文 | 華為技術(shù)有限公司 李加贊 廖勇 趙永安 王峰

網(wǎng)絡(luò)邊緣設(shè)備（以下簡(jiǎn)稱“邊緣設(shè)備”）作為企業(yè)內(nèi)部網(wǎng)絡(luò)與外部世界（如互聯(lián)網(wǎng)、分支機(jī)構(gòu)、遠(yuǎn)程用戶）的交匯點(diǎn)，是現(xiàn)代信息技術(shù)架構(gòu)中至關(guān)重要的組成部分。部署于此的邊緣設(shè)備主要包括虛擬專用網(wǎng)絡(luò)（VPN）服務(wù)器、防火墻和路由器等，它們共同構(gòu)成了企業(yè)網(wǎng)絡(luò)安全的第一道防線，承擔(dān)著訪問(wèn)控制、流量過(guò)濾、數(shù)據(jù)加密和網(wǎng)絡(luò)連接的核心職能。

隨著數(shù)字化轉(zhuǎn)型的深入，企業(yè)信息技術(shù)環(huán)境正經(jīng)歷著深刻的變革?；旌显萍軜?gòu)的普及、遠(yuǎn)程辦公模式的常態(tài)化、物聯(lián)網(wǎng)（IoT）設(shè)備的爆炸式增長(zhǎng)以及5G技術(shù)的商用落地，極大地?cái)U(kuò)展了傳統(tǒng)網(wǎng)絡(luò)邊界的定義。以往清晰的“內(nèi)外網(wǎng)”概念變得模糊，攻擊面以前所未有的速度擴(kuò)大。數(shù)據(jù)顯示，近年來(lái)，針對(duì)邊緣設(shè)備的攻擊已不再是零星個(gè)案，而是演變?yōu)橐环N大規(guī)模、高強(qiáng)度、體系化的攻擊趨勢(shì)，對(duì)國(guó)家關(guān)鍵基礎(chǔ)設(shè)施、企業(yè)核心數(shù)據(jù)乃至個(gè)人隱私構(gòu)成了前所未有的威脅。因此，對(duì)邊緣設(shè)備的安全問(wèn)題進(jìn)行系統(tǒng)性研究，已成為保障國(guó)家網(wǎng)絡(luò)空間安全的重要課題。本文將深入分析邊緣設(shè)備安全態(tài)勢(shì)，并提出相應(yīng)的對(duì)策建議。

一、網(wǎng)絡(luò)邊緣設(shè)備的安全風(fēng)險(xiǎn)現(xiàn)狀

當(dāng)前，邊緣設(shè)備已經(jīng)從單純的“守門員”角色，轉(zhuǎn)變?yōu)榫W(wǎng)絡(luò)攻防對(duì)抗的“主戰(zhàn)場(chǎng)”之一，全球范圍內(nèi)的網(wǎng)絡(luò)攻擊活動(dòng)越來(lái)越頻繁地將這些設(shè)備作為主要的突破口。

2023年，全球范圍內(nèi)針對(duì)邊緣設(shè)備的攻擊事件同比增長(zhǎng)了42%，其中針對(duì)路由器和防火墻的攻擊占比達(dá)到65%（數(shù)據(jù)來(lái)源：《2023年全球網(wǎng)絡(luò)安全報(bào)告》）。Crowdstrike發(fā)布的《2024年全球威脅報(bào)告》顯示，2023年非托管網(wǎng)絡(luò)設(shè)備（尤其是邊緣網(wǎng)關(guān)設(shè)備）被廣泛攻擊，這些設(shè)備通?；谶^(guò)時(shí)的架構(gòu)，導(dǎo)致Cisco（CVE-2023-20198）、Citrix（CVE-2023-3519、CVE-2023-4966）、F5（CVE-2023-46747）的防火墻和虛擬專用網(wǎng)絡(luò)（VPN）平臺(tái)中的漏洞被廣泛利用。2024年4月，Cisco披露了一項(xiàng)名為ArcaneDoor的長(zhǎng)達(dá)數(shù)月的活動(dòng)，在該活動(dòng)中，一個(gè)此前未知的國(guó)家贊助的攻擊者破壞了來(lái)自幾個(gè)不同制造商的一些邊緣設(shè)備。Verizon發(fā)布的《2025數(shù)據(jù)泄露調(diào)查報(bào)告》顯示，邊緣設(shè)備漏洞成攻擊跳板，在針對(duì)漏洞利用行動(dòng)中，邊緣設(shè)備尤其是VPN漏洞利用率幾乎增加了8倍。此外，只有54%的漏洞被完全修復(fù)，且修復(fù)完成中位數(shù)為32天。

以上數(shù)據(jù)說(shuō)明，邊緣設(shè)備正日益淪為有組織網(wǎng)絡(luò)威脅的主要獵物，其脆弱防線頻頻成為攻擊者襲擊的突破口。

二、網(wǎng)絡(luò)邊緣設(shè)備面臨的風(fēng)險(xiǎn)分析

邊緣設(shè)備跟IT系統(tǒng)相似，也存在一些常見的系統(tǒng)性風(fēng)險(xiǎn)，例如，配置錯(cuò)誤、軟件漏洞、協(xié)議缺陷、供應(yīng)鏈攻擊等。但由于邊緣設(shè)備部署位置處于關(guān)鍵節(jié)點(diǎn)，操作易導(dǎo)致業(yè)務(wù)受影響，此類系統(tǒng)性風(fēng)險(xiǎn)往往無(wú)法得到及時(shí)修復(fù)。同時(shí)，邊緣設(shè)備缺乏IT系統(tǒng)一些內(nèi)置的防護(hù)措施，例如，端點(diǎn)檢測(cè)與響應(yīng)（EDR）、運(yùn)行時(shí)應(yīng)用自我保護(hù)（RASP）等防護(hù)技術(shù)。此外，由于攻擊邊緣設(shè)備隱蔽性較強(qiáng)、攻擊對(duì)價(jià)高，這些設(shè)備往往成為有組織攻擊者首選的目標(biāo)。

（一）網(wǎng)絡(luò)邊緣設(shè)備存在暴露面大、管控難和“黑盒”屬性，容易被攻破

邊緣設(shè)備的物理位置和網(wǎng)絡(luò)角色，決定了其天然的脆弱性。

首先，“永遠(yuǎn)在線，永遠(yuǎn)暴露”的特性。作為網(wǎng)絡(luò)邊界的“哨兵”，它們需直接面向公共互聯(lián)網(wǎng)，持續(xù)抵御來(lái)自全球范圍的惡意掃描與攻擊嘗試。

其次，“難運(yùn)維”的管理困境。實(shí)踐表明，配置失誤是網(wǎng)絡(luò)安全領(lǐng)域諸多問(wèn)題的根源所在。例如，防火墻配置錯(cuò)誤是導(dǎo)致安全漏洞最常見、最主要的原因。企業(yè)防火墻的規(guī)則集可能多達(dá)數(shù)萬(wàn)條，復(fù)雜性極高。不必要的“any-any-allow”規(guī)則、過(guò)時(shí)的規(guī)則、規(guī)則順序錯(cuò)誤或過(guò)于嚴(yán)格的規(guī)則，都可能導(dǎo)致安全缺口或業(yè)務(wù)中斷。此外，鑒于邊緣設(shè)備部署位置的重要性，管理員擔(dān)心升級(jí)或修復(fù)漏洞會(huì)對(duì)業(yè)務(wù)產(chǎn)生影響，致使其固件與軟件中的漏洞長(zhǎng)期未能得到修復(fù)。

最后，邊緣設(shè)備普遍具有“黑盒”屬性。其操作系統(tǒng)和固件通常是專有的，用戶難以對(duì)其進(jìn)行深入的安全審計(jì)和行為分析，這為廠商預(yù)留后門或攻擊者植入持久性惡意軟件創(chuàng)造了條件。攻擊者在持續(xù)學(xué)習(xí)和了解用戶當(dāng)前的網(wǎng)絡(luò)防御手段后，發(fā)現(xiàn)傳統(tǒng)的網(wǎng)絡(luò)內(nèi)部防御措施已經(jīng)顯著增強(qiáng)了用戶網(wǎng)絡(luò)的可見性和安全性。而邊緣設(shè)備通常缺乏EDR傳感器或無(wú)法支持傳感器部署，導(dǎo)致防御者的可見性降低。因此，攻擊者改變了攻擊策略，將初始攻擊目標(biāo)從網(wǎng)絡(luò)內(nèi)部轉(zhuǎn)向外圍的非監(jiān)管網(wǎng)絡(luò)設(shè)備，從而更容易避開檢測(cè)并實(shí)施攻擊。

（二）攻擊者戰(zhàn)術(shù)向高價(jià)值、高隱蔽和體系化方向演進(jìn)，網(wǎng)絡(luò)邊緣設(shè)備成為重點(diǎn)攻擊目標(biāo)

攻擊者對(duì)邊緣設(shè)備的興趣激增，源于其攻擊戰(zhàn)術(shù)的精細(xì)化演進(jìn)。

首先，邊緣設(shè)備是“高價(jià)值”的攻擊入口。攻破一臺(tái)VPN網(wǎng)關(guān)或防火墻，往往意味著直接獲取了通往整個(gè)內(nèi)網(wǎng)的“鑰匙”，其戰(zhàn)略價(jià)值遠(yuǎn)高于攻陷單臺(tái)個(gè)人電腦。2023年5月，高級(jí)持續(xù)性威脅（APT）組織“伏特臺(tái)風(fēng)”（Volt Typhoon）被國(guó)外公開披露，攻擊者利用防火墻漏洞（CVE-2022-42475等）獲得對(duì)IT網(wǎng)絡(luò)的初始訪問(wèn)權(quán)限，進(jìn)而獲取存儲(chǔ)在設(shè)備上的管理員憑據(jù)。在成功控制邊界設(shè)備后以此為跳板，利用先前竊取的憑據(jù)或利用內(nèi)網(wǎng)服務(wù)的漏洞，向企業(yè)內(nèi)部IT網(wǎng)絡(luò)進(jìn)行滲透。

其次，攻擊者追求“高隱蔽”的長(zhǎng)期潛伏。通過(guò)篡改設(shè)備固件而非僅僅在內(nèi)存中運(yùn)行惡意代碼，攻擊者可以實(shí)現(xiàn)重啟后依然存在的深度持久化，極難被發(fā)現(xiàn)和清除。這種方式使其能夠長(zhǎng)期潛伏在目標(biāo)網(wǎng)絡(luò)中，持續(xù)竊取信息。例如，2024年針對(duì)Cisco ASA設(shè)備的零日漏洞攻擊活動(dòng)（CVE-2025-20362，CVE-2025-20333）。不同于傳統(tǒng)的內(nèi)存駐留惡意軟件，攻擊者展示了修改固件（Firmware/ROM）的能力，這意味著即使重啟或升級(jí)設(shè)備，后門依然存在。

最后，攻擊呈現(xiàn)“體系化”特征。攻擊者不再是單打獨(dú)斗，而是將攻陷的大量邊緣設(shè)備資源池化，構(gòu)建起一個(gè)全球分布、高彈性的匿名攻擊網(wǎng)絡(luò)。這個(gè)網(wǎng)絡(luò)既可以用來(lái)隱藏自身真實(shí)的攻擊來(lái)源，也可以作為發(fā)動(dòng)更大規(guī)模攻擊（如勒索軟件分發(fā)）的基礎(chǔ)設(shè)施，顯著提升了攻擊的成功率和破壞力。例如，2024年起Androxgh0st僵尸網(wǎng)絡(luò)利用邊緣設(shè)備（包括Cisco ASA和TP-Link路由器）、網(wǎng)絡(luò)服務(wù)器和物聯(lián)網(wǎng)設(shè)備的相關(guān)漏洞，通過(guò)暴力破解、憑證竊取等方式獲取系統(tǒng)管理訪問(wèn)權(quán)限并侵入關(guān)鍵基礎(chǔ)設(shè)施系統(tǒng)，進(jìn)而部署并執(zhí)行惡意代碼及文件、建立僵尸網(wǎng)絡(luò)以對(duì)被入侵系統(tǒng)進(jìn)行持續(xù)訪問(wèn)和控制。

（三）產(chǎn)業(yè)生態(tài)存在責(zé)任模糊、響應(yīng)遲滯及標(biāo)準(zhǔn)滯后等問(wèn)題，使網(wǎng)絡(luò)邊緣設(shè)備在現(xiàn)網(wǎng)中難以保持最佳狀態(tài)

除了邊緣設(shè)備和攻擊者的因素，產(chǎn)業(yè)生態(tài)也存在以下問(wèn)題。

首先，安全責(zé)任鏈條模糊。在邊緣設(shè)備制造商、系統(tǒng)集成商、網(wǎng)絡(luò)運(yùn)營(yíng)商和最終用戶之間，安全責(zé)任的劃分往往不清晰。邊緣設(shè)備安全更新的責(zé)任在用戶和制造商之間搖擺，特別是許多用戶缺乏及時(shí)更新設(shè)備的技術(shù)能力和安全意識(shí)時(shí)，這種責(zé)任需要事先在合同、服務(wù)水平協(xié)議等條款中進(jìn)行明確。

其次，漏洞響應(yīng)和補(bǔ)丁分發(fā)遲緩。從漏洞被發(fā)現(xiàn)、廠商確認(rèn)、開發(fā)補(bǔ)丁到最終用戶完成部署，整個(gè)鏈條過(guò)長(zhǎng)。尤其當(dāng)邊緣設(shè)備處于用戶網(wǎng)絡(luò)核心位置時(shí)，其更新影響業(yè)務(wù)的風(fēng)險(xiǎn)重大時(shí)，會(huì)導(dǎo)致最終用戶在進(jìn)行安全更新決策時(shí)出現(xiàn)遲疑。還有一種較為嚴(yán)重的情況，對(duì)于已經(jīng)停產(chǎn)但仍在大量使用的“遺產(chǎn)設(shè)備”，由于其過(guò)時(shí)的架構(gòu)和設(shè)計(jì)，在面對(duì)新型網(wǎng)絡(luò)攻擊時(shí)顯得尤為脆弱。這些邊緣設(shè)備通常存在大量未修補(bǔ)的漏洞，由于這些邊緣設(shè)備可能已經(jīng)停產(chǎn)或廠商已經(jīng)停止對(duì)其提供技術(shù)支持和服務(wù)，無(wú)法及時(shí)獲得安全更新和補(bǔ)丁，因此無(wú)法得到有效的修復(fù)。即使這些漏洞被強(qiáng)行修復(fù)，也可能因架構(gòu)陳舊導(dǎo)致難以抵御現(xiàn)代手段的攻擊。攻擊者正是利用這一點(diǎn)，積極開發(fā)針對(duì)這些過(guò)時(shí)產(chǎn)品的漏洞利用工具，以實(shí)現(xiàn)對(duì)目標(biāo)網(wǎng)絡(luò)的入侵。例如，攻擊者通過(guò)利用Cisco的CVE-2023-20198漏洞，成功入侵某大型企業(yè)的邊緣設(shè)備，并以此為跳板發(fā)起橫向移動(dòng)攻擊。因此，一些“遺產(chǎn)設(shè)備”成了永久性的安全風(fēng)險(xiǎn)點(diǎn)。

最后，安全標(biāo)準(zhǔn)和認(rèn)證體系滯后。長(zhǎng)期以來(lái)，市場(chǎng)對(duì)邊緣設(shè)備的選擇更側(cè)重于性能和成本，對(duì)于安全要求相對(duì)較低，市場(chǎng)上的標(biāo)準(zhǔn)缺乏針對(duì)不同安全場(chǎng)景的安全分級(jí)標(biāo)準(zhǔn)和認(rèn)證機(jī)制，導(dǎo)致高安全場(chǎng)景下設(shè)備的安全能力難以滿足高安全要求。而高安全場(chǎng)景中存在大量邊緣設(shè)備，形成了較為龐大的存量安全風(fēng)險(xiǎn)。

三、國(guó)外應(yīng)對(duì)網(wǎng)絡(luò)邊緣設(shè)備安全風(fēng)險(xiǎn)的策略

國(guó)外相關(guān)國(guó)家已經(jīng)注意到邊緣設(shè)備的安全問(wèn)題。2025年2月4日，英國(guó)、澳大利亞、加拿大、新西蘭和美國(guó)的網(wǎng)絡(luò)安全機(jī)構(gòu)聯(lián)合發(fā)布指導(dǎo)文件，包括《網(wǎng)絡(luò)設(shè)備和器具生產(chǎn)商的數(shù)字取證和保護(hù)監(jiān)測(cè)規(guī)范指南》《邊緣設(shè)備的安全注意事項(xiàng)（ITSM.80.101）》，呼吁邊緣設(shè)備制造商提高取證可視性，以幫助防御者檢測(cè)攻擊并調(diào)查違規(guī)行為。文件中提到，邊緣設(shè)備（如防火墻、路由器、VPN網(wǎng)關(guān)）因缺乏端點(diǎn)檢測(cè)與響應(yīng)（EDR）解決方案、定期固件更新及強(qiáng)身份驗(yàn)證，成為國(guó)家支持和經(jīng)濟(jì)動(dòng)機(jī)攻擊者的主要目標(biāo)。這些設(shè)備往往因?yàn)榕渲脝?wèn)題，日志記錄有限，使其容易被利用以訪問(wèn)內(nèi)部網(wǎng)絡(luò)。

為解決以上問(wèn)題，美國(guó)通過(guò)《關(guān)于改善國(guó)家網(wǎng)絡(luò)安全的行政命令》（Executive Order 14028）明確要求聯(lián)邦機(jī)構(gòu)使用的邊緣設(shè)備必須支持“零信任架構(gòu)”，并強(qiáng)制廠商提供軟件物料清單（SBOM），以增強(qiáng)供應(yīng)鏈透明度。同時(shí)，美國(guó)網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局（CISA）建立國(guó)家級(jí)漏洞披露平臺(tái)（如KEV目錄），要求廠商在發(fā)現(xiàn)高危漏洞后90天內(nèi)完成修復(fù)，否則禁止政府采購(gòu)相關(guān)產(chǎn)品。例如，2023年CISA將多款存在未修補(bǔ)漏洞的商用路由器和防火墻列入禁用清單，倒逼廠商提升固件安全性。

歐盟《網(wǎng)絡(luò)與信息系統(tǒng)安全指令（第二版）》（NIS2指令）將邊緣設(shè)備納入關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)范疇。NIS2指令明確要求能源、交通、醫(yī)療等關(guān)鍵行業(yè)必須對(duì)邊界設(shè)備實(shí)施“默認(rèn)安全配置”（Secure-by-Design）和“縱深防御”策略，并定期進(jìn)行滲透測(cè)試。例如，德國(guó)要求所有接入公共網(wǎng)絡(luò)的工業(yè)路由器必須啟用強(qiáng)加密、關(guān)閉遠(yuǎn)程管理端口，并通過(guò)德國(guó)萊茵技術(shù)監(jiān)護(hù)顧問(wèn)有限公司等第三方認(rèn)證。

四、加強(qiáng)網(wǎng)絡(luò)邊緣設(shè)備安全的對(duì)策建議

基于以上對(duì)邊緣設(shè)備的風(fēng)險(xiǎn)分析，借鑒國(guó)外在處理邊緣設(shè)備安全問(wèn)題中的具體做法，在提升邊緣設(shè)備的安全性時(shí)，應(yīng)考慮以下三個(gè)因素：一是該邊緣設(shè)備出廠時(shí)是否安全可靠，是否有內(nèi)生的安全保護(hù)機(jī)制；二是邊緣設(shè)備部署上線后配置是否合理，漏洞是否能夠及時(shí)修補(bǔ)，邊緣設(shè)備更新升級(jí)是否及時(shí)有效；三是能不能通過(guò)架構(gòu)升級(jí)降低邊緣設(shè)備被攻擊后帶來(lái)的系統(tǒng)性風(fēng)險(xiǎn)?；谶@些因素，提出以下建議。

（一）加強(qiáng)網(wǎng)絡(luò)邊緣設(shè)備的內(nèi)生安全能力

邊緣設(shè)備在出廠時(shí)應(yīng)確保具備安全性與有效性，這是生產(chǎn)制造商的職責(zé)。建議制造商在整個(gè)產(chǎn)品開發(fā)過(guò)程中要充分考慮產(chǎn)品自身的安全性，以“設(shè)計(jì)即安全”的理念，將安全因素納入整個(gè)產(chǎn)品設(shè)計(jì)和開發(fā)過(guò)程中，以降低邊緣設(shè)備漏洞出現(xiàn)的概率。例如，通過(guò)采用可信3.0的相關(guān)技術(shù)，構(gòu)建計(jì)算部件和安全部件分離的雙系統(tǒng)體系架構(gòu)，安全部件構(gòu)建完整的信任鏈條以保障自身可信，通過(guò)安全部件對(duì)計(jì)算部件實(shí)施主動(dòng)監(jiān)控，實(shí)現(xiàn)系統(tǒng)流程的可控性，通過(guò)主動(dòng)運(yùn)作的安全部件支撐系統(tǒng)安全管理。同時(shí)，加強(qiáng)邊緣設(shè)備的內(nèi)生安全監(jiān)測(cè)，在邊緣設(shè)備上部署輕量級(jí)的代理程序（Agent），實(shí)時(shí)監(jiān)測(cè)設(shè)備的運(yùn)行狀態(tài)和網(wǎng)絡(luò)流量，及時(shí)發(fā)現(xiàn)異常行為并進(jìn)行相應(yīng)的閉環(huán)處理。

借鑒美國(guó)SBOM和歐盟Secure-by-Design理念，相關(guān)部門可以出臺(tái)邊緣設(shè)備安全技術(shù)要求相關(guān)標(biāo)準(zhǔn)，明確默認(rèn)關(guān)閉高危服務(wù)、強(qiáng)制使用強(qiáng)密碼、固件簽名驗(yàn)證、安全啟動(dòng)、支持安全遠(yuǎn)程更新等基線要求，并將其納入入網(wǎng)許可和政府采購(gòu)準(zhǔn)入條件。

（二）強(qiáng)化網(wǎng)絡(luò)邊緣設(shè)備的運(yùn)營(yíng)維護(hù)

邊緣設(shè)備制造商有發(fā)布安全配置基線的義務(wù)，企業(yè)可以在廠商安全基線的基礎(chǔ)上結(jié)合自身業(yè)務(wù)特點(diǎn)，制定統(tǒng)一的安全配置標(biāo)準(zhǔn)。配置基線應(yīng)包括賬號(hào)、口令、授權(quán)、日志、通信協(xié)議、密碼算法等方面的配置。例如，設(shè)定登錄失敗一定次數(shù)后鎖定賬號(hào)，邊緣設(shè)備首次啟用時(shí)必須修改默認(rèn)密碼等。在具體落地時(shí)，建議通過(guò)構(gòu)建集中式安全管理平臺(tái)，執(zhí)行所有與安全和配置相關(guān)的任務(wù)，實(shí)現(xiàn)從一個(gè)控制點(diǎn)監(jiān)控和管理整個(gè)環(huán)境中的邊緣設(shè)備。這種方式還可以增強(qiáng)監(jiān)控潛在威脅的能力，并在系統(tǒng)受到攻擊時(shí)控制網(wǎng)絡(luò)事件的影響范圍。

企業(yè)要加強(qiáng)邊緣設(shè)備漏洞管理，建立完善的漏洞管理機(jī)制。例如，定期自動(dòng)化掃描漏洞、訂閱漏洞情報(bào)并獲取補(bǔ)丁、漏洞分級(jí)、必須修復(fù)的漏洞指定強(qiáng)制性的修復(fù)時(shí)間窗口等。另外，由相關(guān)部門牽頭建立“邊緣設(shè)備高危漏洞快速通報(bào)與處置平臺(tái)”，實(shí)現(xiàn)“漏洞發(fā)現(xiàn)—廠商響應(yīng)—用戶修復(fù)—監(jiān)管核查”的閉環(huán)管理，避免“漏洞長(zhǎng)期掛賬、風(fēng)險(xiǎn)持續(xù)暴露”。

企業(yè)應(yīng)維護(hù)邊緣設(shè)備的資產(chǎn)臺(tái)賬，管理這些資產(chǎn)的生命周期，定期審查哪些邊緣設(shè)備生命周期即將達(dá)到終止日期，并計(jì)劃在生命周期終止前更換這些設(shè)備。

（三）構(gòu)建新型安全范式：依托網(wǎng)絡(luò)邊緣設(shè)備建設(shè)零信任架構(gòu)

將零信任理念應(yīng)用于邊緣設(shè)備，意味著對(duì)其功能和配置方式進(jìn)行根本性的重塑。

身份成為新的邊界：在零信任模型中，身份（包括用戶身份和設(shè)備身份）取代了互聯(lián)網(wǎng)協(xié)議地址（IP地址），成為訪問(wèn)控制的核心依據(jù)。對(duì)于VPN產(chǎn)品意味著從傳統(tǒng)的基于網(wǎng)絡(luò)的遠(yuǎn)程訪問(wèn)VPN，轉(zhuǎn)向零信任網(wǎng)絡(luò)訪問(wèn)（ZTNA）。ZTNA不授予用戶對(duì)整個(gè)網(wǎng)絡(luò)的訪問(wèn)權(quán)限，而是基于用戶的身份和上下文（如設(shè)備健康狀況、地理位置、時(shí)間等），為每一次會(huì)話動(dòng)態(tài)地建立一個(gè)加密的、點(diǎn)對(duì)點(diǎn)的連接，僅授予其訪問(wèn)特定授權(quán)應(yīng)用的權(quán)限，這極大地縮小了潛在的攻擊面。對(duì)于防火墻產(chǎn)品，這意味著策略應(yīng)從基于IP的規(guī)則，轉(zhuǎn)向基于身份的策略。通過(guò)與身份和訪問(wèn)管理（IAM）系統(tǒng)深度集成，防火墻可以根據(jù)發(fā)出請(qǐng)求的用戶或設(shè)備身份來(lái)動(dòng)態(tài)執(zhí)行訪問(wèn)控制策略。

微分段（Micro-segmentation）：零信任強(qiáng)調(diào)通過(guò)精細(xì)化的網(wǎng)絡(luò)隔離來(lái)阻止威脅的橫向移動(dòng)。防火墻和路由器等設(shè)備是實(shí)現(xiàn)微分段的關(guān)鍵執(zhí)行點(diǎn)，它們可以將網(wǎng)絡(luò)劃分為許多微小的、獨(dú)立的“安全區(qū)”，甚至可以為單個(gè)工作負(fù)載或應(yīng)用創(chuàng)建一個(gè)專屬的網(wǎng)段。這些設(shè)備在不同網(wǎng)段之間強(qiáng)制執(zhí)行嚴(yán)格的訪問(wèn)控制策略，確保即使一個(gè)網(wǎng)段被攻破，威脅也無(wú)法輕易擴(kuò)散到其他區(qū)域。

（四）加強(qiáng)產(chǎn)業(yè)引導(dǎo)與行業(yè)合作

制定邊緣設(shè)備的安全分級(jí)標(biāo)準(zhǔn)。建議產(chǎn)業(yè)相關(guān)組織制定邊緣設(shè)備的安全分級(jí)標(biāo)準(zhǔn)并開展評(píng)測(cè)，推動(dòng)高安全場(chǎng)景采購(gòu)高安全級(jí)別產(chǎn)品。在金融、能源等行業(yè)試點(diǎn)“邊緣設(shè)備安全加固工程”，要求核心邊緣設(shè)備部署內(nèi)生安全、設(shè)備統(tǒng)一管理和零信任網(wǎng)關(guān)等功能，并納入監(jiān)管部門檢查重點(diǎn)項(xiàng)目，提升實(shí)戰(zhàn)防護(hù)水平。提升中小企業(yè)對(duì)于邊緣設(shè)備的安全運(yùn)維能力，由有關(guān)部門發(fā)布邊緣設(shè)備安全配置指導(dǎo)手冊(cè)，提供防火墻規(guī)則集、VPN部署模板、安全配置核查等免費(fèi)工具包，降低安全實(shí)踐門檻。

五、結(jié) 語(yǔ)

當(dāng)前，邊緣設(shè)備已成為網(wǎng)絡(luò)攻擊的主要目標(biāo)之一。為保障業(yè)務(wù)安全，必須對(duì)邊緣設(shè)備自身的安全性和安全防護(hù)予以充分重視和有效管理。本文系統(tǒng)地剖析了全球邊緣設(shè)備面臨的嚴(yán)峻安全態(tài)勢(shì)，分析了邊緣設(shè)備遭受攻擊的原因，并提出了相關(guān)建議。邊緣設(shè)備的安全保障不能僅靠技術(shù)堆砌，而需借助“標(biāo)準(zhǔn)、監(jiān)管、協(xié)同、賦能”四個(gè)維度協(xié)同推進(jìn)。我們應(yīng)在加強(qiáng)頂層設(shè)計(jì)的同時(shí)，注重實(shí)際落地支撐，推動(dòng)邊緣設(shè)備安全模式從“被動(dòng)修補(bǔ)”向“主動(dòng)免疫”轉(zhuǎn)變。

（本文刊登于《中國(guó)信息安全》雜志2026年第3期）