文 | 华为技术有限公司 李加赞 廖勇 赵永安 王峰
网络边缘设备(以下简称“边缘设备”)作为企业内部网络与外部世界(如互联网、分支机构、远程用户)的交汇点,是现代信息技术架构中至关重要的组成部分。部署于此的边缘设备主要包括虚拟专用网络(VPN)服务器、防火墙和路由器等,它们共同构成了企业网络安全的第一道防线,承担着访问控制、流量过滤、数据加密和网络连接的核心职能。
随着数字化转型的深入,企业信息技术环境正经历着深刻的变革。混合云架构的普及、远程办公模式的常态化、物联网(IoT)设备的爆炸式增长以及5G技术的商用落地,极大地扩展了传统网络边界的定义。以往清晰的“内外网”概念变得模糊,攻击面以前所未有的速度扩大。数据显示,近年来,针对边缘设备的攻击已不再是零星个案,而是演变为一种大规模、高强度、体系化的攻击趋势,对国家关键基础设施、企业核心数据乃至个人隐私构成了前所未有的威胁。因此,对边缘设备的安全问题进行系统性研究,已成为保障国家网络空间安全的重要课题。本文将深入分析边缘设备安全态势,并提出相应的对策建议。
一、网络边缘设备的安全风险现状
当前,边缘设备已经从单纯的“守门员”角色,转变为网络攻防对抗的“主战场”之一,全球范围内的网络攻击活动越来越频繁地将这些设备作为主要的突破口。
2023年,全球范围内针对边缘设备的攻击事件同比增长了42%,其中针对路由器和防火墙的攻击占比达到65%(数据来源:《2023年全球网络安全报告》)。Crowdstrike发布的《2024年全球威胁报告》显示,2023年非托管网络设备(尤其是边缘网关设备)被广泛攻击,这些设备通常基于过时的架构,导致Cisco(CVE-2023-20198)、Citrix(CVE-2023-3519、CVE-2023-4966)、F5(CVE-2023-46747)的防火墙和虚拟专用网络(VPN)平台中的漏洞被广泛利用。2024年4月,Cisco披露了一项名为ArcaneDoor的长达数月的活动,在该活动中,一个此前未知的国家赞助的攻击者破坏了来自几个不同制造商的一些边缘设备。Verizon发布的《2025数据泄露调查报告》显示,边缘设备漏洞成攻击跳板,在针对漏洞利用行动中,边缘设备尤其是VPN漏洞利用率几乎增加了8倍。此外,只有54%的漏洞被完全修复,且修复完成中位数为32天。
以上数据说明,边缘设备正日益沦为有组织网络威胁的主要猎物,其脆弱防线频频成为攻击者袭击的突破口。
二、网络边缘设备面临的风险分析
边缘设备跟IT系统相似,也存在一些常见的系统性风险,例如,配置错误、软件漏洞、协议缺陷、供应链攻击等。但由于边缘设备部署位置处于关键节点,操作易导致业务受影响,此类系统性风险往往无法得到及时修复。同时,边缘设备缺乏IT系统一些内置的防护措施,例如,端点检测与响应(EDR)、运行时应用自我保护(RASP)等防护技术。此外,由于攻击边缘设备隐蔽性较强、攻击对价高,这些设备往往成为有组织攻击者首选的目标。
(一)网络边缘设备存在暴露面大、管控难和“黑盒”属性,容易被攻破
边缘设备的物理位置和网络角色,决定了其天然的脆弱性。
首先,“永远在线,永远暴露”的特性。作为网络边界的“哨兵”,它们需直接面向公共互联网,持续抵御来自全球范围的恶意扫描与攻击尝试。
其次,“难运维”的管理困境。实践表明,配置失误是网络安全领域诸多问题的根源所在。例如,防火墙配置错误是导致安全漏洞最常见、最主要的原因。企业防火墙的规则集可能多达数万条,复杂性极高。不必要的“any-any-allow”规则、过时的规则、规则顺序错误或过于严格的规则,都可能导致安全缺口或业务中断。此外,鉴于边缘设备部署位置的重要性,管理员担心升级或修复漏洞会对业务产生影响,致使其固件与软件中的漏洞长期未能得到修复。
最后,边缘设备普遍具有“黑盒”属性。其操作系统和固件通常是专有的,用户难以对其进行深入的安全审计和行为分析,这为厂商预留后门或攻击者植入持久性恶意软件创造了条件。攻击者在持续学习和了解用户当前的网络防御手段后,发现传统的网络内部防御措施已经显著增强了用户网络的可见性和安全性。而边缘设备通常缺乏EDR传感器或无法支持传感器部署,导致防御者的可见性降低。因此,攻击者改变了攻击策略,将初始攻击目标从网络内部转向外围的非监管网络设备,从而更容易避开检测并实施攻击。
(二)攻击者战术向高价值、高隐蔽和体系化方向演进,网络边缘设备成为重点攻击目标
攻击者对边缘设备的兴趣激增,源于其攻击战术的精细化演进。
首先,边缘设备是“高价值”的攻击入口。攻破一台VPN网关或防火墙,往往意味着直接获取了通往整个内网的“钥匙”,其战略价值远高于攻陷单台个人电脑。2023年5月,高级持续性威胁(APT)组织“伏特台风”(Volt Typhoon)被国外公开披露,攻击者利用防火墙漏洞(CVE-2022-42475等)获得对IT网络的初始访问权限,进而获取存储在设备上的管理员凭据。在成功控制边界设备后以此为跳板,利用先前窃取的凭据或利用内网服务的漏洞,向企业内部IT网络进行渗透。
其次,攻击者追求“高隐蔽”的长期潜伏。通过篡改设备固件而非仅仅在内存中运行恶意代码,攻击者可以实现重启后依然存在的深度持久化,极难被发现和清除。这种方式使其能够长期潜伏在目标网络中,持续窃取信息。例如,2024年针对Cisco ASA设备的零日漏洞攻击活动(CVE-2025-20362,CVE-2025-20333)。不同于传统的内存驻留恶意软件,攻击者展示了修改固件(Firmware/ROM)的能力,这意味着即使重启或升级设备,后门依然存在。
最后,攻击呈现“体系化”特征。攻击者不再是单打独斗,而是将攻陷的大量边缘设备资源池化,构建起一个全球分布、高弹性的匿名攻击网络。这个网络既可以用来隐藏自身真实的攻击来源,也可以作为发动更大规模攻击(如勒索软件分发)的基础设施,显著提升了攻击的成功率和破坏力。例如,2024年起Androxgh0st僵尸网络利用边缘设备(包括Cisco ASA和TP-Link路由器)、网络服务器和物联网设备的相关漏洞,通过暴力破解、凭证窃取等方式获取系统管理访问权限并侵入关键基础设施系统,进而部署并执行恶意代码及文件、建立僵尸网络以对被入侵系统进行持续访问和控制。
(三)产业生态存在责任模糊、响应迟滞及标准滞后等问题,使网络边缘设备在现网中难以保持最佳状态
除了边缘设备和攻击者的因素,产业生态也存在以下问题。
首先,安全责任链条模糊。在边缘设备制造商、系统集成商、网络运营商和最终用户之间,安全责任的划分往往不清晰。边缘设备安全更新的责任在用户和制造商之间摇摆,特别是许多用户缺乏及时更新设备的技术能力和安全意识时,这种责任需要事先在合同、服务水平协议等条款中进行明确。
其次,漏洞响应和补丁分发迟缓。从漏洞被发现、厂商确认、开发补丁到最终用户完成部署,整个链条过长。尤其当边缘设备处于用户网络核心位置时,其更新影响业务的风险重大时,会导致最终用户在进行安全更新决策时出现迟疑。还有一种较为严重的情况,对于已经停产但仍在大量使用的“遗产设备”,由于其过时的架构和设计,在面对新型网络攻击时显得尤为脆弱。这些边缘设备通常存在大量未修补的漏洞,由于这些边缘设备可能已经停产或厂商已经停止对其提供技术支持和服务,无法及时获得安全更新和补丁,因此无法得到有效的修复。即使这些漏洞被强行修复,也可能因架构陈旧导致难以抵御现代手段的攻击。攻击者正是利用这一点,积极开发针对这些过时产品的漏洞利用工具,以实现对目标网络的入侵。例如,攻击者通过利用Cisco的CVE-2023-20198漏洞,成功入侵某大型企业的边缘设备,并以此为跳板发起横向移动攻击。因此,一些“遗产设备”成了永久性的安全风险点。
最后,安全标准和认证体系滞后。长期以来,市场对边缘设备的选择更侧重于性能和成本,对于安全要求相对较低,市场上的标准缺乏针对不同安全场景的安全分级标准和认证机制,导致高安全场景下设备的安全能力难以满足高安全要求。而高安全场景中存在大量边缘设备,形成了较为庞大的存量安全风险。
三、国外应对网络边缘设备安全风险的策略
国外相关国家已经注意到边缘设备的安全问题。2025年2月4日,英国、澳大利亚、加拿大、新西兰和美国的网络安全机构联合发布指导文件,包括《网络设备和器具生产商的数字取证和保护监测规范指南》《边缘设备的安全注意事项(ITSM.80.101)》,呼吁边缘设备制造商提高取证可视性,以帮助防御者检测攻击并调查违规行为。文件中提到,边缘设备(如防火墙、路由器、VPN网关)因缺乏端点检测与响应(EDR)解决方案、定期固件更新及强身份验证,成为国家支持和经济动机攻击者的主要目标。这些设备往往因为配置问题,日志记录有限,使其容易被利用以访问内部网络。
为解决以上问题,美国通过《关于改善国家网络安全的行政命令》(Executive Order 14028)明确要求联邦机构使用的边缘设备必须支持“零信任架构”,并强制厂商提供软件物料清单(SBOM),以增强供应链透明度。同时,美国网络安全与基础设施安全局(CISA)建立国家级漏洞披露平台(如KEV目录),要求厂商在发现高危漏洞后90天内完成修复,否则禁止政府采购相关产品。例如,2023年CISA将多款存在未修补漏洞的商用路由器和防火墙列入禁用清单,倒逼厂商提升固件安全性。
欧盟《网络与信息系统安全指令(第二版)》(NIS2指令)将边缘设备纳入关键信息基础设施保护范畴。NIS2指令明确要求能源、交通、医疗等关键行业必须对边界设备实施“默认安全配置”(Secure-by-Design)和“纵深防御”策略,并定期进行渗透测试。例如,德国要求所有接入公共网络的工业路由器必须启用强加密、关闭远程管理端口,并通过德国莱茵技术监护顾问有限公司等第三方认证。
四、加强网络边缘设备安全的对策建议
基于以上对边缘设备的风险分析,借鉴国外在处理边缘设备安全问题中的具体做法,在提升边缘设备的安全性时,应考虑以下三个因素:一是该边缘设备出厂时是否安全可靠,是否有内生的安全保护机制;二是边缘设备部署上线后配置是否合理,漏洞是否能够及时修补,边缘设备更新升级是否及时有效;三是能不能通过架构升级降低边缘设备被攻击后带来的系统性风险。基于这些因素,提出以下建议。
(一)加强网络边缘设备的内生安全能力
边缘设备在出厂时应确保具备安全性与有效性,这是生产制造商的职责。建议制造商在整个产品开发过程中要充分考虑产品自身的安全性,以“设计即安全”的理念,将安全因素纳入整个产品设计和开发过程中,以降低边缘设备漏洞出现的概率。例如,通过采用可信3.0的相关技术,构建计算部件和安全部件分离的双系统体系架构,安全部件构建完整的信任链条以保障自身可信,通过安全部件对计算部件实施主动监控,实现系统流程的可控性,通过主动运作的安全部件支撑系统安全管理。同时,加强边缘设备的内生安全监测,在边缘设备上部署轻量级的代理程序(Agent),实时监测设备的运行状态和网络流量,及时发现异常行为并进行相应的闭环处理。
借鉴美国SBOM和欧盟Secure-by-Design理念,相关部门可以出台边缘设备安全技术要求相关标准,明确默认关闭高危服务、强制使用强密码、固件签名验证、安全启动、支持安全远程更新等基线要求,并将其纳入入网许可和政府采购准入条件。
(二)强化网络边缘设备的运营维护
边缘设备制造商有发布安全配置基线的义务,企业可以在厂商安全基线的基础上结合自身业务特点,制定统一的安全配置标准。配置基线应包括账号、口令、授权、日志、通信协议、密码算法等方面的配置。例如,设定登录失败一定次数后锁定账号,边缘设备首次启用时必须修改默认密码等。在具体落地时,建议通过构建集中式安全管理平台,执行所有与安全和配置相关的任务,实现从一个控制点监控和管理整个环境中的边缘设备。这种方式还可以增强监控潜在威胁的能力,并在系统受到攻击时控制网络事件的影响范围。
企业要加强边缘设备漏洞管理,建立完善的漏洞管理机制。例如,定期自动化扫描漏洞、订阅漏洞情报并获取补丁、漏洞分级、必须修复的漏洞指定强制性的修复时间窗口等。另外,由相关部门牵头建立“边缘设备高危漏洞快速通报与处置平台”,实现“漏洞发现—厂商响应—用户修复—监管核查”的闭环管理,避免“漏洞长期挂账、风险持续暴露”。
企业应维护边缘设备的资产台账,管理这些资产的生命周期,定期审查哪些边缘设备生命周期即将达到终止日期,并计划在生命周期终止前更换这些设备。
(三)构建新型安全范式:依托网络边缘设备建设零信任架构
将零信任理念应用于边缘设备,意味着对其功能和配置方式进行根本性的重塑。
身份成为新的边界:在零信任模型中,身份(包括用户身份和设备身份)取代了互联网协议地址(IP地址),成为访问控制的核心依据。对于VPN产品意味着从传统的基于网络的远程访问VPN,转向零信任网络访问(ZTNA)。ZTNA不授予用户对整个网络的访问权限,而是基于用户的身份和上下文(如设备健康状况、地理位置、时间等),为每一次会话动态地建立一个加密的、点对点的连接,仅授予其访问特定授权应用的权限,这极大地缩小了潜在的攻击面。对于防火墙产品,这意味着策略应从基于IP的规则,转向基于身份的策略。通过与身份和访问管理(IAM)系统深度集成,防火墙可以根据发出请求的用户或设备身份来动态执行访问控制策略。
微分段(Micro-segmentation):零信任强调通过精细化的网络隔离来阻止威胁的横向移动。防火墙和路由器等设备是实现微分段的关键执行点,它们可以将网络划分为许多微小的、独立的“安全区”,甚至可以为单个工作负载或应用创建一个专属的网段。这些设备在不同网段之间强制执行严格的访问控制策略,确保即使一个网段被攻破,威胁也无法轻易扩散到其他区域。
(四)加强产业引导与行业合作
制定边缘设备的安全分级标准。建议产业相关组织制定边缘设备的安全分级标准并开展评测,推动高安全场景采购高安全级别产品。在金融、能源等行业试点“边缘设备安全加固工程”,要求核心边缘设备部署内生安全、设备统一管理和零信任网关等功能,并纳入监管部门检查重点项目,提升实战防护水平。提升中小企业对于边缘设备的安全运维能力,由有关部门发布边缘设备安全配置指导手册,提供防火墙规则集、VPN部署模板、安全配置核查等免费工具包,降低安全实践门槛。
五、结 语
当前,边缘设备已成为网络攻击的主要目标之一。为保障业务安全,必须对边缘设备自身的安全性和安全防护予以充分重视和有效管理。本文系统地剖析了全球边缘设备面临的严峻安全态势,分析了边缘设备遭受攻击的原因,并提出了相关建议。边缘设备的安全保障不能仅靠技术堆砌,而需借助“标准、监管、协同、赋能”四个维度协同推进。我们应在加强顶层设计的同时,注重实际落地支撑,推动边缘设备安全模式从“被动修补”向“主动免疫”转变。
(本文刊登于《中国信息安全》杂志2026年第3期)
