萬兆網(wǎng)絡(luò)并不僅僅意味著網(wǎng)絡(luò)帶寬的增加，與之相匹配的業(yè)務(wù)系統(tǒng)亦隨之而變得更加復(fù)雜。萬兆安全解決方案并不是簡單的選擇相應(yīng)安全設(shè)備的萬兆型號，還會包括更為復(fù)雜的部分。拿最為常見的Web業(yè)務(wù)安全舉例，我們可以清楚的看到，隨著業(yè)務(wù)系統(tǒng)的復(fù)雜化，安全防護(hù)措施也在不斷完善。

單一技術(shù)對抗簡單的攻擊手段的時期

這個時期，由于Web威脅行為的危害程度不是非常高，調(diào)整網(wǎng)絡(luò)結(jié)構(gòu)或者是部署WAF產(chǎn)品，都可以在很大程度上解決Web威脅相關(guān)問題。其主要的手段有以下兩種：

1.通過設(shè)置DMZ區(qū)來防御Web威脅

DMZ是為了解決安裝防火墻后外部網(wǎng)絡(luò)不能訪問內(nèi)部網(wǎng)絡(luò)服務(wù)器的問題，而設(shè)立的一個非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)，這個緩沖區(qū)位于企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的小網(wǎng)絡(luò)區(qū)域內(nèi)，在這個小網(wǎng)絡(luò)區(qū)域內(nèi)可以放置一些必須公開的服務(wù)器設(shè)施，如企業(yè)Web業(yè)務(wù)系統(tǒng)以及其他對外提供服務(wù)的業(yè)務(wù)系統(tǒng)。將Web業(yè)務(wù)放置在DMZ區(qū)，可以避免承載重要數(shù)據(jù)的服務(wù)器直接面對來自互聯(lián)網(wǎng)的攻擊，起到緩沖的作用。

2.通過部署WAF產(chǎn)品來抵御Web威脅

隨著攻擊技術(shù)的發(fā)展，尤其是注入技術(shù)的出現(xiàn)，DMZ已經(jīng)不能起到安全防護(hù)的作用了，攻擊者可以通過最為正常不過的HTTP協(xié)議，攻陷Web業(yè)務(wù)前臺系統(tǒng)，從而直接對后臺數(shù)據(jù)進(jìn)行訪問或者是篡改。于是出現(xiàn)了用于抵御應(yīng)用層攻擊的WAF類產(chǎn)品，對Web業(yè)務(wù)前臺系統(tǒng)的漏洞進(jìn)行封堵，藉此來防護(hù)Web業(yè)務(wù)系統(tǒng)的安全。

多技術(shù)組合對抗復(fù)雜攻擊手段的時期

這個時期，網(wǎng)絡(luò)帶寬、應(yīng)用業(yè)務(wù)的復(fù)雜度都進(jìn)入了一個新的階段。Web業(yè)務(wù)資產(chǎn)價(jià)值的提升、Web威脅行為的危害程度升級，都進(jìn)一步加大了Web業(yè)務(wù)的風(fēng)險(xiǎn)值。這個時期對Web威脅的防御，不能僅僅考慮Web業(yè)務(wù)本身，而應(yīng)當(dāng)擴(kuò)展到全業(yè)務(wù)流程中去。

仔細(xì)審視大流量環(huán)境下的Web業(yè)務(wù)系統(tǒng)，我們可以發(fā)現(xiàn)安全風(fēng)險(xiǎn)點(diǎn)不僅僅存在于網(wǎng)絡(luò)的出口。由于業(yè)務(wù)系統(tǒng)的龐雜，各個節(jié)點(diǎn)都可能存在安全隱患。

1.網(wǎng)絡(luò)出入口的安全隱患

分布式拒絕服務(wù)攻擊（DDoS）。意大利政府網(wǎng)站、墨西哥政府網(wǎng)站、CIA網(wǎng)站都是DDoS攻擊的受害者。

數(shù)據(jù)竊取和頁面篡改。今年，某黑客組織曾攻陷了數(shù)百個政府機(jī)關(guān)網(wǎng)站并篡改其網(wǎng)站頁面。后來，該黑客組織還公布了1.7G的竊取自美國司法部的數(shù)據(jù)。

2.后臺數(shù)據(jù)庫的安全隱患

數(shù)據(jù)庫的越權(quán)訪問。對于大型Web業(yè)務(wù)系統(tǒng)而言，后臺數(shù)據(jù)庫服務(wù)器的維護(hù)者往往采用另外的維護(hù)入口進(jìn)行數(shù)據(jù)庫相關(guān)維護(hù)，擁有數(shù)據(jù)庫訪問權(quán)限的維護(hù)人員的越權(quán)操作，將影響Web業(yè)務(wù)系統(tǒng)的正常運(yùn)行。

敏感信息泄露。除了可能存在的越權(quán)數(shù)據(jù)庫訪問之外，運(yùn)維人員所使用的PC上往往存放著一些重要的信息，如數(shù)據(jù)庫表結(jié)構(gòu)、管理員密碼等。這些信息也存在通過IM或者是郵件、U盤等泄露的可能。

一個面對復(fù)雜Web業(yè)務(wù)系統(tǒng)的安全解決方案，需要考慮到上面所提到的所有問題。同時，結(jié)合信息安全體系中經(jīng)典的PDR模型，還需要同時考慮到檢測、防護(hù)和響應(yīng)三個方面。

以國內(nèi)信息安全領(lǐng)軍企業(yè)啟明星辰的產(chǎn)品為例，通過將萬兆WAF、萬兆流量清洗與抗拒絕服務(wù)產(chǎn)品（ADM）和其他安全產(chǎn)品進(jìn)行組合，能夠提供全面的Web應(yīng)用安全解決方案。在網(wǎng)絡(luò)出入口部署WAF、流量清洗與抗拒絕服務(wù)產(chǎn)品進(jìn)行防御；在網(wǎng)絡(luò)內(nèi)部部署堡壘機(jī)及數(shù)據(jù)防泄密（DLP）產(chǎn)品，降低由于內(nèi)部運(yùn)維人員的違規(guī)操作帶來的安全風(fēng)險(xiǎn)，同時還提供針對業(yè)務(wù)系統(tǒng)的漏洞掃描產(chǎn)品，以提前發(fā)現(xiàn)安全隱患。而PDR模型中的響應(yīng)部分，大型Web業(yè)務(wù)系統(tǒng)需要建立安全應(yīng)急響應(yīng)規(guī)范及隊(duì)伍，以應(yīng)對緊急情況下的應(yīng)急處理。

從上面的例子可以看出，萬兆網(wǎng)絡(luò)的安全問題并不只與帶寬相關(guān)，帶寬的變化同時也帶來了業(yè)務(wù)復(fù)雜度的增加，從而對安全提出了更高的要求。當(dāng)然，帶來變化的不僅僅有帶寬，無線、IPV6、云計(jì)算、BYOD（自帶設(shè)備辦公）、SCADA，這些業(yè)務(wù)模式的變化都引發(fā)了安全狀況變化。為了適應(yīng)這種變化，安全防護(hù)手段亦需隨之而變。