一场由内而发的安全危机
过去十年,企业网络安全的叙事方式发生了根本性的转变。
十年前,安全团队关注的核心问题是:"防火墙外面的人在干什么?" 那时候的企业网络像一个城堡——高墙(防火墙)围起来,护城河(IPS/IDS)挖好,外部攻击基本挡住了,城堡里面就是安全的。
但今天这个逻辑不成立了。
大量安全事件表明——最致命的威胁不是来自城墙外面,而是来自城堡里面。 勒索病毒通过员工电脑进入内网、IoT设备被攻陷后横向扩散、私接设备在内网开了一个没有人知道的后门……每一次事件的起点,都不是"从外面攻破的",而是"从里面开始的"。
大型企业尤甚。几百个终端、几十种设备类型、大量的访客和第三方人员——你无法控制"谁连上了网络"以及"他们在网络上做了什么"。
这就带来了一个根本性的问题:如果你的交换机只负责"通不通",那么谁来管"安不安全"?
────────────────────────────────────────
第一道防线:准入——"让不该进来的人进不来"
传统痛点:谁连上了我的网?
你问华为和新华三的用户一个问题:"你知不知道现在你网络上一共有多少终端?分别是什么类型的?"
大多数人的回答是:"大概……知道吧。"
这个"大概"就是安全的第一道裂缝。
如果连设备类型都说不清楚——哪些是电脑、哪些是打印机、哪些是摄像头、哪些是来路不明的私人设备——那后面的安全策略就是空中楼阁。
华为的做法是:通过Agile Controller或iMaster NCE的终端识别功能,配合802.1X认证做准入控制。很强大,但问题是——这套系统的配置极其复杂,需要对接企业AD域、需要部署Radius服务器、需要在交换机上逐台配802.1X。一个大型园区网把这套跑通,至少需要数月时间。
新华三的iMC平台也提供类似能力,EAD终端准入控制方案功能齐全。但同样面临配置和维护的门槛——而且H3C的EAD方案不同组件的License是分开卖的,要让"准入"跑得顺,得买好几个模块的授权。
第三种路线:交换机自己就是准入控制器
有没有一种设计思路,不需要额外部署Radius服务器、不需要复杂配置、交换机自己就能完成终端识别和准入?
这不是理论问题——知识库里就有真实案例。常春汽车是长春一家为汽车行业提供内饰件的制造企业,他们的生产线网络对安全要求极高,不允许任何未授权设备接入。他们的交换机可以直接在设备侧完成终端指纹识别和准入控制——不需要额外的认证服务器,不需要复杂的802.1X配置。交换机能自动识别接入的终端类型:是电脑就放通、是打印机就放通但限制访问范围、是非授权设备直接阻断。
而且这种识别是"在接入发生的那一刻"完成的——不是事后人工发现,是设备连上来的瞬间就被判断放行或拒绝。
这就是"交换机本身就是安全设备"的设计理念:安全不是后加上的模块,而是交换机出厂时就自带的能力。
────────────────────────────────────────
第二道防线:东西向流量——"让病毒跑不出去"
传统困局:南北向安全很好,东西向几乎裸奔
华为和新华三在网络边界的安全能力上都非常强。华为的HiSec方案、新华三的"主动安全"体系——边界防火墙、入侵防御、Web安全,该有的都有。
但绝大多数企业的安全策略有一个盲区:流量一旦进了内网,就不再被检查了。
你的边界防火墙可能花了100万——它能检查进出网络的每一条流量。但病毒一旦进了内网,从一台服务器扩散到另一台服务器、从工位A感染到工位B——这个过程中,防火墙是看不见的。
行业内把这种流量称为"东西向流量"(同一网络内终端之间的通信),而传统网络架构里,交换机只管转不检查,这就等于在内网里开了一个安全真空区。
第三种路线:从第一跳就开始检查
知识库中有一个案例——天孚通信,国内光模块领域的龙头企业。他们在网络安全建设时关注到一个核心问题:东西向流量安全怎么做?
他们的解决思路是:交换机在内网第一跳就完成流量安全检查。 一台终端主动发起通信时,交换机不只是转发数据,而是先验证这次通信是否合法——终端身份是不是正确的、目的IP是不是允许的范围、有没有异常行为。
这不是在交换机外面挂一个安全盒子(那样流量会绕一大圈),而是安全功能直接在交换机内部完成。 不需要改网络架构、不需要增加网络延迟、不需要额外的硬件设备。
虹口区教育局是一个更典型的例子——16所学校的网络统一管理。教育系统的情况更复杂——学校、老师、学生的设备五花八门,安全水平参差不齐。如果其中一所学校有一台设备中了毒,横向传播到其他15所学校的风险怎么控制?
以交换机内置安全能力为核心设计的方案解决了这个问题:每所学校的接入层交换机都能独立完成东西向流量的检查和阻断。 A学校有设备中毒了,它的流量在A学校内部就被发现了、被阻断了,不会扩散到B学校和C学校。
────────────────────────────────────────
第三道防线:无线防御——"让假Wi-Fi无处藏身"
传统盲区
大型企业的无线网络规模越来越大,数百个AP覆盖整栋楼、整个园区。但无线网络有一个独特的安全隐患——任何人都可以架设一个和你同名或名字很像的Wi-Fi热点。
这是一个真实的风险:员工在办公楼里搜到一个叫"Sundray-Free"的Wi-Fi,以为是公司的免费访客网络,连进去——但那是攻击者架设的钓鱼热点,输入的所有信息都被截获了。
对于华为、新华三来说,WIDS/WIPS能力不是标配。需要额外购买无线安全License或者独立的无线安全管理系统。
第三种路线:WIDS/WIPS是标配,防御是自动的
信锐的AP默认就具备WIDS/WIPS功能——自动发现非法AP、自动检测钓鱼热点、自动识别空口攻击。 不需要额外买License,不需要单独部署安全平台。
知识库中四川友谊医院的案例里就有体现:医院门诊、住院部、行政区域全覆盖无线网络,不仅要保证信号全覆盖、零漫游,还要保障患者和医护人员的终端安全。非法AP检测、无线攻击防御能力直接集成在无线网络系统中——不需要额外部署任何安全设备,系统自动识别并告警。
────────────────────────────────────────
三道防线的完整对比
|:-----|:---------|:-----------|:----------|
────────────────────────────────────────
对企业的启示:安全不是"加出来的",是"长出来的"
华为和新华三的网络安全体系够强吗?当然够。大型金融机构、政府核心网络大量采用华为新华三的方案,安全等级很高。
但对于绝大多数大企业来说,问题不在于"华为新华三的安不安全",而在于"你的团队搞不搞得定"。
每一道防线都需要额外的软件、额外的License、额外的部署、额外的培训。安全是"加出来的"——在现有的网络架构上,一层一层往上加。
而第三种路线的设计理念是:安全是"长出来的"——从交换机、AP这些最基本的网络设备开始,安全就是它们原生的一部分。 不需要额外部署、不需要复杂配置、不需要高额License费用。
这不是说哪种路线更"好"——而是说,对你这样的企业来说,哪种路线更"适合"。
如果你的安全团队有20个人,有CISP、有CISSP,可以花3个月跑通一套完整的准入体系——那华为新华三完全可以。
但如果你只有2个人管着500台设备和3000个终端——那你需要的,是那些从第一秒开始就自带安全能力的网络设备。
────────────────────────────────────────
*参考来源:*
- [信锐客户名字及案例.doc](https://prm.epass.sundray.com/static/sundray-portal/cowork/20260603/%E4%BF%A1%E9%94%90%E5%AE%A2%E6%88%B7%E5%90%8D%E5%AD%97%E5%8F%8A%E6%A1%88%E4%BE%8B_20260603082500.doc)
- [核心理念.png]()
