Hybrid Mesh Firewall 是什么？

Hybrid Mesh Firewall 是什么？

Hybrid Mesh Firewall 是一款安全解决方案，旨在统一管理分布于数据中心、云和边缘位置的执行点。执行点分布范围极广，涵盖物理防火墙、虚拟防火墙、云原生防火墙和防火墙即服务 (FWaaS)，还延伸至网络交换机，以及支撑传统工作负载与现代 Kubernetes 环境的应用基础设施。安全策略可通过统一的云界面进行集中管理，并针对不同供应商的防火墙及各类环境实现统一协调。

Hybrid Mesh Firewall 的兴起：为何正当其时？

数十年来，防火墙技术一直是保障企业 IT 环境安全的基石。状态防火墙（1990-2007 年）具备基础的边界控制能力，但缺乏对应用和用户的感知，也无法检测加密流量。下一代防火墙（NGFW，2008-2024 年）填补了这些空白，引入了应用/用户感知、威胁预防以及 SSL/TLS 解密功能。

但 NGFW 也带来了新的问题：深度数据包检测 (DPI) 和 SSL/TLS 解密等功能极其消耗资源，往往造成性能瓶颈，进而导致吞吐量下降和延迟加剧。此外，其复杂性与管理难度也带来了重重挑战，在混合环境下，错误配置和分散管理的风险愈发突出。面对上述局限，加之分布式应用、AI 和零信任需求的兴起，Hybrid Mesh Firewall（2025 年至今）应需而生。它凭借分布式防火墙架构、集成式 AI 防护和 AI 智能管理，能够从容应对日趋复杂的 IT 环境，全方位守护所有连接和工作负载。

Hybrid Mesh Firewall 解决方案的主要特点

统一管理

提供集中式界面，用于定义安全策略并在所有执行点（包括第三方防火墙）之间实现协调。内置 AI 功能，不仅能加快故障排除速度，还能优化防火墙策略。

端到端网络分段

全面的零信任框架，涵盖数据中心的宏分段和微分段，以及园区、分支和 IoT 环境中基于云和身份的分段。针对不同分区、应用工作负载和进程，灵活采取从粗粒度到细粒度的分层管控策略，有效防范未经授权的横向移动。

与云原生基础设施无缝集成

提供适用于所有云的全局可视性和策略执行能力；利用云原生自动化与协调技术，在多云环境中自动完成防火墙执行点的部署、网络配置、扩展与自愈修复。

基于身份的策略

综合考量用户身份验证、角色、设备状态、行为模式和所处位置等情景信息，以此决定是否授予资源访问权限，彻底打破仅凭网络位置进行授权的传统模式。

应用漏洞防护

通过补偿性控制措施缓解应用漏洞风险，在无需立即打补丁或停机的情况下，保护应用免受已知和新型漏洞的影响。

加密流量检测

大规模检测流量，无需解密即可精准发现 TLS/SSL 会话中潜藏的威胁。

AI 模型保护

部署专项防护措施，保护 AI 模型与 API，使其免遭恶意利用。

威胁检测和响应

将现有执行点与安全信息和事件管理 (SIEM) 平台相集成，通过收集遥测数据，在不同环境中快速检测威胁并实施补救。

自动化策略生命周期

安全策略在执行之前，即可于真实运行环境中完成发现、测试与验证，而不影响应用的正常运行。持续分析策略对应用的影响，并据此进行针对性优化。

简化许可

采用与业务成果直接挂钩的许可模式，并提供高度的灵活性，让企业能够随着需求的发展，轻松获取各项新功能与创新成果。

Hybrid Mesh Firewall 助力客户攻克重重挑战

挑战：管理任务错综复杂，安全策略难以统一

过去，企业/组织往往在网络边界、云、分支机构以及容器环境中部署不同的防火墙，这直接导致了缺乏统一可视性而且策略难以统一。

解决方案：统一管理

借助 Hybrid Mesh Firewall 提供的统一管理控制台，管理员只需定义一次安全意图，策略便会在所有环境中自动同步更新，这有助于确保防护的一致性与可扩展性，同时简化运维，并有效减少配置错误。

挑战：未经授权的横向移动难以察觉

内部网络扁平化导致“一处失守，全网遭殃”，攻击者一旦突破某个节点，便能肆意横行。

解决方案：网络分段

Hybrid Mesh Firewall 解决方案可帮助企业/组织更有效地协同运用宏分段与微分段策略，从而有效防范网络内未经授权的移动。该方案对南北向及东西向流量实施精准管控，并在工作负载层面植入零信任策略，不仅能保护关键应用，还能将安全威胁控制在有限范围内。这可有效应对勒索软件及高度依赖横向移动进行攻击的高级持续性威胁 (APT) 手法。

挑战：AI 催生了前所未有的新型威胁

随着 AI 模型与应用的开发和部署，企业/组织面临新的网络攻击手段与数据隐私泄露风险。具体攻击手段包括提示词注入、AI 模型投毒和数据泄露。

解决方案：AI 应用防护

Hybrid Mesh Firewall 解决方案不仅可持续验证 AI 模型与应用，从而及时发现漏洞并缓解风险，还能直接在其各个执行点上部署原生防护措施，全方位保护 AI 模型与应用，使其免受威胁侵扰。

挑战：漏洞激增，防御左支右绌

随着高危漏洞与暴露 (CVE) 的持续增加，使得漏洞优先级排序变得困难，也增加了在补丁开发期间被利用的风险。

解决方案：漏洞利用防护

Hybrid Mesh Firewall 解决方案可帮助企业/组织合理确定 CVE 修复优先级，确保漏洞免遭恶意利用，从而为补丁开发争取宝贵的时间。

挑战：性能瓶颈与网络延迟

集中式防火墙容易形成性能瓶颈，难以跟上当今不断增长的流量需求，尤其是在 AI/ML 或物联网(IoT)数据场景下更为明显。

解决方案：分布式安全执行

分布式执行模式下，安全策略在本地以线速执行，不仅避免了回传带来的延迟，还与网络数据包处理相互独立。对于边缘计算和实时应用而言，这一点至关重要，因为云端往返往往耗时过长。

挑战：安全遥测数据缺失，暗藏监控盲区

为了实现精准告警和威胁搜索而将所有日志悉数捕获并集中汇总至 SIEM 平台，这种做法不仅效率低下，而且成本极其高昂。

解决方案：分布式联合架构

Hybrid Mesh Firewall 利用分布式智能技术进行安全监控，每个执行点都能在本地对数据进行预处理，仅将相关告警转发至中心节点，这不仅可降低 SIEM 的数据提取成本，还能提高威胁检测的效率。

Hybrid Mesh Firewall 解决方案的优势

提升性能

将分布式安全策略尽可能部署在靠近应用的位置，不仅可简化网络设计，消除性能瓶颈与延迟，还能降低成本。

降低风险

基于 AI 的威胁情报与全方位的安全防护相结合，能够拦截高级威胁、防范未经授权的横向移动、防止漏洞遭到恶意利用，并为 AI 的开发与部署保驾护航，从而有效缩小针对当前及新兴威胁的攻击面。

简化运维

借助集中管理的执行点，只需定义一次策略，即可在所有环境中一致执行。这可有效减少跨不同工具和环境管理策略所需的人工负担和开销，从而提高效率并加速实现价值。

降低总拥有成本

简单的许可模式、统一管理的执行点、基于 AI 的自动化与协调，不仅可加速实现价值，还能降低开销。

面向未来，为 AI 时代全面就绪

随着业务需求的发展灵活扩展安全功能，无需进行推倒重来式的全面替换；有效防御针对 AI 模型与应用的新型威胁。

Hybrid Mesh Firewall 常见问题解答

问：Hybrid Mesh Firewall 与下一代防火墙 (NGFW) 有何区别？
答：NGFW 倾向于在网络边界和特定分区进行集中式安全防护，在面对 Kubernetes 和 AI 应用等现代基础设施时，容易形成性能瓶颈与安全盲区。Hybrid Mesh Firewall 将执行点分散部署至整个基础设施中，涵盖数据中心、y云、容器、边缘位置、IoT 环境以及 AI 工作负载，这不仅可消除性能瓶颈，还能实现统一的策略管理。此外，Hybrid Mesh Firewall 还支持在工作负载 Agent 和交换机上执行安全策略，而不仅限于防火墙本身。

问：Hybrid Mesh Firewall 可否兼容现有的防火墙基础设施？
答：可以。Hybrid Mesh Firewall 能够统一协调不同供应商的防火墙和各类基础设施的安全策略，在充分保护现有投资的同时，将防护能力延伸到 Kubernetes 和边缘位置等全新环境。

问：Hybrid Mesh Firewall 会导致网络性能下降吗？
答：不会。Hybrid Mesh Firewall 在本地以线速进行分布式策略执行（而非将流量回传至中央设备），反而能提升性能并降低延迟，这一点对边缘计算和实时应用尤为关键。
与下一代防火墙不同，Hybrid Mesh Firewall 还能够在交换机和应用工作负载上直接执行安全策略。Hybrid Mesh Firewall 将安全控制措施部署至靠近应用的位置，使其直接在应用和工作负载的实际运行环境中生效，这可有效缓解网络边界的瓶颈，在大幅提升性能的同时，实现实时的内联威胁防护。

问：Hybrid Mesh Firewall 适用于哪些类型的企业/组织？
答：那些拥有多云、混合数据中心、物联网 (IoT) 或 AI 应用等分布式基础设施的企业/组织将获益最大。如果企业/组织面临跨环境策略不一致的难题，或者正积极部署 Kubernetes 和云工作负载等现代基础设施，该方案尤为重要。

问：Hybrid Mesh Firewall 如何保护 AI 应用？
答：Hybrid Mesh Firewall 能够为 AI 模型与 API 部署专项防护措施，有效抵御提示词注入、模型投毒以及数据泄露等传统防火墙根本无法检测的新型威胁。