在企业数字化转型的浪潮中，企业内网安全面临着前所未有的挑战。尽管已部署安全防护设备，但威胁告警频发，安全事件处置效率低下已成为安全运营中的痛点。企业在遭受安全攻击后，往往面临四大难题：告警量大难以找到要处置的风险事件、溯源风险终端麻烦、只在边界阻断风险ip治标不治本、处置过程繁琐效率低。这些问题严重影响了企业内网的正常运营，甚至导致被监管部门通报。锐捷新一代 Z 系列防火墙推出”溯源“方案，将告警溯源处置时间从小时级降至秒级，处置效率大幅提升。

一、传统溯源处置：人工跨系统跨设备操作，单个告警处理1小时

传统溯源方案中，当防火墙收到告警信息或发现可疑威胁后，工作人员需跨系统跨设备进行繁琐操作。具体流程为：

首先需要手动查询防火墙、态势感知、行为管理等多系统的安全日志和 NAT 日志，以获取内网 IP 地址；在查询过程中可能会遇到各产品日志时间不一致和关联查询复杂等问题，导致查询困难。

其次，通过内网IP查询认证系统，获取用户信息；如果没有认证系统，则需要进一步查询网络设备以获取对应的MAC地址，并根据MAC地址进行人工排查以缩小范围。当 DHCP 发生变更时，可能会导致无法追溯到MAC信息，这进一步增加了溯源难度。

传统方案在针对告警风险事件处置上，同样存在诸多效率低下的问题。如：封禁风险用户或终端存在跨系统操作效率低，操作网络设备对技术要求高等问题。管理人员阻断风险后，还需跨部门提醒用户，以免因为断网导致大量投诉事件发生，导致运维人员不敢轻易阻断，终端风险持续通联造成告警和扩散威胁；同时，运维人员在解决终端风险后，还需要协调开通网络、恢复封禁的用户或终端。这一系列动作，无疑大幅增加了运维人员的工作量。除此之外，由于风险溯源处置记录麻烦，还导致风险处置完未留存依据，事后用户不认账，运营工作难以统计的难题。

据统计，在传统的溯源+处置方式里，单个告警事件溯源处置需1小时左右，效率低下。对于运维人员来说，有限的时间内，海量告警只能挑选出一些进行处理，导致安全运营成效差。

二、锐捷 “溯源” 功能：秒级溯源，一键处理，提效90%

锐捷 “溯源方案” 在遇到日常高危告警运营及通报协查场景下，无需跨系统和设备，客户仅需在网络出口处部署一台防火墙即可联动主流身份认证系统和网络设备自动溯源到人到端，并自动关联风险对应的访问行为及会话应用，溯源时效从小时级降至秒级。

1.自动联动身份溯源到人 ：Z 系列防火墙联动 SAM +、SMP+、锐捷网络安全产品、深澜等认证服务器，精准识别风险用户。

2.自动联动网络溯源到端 ：Z 系列防火墙联动网络设备，通过 DHCP 报文分析或 SNMP 轮询交换，自动溯源终端 MAC和接入位置，且适配不同网络环境。

除了秒级溯源功能外，方案还提供智能化处置流程，用户在找到失陷主机后，可在防火墙一键完成封禁准出，防止风险外溢被通报，或联动身份系统一键完成封禁用户准入，防止风险内部扩散。封禁用户或终端后，会自动提醒到用户被封禁的原因以及推荐杀毒软件进行杀毒处置，用户杀毒处置完后，自动解禁恢复业务，全流程记录，可追溯管理。这一高效智能的溯源处置流程，不仅大大减少了运维人员的工作量，还提高了企业内网安全的响应速度和处置效率。风险运营闭环提效 90% 以上。

锐捷新一代 Z系列防火墙溯源处置功能，以网安融合、智能化、自动化为核心，通过联动身份溯源到人、联动网络溯源到端，精准帮助组织实现安全威胁的秒级定位、精准溯源和高效处置。此外锐捷新一代 Z系列防火墙还具备AV、IPS、边缘情报等实时有效防护，结合腾讯、安恒等多源情报，全方位守护客户的边界安全；搭配锐捷安全云，高危事件自动推送；EDN网安融合统管，助力端到端提效；身份策略随行简单易用和智能运维诊断、一键上线等优势，为企业提供从威胁检测、溯源处置响应和业务快速恢复的全方位安全解决方案，助力企业实现智能化、自动化的安全运营，全面守护网络安全。