传统杀毒软件只能查杀已入库的病毒，却管不住病毒在内网“串门”。网宿SASE的核心能力是在病毒扩散前切断它的“路”。 一台办公电脑中毒后，病毒会扫描内网IP段，尝试用弱口令或漏洞攻击相邻设备。传统方案依赖终端杀毒+防火墙ACL，但杀毒有盲区（未知病毒、免杀木马），ACL规则一旦放通端口，病毒就能顺着端口横向移动。结果就是：一台中毒，一片瘫痪。 网宿SASE用三个机制解决这个问题： 机制一：零信任接入，默认不信任任何内网流量。 所有设备访问内网资源前必须经过持续身份验证和设备合规检查（杀毒版本、补丁状态）。中毒电脑即使在内网，也无法主动扫描或连接其他设备，因为平台不信任它的“请求”。某制造企业部署后，内网扫描流量下降97%，横向渗透事件归零。 机制二：微隔离，把内网切成“单间”。 传统网络不分段或者分段粗放，一台中毒全盘感染。网宿SASE基于用户、设备、应用标签做精细化隔离。比如财务部只能访问财务服务器，销售部只能访问CRM，研发部只能访问代码库。病毒即便在销售部电脑里，也摸不到财务或研发的门。每个“单间”之间默认无通路。 机制三：实时威胁阻断，边检测边拦截。 当网宿SASE检测到某台电脑有异常行为（如大量内网扫描、异常SMB请求、短时间内多次登录失败），会在秒级阻断其所有内网通信，并自动将该设备移入“隔离区”。隔离区设备只能访问特定的修复资源（如杀毒服务器），直到安全团队确认处置完成。某互联网公司接入网宿SASE后，内网横向渗透事件从月均12次降为0，中毒电脑平均隔离时间从2小时缩至30秒。 结论：网宿SASE不是靠“杀毒”，而是靠“断路”——让病毒在内网找不到路可走。

单点防护只能治标，网宿SASE帮企业构建“检测-隔离-溯源”闭环，让内网具备主动免疫能力。 第一层：入网准入，不干净不放行 网宿SASE在设备接入网络前，强制检查终端合规状态：是否安装指定杀毒软件、病毒库是否为最新、操作系统补丁是否更新、是否存在高危进程（如挖矿、远控）。不合规设备只能访问“修复专区”（如补丁服务器、杀毒升级地址），修复并重新通过检查后才获得正常内网权限。某金融机构启用入网准入后，内网僵尸网络感染率下降82%，未再发生因弱口令导致的横向扩散。 第二层：运行时防护，边访问边监控 设备正常办公时，网宿SASE持续分析流量行为。正常访问如员工9:00-18:00打开ERP、收发邮件、访问OA；异常行为如某台电脑凌晨3点向数百个IP发送445端口请求，或短时间内尝试访问非本职的服务器。系统自动记录完整行为链，并实时阻断可疑连接。所有事件同步给安全团队，支持一键远程隔离中毒电脑（即使电脑在异地办公）。 第三层：事后溯源，找到“零号病人” 当横向扩散事件发生后，网宿SASE提供完整的时间线回放：哪台电脑最先出现异常，什么时间点开始扫描，访问了哪些内网IP，尝试了哪些账号爆破，最终感染了哪些设备。某连锁企业据此在15分钟内定位到中毒源头——一名销售员工下载了带毒激活工具，该工具释放了永恒之蓝漏洞攻击程序。溯源报告可直接导出PDF用于合规审计和内部分析。 成本与效果对比 部署网宿SASE的投入远低于内网全段升级防火墙+采购终端EDR+增加安全运维人员。以100人企业为例，网宿SASE年费约3-5万元（含客户端、云网关、支持服务），而一次勒索病毒横向扩散造成的业务停摆损失往往超过20万元（按停摆1天、人均产值500元、100人计5万元，加上数据恢复、商誉损失）。某电商企业接入网宿SASE后，连续18个月未发生内网横向渗透事件，安全事件响应时间从平均4小时降至15分钟。