文 | 華為技術(shù)有限公司 李加贊 廖勇 趙永安 王峰
網(wǎng)絡邊緣設備(以下簡稱“邊緣設備”)作為企業(yè)內(nèi)部網(wǎng)絡與外部世界(如互聯(lián)網(wǎng)��、分支機構(gòu)��、遠程用戶)的交匯點,是現(xiàn)代信息技術(shù)架構(gòu)中至關(guān)重要的組成部分���。部署于此的邊緣設備主要包括虛擬專用網(wǎng)絡(VPN)服務器�����、防火墻和路由器等�,它們共同構(gòu)成了企業(yè)網(wǎng)絡安全的第一道防線,承擔著訪問控制����、流量過濾、數(shù)據(jù)加密和網(wǎng)絡連接的核心職能�����。
隨著數(shù)字化轉(zhuǎn)型的深入����,企業(yè)信息技術(shù)環(huán)境正經(jīng)歷著深刻的變革����。混合云架構(gòu)的普及���、遠程辦公模式的常態(tài)化��、物聯(lián)網(wǎng)(IoT)設備的爆炸式增長以及5G技術(shù)的商用落地���,極大地擴展了傳統(tǒng)網(wǎng)絡邊界的定義���。以往清晰的“內(nèi)外網(wǎng)”概念變得模糊,攻擊面以前所未有的速度擴大���。數(shù)據(jù)顯示��,近年來����,針對邊緣設備的攻擊已不再是零星個案�,而是演變?yōu)橐环N大規(guī)模、高強度���、體系化的攻擊趨勢�����,對國家關(guān)鍵基礎(chǔ)設施��、企業(yè)核心數(shù)據(jù)乃至個人隱私構(gòu)成了前所未有的威脅��。因此�����,對邊緣設備的安全問題進行系統(tǒng)性研究�����,已成為保障國家網(wǎng)絡空間安全的重要課題��。本文將深入分析邊緣設備安全態(tài)勢���,并提出相應的對策建議��。
一、網(wǎng)絡邊緣設備的安全風險現(xiàn)狀
當前���,邊緣設備已經(jīng)從單純的“守門員”角色�,轉(zhuǎn)變?yōu)榫W(wǎng)絡攻防對抗的“主戰(zhàn)場”之一�����,全球范圍內(nèi)的網(wǎng)絡攻擊活動越來越頻繁地將這些設備作為主要的突破口。
2023年���,全球范圍內(nèi)針對邊緣設備的攻擊事件同比增長了42%����,其中針對路由器和防火墻的攻擊占比達到65%(數(shù)據(jù)來源:《2023年全球網(wǎng)絡安全報告》)�����。Crowdstrike發(fā)布的《2024年全球威脅報告》顯示�����,2023年非托管網(wǎng)絡設備(尤其是邊緣網(wǎng)關(guān)設備)被廣泛攻擊�����,這些設備通?�;谶^時的架構(gòu)����,導致Cisco(CVE-2023-20198)、Citrix(CVE-2023-3519��、CVE-2023-4966)、F5(CVE-2023-46747)的防火墻和虛擬專用網(wǎng)絡(VPN)平臺中的漏洞被廣泛利用�。2024年4月,Cisco披露了一項名為ArcaneDoor的長達數(shù)月的活動��,在該活動中��,一個此前未知的國家贊助的攻擊者破壞了來自幾個不同制造商的一些邊緣設備���。Verizon發(fā)布的《2025數(shù)據(jù)泄露調(diào)查報告》顯示�,邊緣設備漏洞成攻擊跳板�����,在針對漏洞利用行動中���,邊緣設備尤其是VPN漏洞利用率幾乎增加了8倍��。此外���,只有54%的漏洞被完全修復�����,且修復完成中位數(shù)為32天。
以上數(shù)據(jù)說明�����,邊緣設備正日益淪為有組織網(wǎng)絡威脅的主要獵物��,其脆弱防線頻頻成為攻擊者襲擊的突破口�。
二、網(wǎng)絡邊緣設備面臨的風險分析
邊緣設備跟IT系統(tǒng)相似�����,也存在一些常見的系統(tǒng)性風險����,例如,配置錯誤��、軟件漏洞�、協(xié)議缺陷、供應鏈攻擊等��。但由于邊緣設備部署位置處于關(guān)鍵節(jié)點�����,操作易導致業(yè)務受影響,此類系統(tǒng)性風險往往無法得到及時修復�����。同時�,邊緣設備缺乏IT系統(tǒng)一些內(nèi)置的防護措施,例如���,端點檢測與響應(EDR)�����、運行時應用自我保護(RASP)等防護技術(shù)����。此外��,由于攻擊邊緣設備隱蔽性較強����、攻擊對價高,這些設備往往成為有組織攻擊者首選的目標�����。
(一)網(wǎng)絡邊緣設備存在暴露面大���、管控難和“黑盒”屬性�,容易被攻破
邊緣設備的物理位置和網(wǎng)絡角色���,決定了其天然的脆弱性����。
首先���,“永遠在線�����,永遠暴露”的特性�����。作為網(wǎng)絡邊界的“哨兵”����,它們需直接面向公共互聯(lián)網(wǎng)�,持續(xù)抵御來自全球范圍的惡意掃描與攻擊嘗試�����。
其次�,“難運維”的管理困境��。實踐表明����,配置失誤是網(wǎng)絡安全領(lǐng)域諸多問題的根源所在。例如����,防火墻配置錯誤是導致安全漏洞最常見、最主要的原因���。企業(yè)防火墻的規(guī)則集可能多達數(shù)萬條�,復雜性極高�。不必要的“any-any-allow”規(guī)則、過時的規(guī)則�����、規(guī)則順序錯誤或過于嚴格的規(guī)則�,都可能導致安全缺口或業(yè)務中斷�����。此外,鑒于邊緣設備部署位置的重要性�����,管理員擔心升級或修復漏洞會對業(yè)務產(chǎn)生影響����,致使其固件與軟件中的漏洞長期未能得到修復。
最后���,邊緣設備普遍具有“黑盒”屬性�����。其操作系統(tǒng)和固件通常是專有的���,用戶難以對其進行深入的安全審計和行為分析,這為廠商預留后門或攻擊者植入持久性惡意軟件創(chuàng)造了條件�。攻擊者在持續(xù)學習和了解用戶當前的網(wǎng)絡防御手段后,發(fā)現(xiàn)傳統(tǒng)的網(wǎng)絡內(nèi)部防御措施已經(jīng)顯著增強了用戶網(wǎng)絡的可見性和安全性���。而邊緣設備通常缺乏EDR傳感器或無法支持傳感器部署�����,導致防御者的可見性降低�。因此,攻擊者改變了攻擊策略��,將初始攻擊目標從網(wǎng)絡內(nèi)部轉(zhuǎn)向外圍的非監(jiān)管網(wǎng)絡設備���,從而更容易避開檢測并實施攻擊��。
(二)攻擊者戰(zhàn)術(shù)向高價值���、高隱蔽和體系化方向演進,網(wǎng)絡邊緣設備成為重點攻擊目標
攻擊者對邊緣設備的興趣激增����,源于其攻擊戰(zhàn)術(shù)的精細化演進。
首先��,邊緣設備是“高價值”的攻擊入口��。攻破一臺VPN網(wǎng)關(guān)或防火墻,往往意味著直接獲取了通往整個內(nèi)網(wǎng)的“鑰匙”���,其戰(zhàn)略價值遠高于攻陷單臺個人電腦��。2023年5月����,高級持續(xù)性威脅(APT)組織“伏特臺風”(Volt Typhoon)被國外公開披露�����,攻擊者利用防火墻漏洞(CVE-2022-42475等)獲得對IT網(wǎng)絡的初始訪問權(quán)限���,進而獲取存儲在設備上的管理員憑據(jù)。在成功控制邊界設備后以此為跳板����,利用先前竊取的憑據(jù)或利用內(nèi)網(wǎng)服務的漏洞,向企業(yè)內(nèi)部IT網(wǎng)絡進行滲透��。
其次�,攻擊者追求“高隱蔽”的長期潛伏。通過篡改設備固件而非僅僅在內(nèi)存中運行惡意代碼��,攻擊者可以實現(xiàn)重啟后依然存在的深度持久化,極難被發(fā)現(xiàn)和清除����。這種方式使其能夠長期潛伏在目標網(wǎng)絡中,持續(xù)竊取信息���。例如��,2024年針對Cisco ASA設備的零日漏洞攻擊活動(CVE-2025-20362����,CVE-2025-20333)����。不同于傳統(tǒng)的內(nèi)存駐留惡意軟件,攻擊者展示了修改固件(Firmware/ROM)的能力��,這意味著即使重啟或升級設備��,后門依然存在�。
最后,攻擊呈現(xiàn)“體系化”特征�����。攻擊者不再是單打獨斗,而是將攻陷的大量邊緣設備資源池化���,構(gòu)建起一個全球分布����、高彈性的匿名攻擊網(wǎng)絡���。這個網(wǎng)絡既可以用來隱藏自身真實的攻擊來源�,也可以作為發(fā)動更大規(guī)模攻擊(如勒索軟件分發(fā))的基礎(chǔ)設施���,顯著提升了攻擊的成功率和破壞力�。例如��,2024年起Androxgh0st僵尸網(wǎng)絡利用邊緣設備(包括Cisco ASA和TP-Link路由器)���、網(wǎng)絡服務器和物聯(lián)網(wǎng)設備的相關(guān)漏洞,通過暴力破解�、憑證竊取等方式獲取系統(tǒng)管理訪問權(quán)限并侵入關(guān)鍵基礎(chǔ)設施系統(tǒng),進而部署并執(zhí)行惡意代碼及文件����、建立僵尸網(wǎng)絡以對被入侵系統(tǒng)進行持續(xù)訪問和控制。
(三)產(chǎn)業(yè)生態(tài)存在責任模糊、響應遲滯及標準滯后等問題�,使網(wǎng)絡邊緣設備在現(xiàn)網(wǎng)中難以保持最佳狀態(tài)
除了邊緣設備和攻擊者的因素,產(chǎn)業(yè)生態(tài)也存在以下問題�����。
首先���,安全責任鏈條模糊��。在邊緣設備制造商�、系統(tǒng)集成商�����、網(wǎng)絡運營商和最終用戶之間�,安全責任的劃分往往不清晰。邊緣設備安全更新的責任在用戶和制造商之間搖擺,特別是許多用戶缺乏及時更新設備的技術(shù)能力和安全意識時,這種責任需要事先在合同����、服務水平協(xié)議等條款中進行明確。
其次��,漏洞響應和補丁分發(fā)遲緩�����。從漏洞被發(fā)現(xiàn)�����、廠商確認����、開發(fā)補丁到最終用戶完成部署,整個鏈條過長�。尤其當邊緣設備處于用戶網(wǎng)絡核心位置時,其更新影響業(yè)務的風險重大時�,會導致最終用戶在進行安全更新決策時出現(xiàn)遲疑。還有一種較為嚴重的情況�����,對于已經(jīng)停產(chǎn)但仍在大量使用的“遺產(chǎn)設備”�����,由于其過時的架構(gòu)和設計�����,在面對新型網(wǎng)絡攻擊時顯得尤為脆弱����。這些邊緣設備通常存在大量未修補的漏洞,由于這些邊緣設備可能已經(jīng)停產(chǎn)或廠商已經(jīng)停止對其提供技術(shù)支持和服務���,無法及時獲得安全更新和補丁���,因此無法得到有效的修復。即使這些漏洞被強行修復����,也可能因架構(gòu)陳舊導致難以抵御現(xiàn)代手段的攻擊。攻擊者正是利用這一點�����,積極開發(fā)針對這些過時產(chǎn)品的漏洞利用工具����,以實現(xiàn)對目標網(wǎng)絡的入侵。例如����,攻擊者通過利用Cisco的CVE-2023-20198漏洞�����,成功入侵某大型企業(yè)的邊緣設備���,并以此為跳板發(fā)起橫向移動攻擊。因此�,一些“遺產(chǎn)設備”成了永久性的安全風險點。
最后���,安全標準和認證體系滯后�。長期以來�,市場對邊緣設備的選擇更側(cè)重于性能和成本,對于安全要求相對較低��,市場上的標準缺乏針對不同安全場景的安全分級標準和認證機制�,導致高安全場景下設備的安全能力難以滿足高安全要求。而高安全場景中存在大量邊緣設備�����,形成了較為龐大的存量安全風險�。
三����、國外應對網(wǎng)絡邊緣設備安全風險的策略
國外相關(guān)國家已經(jīng)注意到邊緣設備的安全問題���。2025年2月4日,英國�、澳大利亞、加拿大���、新西蘭和美國的網(wǎng)絡安全機構(gòu)聯(lián)合發(fā)布指導文件���,包括《網(wǎng)絡設備和器具生產(chǎn)商的數(shù)字取證和保護監(jiān)測規(guī)范指南》《邊緣設備的安全注意事項(ITSM.80.101)》,呼吁邊緣設備制造商提高取證可視性���,以幫助防御者檢測攻擊并調(diào)查違規(guī)行為�。文件中提到����,邊緣設備(如防火墻、路由器�、VPN網(wǎng)關(guān))因缺乏端點檢測與響應(EDR)解決方案、定期固件更新及強身份驗證���,成為國家支持和經(jīng)濟動機攻擊者的主要目標��。這些設備往往因為配置問題����,日志記錄有限,使其容易被利用以訪問內(nèi)部網(wǎng)絡�����。
為解決以上問題��,美國通過《關(guān)于改善國家網(wǎng)絡安全的行政命令》(Executive Order 14028)明確要求聯(lián)邦機構(gòu)使用的邊緣設備必須支持“零信任架構(gòu)”��,并強制廠商提供軟件物料清單(SBOM)����,以增強供應鏈透明度。同時�����,美國網(wǎng)絡安全與基礎(chǔ)設施安全局(CISA)建立國家級漏洞披露平臺(如KEV目錄)���,要求廠商在發(fā)現(xiàn)高危漏洞后90天內(nèi)完成修復�����,否則禁止政府采購相關(guān)產(chǎn)品�。例如��,2023年CISA將多款存在未修補漏洞的商用路由器和防火墻列入禁用清單���,倒逼廠商提升固件安全性��。
歐盟《網(wǎng)絡與信息系統(tǒng)安全指令(第二版)》(NIS2指令)將邊緣設備納入關(guān)鍵信息基礎(chǔ)設施保護范疇�。NIS2指令明確要求能源�、交通、醫(yī)療等關(guān)鍵行業(yè)必須對邊界設備實施“默認安全配置”(Secure-by-Design)和“縱深防御”策略�����,并定期進行滲透測試���。例如�����,德國要求所有接入公共網(wǎng)絡的工業(yè)路由器必須啟用強加密����、關(guān)閉遠程管理端口,并通過德國萊茵技術(shù)監(jiān)護顧問有限公司等第三方認證���。
四����、加強網(wǎng)絡邊緣設備安全的對策建議
基于以上對邊緣設備的風險分析��,借鑒國外在處理邊緣設備安全問題中的具體做法���,在提升邊緣設備的安全性時�����,應考慮以下三個因素:一是該邊緣設備出廠時是否安全可靠�,是否有內(nèi)生的安全保護機制�����;二是邊緣設備部署上線后配置是否合理���,漏洞是否能夠及時修補��,邊緣設備更新升級是否及時有效��;三是能不能通過架構(gòu)升級降低邊緣設備被攻擊后帶來的系統(tǒng)性風險�����?����;谶@些因素�����,提出以下建議����。
(一)加強網(wǎng)絡邊緣設備的內(nèi)生安全能力
邊緣設備在出廠時應確保具備安全性與有效性��,這是生產(chǎn)制造商的職責���。建議制造商在整個產(chǎn)品開發(fā)過程中要充分考慮產(chǎn)品自身的安全性�,以“設計即安全”的理念�����,將安全因素納入整個產(chǎn)品設計和開發(fā)過程中,以降低邊緣設備漏洞出現(xiàn)的概率��。例如�����,通過采用可信3.0的相關(guān)技術(shù)����,構(gòu)建計算部件和安全部件分離的雙系統(tǒng)體系架構(gòu),安全部件構(gòu)建完整的信任鏈條以保障自身可信��,通過安全部件對計算部件實施主動監(jiān)控�,實現(xiàn)系統(tǒng)流程的可控性,通過主動運作的安全部件支撐系統(tǒng)安全管理���。同時�,加強邊緣設備的內(nèi)生安全監(jiān)測�����,在邊緣設備上部署輕量級的代理程序(Agent)����,實時監(jiān)測設備的運行狀態(tài)和網(wǎng)絡流量��,及時發(fā)現(xiàn)異常行為并進行相應的閉環(huán)處理�。
借鑒美國SBOM和歐盟Secure-by-Design理念��,相關(guān)部門可以出臺邊緣設備安全技術(shù)要求相關(guān)標準����,明確默認關(guān)閉高危服務�、強制使用強密碼、固件簽名驗證�、安全啟動、支持安全遠程更新等基線要求���,并將其納入入網(wǎng)許可和政府采購準入條件���。
(二)強化網(wǎng)絡邊緣設備的運營維護
邊緣設備制造商有發(fā)布安全配置基線的義務,企業(yè)可以在廠商安全基線的基礎(chǔ)上結(jié)合自身業(yè)務特點���,制定統(tǒng)一的安全配置標準���。配置基線應包括賬號��、口令�����、授權(quán)����、日志��、通信協(xié)議�、密碼算法等方面的配置。例如�����,設定登錄失敗一定次數(shù)后鎖定賬號�����,邊緣設備首次啟用時必須修改默認密碼等��。在具體落地時��,建議通過構(gòu)建集中式安全管理平臺���,執(zhí)行所有與安全和配置相關(guān)的任務����,實現(xiàn)從一個控制點監(jiān)控和管理整個環(huán)境中的邊緣設備。這種方式還可以增強監(jiān)控潛在威脅的能力�����,并在系統(tǒng)受到攻擊時控制網(wǎng)絡事件的影響范圍����。
企業(yè)要加強邊緣設備漏洞管理,建立完善的漏洞管理機制���。例如,定期自動化掃描漏洞���、訂閱漏洞情報并獲取補丁���、漏洞分級、必須修復的漏洞指定強制性的修復時間窗口等���。另外���,由相關(guān)部門牽頭建立“邊緣設備高危漏洞快速通報與處置平臺”��,實現(xiàn)“漏洞發(fā)現(xiàn)—廠商響應—用戶修復—監(jiān)管核查”的閉環(huán)管理���,避免“漏洞長期掛賬、風險持續(xù)暴露”�。
企業(yè)應維護邊緣設備的資產(chǎn)臺賬,管理這些資產(chǎn)的生命周期���,定期審查哪些邊緣設備生命周期即將達到終止日期���,并計劃在生命周期終止前更換這些設備。
(三)構(gòu)建新型安全范式:依托網(wǎng)絡邊緣設備建設零信任架構(gòu)
將零信任理念應用于邊緣設備�,意味著對其功能和配置方式進行根本性的重塑。
身份成為新的邊界:在零信任模型中��,身份(包括用戶身份和設備身份)取代了互聯(lián)網(wǎng)協(xié)議地址(IP地址)��,成為訪問控制的核心依據(jù)�����。對于VPN產(chǎn)品意味著從傳統(tǒng)的基于網(wǎng)絡的遠程訪問VPN,轉(zhuǎn)向零信任網(wǎng)絡訪問(ZTNA)�。ZTNA不授予用戶對整個網(wǎng)絡的訪問權(quán)限,而是基于用戶的身份和上下文(如設備健康狀況�����、地理位置��、時間等)�,為每一次會話動態(tài)地建立一個加密的、點對點的連接��,僅授予其訪問特定授權(quán)應用的權(quán)限�,這極大地縮小了潛在的攻擊面。對于防火墻產(chǎn)品����,這意味著策略應從基于IP的規(guī)則,轉(zhuǎn)向基于身份的策略��。通過與身份和訪問管理(IAM)系統(tǒng)深度集成�,防火墻可以根據(jù)發(fā)出請求的用戶或設備身份來動態(tài)執(zhí)行訪問控制策略�����。
微分段(Micro-segmentation):零信任強調(diào)通過精細化的網(wǎng)絡隔離來阻止威脅的橫向移動��。防火墻和路由器等設備是實現(xiàn)微分段的關(guān)鍵執(zhí)行點,它們可以將網(wǎng)絡劃分為許多微小的�����、獨立的“安全區(qū)”���,甚至可以為單個工作負載或應用創(chuàng)建一個專屬的網(wǎng)段�����。這些設備在不同網(wǎng)段之間強制執(zhí)行嚴格的訪問控制策略��,確保即使一個網(wǎng)段被攻破��,威脅也無法輕易擴散到其他區(qū)域����。
(四)加強產(chǎn)業(yè)引導與行業(yè)合作
制定邊緣設備的安全分級標準�。建議產(chǎn)業(yè)相關(guān)組織制定邊緣設備的安全分級標準并開展評測,推動高安全場景采購高安全級別產(chǎn)品���。在金融�、能源等行業(yè)試點“邊緣設備安全加固工程”,要求核心邊緣設備部署內(nèi)生安全�、設備統(tǒng)一管理和零信任網(wǎng)關(guān)等功能,并納入監(jiān)管部門檢查重點項目���,提升實戰(zhàn)防護水平���。提升中小企業(yè)對于邊緣設備的安全運維能力,由有關(guān)部門發(fā)布邊緣設備安全配置指導手冊�����,提供防火墻規(guī)則集���、VPN部署模板�、安全配置核查等免費工具包����,降低安全實踐門檻。
五����、結(jié) 語
當前,邊緣設備已成為網(wǎng)絡攻擊的主要目標之一��。為保障業(yè)務安全���,必須對邊緣設備自身的安全性和安全防護予以充分重視和有效管理���。本文系統(tǒng)地剖析了全球邊緣設備面臨的嚴峻安全態(tài)勢,分析了邊緣設備遭受攻擊的原因�,并提出了相關(guān)建議。邊緣設備的安全保障不能僅靠技術(shù)堆砌���,而需借助“標準�、監(jiān)管����、協(xié)同、賦能”四個維度協(xié)同推進��。我們應在加強頂層設計的同時�����,注重實際落地支撐��,推動邊緣設備安全模式從“被動修補”向“主動免疫”轉(zhuǎn)變���。
(本文刊登于《中國信息安全》雜志2026年第3期)
等保測評咨詢
