN网关，提交用户名、密码信息到SVN；2、SVN在本地用户数据库中验证用户账号密码是否正确；3、匹配到本地数据库中的信息则认为用户合法，允许登录；否则不允许登录；在本地认证方式下，用户可修改密码，管理员对用户密码强度进行限制。Internet213用户SVN网关本地用户数据库场景：客户没有独立的AAA认证系统；优点：SVN提供本地数据库，网关本身即可对用户进行认证授权，无需另外采购认证系统，简

17、化部署和投入；本地数据库认证25第三方服务器认证 RADIUS/LDAP/AD第三方CA系统认证1、用户访问SVN，提交用户名、密码；2、SVN将用户认证信息转发给RADIUS/LDAP/AD认证服务器，由服务器进行验证；3、认证服务器将验证结果返回给SVN；4、SVN根据认证结果允许/禁止用户登录；场景：客户已有专门的AAA认证系统；优点：SVN能够与第三方标准系统联动使用，统一用户认证，简化管理；用户RADIUS/LDAP/AD认证服务器2134SVN网关26证书认证 之第三方CA系统联动第三方CA系统认证1、证书颁发第三方CA服务器生成CA证书（根证书），基于根证书生成用户证书，每个用户

18、一张；管理员将根证书导入SVN网关，将用户证书分发给用户；用户身份认证2、用户登录，提交用户名（可选）、密码（可选），证书；3、SVN使用本地的CA根证书验证用户证书；4、如果证书有效则允许用户登录，否则禁止用户登录；场景：客户已有专门的CA证书认证系统；优点：SVN能够与第三方标准系统联动使用，统一用户认证，简化管理；用户第三方CA系统1124SVN网关用户证书CA根证书327证书认证 之网关内置CA内置CA系统认证1、证书颁发内置CA软件生成CA证书（根证书），基于根证书生成用户证书，每个用户一张；管理员将根证书激活，将用户证书分发给用户；用户身份认证2、用户登录，提交用户名（可选）、密码

19、（可选），证书；3、VPN网关用设备内的CA根证书验证用户提交的用户证书；4、合法用户允许登录，其他用户禁止登录；用户SVN网关24113内置CA系统场景：客户没有专门的CA证书认证系统；优点：SVN提供内置CA软件，无需另外采购，简化部署和投入；用户证书CA根证书28USB Key认证USB Key认证1、管理员将第三方CA系统或者SVN内置CA生成的CA根证书导入到SVN网关，将CA根证书生成的用户证书导入到USB Key中，分发给用户；2、用户要登录SVN前，将USB Key插到电脑的USB接口中，系统会自动调用USB Key中的用户证书；3、用户访问SVN，输入用户密码（可选），提交证

20、书；4、SVN使用本地CA根证书验证用户证书；5、证书有效则允许用户登录，否则拒绝登录；场景：客户希望用USB Key来增加认证强度；优点：CA证书+硬件USB Key，客户对安全感知度更高；注：USB Key需要外购用户SVN网关3124第三方CA系统or内置CACA根证书USB Key+用户证书5129动态密码SecurID认证SecurID认证1、用户访问SVN，提交用户名、动态密码、PIN码；2、SVN将用户提交的信息到后台服务器上去比对；3、服务器告知SVN验证结果；4、如果当前动态密码正确，则允许用户登录，否则拒绝登录；场景：客户希望通过动态密码、令牌增加认证强度；优点：动态密码一

21、分钟一变，安全性高；缺点：购买RSA服务器价格高，每年要交年费。用户SVN网关123后台RSA服务器4Token晶振同步30短信认证短信认证1、用户完成账号密码认证，认证方式可以是本地数据库、RADIUS、LDAP、AD、CA认证，认证服务器识别出该用户绑定的手机号码；2、SVN通知运营商短信网关or本地短信猫，给指定的手机发送短信验证码；3、用户提交短信验证码给SVN；4、SVN将验证码提交到短信网关或短信猫进行验证；5、匹配则SVN允许用户登录，否则拒绝登录；短信网关：运营商的短信平台，SVN支持移动/联通/电信的短信网关，需要客户租用运营商的短信服务。SVN和短信网关通过网络连接。短信猫

22、：和SVN直接相连的小盒子，可发送短信。需要客户单独购买，与短信网关相比，发送速率较低。122345SVN网关用户LocalDB/RADIUS/LADP/AD/CA认证服务器短信网关or短信猫手机31终端安全检查SVN网关用户终端用户终端终端检查项由SVN推送到终端上的控件自动提取相关信息n防火墙安装及运行状态；n杀毒软件安装及运行状态；n操作系统版本以及补丁版本；n注册表项；n特定进程；n特定文件；n特定端口；终端安全性检查在用户认证之前进行，终端安全检查不通过，则不允许使用该终端登录VPN。32终端硬件绑定内置CA系统认证用户首次访问SVN1、用户提交终端标识码，由客户端进程自动提取终端的

23、硬件信息生成标识码，发送给SVN；2、管理员对硬件标识码和用户账号的绑定关系进行审批，审批通过，则该用户后续只能使用绑定过的终端进行登录；用户后续登录SVN3、客户端进程自动提炼终端的硬件标识码，提交给SVN；4、SVN将本次提交的终端标识码与该用户对应的终端信息进行比对；5、如两者相同，则允许用户只用当前终端登录，否则拒绝。SVN网关用户终端管理员12345终端标识码结合了MAC地址和其他硬件信息HASH而成；每个用户最多可绑定5台终端；33“应用”感知：业务更清晰，控制更精细类别和子类（5大类，33子类）:Database：数据库，例如：Mysql Game：游戏，例如：WarcraftS

24、ocial_Networking：如：facebook P2P：迅雷、电驴、BTWeb_Browsing：网页浏览File_Sharing：文件共享软件Encrypted_Tunnel：如：IPSecGeneral_TCP：未分类的TCP应用数据传输方式：如客户端游戏：如网页版游戏：通用网络类，如HTTP：如Thunder、BT 风险分类&级别:应用具有已知的漏洞:期望穿过防火墙，如代理、翻墙类:具有文件传输、上传文字等功能:被已知恶意软件利用:能够在其协议内传输其他应用涉及的风险类型 风险级别 识别6000+网络应用 主流应用协议全覆盖 支持热门加密P2P协议、Web2.0应用、移动应用、微

25、应用 快速响应定制化需求34Anti-DDOS流量自学习35业务随行，敏捷的访问体验3智能多出口选路多网关自动优选带宽管理36智能的多出口选路37多网关动态优选SVN北京SVN上海SVN深圳出差用户场景n同一个公司在多处部署了SVN网关，需要优选链路情况最佳的设备就近接入，提升访问质量；过程n移动办公用户的SVN客户端软件上导入分布部署的SVN网关信息，客户端软件会持续探测所有网关的访问质量，优先选择访问速度最快的SVN网关接入。38多层次的流控功能39SVN主要应用场景R&D企业内网分支机构互联网边界/DMZ区远程接入精细化访问控制终端安全检查智能选路远程维护接入身份认证精细化访问控制全业务

26、代理企业分支互联VPN传输安全SSL与IPSec无缝连接链路高可靠性40目录目录 附录 VPN基础知识介绍SVN 系列硬件介绍SVN 系列软件介绍 1 12 23 341VPN简介VPN虚拟专用网指的是依靠ISP（Internet Service Provider因特网服务提供商）和其它NSP（Network Service Provider网络服务提供商），在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的固定物理链路，而是利用某种公众网的物理链路资源动态组成的。它不是真的专用网络，但却能够实现专用网络的功能。以OSI 模型参照标准，

27、不同的VPN 技术可以在不同的OSI 协议层实现 数据链路层 PPTP，L2TP 网络层 IPSEC 应用层 SSL 按照VPN的网络连接类型主要分为Site-to-Site 和 End-to-Site两种类型。Site-to-Site主要指的是网络和网络之间的VPN连接。而 End-to-Site指的是移动终端到企业私有网络之间的VPN连接，SSL VPN 就是 End-to-Site类型的VPN。多种VPN各有特色，互相补充。满足不同的需求，适用于不同的场景。42IPSec简介意义lIPSec（IP Security）能在不安全的网络环境（如Internet）中为敏感数据的传输提供安全保护

28、。IPSec互联方式：p网关与网关之间；p主机与网关之间；IPSec在协议栈中的位置：网络层l对所有基于IP的应用程序提供透明的安全服务，无需对各个应用程序进行修改。IPSec提供的服务：安全服务p保密性：对数据进行加密，以密文形式对数据进行传输；p完整性：保证数据在传输过程中不被篡改；p真实性：验证数据源，以保证数据来自真实的发送者；p抗重放攻击：防止恶意用户通过重复发送捕获到的数据包所进行的攻击，即接收方会拒绝旧的或重复的数据包。43l用于提供安全服务lAH（Authentication Header）n两种验证算法：MD5、SHA-1；lESP（Encapsulating Securit

29、y Payload）n加密算法：DES、3DES、AES；lAH和ESP协议是在IP协议的基础上，通过引入新的字段（AH头、ESP头、ESP尾、ESP认证数据）来提供安全保护。IPSec基本概念安全协议组件 IP数据IP头AH头认证数据AH协议v 身份认证v 数据完整性校验v 抗重放攻击ESP认证ESP尾IP数据ESP头IP头认证数据ESP协议v 身份认证v 数据加密v 数据完整性校验v 抗重放攻击数据加密44IPSec基本概念操作模式 IPSec有两种操作模式（IP报文的封装模式）1.传输模式（Transport Mode）应用场景：主机与网络安全网关之间的通信 对IP数据段进行了保护，比如

30、TCP、UDP、ICMP等报文。IP头IP数据原始报文原IP头IPSec头IP数据IPSec封装后新的IP数据段45IPSec基本概念操作模式2.隧道模式（Tunnel Mode）应用场景：网关与网关之间的通信IP头IP数据原始报文原IP头IPSec头IP数据IPSec封装后新的IP数据段新IP头保护整个原始IP报文，包括IP头和 IP数据；隐藏了内部IP地址、协议类型和端口号。46模式协议transporttunnelAHESPAH-ESPESPdataESPTailIPHeaderESPAuth dataTCPHeaderIPHeaderAHdataTCPHeaderESPdataESPT

31、ailIPHeaderESPAuth dataTCPHeaderAHAHdatanew IPHe aderraw I PHead erTCPHeaderESPdataESPTailnew IPHe aderESPAuth dataTCPHeaderraw I PHead erESPdataESPTailnew IPHe aderESPAuth dataTCPHeaderraw I PHead erAHIPSec基本概念操作模式 对于AH和ESP，都有两种操作模式：传输模式和隧道模式，其报文的封装格式分别如下所示：47SSL简介1994年Netscape开发了SSL(Secure Socket

32、Layer)安全套阶层协议，专门用于保护Web通讯；到目前为止，SSL协议有三个版本，其中SSL2.0和SSL3.0得到广泛的应用，IETF基于SSL3.0推出了TLS1.0协议(也被成为SSL3.1)；大部分web浏览器都默认支持SSL协议，通过标准的浏览器，就可以访问企业的内部应用；只要有一台电脑终端，能够上网，就能够实现随时随地安全可控的远程访问；SSL协议发展到现在，已经不再单纯局限于B/S类的Web应用，同样能很好地支持C/S应用，针对基于的IP的应用，如：VOIP电话、音频、视频等，也提供了类似于三层VPN的安全隧道，实现对所有TCP、UDP应用的访问支持；48SSL协议与数据通信

33、SSL协议从以下方面确保了数据通信的安全：机密性 采用加密算法对需要传输的数据进行加密；完整性 采用数据鉴别算法，验证所接收的数据在传输过程中是否被修改；认 证 在建立SSL连接之前，客户端和服务器之间需要进行证，认证采用数字证书，可以是客户端对服务器的认证，也可以是双方进行双向认证；I PTCPHTTPNot SecureSecureI PTCPHTTPSSLSSL在TCP/IP协议栈中的位置49SSL报文封装lWeb、TCP业务访问报文封装：数据截获的原始报文 IP头+TCP头SSL私有头数据SSL封装后新的IP数据段每个厂商定义的SSL私有头不同，因此不同厂商的SSL客户端和网关之间不可

34、访问；全网IP业务访问报文封装：数据原始报文原IP头+TCP/UDP头SSL私有头数据SSL封装后新的IP数据段新IP头+TCP头 IP头+TCP/UDP头50IPSec VPN网关到网关IPSec VPNClientSSL VPN场景场景固定的网络到网络终端到网络，客户端软件访问终端到网络，web浏览器或客户端软件访问可访问资源可访问资源所有基于IP的应用所有基于IP的应用所有基于IP的应用VPN协议协议IPSec1）L2TP；2)L2TP over IPSecSSL协议栈位置协议栈位置网络层网络层应用层身份认证身份认证不对用户认证，只在网关间做认证单用户认证单用户认证，认证方式更为丰富，包

35、括CA、USB Key、动态密码、短信认证等权限控制权限控制针对IP控制针对源IP、目的IP、端口控制细粒度控制，基于用户、用户组、角色，针对IP、端口、URL、文件控制用户配置用户配置根据网络地址变迁，在网关上配置隧道建立的策略用户要进行多项的配置。客户端侧配置必须与网管侧保持一致，若网关侧修改了配置参数，客户端侧必须手动修改对应配置，否则连接不上用户零配置。网关侧策略发生改变时，采用网关推送技术，将网关侧配置发送到客户端终端安全终端安全不关心具体客户端不对客户端安全性进行检查通过终端安全检查，访问痕迹清除，终端与用户绑定，虚拟桌面等安全功能，避免客户端安全风险对内部网络造成的威胁NAT穿越

36、穿越不涉及支持，有限制：启用NAT穿越后，IKE必须采用野蛮模式，IPSec必须采用ESP。“服务器位于NAT后”与“客户端位于NAT后”两种情况下配置不同支持，无限制。组网中是否存在NAT不影响配置扩容扩容以隧道数、VPN吞吐量为依据，通过Licence提高并发隧道数单机容量内通过License扩展并发用户数，不支持集群扩展，只可通过增加网关单独工作单机通过License扩展并发用户数，可集群扩展，多台设备对外只发布一个访问IP地址SSL VPN与IPSec VPN对比Copyright2012 Huawei Technologies Co.,Ltd.All Rights Reserved.

37、The information in this document may contain predictive statements including,without limitation,statements regarding the future financial and operating results,future product portfolio,new technology,etc.There are a number of factors that could cause actual results and developments to differ materia

38、lly from those expressed or implied in the predictive statements.Therefore,such information is provided for reference purpose only and constitutes neither an offer nor an acceptance.Huawei may change the information at any time without notice.HUAWEI ENTERPRISE ICT SOLUTIONS HUAWEI ENTERPRISE ICT SOLUTIONS A BETTER WAYA BETTER WAY