一、物联网安全的结构性弱点

物联网设备的安全困境源于其设计本质。首先是资源极度受限。大多数物联网设备的CPU、内存和存储仅够运行基础功能，无法部署完整的安全防护软件，甚至连TLS握手都可能造成性能瓶颈。这种约束使得设备本身几乎不具备自我保护能力。

其次是生命周期长且更新难。工业传感器、智能电表等设备的设计寿命可能长达十年，但厂商的维护周期通常只有两三年。设备固件中的漏洞一旦被发现，可能长期无法修复，成为持续暴露的"漏洞孤儿"。

第三是部署环境不可控。物联网设备分布在各种物理环境中——工厂车间、家庭住宅、户外基础设施、移动车辆。这些环境的网络条件、物理安全和运维可达性差异巨大，企业难以实施统一的安全策略和管理。

第四是协议多样性。物联网通信涉及MQTT、CoAP、LwM2M等多种专用协议，以及大量厂商私有协议。传统WAF主要面向HTTP/HTTPS，对这些物联网协议的支持普遍不足。

二、物联网攻击的典型路径

攻击者利用物联网设备的常见路径包括设备入侵作跳板。通过利用设备固件漏洞、默认密码或开放端口，攻击者控制单个物联网设备，然后利用该设备的网络访问权限，横向移动到内部系统或发起对外攻击。例如，一个被入侵的摄像头可能成为攻击企业内部服务器的跳板。

僵尸网络招募是另一大威胁。大量安全性低下的物联网设备被纳入僵尸网络，用于发动大规模DDoS攻击。这类攻击的破坏力惊人，因为物联网设备数量庞大且分布广泛，清洗难度远高于传统PC僵尸网络。

数据窃取与篡改在工业和医疗场景尤为危险。攻击者通过入侵物联网传感器，篡改温度、压力、心率等关键数据，干扰业务决策甚至直接造成物理损害。这种攻击不直接冲击IT系统，但可能引发现实世界的严重后果。

三、边缘计算架构中的WAF角色

在物联网+边缘计算的架构中，WAF的定位需要从"数据中心门卫"转变为"边缘安全节点"。由于设备本身无法自保，安全能力必须上移到设备与后端之间的某个中间层。

最自然的部署位置是边缘网关。在物联网网关或边缘服务器上部署轻量级WAF，对所有进出物联网集群的流量进行检测。这种部署模式的优点是集中管理，不需要在每个设备上安装代理；缺点是网关本身成为单点瓶颈，一旦被攻破将危及整个设备集群。

另一种思路是云边协同。边缘节点执行轻量级的初筛和缓存，将异常流量特征上报云端进行深度分析，云端更新检测规则后下发到边缘节点。这种模式平衡了实时性和分析深度，但对网络连接稳定性有依赖。

四、物联网场景WAF的特殊要求

物联网场景对WAF提出了不同于Web场景的要求。首先是协议支持能力。WAF需要原生支持MQTT、CoAP等物联网协议，能够理解主题订阅、消息载荷和QoS等级。对于私有协议，应提供可扩展的解析框架，允许用户自定义协议分析模块。

其次是极低资源占用。边缘节点的计算资源通常有限，WAF必须以轻量级形态运行，内存占用控制在MB级别，CPU开销不影响业务应用的正常运行。这可能需要WAF采用eBPF、内核模块等高效实现方式，或者支持按需加载规则子集。

第三是离线运行能力。许多物联网部署环境网络连接不稳定，边缘节点需要具备在无网络连接时独立运行的能力，依赖本地规则库进行基本检测。云端同步应在网络恢复后进行，而非实时依赖。

第四是设备身份感知。物联网场景下，通信双方通常是设备而非人类用户。WAF应支持基于设备证书、硬件指纹或MAC地址的身份识别，而非仅依赖IP或Cookie。策略应能够表达为"允许传感器A向网关B上传温度数据，但不允许其访问配置接口"。

五、企业物联网安全建设路径

企业在构建物联网安全体系时，建议遵循以下步骤。第一步是资产发现，建立完整的物联网设备清单，包括设备类型、固件版本、网络位置、通信协议和访问权限。许多企业对自身部署了多少物联网设备缺乏准确认知，这是安全管理的基础盲区。

第二步是网络分段，将物联网设备部署在独立的网络区域，通过防火墙或网关限制其对外和对内的通信范围。遵循最小权限原则，每个设备只能访问其功能所需的特定服务和端口。

第三步是边缘防护部署，在物联网网关或汇聚节点部署支持物联网协议的WAF，实施基础入侵检测、异常流量识别和协议合规检查。这是目前最务实的防护手段。

第四步是监控与响应，建立物联网设备行为的持续监控，检测异常连接模式、固件完整性变化和未知设备接入。由于物联网设备的正常行为模式通常较为固定，异常检测的准确性可以较高。

物联网的安全挑战不会随着设备智能化而自动解决，恰恰相反，每一次算力提升和连接扩展都可能引入新的攻击面。在设备自身难以自保的现实下，将安全能力前移到边缘网关是可落地的务实选择。WAF在物联网时代的进化方向，是成为能够理解机器语言、适应资源约束、支持离线运行的边缘安全组件。上海云盾WAF可部署于边缘节点，支持灵活接入物联网流量场景，帮助企业守护从边缘到云端的通信安全。