过去几年中,数据安全威胁几乎成了常态。
2024年4月,国内某云厂商被曝出现服务故障,包括接口响应报错、内部服务错误......87分钟内有1957个客户报障。
2024年9月,有网友爆料称在国内另一家云厂商开发的“云盘”中建立新文件夹时,发现系统自动加载出了陌生人的隐私照片。
2025年6月,CyberNews报道称发现“2025年最大规模的数据泄露”,涉及30个数据库,共计160亿条登录凭证,涉及国内外多家云厂商、企业平台和开发者门户......
在“网络安全失守=业务灾难”的现实语境下,越来越多企业意识到,安全已经不仅仅是IT部门的任务,而是决定业务生死的战略底座。特别是在AI应用广泛落地、智能化转型进入深水区的当下,安全能力的强弱直接决定了企业数智化转型的深度,关系到企业的品牌形象、客户信任和业务连续性。
正因如此,企业迫切需要一套体系化、智能化、有前瞻性的安全防护架构:不仅要“看见”风险,还要能够“预判”威胁;不仅要“防住”已知攻击,更要“识破”未知意图;同时能够“联动响应”,在威胁造成实质损害前自动阻断。
为了满足这样的需求,华为云提供了合规、高效、稳定的安全服务。特别是在网络边界、主机、Web应用等高频安全风险场景中,配备了以云防火墙(CFW)、企业主机安全(HSS)和Web应用防火墙(WAF)为代表的专业产品,一同打造了集感知、预测、防御和响应于一体的安全防护体系,让安全能力融入业务的全生命周期。
01 网络边界防护:云防火墙CFW构筑了坚固“城墙”
Gartner的一项研究表明,2025年将有85%的企业“上云”。但另一份报告显示,80%的企业遇到过云相关的安全事件。
比如外界经常听到的DDoS攻击,动辄数百G乃至T级的流量规模,让传统的硬件防火墙难以招架;以及利用应用逻辑漏洞的越权访问,可以绕过传统边界防御,在内网中悄无声息地窃取数据……
华为云的对策是云防火墙CFW,可以看作是云端流量的“总闸门”,为企业提供互联网边界和VPC边界的防护,包括资产管理、访问控制策略、攻击防御、反病毒等安全能力。
首先是外部入侵防御,将威胁拒之门外。
企业向用户开放互联网服务的同时,也面临着来自外部的恶意扫描和攻击。尤其是0 Day漏洞(已被发现但官方尚未发布补丁的安全漏洞)及其变种攻击,常规的静态规则库很难做到及时有效的防御。
华为云CFW改变了过去需要用户手动配置复杂规则的模式,集成了华为全网威胁漏洞库一键就能开启入侵检测与防御功能:支持12000+IPS签名,以及反病毒、反弹shell、敏感目录扫描、自定义IPS等多种防护。
除此之外,CFW还可以和多种云服务协同作战,比如安全云脑 SecMaster实时采集防火墙日志、云审计服务 CTS实时监控审计,将资产所受的威胁与风险最小化。
其次是主动外联管控,精准识别出“内鬼”。
新闻上时常可以看到“员工利用公司服务器挖矿”的报道,不但给企业带来了直接的经济损失,还可能因采取“非常规手段”导致安全漏洞。能否有效防范与发现服务器“被挖矿”,已然成为云防火墙的必答题。
华为云的答案是主动外联管控功能,基于华为全网威胁漏洞库,可以对所有出向流量进行深度分析。
一旦发现服务器试图连接已知的恶意地址,或者存在“挖矿”行为,会评估主机失陷风险状态,并对恶意链接行为进行实时阻断,而且会立刻生成告警,帮助运维人员第一时间定位问题主机,进行清理和加固。
再次是VPC间互访控制,防止“火烧连营”。
许多企业在云上有多个VPC,通过对等连接、云连接等方式实现互联。而爆炸式增长的数据与连接需求,让VPC间的“东西向”流量管控变得异常复杂。一旦单个VPC内的主机被攻破,攻击者可以对其他VPC发起横向渗透攻击。
华为云CFW实现了VPC间、VPC与本地数据中心等复杂及大流量场景下的访问控制,可通过定义精细化的访问控制策略,防止威胁横向渗透。
例如通过云防火墙实现VPC间流量微隔离,完成VPC间业务系统的访问控制,对恶意访问进行识别和拦截,将攻击的影响范围限制在最小单元,保障核心数据资产的安全。
可以列举的场景还有很多。
打一个比方的话,云防火墙就像是企业的“智能安保中心”,配备了尽职尽责的保安团队和坚不可摧的科技围墙,严格控制谁可以进,谁可以出,有异常人员或可疑物品会立刻上报和拦截,改变了传统安全防护的被动局面。
02 主机失陷防护:企业主机安全HSS深入“最后一米”
如果说云防火墙是守护企业资产安全的“城墙”,企业主机作为数据处理和存储的承载单元,关系到系统安全的“最后一米”。
摆在无数企业案头的问题是:系统日志中频频提醒异常登录却找不到原因、潜伏的恶意进程悄无声息地窃取数据、未及时修复的高危漏洞随时可能被黑客利用、随意开放的端口为攻击者提供了潜在入口……其中的棘手性在于,这些问题往往发生在系统内部,传统的网络层防御难以感知。
当企业在为系统安全焦虑时,华为云通过企业主机安全HSS“对症下药”,提供资产管理、病毒查杀、入侵检测、勒索防治、网页防篡改等核心功能,给出了事前预防、事中防御、事后响应的新解法。
以主机安全的四个典型场景为例,华为云均提供了精准的应对方案。
第一个是勒索病毒防护。
勒索病毒一直是企业的噩梦,一旦中招,轻则业务停摆,重则数据尽失。
华为云HSS首创了“防入侵、防加密、防扩散”的三防勒索检测引擎,即基于情报、AI、特征、行为的精准检测,对已知勒索病毒实时拦截,目前已覆盖99%的已知勒索病毒家族;提供快速自动化阻断、隔离异常勒索进程、勒索病毒文件等手段,快速阻断勒索加密、扩散行为;同时提供勒索备份恢复能力,减少业务受损。
第二个是网页防篡改。
试想一个场景:黑客入侵服务器后,悄悄替换了网站上供用户下载的官方文件,直指企业的资金安全与品牌形象。
华为云HSS打造了三重防篡改策略:对于.html、.txt、.js等静态网页,提供基于操作系统内核级驱动技术及本地、远端双备份能力;对于动态网页,自研的RASP技术能够检测网站恶意请求;对于SQL注入攻击、反序列化输入等14种动态网页攻击,可提供攻击源信息快速追踪篡改源。
第三个是容器安全。
随着云原生技术的普及,容器已成为应用部署的主流方式。但容器环境的动态性、短暂性和复杂性也带来了新的安全难题。
华为云HSS针对容器资产管理、镜像安全、集群安全、运行时入侵检测等安全需求,提供了云容器引擎(CCE)、客户自建容器集群的容器生命周期防护,包括镜像安全扫描、容器集群安全、容器运行时安全检测等,帮助企业构建完整的容器安全防护体系。
第四个是多云纳管。
混合云架构已成为企业IT的常态,在不同云平台、私有云、数据中心上都部署着核心业务,怎么管理异构环境下的主机安全,同样是一大难题。
华为云HSS的策略是提供友商云、私有云、IDC在内的服务器主机及容器的统一防护及运维,包括漏洞扫描及修复、基线检查及修复、勒索病毒防护等,管理员可以在华为云统一进行安全管理与运营,进一步降低安全管理的运营成本。
企业主机安全服务就像是一套“智能家庭安防系统”,即使有陌生人想方设法躲过了安保的盘问,集成了密码锁、红外摄像头、烟雾探测器、紧急报警器等功能的家庭安防系统,将在第一时间发现并做出反应。
03 应用攻击防护:Web应用防火墙WAF担当“智能管家”
除了网络边界安全、企业主机安全,企业的安全体系中仍有一块关键拼图需要补全——应用层防护。
Web应用作为企业对外提供服务的核心门户,直接暴露在互联网中,常常是黑客攻击的“主战场”:要么利用SQL注入漏洞,直接窃取、篡改甚至删除后台数据库中的核心数据;要么部署海量的恶意爬虫,盗取网站的原创内容和宝贵数据;甚至通过各种手段绕过身份认证机制,直接访问管理系统……
华为云对应的产品是Web应用防火墙WAF,直面三大典型Web安全防护场景,精准识别并阻断各类应用层攻击。
一是Web基础防护:打造OWASP TOP 10“免疫防线”。
开放式Web应用程序安全项目(OWASP)每年发布的TOP 10安全威胁列表,被视为Web安全领域的“风向标”。
华为云WAF的核心使命就是全面守护Web应用安全:对于SQL注入、XSS跨站脚本、Webshell上传、目录(路径)遍历、文件包含等常见Web攻击的检测和拦截,提供全面的攻击防护,其中OWASP TOP 10威胁的检出率可提升40%;对于紧急0 Day漏洞,7x24小时运营的专业安全运营团队,实现了紧急0 Day漏洞2小时内修复,在云端及时下发虚拟补丁,快速遏制云上风险,保障Web业务稳定运行。
二是CC攻击防护:智能识别,保障业务永不掉线。
CC攻击作为一种典型的应用层DDoS攻击,可以模拟大量正常用户,导致传统的流量清洗设备很难分辨,进而不断对消耗资源较大的应用页面发起请求,耗尽服务器资源,让正常用户无法访问。
华为云WAF可根据IP或者Cookie字段名设置灵活的限速策略,精准识别CC攻击以及有效缓解CC攻击,保障业务稳定运行。同时支持阻断页面自定义内容和类型,用户可根据业务需要,配置响应动作和返回页面内容,满足业务多样化需要。譬如基于客户端指纹、行为特征等信息进行人机识别,在不影响真实用户体验的前提下,有效缓解各类CC攻击。
三是内容安全检测:扮演网站内容的“智能审核员”。
政府、企事业单位运营管理的网站和新媒体账号,一旦出现涉黄、涉政、涉暴或广告等违规内容,不仅会严重损害其自身的公信力和权威形象,还可能瞬间引爆网络舆情,造成难以挽回的负面社会影响。
华为云WAF的回答是——基于强大的内容安全检测能力,对文本、图片、音视频进行检测,智能识别是否包含色情、涉政、暴力、不宜广告、垃圾信息等不良内容,发现违规内容后,会提供详细的报告,帮助运营团队快速定位并处理。而且还能对文本、图片、音视频进行表述规范审核,涵盖错别字、生僻字、词法表述、语法表述等,帮助运营团队提升工作效率。
Web应用防火墙可以看作是应用安全的“智能管家”,像是每栋楼入口处的智能门禁、电梯里的身份识别系统、分布在各处的快递柜智能识别系统等,默默守护着“最后一道关卡”的安全。
04 写在最后
面对日益严峻且无孔不入的安全威胁,单一、被动的防御手段已然失效,必须要建立体系化的纵深防御和智能化的持续响应。
就像华为云所示范的,用“分层防御逻辑”来回应各类威胁:云防火墙CFW负责阻断来自互联网的大规模攻击,企业主机安全HSS专注于确保服务器与容器的纯净稳固,而Web应用防火墙WAF则精准过滤指向核心业务应用的恶意请求.....三者各司其职,又相互联动,最终为企业构建起一个稳固、可靠且智能的安全“铁三角”。
同时也揭示了:安全不再是亡羊补牢式的被动应战,而是融入业务、贯穿始终、能够自我进化的主动能力。