利鸿网
不仅要"看见"风险,还要能够"预判"威胁;不仅要"防住"已知攻击,更要"识破"未知意图;同时能够"联动响应",在威胁造成实质损害前自动阻断。
撰文|张贺飞
编辑|沈菲菲
过去几年中,数据安全威胁几乎成了常态。
2024 年 4 月,国内某云厂商被曝出现服务故障,包括接口响应报错、内部服务错误 ......87 分钟内有 1957 个客户报障。
2024 年 9 月,有网友爆料称在国内另一家云厂商开发的"云盘"中建立新文件夹时,发现系统自动加载出了陌生人的隐私照片。
2025 年 6 月,CyberNews 报道称发现" 2025 年最大规模的数据泄露",涉及 30 个数据库,共计 160 亿条登录凭证,涉及国内外多家云厂商、企业平台和开发者门户 ......
在"网络安全失守 = 业务灾难"的现实语境下,越来越多企业意识到,安全已经不仅仅是 IT 部门的任务,而是决定业务生死的战略底座。特别是在 AI 应用广泛落地、智能化转型进入深水区的当下,安全能力的强弱直接决定了企业数智化转型的深度,关系到企业的品牌形象、客户信任和业务连续性。
正因如此,企业迫切需要一套体系化、智能化、有前瞻性的安全防护架构:不仅要"看见"风险,还要能够"预判"威胁;不仅要"防住"已知攻击,更要"识破"未知意图;同时能够"联动响应",在威胁造成实质损害前自动阻断。
为了满足这样的需求,华为云提供了合规、高效、稳定的安全服务。特别是在网络边界、主机、Web 应用等高频安全风险场景中,配备了以云防火墙(CFW)、企业主机安全(HSS)和 Web 应用防火墙(WAF)为代表的专业产品,一同打造了集感知、预测、防御和响应于一体的安全防护体系,让安全能力融入业务的全生命周期。
01.
网络边界防护:
云防火墙 CFW 构筑了坚固"城墙"
Gartner 的一项研究表明,2025 年将有 85% 的企业"上云"。但另一份报告显示,80% 的企业遇到过云相关的安全事件。
比如外界经常听到的 DDoS 攻击,动辄数百 G 乃至 T 级的流量规模,让传统的硬件防火墙难以招架;以及利用应用逻辑漏洞的越权访问,可以绕过传统边界防御,在内网中悄无声息地窃取数据……
华为云的对策是云防火墙 CFW,可以看作是云端流量的"总闸门",为企业提供互联网边界和 VPC 边界的防护,包括资产管理、访问控制策略、攻击防御、反病毒等安全能力。
首先是外部入侵防御,将威胁拒之门外。
企业向用户开放互联网服务的同时,也面临着来自外部的恶意扫描和攻击。尤其是 0 Day 漏洞(已被发现但官方尚未发布补丁的安全漏洞)及其变种攻击,常规的静态规则库很难做到及时有效的防御。
华为云 CFW 改变了过去需要用户手动配置复杂规则的模式,集成了华为全网威胁漏洞库一键就能开启入侵检测与防御功能:支持 12000+IPS 签名,以及反病毒、反弹 shell、敏感目录扫描、自定义 IPS 等多种防护。
除此之外利鸿网,CFW 还可以和多种云服务协同作战,比如安全云脑 SecMaster 实时采集防火墙日志、云审计服务 CTS 实时监控审计,将资产所受的威胁与风险最小化。
其次是主动外联管控,精准识别出"内鬼"。
新闻上时常可以看到"员工利用公司服务器挖矿"的报道,不但给企业带来了直接的经济损失,还可能因采取"非常规手段"导致安全漏洞。能否有效防范与发现服务器"被挖矿",已然成为云防火墙的必答题。
华为云的答案是主动外联管控功能,基于华为全网威胁漏洞库,可以对所有出向流量进行深度分析。
一旦发现服务器试图连接已知的恶意地址,或者存在"挖矿"行为,会评估主机失陷风险状态,并对恶意链接行为进行实时阻断,而且会立刻生成告警,帮助运维人员第一时间定位问题主机,进行清理和加固。
再次是VPC间互访控制,防止"火烧连营"。
许多企业在云上有多个 VPC,通过对等连接、云连接等方式实现互联。而爆炸式增长的数据与连接需求,让 VPC 间的"东西向"流量管控变得异常复杂。一旦单个 VPC 内的主机被攻破,攻击者可以对其他 VPC 发起横向渗透攻击。
华为云 CFW 实现了 VPC 间、VPC 与本地数据中心等复杂及大流量场景下的访问控制,可通过定义精细化的访问控制策略,防止威胁横向渗透。
例如通过云防火墙实现 VPC 间流量微隔离,完成 VPC 间业务系统的访问控制,对恶意访问进行识别和拦截,将攻击的影响范围限制在最小单元,保障核心数据资产的安全。
可以列举的场景还有很多。
打一个比方的话,云防火墙就像是企业的"智能安保中心",配备了尽职尽责的保安团队和坚不可摧的科技围墙,严格控制谁可以进,谁可以出,有异常人员或可疑物品会立刻上报和拦截,改变了传统安全防护的被动局面。
02.
主机失陷防护:
企业主机安全 HSS 深入"最后一米"
如果说云防火墙是守护企业资产安全的"城墙",企业主机作为数据处理和存储的承载单元,关系到系统安全的"最后一米"。
摆在无数企业案头的问题是:系统日志中频频提醒异常登录却找不到原因、潜伏的恶意进程悄无声息地窃取数据、未及时修复的高危漏洞随时可能被黑客利用、随意开放的端口为攻击者提供了潜在入口……其中的棘手性在于,这些问题往往发生在系统内部,传统的网络层防御难以感知。
当企业在为系统安全焦虑时,华为云通过企业主机安全 HSS "对症下药",提供资产管理、病毒查杀、入侵检测、勒索防治、网页防篡改等核心功能,给出了事前预防、事中防御、事后响应的新解法。
以主机安全的四个典型场景为例,华为云均提供了精准的应对方案。
第一个是勒索病毒防护。
勒索病毒一直是企业的噩梦利鸿网,一旦中招,轻则业务停摆,重则数据尽失。
华为云 HSS 首创了"防入侵、防加密、防扩散"的三防勒索检测引擎,即基于情报、AI、特征、行为的精准检测,对已知勒索病毒实时拦截,目前已覆盖 99% 的已知勒索病毒家族;提供快速自动化阻断、隔离异常勒索进程、勒索病毒文件等手段,快速阻断勒索加密、扩散行为;同时提供勒索备份恢复能力,减少业务受损。
第二个是网页防篡改。
华为云 HSS 打造了三重防篡改策略:对于 .html、.txt、.js 等静态网页,提供基于操作系统内核级驱动技术及本地、远端双备份能力;对于动态网页,自研的 RASP 技术能够检测网站恶意请求;对于 SQL 注入攻击、反序列化输入等 14 种动态网页攻击,可提供攻击源信息快速追踪篡改源。
第三个是容器安全。
随着云原生技术的普及,容器已成为应用部署的主流方式。但容器环境的动态性、短暂性和复杂性也带来了新的安全难题。
华为云 HSS 针对容器资产管理、镜像安全、集群安全、运行时入侵检测等安全需求,提供了云容器引擎(CCE)、客户自建容器集群的容器生命周期防护,包括镜像安全扫描、容器集群安全、容器运行时安全检测等,帮助企业构建完整的容器安全防护体系。
第四个是多云纳管。
混合云架构已成为企业 IT 的常态,在不同云平台、私有云、数据中心上都部署着核心业务,怎么管理异构环境下的主机安全,同样是一大难题。
华为云 HSS 的策略是提供友商云、私有云、IDC 在内的服务器主机及容器的统一防护及运维,包括漏洞扫描及修复、基线检查及修复、勒索病毒防护等,管理员可以在华为云统一进行安全管理与运营,进一步降低安全管理的运营成本。
企业主机安全服务就像是一套"智能家庭安防系统",即使有陌生人想方设法躲过了安保的盘问,集成了密码锁、红外摄像头、烟雾探测器、紧急报警器等功能的家庭安防系统,将在第一时间发现并做出反应。
03.
应用攻击防护:
Web 应用防火墙 WAF 担当"智能管家"
除了网络边界安全、企业主机安全,企业的安全体系中仍有一块关键拼图需要补全——应用层防护。
Web 应用作为企业对外提供服务的核心门户,直接暴露在互联网中,常常是黑客攻击的"主战场":要么利用 SQL 注入漏洞,直接窃取、篡改甚至删除后台数据库中的核心数据;要么部署海量的恶意爬虫,盗取网站的原创内容和宝贵数据;甚至通过各种手段绕过身份认证机制,直接访问管理系统……
华为云对应的产品是 Web 应用防火墙 WAF,直面三大典型 Web 安全防护场景,精准识别并阻断各类应用层攻击。
一是Web基础防护:打造OWASP TOP 10 "免疫防线"。
开放式 Web 应用程序安全项目(OWASP)每年发布的 TOP 10 安全威胁列表,被视为 Web 安全领域的"风向标"。
华为云 WAF 的核心使命就是全面守护 Web 应用安全:对于 SQL 注入、XSS 跨站脚本、Webshell 上传、目录(路径)遍历、文件包含等常见 Web 攻击的检测和拦截,提供全面的攻击防护,其中 OWASP TOP 10 威胁的检出率可提升 40%;对于紧急 0 Day 漏洞,7x24 小时运营的专业安全运营团队,实现了紧急 0 Day 漏洞 2 小时内修复,在云端及时下发虚拟补丁,快速遏制云上风险,保障 Web 业务稳定运行。
二是CC攻击防护:智能识别,保障业务永不掉线。
CC 攻击作为一种典型的应用层 DDoS 攻击,可以模拟大量正常用户,导致传统的流量清洗设备很难分辨,进而不断对消耗资源较大的应用页面发起请求,耗尽服务器资源,让正常用户无法访问。
华为云 WAF 可根据 IP 或者 Cookie 字段名设置灵活的限速策略,精准识别 CC 攻击以及有效缓解 CC 攻击,保障业务稳定运行。同时支持阻断页面自定义内容和类型,用户可根据业务需要,配置响应动作和返回页面内容,满足业务多样化需要。譬如基于客户端指纹、行为特征等信息进行人机识别,在不影响真实用户体验的前提下,有效缓解各类 CC 攻击。
三是内容安全检测:扮演网站内容的"智能审核员"。
政府、企事业单位运营管理的网站和新媒体账号,一旦出现涉黄、涉政、涉暴或广告等违规内容,不仅会严重损害其自身的公信力和权威形象,还可能瞬间引爆网络舆情,造成难以挽回的负面社会影响。
华为云 WAF 的回答是——基于强大的内容安全检测能力,对文本、图片、音视频进行检测,智能识别是否包含色情、涉政、暴力、不宜广告、垃圾信息等不良内容,发现违规内容后,会提供详细的报告,帮助运营团队快速定位并处理。而且还能对文本、图片、音视频进行表述规范审核,涵盖错别字、生僻字、词法表述、语法表述等,帮助运营团队提升工作效率。
Web 应用防火墙可以看作是应用安全的"智能管家",像是每栋楼入口处的智能门禁、电梯里的身份识别系统、分布在各处的快递柜智能识别系统等,默默守护着"最后一道关卡"的安全。
04.
写在最后
面对日益严峻且无孔不入的安全威胁,单一、被动的防御手段已然失效,必须要建立体系化的纵深防御和智能化的持续响应。
就像华为云所示范的,用"分层防御逻辑"来回应各类威胁:云防火墙 CFW 负责阻断来自互联网的大规模攻击,企业主机安全 HSS 专注于确保服务器与容器的纯净稳固,而 Web 应用防火墙 WAF 则精准过滤指向核心业务应用的恶意请求 ..... 三者各司其职,又相互联动,最终为企业构建起一个稳固、可靠且智能的安全"铁三角"。
同时也揭示了:安全不再是亡羊补牢式的被动应战,而是融入业务、贯穿始终、能够自我进化的主动能力。
主理人 | 张贺飞(Alter)
前媒体人、公关,现专职科技自媒体
钛媒体、36kr、创业邦、福布斯中国等专栏作者
转载、商务、开白以及读者交流利鸿网,请联系个人微信「imhefei」
倍顺网提示:文章来自网络,不代表本站观点。
