防火墙已经不够了

防火墙守住了大门。但今天最危险的攻击者，根本不从大门进来。

大多数企业主对网络攻击的想象，是这样的：一个黑客坐在屏幕前，试图突破企业的防火墙。系统发出警报，攻击被阻止，企业安全。

这幅画面在十五年前或许还算准确。但在2025年，它只描述了极少数攻击成功的方式。

更常见的场景是这样的：攻击者通过一封钓鱼邮件、另一个平台的数据泄露事件，或者员工设备上的恶意软件，获取了一组真实的登录账号和密码。然后，他们登录了你的系统。从防火墙的角度来看，一切正常，一个持有合法凭证的用户刚刚登录。

攻击者进入之后，并不急于行动。他们安静地探索，在内网中横向移动，从一个系统穿越到另一个系统，逐步积累访问权限，摸清哪里存放着最有价值的数据。等到时机成熟，他们才发动攻击，而此时距离他们第一次登录，往往已经过去了数周甚至数月。在整个过程中，防火墙从未触发过一次警报。

这就是为什么在2025年，单独依赖一道防火墙，对于任何认真对待数字化运营的马来西亚或大中华区企业来说，都已不再是充分的安全保障。

“传统边界防御假设威胁来自外部，一旦通过了大门就可以被信任。现代攻击已经让这个假设彻底失效。每个用户、每台设备，在每一次访问时，都必须证明自己的合法性。”
— Northern Technologies Group，零信任架构报告 2025

2025年全球安全研究与行业权威告诉我们什么

全球下一代防火墙市场在2025年的规模达到64亿美元，年增速11.1%，预计到2032年将增长至134亿美元。这一市场的高速增长，不是因为传统防火墙消失了，而是因为企业越来越清楚地认识到：传统防火墙单独使用已经不够。
来源：Fortune Business Insights：下一代防火墙市场报告 2025

传统防火墙的核心局限性是结构性的。它采用的是城堡护城河模型：建立坚固的外围防线，并信任所有来自内部的流量。然而，安全研究人员记录了2024年至2025年间，利用被盗或泄露账号凭证发动的网络攻击同比增加71%。当攻击者使用合法账号密码登录时，他们不是在攻破城墙，而是拿着钥匙走进大门，防火墙对此毫无察觉。
来源：Northern Technologies Group：2025年零信任架构报告

全球顶级安全公司Zscaler对此作出了清晰的区分：传统防火墙基于IP地址、端口和协议进行基本的数据包过滤，无法检测流量内部的内容。下一代防火墙则通过深度包检测、入侵防御系统、应用感知能力和基于用户的访问控制，从根本上扩展了防护范围。它不只是问流量是否被允许，还会分析流量的实际内容，以及用户的行为是否符合预期。
来源：Zscaler：传统防火墙 vs 下一代防火墙 vs 零信任防火墙

Cybersecurity Dive汇集多家机构的威胁情报指出：AI驱动的网络攻击已经能够实时修改攻击代码，让已知漏洞在传统防火墙面前表现得如同全新的零日威胁。依赖特征库匹配来识别攻击的传统检测方式，无法应对从未以完全相同形式出现过的攻击变体。
来源：Cybersecurity Dive：下一代防火墙在AI驱动网络攻击时代的演进，2025

在中国市场，2025年IDC报告显示，以深信服、华为、Fortinet为代表的下一代防火墙头部厂商正加速向AI赋能的安全架构转型。深信服以25.3%的市场份额在2025年上半年位居中国NGFW市场第一，其核心能力在于基于千亿级攻击样本训练的AI威胁检测，可实时拦截零日漏洞和变种恶意软件，这正是传统防火墙特征库检测无法做到的。
来源：新浪财经/CSDN：2025年主流防火墙稳定性与防护能力对比

亚太区的下一代防火墙市场正以全球第二快的速度增长，2026年至2035年的年复合增长率预计达10.5%。这一趋势清楚表明：整个亚太地区的企业正在集体认识到，仅靠边界防护已经无法应对当今的网络威胁。
来源：Precedence Research：下一代防火墙市场规模 2025-2035

“AI已经从企业使用的工具，变成了攻击者手中的武器。即使是已知的漏洞，当攻击者借助AI对攻击代码进行细微修改后，也能绕过传统的特征库检测，表现得如同全新的零日威胁。”
— Cybersecurity Dive，2025

今天的攻击者绕过传统防火墙的三条路径

理解现代攻击的实际运作方式，是理解你的企业真正需要什么样的防护的第一步。

第一条路径：凭证盗用。员工的用户名和密码遭到泄露，通常员工本人毫不知情。攻击者使用这些凭证登录系统，防火墙看到的是一次正常登录，不会触发任何警报。此时，攻击者拥有了该员工能访问的所有权限，如果能进一步提升访问级别，范围还会更广。

第二条路径：横向移动。进入内网之后，攻击者不会立即奔向最敏感的数据。他们先侦察、测试，在网络内部横向穿行，从一个系统转移到另一个系统，直到锁定目标。传统防火墙保护的是外围边界，对已经进入内部的移动无能为力。配备了微分段和行为监控能力的下一代防火墙，则能在横向移动触达关键系统之前将其检测并阻断。

第三条路径：应用层攻击。现代威胁经常藏匿在合法的应用流量、加密连接和常见协议中，这些都是传统防火墙无法深度检测的内容。通过可信网站投递的恶意软件、绕过基本过滤的恶意文档附件，或伪装成普通网页浏览流量的命令与控制通信，都属于这一类别。深度包检测正是下一代防火墙捕获这类威胁的核心能力。

BIGBAND 专业建议 — 这对你的企业意味着什么

当我们审查马来西亚及大中华区企业的安全状况时，最常遇到的场景是：企业有防火墙，并且认为这意味着自己是安全的。

对于五年前主要在本地内网运营的企业，这个假设还有一定道理。网络边界清晰，系统在内部，主要的威胁是有人试图从外部突破。

今天，同一家企业已经在使用云端应用、支持远程和混合办公、连接供应商和合作伙伴的系统，并通过数字平台处理客户数据。网络边界已经不是一条清晰的线，而是向四面八方延伸的连接网络。

在这样的环境中，守住一个入口点的防火墙，无法覆盖攻击者可能接触到你数据的所有路径。真正需要的，是一套假设攻击者可能已经在里面、并对每一个用户和每一次访问持续验证的安全架构。

这就是零信任的核心原则：永不信任，始终验证。它不是不信任自己的员工，而是无论访问请求来自内部还是外部，都必须先证明合法性，才能获得权限。没有任何用户、设备或应用程序是被默认信任的。

与零信任原则配合，企业还需要一道能够深度检测流量、识别行为异常、拦截从未见过的新型威胁的下一代防火墙；需要高级威胁检测来监控内网中的横向移动；需要端点安全来保护每一台可能成为入口的设备。

这些不是只有大企业才需要的方案。BigBand以适合马来西亚中小企业和成长型企业的规模和成本，提供这套完整的防护体系。

BigBand 如何为你构建网络安全防护层

BigBand对网络安全的处理方式，和对数字基础设施其他领域一样：从你真实的风险状况出发，而不是从固定的产品清单出发。

我们评估你的网络架构、用户连接方式、关键数据的存放位置，以及你现有的安全工具能看到什么、看不到什么。然后，我们构建能够弥补这些漏洞的防护层。

下一代防火墙（Next-Generation Firewall，NGFW）
BigBand的下一代防火墙方案远超基本的流量过滤。它对进出网络的所有流量执行深度包检测，识别隐藏在合法连接中的威胁，在应用层而非仅在网络层实施访问控制，并接入实时威胁情报，持续更新对新兴攻击手法的感知能力。这是构建现代网络安全架构的基础。

高级威胁检测（Advanced Threat Detection）
高级威胁检测从内部监控你的网络。它持续监视攻击者已经进入并正在移动时的行为特征：异常的登录时间、意外的数据传输、对用户此前从未访问过的系统的访问请求，以及网络分段之间的横向移动。这些信号是防火墙看不到的，因为它们发生在初始访问被授予之后。高级威胁检测在它们演变成危机之前将其捕获。

零信任网络访问（Zero Trust Network Access）
零信任不是单一产品，而是一套BigBand帮助你在网络、应用和用户访问策略上落地的安全模型。每一次访问请求都需要验证，无论来自哪里。用户只获得其职责所需的最低访问权限，没有多余。每个会话在全程持续监控，而不只是在登录时检查一次。这套模型能大幅降低凭证泄露的影响，因为即使账号被盗，也无法访问它从未被授权触及的系统。

端点安全（Endpoint Security）
每一台连接到你网络的笔记本电脑、工作站和移动设备，都是攻击者的潜在入口。BigBand的端点安全方案确保每台设备都处于保护、监控和合规状态，无论员工是在办公室工作还是远程办公。端点安全是攻击者触达你的网络之前的最后一道防线，也是他们已经进入时最先触发检测的第一层感知。

了解更多 BigBand 网络安全解决方案：

BigBand – Next-Generation Firewall , BigBand – Advanced Threat Detection , BigBand – Endpoint Security

找出你的防火墙看不到的地方。