不仅要 " 看见 " 风险，还要能够 " 预判 " 威胁；不仅要 " 防住 " 已知攻击，更要 " 识破 " 未知意图；同时能够 " 联动响应 "，在威胁造成实质损害前自动阻断。

撰文｜张贺飞

编辑｜沈菲菲

过去几年中，数据安全威胁几乎成了常态。

2024 年 4 月，国内某云厂商被曝出现服务故障，包括接口响应报错、内部服务错误 ......87 分钟内有 1957 个客户报障。

2024 年 9 月，有网友爆料称在国内另一家云厂商开发的 " 云盘 " 中建立新文件夹时，发现系统自动加载出了陌生人的隐私照片。

2025 年 6 月，CyberNews 报道称发现 "2025 年最大规模的数据泄露 "，涉及 30 个数据库，共计 160 亿条登录凭证，涉及国内外多家云厂商、企业平台和开发者门户 ......

在 " 网络安全失守 = 业务灾难 " 的现实语境下，越来越多企业意识到，安全已经不仅仅是 IT 部门的任务，而是决定业务生死的战略底座。特别是在 AI 应用广泛落地、智能化转型进入深水区的当下，安全能力的强弱直接决定了企业数智化转型的深度，关系到企业的品牌形象、客户信任和业务连续性。

正因如此，企业迫切需要一套体系化、智能化、有前瞻性的安全防护架构：不仅要 " 看见 " 风险，还要能够 " 预判 " 威胁；不仅要 " 防住 " 已知攻击，更要 " 识破 " 未知意图；同时能够 " 联动响应 "，在威胁造成实质损害前自动阻断。

为了满足这样的需求，华为云提供了合规、高效、稳定的安全服务。特别是在网络边界、主机、Web 应用等高频安全风险场景中，配备了以云防火墙（CFW）、企业主机安全（HSS）和 Web 应用防火墙（WAF）为代表的专业产品，一同打造了集感知、预测、防御和响应于一体的安全防护体系，让安全能力融入业务的全生命周期。

01.

网络边界防护：

云防火墙 CFW 构筑了坚固 " 城墙 "

Gartner 的一项研究表明，2025 年将有 85% 的企业 " 上云 "。但另一份报告显示，80% 的企业遇到过云相关的安全事件。

比如外界经常听到的 DDoS 攻击，动辄数百 G 乃至 T 级的流量规模，让传统的硬件防火墙难以招架；以及利用应用逻辑漏洞的越权访问，可以绕过传统边界防御，在内网中悄无声息地窃取数据……

华为云的对策是云防火墙 CFW，可以看作是云端流量的 " 总闸门 "，为企业提供互联网边界和 VPC 边界的防护，包括资产管理、访问控制策略、攻击防御、反病毒等安全能力。

首先是外部入侵防御，将威胁拒之门外。

企业向用户开放互联网服务的同时，也面临着来自外部的恶意扫描和攻击。尤其是 0 Day 漏洞（已被发现但官方尚未发布补丁的安全漏洞）及其变种攻击，常规的静态规则库很难做到及时有效的防御。

华为云 CFW 改变了过去需要用户手动配置复杂规则的模式，集成了华为全网威胁漏洞库一键就能开启入侵检测与防御功能：支持 12000+IPS 签名，以及反病毒、反弹 shell、敏感目录扫描、自定义 IPS 等多种防护。

除此之外，CFW 还可以和多种云服务协同作战，比如安全云脑   SecMaster 实时采集防火墙日志、云审计服务   CTS 实时监控审计，将资产所受的威胁与风险最小化。

其次是主动外联管控，精准识别出"内鬼"。

新闻上时常可以看到 " 员工利用公司服务器挖矿 " 的报道，不但给企业带来了直接的经济损失，还可能因采取 " 非常规手段 " 导致安全漏洞。能否有效防范与发现服务器 " 被挖矿 "，已然成为云防火墙的必答题。

华为云的答案是主动外联管控功能，基于华为全网威胁漏洞库，可以对所有出向流量进行深度分析。

一旦发现服务器试图连接已知的恶意地址，或者存在 " 挖矿 " 行为，会评估主机失陷风险状态，并对恶意链接行为进行实时阻断，而且会立刻生成告警，帮助运维人员第一时间定位问题主机，进行清理和加固。

再次是VPC间互访控制，防止"火烧连营"。

许多企业在云上有多个 VPC，通过对等连接、云连接等方式实现互联。而爆炸式增长的数据与连接需求，让 VPC 间的 " 东西向 " 流量管控变得异常复杂。一旦单个 VPC 内的主机被攻破，攻击者可以对其他 VPC 发起横向渗透攻击。

华为云 CFW 实现了 VPC 间、VPC 与本地数据中心等复杂及大流量场景下的访问控制，可通过定义精细化的访问控制策略，防止威胁横向渗透。

例如通过云防火墙实现 VPC 间流量微隔离，完成 VPC 间业务系统的访问控制，对恶意访问进行识别和拦截，将攻击的影响范围限制在最小单元，保障核心数据资产的安全。

可以列举的场景还有很多。

打一个比方的话，云防火墙就像是企业的 " 智能安保中心 "，配备了尽职尽责的保安团队和坚不可摧的科技围墙，严格控制谁可以进，谁可以出，有异常人员或可疑物品会立刻上报和拦截，改变了传统安全防护的被动局面。

02.

主机失陷防护：

企业主机安全 HSS 深入 " 最后一米 "

如果说云防火墙是守护企业资产安全的 " 城墙 "，企业主机作为数据处理和存储的承载单元，关系到系统安全的 " 最后一米 "。

摆在无数企业案头的问题是：系统日志中频频提醒异常登录却找不到原因、潜伏的恶意进程悄无声息地窃取数据、未及时修复的高危漏洞随时可能被黑客利用、随意开放的端口为攻击者提供了潜在入口……其中的棘手性在于，这些问题往往发生在系统内部，传统的网络层防御难以感知。

当企业在为系统安全焦虑时，华为云通过企业主机安全 HSS" 对症下药 "，提供资产管理、病毒查杀、入侵检测、勒索防治、网页防篡改等核心功能，给出了事前预防、事中防御、事后响应的新解法。

以主机安全的四个典型场景为例，华为云均提供了精准的应对方案。

第一个是勒索病毒防护。

勒索病毒一直是企业的噩梦，一旦中招，轻则业务停摆，重则数据尽失。

华为云 HSS 首创了 " 防入侵、防加密、防扩散 " 的三防勒索检测引擎，即基于情报、AI、特征、行为的精准检测，对已知勒索病毒实时拦截，目前已覆盖 99% 的已知勒索病毒家族；提供快速自动化阻断、隔离异常勒索进程、勒索病毒文件等手段，快速阻断勒索加密、扩散行为；同时提供勒索备份恢复能力，减少业务受损。

第二个是网页防篡改。

华为云 HSS 打造了三重防篡改策略：对于 .html、.txt、.js 等静态网页，提供基于操作系统内核级驱动技术及本地、远端双备份能力；对于动态网页，自研的 RASP 技术能够检测网站恶意请求；对于 SQL 注入攻击、反序列化输入等 14 种动态网页攻击，可提供攻击源信息快速追踪篡改源。

第三个是容器安全。

随着云原生技术的普及，容器已成为应用部署的主流方式。但容器环境的动态性、短暂性和复杂性也带来了新的安全难题。

华为云 HSS 针对容器资产管理、镜像安全、集群安全、运行时入侵检测等安全需求，提供了云容器引擎（CCE）、客户自建容器集群的容器生命周期防护，包括镜像安全扫描、容器集群安全、容器运行时安全检测等，帮助企业构建完整的容器安全防护体系。

第四个是多云纳管。

混合云架构已成为企业 IT 的常态，在不同云平台、私有云、数据中心上都部署着核心业务，怎么管理异构环境下的主机安全，同样是一大难题。

华为云 HSS 的策略是提供友商云、私有云、IDC 在内的服务器主机及容器的统一防护及运维，包括漏洞扫描及修复、基线检查及修复、勒索病毒防护等，管理员可以在华为云统一进行安全管理与运营，进一步降低安全管理的运营成本。

企业主机安全服务就像是一套 " 智能家庭安防系统 "，即使有陌生人想方设法躲过了安保的盘问，集成了密码锁、红外摄像头、烟雾探测器、紧急报警器等功能的家庭安防系统，将在第一时间发现并做出反应。

03.

应用攻击防护：

Web 应用防火墙 WAF 担当 " 智能管家 "

除了网络边界安全、企业主机安全，企业的安全体系中仍有一块关键拼图需要补全——应用层防护。

Web 应用作为企业对外提供服务的核心门户，直接暴露在互联网中，常常是黑客攻击的 " 主战场 "：要么利用 SQL 注入漏洞，直接窃取、篡改甚至删除后台数据库中的核心数据；要么部署海量的恶意爬虫，盗取网站的原创内容和宝贵数据；甚至通过各种手段绕过身份认证机制，直接访问管理系统……

华为云对应的产品是 Web 应用防火墙 WAF，直面三大典型 Web 安全防护场景，精准识别并阻断各类应用层攻击。

一是Web基础防护：打造OWASP TOP 10"免疫防线"。

开放式 Web 应用程序安全项目（OWASP）每年发布的 TOP 10 安全威胁列表，被视为 Web 安全领域的 " 风向标 "。

华为云 WAF 的核心使命就是全面守护 Web 应用安全：对于 SQL 注入、XSS 跨站脚本、Webshell 上传、目录（路径）遍历、文件包含等常见 Web 攻击的检测和拦截，提供全面的攻击防护，其中 OWASP TOP 10 威胁的检出率可提升 40%；对于紧急 0 Day 漏洞，7x24 小时运营的专业安全运营团队，实现了紧急 0 Day 漏洞 2 小时内修复，在云端及时下发虚拟补丁，快速遏制云上风险，保障 Web 业务稳定运行。

二是CC攻击防护：智能识别，保障业务永不掉线。

CC 攻击作为一种典型的应用层 DDoS 攻击，可以模拟大量正常用户，导致传统的流量清洗设备很难分辨，进而不断对消耗资源较大的应用页面发起请求，耗尽服务器资源，让正常用户无法访问。

华为云 WAF 可根据 IP 或者 Cookie 字段名设置灵活的限速策略，精准识别 CC 攻击以及有效缓解 CC 攻击，保障业务稳定运行。同时支持阻断页面自定义内容和类型，用户可根据业务需要，配置响应动作和返回页面内容，满足业务多样化需要。譬如基于客户端指纹、行为特征等信息进行人机识别，在不影响真实用户体验的前提下，有效缓解各类 CC 攻击。

三是内容安全检测：扮演网站内容的"智能审核员"。

政府、企事业单位运营管理的网站和新媒体账号，一旦出现涉黄、涉政、涉暴或广告等违规内容，不仅会严重损害其自身的公信力和权威形象，还可能瞬间引爆网络舆情，造成难以挽回的负面社会影响。

华为云 WAF 的回答是——基于强大的内容安全检测能力，对文本、图片、音视频进行检测，智能识别是否包含色情、涉政、暴力、不宜广告、垃圾信息等不良内容，发现违规内容后，会提供详细的报告，帮助运营团队快速定位并处理。而且还能对文本、图片、音视频进行表述规范审核，涵盖错别字、生僻字、词法表述、语法表述等，帮助运营团队提升工作效率。

Web 应用防火墙可以看作是应用安全的 " 智能管家 "，像是每栋楼入口处的智能门禁、电梯里的身份识别系统、分布在各处的快递柜智能识别系统等，默默守护着 " 最后一道关卡 " 的安全。

04.

写在最后

面对日益严峻且无孔不入的安全威胁，单一、被动的防御手段已然失效，必须要建立体系化的纵深防御和智能化的持续响应。

就像华为云所示范的，用 " 分层防御逻辑 " 来回应各类威胁：云防火墙 CFW 负责阻断来自互联网的大规模攻击，企业主机安全 HSS 专注于确保服务器与容器的纯净稳固，而 Web 应用防火墙 WAF 则精准过滤指向核心业务应用的恶意请求 ..... 三者各司其职，又相互联动，最终为企业构建起一个稳固、可靠且智能的安全 " 铁三角 "。

同时也揭示了：安全不再是亡羊补牢式的被动应战，而是融入业务、贯穿始终、能够自我进化的主动能力。

主理人 | 张贺飞（Alter）

前媒体人、公关，现专职科技自媒体

钛媒体、36kr、创业邦、福布斯中国等专栏作者

转载、商务、开白以及读者交流，请联系个人微信「imhefei」