文章总结： 本文介绍了某企业在面临告警淹没、加密流量检测盲区及封禁性能不足等安全困境时，部署微步在线威胁防御系统OneSIG的案例。该方案实现了检测拦截一体化，测试期间拦截攻击1500万次且零误封，加密流量检测率达100%，告警降噪95%，有效提升了安全运营效率与边界防护能力，解决了传统多设备堆叠成本高、效果差的问题。 综合评分： 55 文章分类： 产品介绍,软文广告,安全建设,解决方案

1500万次攻击，0误封！

原创

ThreatBook ThreatBook

微步在线

2026年3月10日 18:08 北京

半年多前，这家不算太大的企业，每天有上千条告警丢弃不看，加密流量检测率却不到30%，导致漏掉许多攻击；但在最近的4个月里，他们每天需要处理的告警，已降至100出头，加密流量检测率却提升至100%。

巨大变化的背后，是「1500万次攻击在边界被自动拦截，而且没有误封」。这是如何做到的？

NGFW+WAF的组合，不尽如意

此前，尽管防火墙（含防病毒、IPS模块）、WAF共同构成了边界防线，却无法解决四个核心问题。

日均2000条告警，60%以上被迫放弃。在网络边界，由于规则库、情报库老旧且更新过慢，面对自动化、快速迭代的工具，绝大多数攻击可直达服务器，导致态感平台平均每天产生约2000条告警，60%以上没有时间处理，有些攻击就错过了。

“这里还有很多是误报，所以基本上都是人工研判之后，再联动防火墙进行封禁。”安全团队负责人表示，对他们而言，1分钟发现告警，3分钟研判并下发封禁策略，5分钟策略生效，这个空窗期足够攻击者完成很多事情。

技术受限，加密流量检测率不足30%。为满足密评要求，企业OA、ERP、门户网站等核心业务系统，均使用HTTPS加密，剩余关键业务也在逐步进行HTTPS改造。

但问题来了，加密流量形成了一个巨大的检测盲区：尽管防火墙具备解密能力，但由于技术原因，只能选择其中一个业务系统进行流量解密，导致加密流量检测率，不到全部加密流量的30%。

黑灰产投毒，缺乏事前防控机制。由于缺乏对恶意站点的过滤机制，企业内互联网终端可以随意访问钓鱼等非法站点，感染远控木马、挖矿、僵尸程序的事件时有发生，各分支职场也发生过数次银狐拉群事件，并横向感染总部电脑。

尽管办公终端全量部署了防病毒软件，但能够“落地杀”的次数屈指可数。

一旦建立C2，防火墙又识别不了恶意域名进行拦截，企业经常在收到上级单位通报后，经过反复排查才能定位到失陷主机，压力非常大。

封禁性能受限，攻防演练期间明显丢包。在攻防演练期间，安全团队往往平均每周，需要封禁3万+黑名单。

根据网络团队反馈，一旦持续时间超过两周，黑名单写入过多，就会明显影响防火墙性能，并伴随丢包现象频繁出现，被内部同事投诉，几乎是家常便饭。

成本、效率、价值难以平衡

虽说问题不少，但其实每个问题单独解决起来都不算太难。比如针对海量告警，可以通过威胁情报平台，利用情报碰撞实现降噪；降噪后的告警，就可配置SOAR自动化响应剧本；针对加密流量，可以部署SSLO进行统一卸载；针对封禁性能不足，可以异构部署高性能阻断器……

但合起来，怎么搞？对于这个规模不大、但却拥有100多个分支职场和营业网点的多分支企业而言，把这些设备都部署一遍，成本实在太高，对基础设施的改造难度也相当大，几乎没办法推进下去。

既要降噪，又要解密，还得自动化封堵，那基本上只有华山一条路：在网络边界进行增强，完成解密的同时，对检测到的所有攻击自动化拦截。

经过反复对比，企业选择了微步威胁防御系统OneSIG，串行在总部互联网出口最外侧，接入所有南北向流量，后续依次是防火墙、WAF。

一步落地：解密即检测、检测即拦截

作为即插即用的“检测拦截一体化”安全网关，OneSIG从机房上架到完成配置，也就小半天时间，但在4个月正式测试期间，效果远超预期。

第一，自动拦截1500+万入站攻击，0误封。经过一段时间的“仅检测，不拦截”试运行后，安全团队开启了所有策略的自动拦截功能，并将所有分支出口、DNS、CDN节点等关键IP，加入防误封列表。

期间，OneSIG共检出、拦截各类入站攻击近1500万次（含加密攻击和黑名单），期间未出现误封，没有接到一起“业务或访问中断”的投诉。

第二，告警降噪幅度达95%左右。由于绝大多数攻击被OneSIG自动拦截，部署在后方的防火墙、WAF告警几乎归零，态感告警量则降至日均100条出头，降噪幅度达95%。

第三，100%解密，检出加密攻击13.8万次。在导入全部SSL证书之后，OneSIG即可根据业务流量自动选择对应证书，实现入站加密流量100%解密。

4个月时间，OneSIG共检出加密攻击近13.8万次并全部自动拦截，后续HTTPS改造业务也只需导入证书即可解密检测。

第四，封禁超过10万条黑名单，性能无影响。在持续近1个月的某次攻防演练期间，安全团队累计添加10.3万条黑名单，其中包括约1万条高可信攻击队IP。与此同时，OneSIG未出现异常丢包，也没有增加网络访问延迟。

第五，阻断600+恶意出网请求。在开启联网权限后，OneSIG即可实时更新最新的IOC情报。由于分支机构也需要经过总部进行DNS查询，因此可对全网DNS进行统一防护。

基于情报检测，OneSIG共阻断653起恶意出网请求并定位终端，包括访问WPS、Chrome等仿冒钓鱼网站，以及银狐、XRed恶意软件反连，其中约有一半在其他设备上没有检出。

总结

经过4个月的测试期间，这家企业利用OneSIG实现了五个小目标：

● 网络攻击检测即拦截，响应效率提升至实时；

● 态感降噪95%，大幅降低人工分析的告警数量；

● 100%的流量解密，消除了网络安全的不可见性；

● 上网行为安全防护，避免访问钓鱼、诈骗等恶意站点；

● 百万级高性能并发封禁，对性能毫无影响。

用企业CISO的话说，我们也没想到，OneSIG的各个功能都非常契合我们的需求，帮助我们解决了许多安全问题，一个设备帮我们解决了好多问题，而且设备稳定性和性能都完全没问题。

所以，一台设备=高性能解密+告警降噪+自动防御+失陷拦截+……不想试试吗？

联系微步

扫码即刻沟通试用

↓↓↓

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：微步在线 ThreatBook ThreatBook《1500万次攻击，0误封！》