在企業數字化轉型的浪潮中，企業內網安全面臨著前所未有的挑戰。盡管已部署安全防護設備，但威脅告警頻發，安全事件處置效率低下已成為安全運營中的痛點。企業在遭受安全攻擊后，往往面臨四大難題：告警量大難以找到要處置的風險事件、溯源風險終端麻煩、只在邊界阻斷風險ip治標不治本、處置過程繁瑣效率低。這些問題嚴重影響了企業內網的正常運營，甚至導致被監管部門通報。銳捷新一代 Z 系列防火墻推出”溯源“方案，將告警溯源處置時間從小時級降至秒級，處置效率大幅提升。

一、傳統溯源處置：人工跨系統跨設備操作，單個告警處理1小時

傳統溯源方案中，當防火墻收到告警信息或發現可疑威脅后，工作人員需跨系統跨設備進行繁瑣操作。具體流程為：

首先需要手動查詢防火墻、態勢感知、行為管理等多系統的安全日志和 NAT 日志，以獲取內網 IP 地址；在查詢過程中可能會遇到各產品日志時間不一致和關聯查詢復雜等問題，導致查詢困難。

其次，通過內網IP查詢認證系統，獲取用戶信息；如果沒有認證系統，則需要進一步查詢網絡設備以獲取對應的MAC地址，并根據MAC地址進行人工排查以縮小范圍。當 DHCP 發生變更時，可能會導致無法追溯到MAC信息，這進一步增加了溯源難度。

傳統方案在針對告警風險事件處置上，同樣存在諸多效率低下的問題。如：封禁風險用戶或終端存在跨系統操作效率低，操作網絡設備對技術要求高等問題。管理人員阻斷風險后，還需跨部門提醒用戶，以免因為斷網導致大量投訴事件發生，導致運維人員不敢輕易阻斷，終端風險持續通聯造成告警和擴散威脅；同時，運維人員在解決終端風險后，還需要協調開通網絡、恢復封禁的用戶或終端。這一系列動作，無疑大幅增加了運維人員的工作量。除此之外，由于風險溯源處置記錄麻煩，還導致風險處置完未留存依據，事后用戶不認賬，運營工作難以統計的難題。

據統計，在傳統的溯源+處置方式里，單個告警事件溯源處置需1小時左右，效率低下。對于運維人員來說，有限的時間內，海量告警只能挑選出一些進行處理，導致安全運營成效差。

二、銳捷 “溯源” 功能：秒級溯源，一鍵處理，提效90%

銳捷 “溯源方案” 在遇到日常高危告警運營及通報協查場景下，無需跨系統和設備，客戶僅需在網絡出口處部署一臺防火墻即可聯動主流身份認證系統和網絡設備自動溯源到人到端，并自動關聯風險對應的訪問行為及會話應用，溯源時效從小時級降至秒級。

1.自動聯動身份溯源到人 ：Z 系列防火墻聯動 SAM +、SMP+、銳捷網絡安全產品、深瀾等認證服務器，精準識別風險用戶。

2.自動聯動網絡溯源到端 ：Z 系列防火墻聯動網絡設備，通過 DHCP 報文分析或 SNMP 輪詢交換，自動溯源終端 MAC和接入位置，且適配不同網絡環境。

除了秒級溯源功能外，方案還提供智能化處置流程，用戶在找到失陷主機后，可在防火墻一鍵完成封禁準出，防止風險外溢被通報，或聯動身份系統一鍵完成封禁用戶準入，防止風險內部擴散。封禁用戶或終端后，會自動提醒到用戶被封禁的原因以及推薦殺毒軟件進行殺毒處置，用戶殺毒處置完后，自動解禁恢復業務，全流程記錄，可追溯管理。這一高效智能的溯源處置流程，不僅大大減少了運維人員的工作量，還提高了企業內網安全的響應速度和處置效率。風險運營閉環提效 90% 以上。

銳捷新一代 Z系列防火墻溯源處置功能，以網安融合、智能化、自動化為核心，通過聯動身份溯源到人、聯動網絡溯源到端，精準幫助組織實現安全威脅的秒級定位、精準溯源和高效處置。此外銳捷新一代 Z系列防火墻還具備AV、IPS、邊緣情報等實時有效防護，結合騰訊、安恒等多源情報，全方位守護客戶的邊界安全；搭配銳捷安全云，高危事件自動推送；EDN網安融合統管，助力端到端提效；身份策略隨行簡單易用和智能運維診斷、一鍵上線等優勢，為企業提供從威脅檢測、溯源處置響應和業務快速恢復的全方位安全解決方案，助力企業實現智能化、自動化的安全運營，全面守護網絡安全。