深層防御的概念伴隨我們已經(jīng)好多年了——沒有上千年，也有上百年了。中世紀(jì)的城堡就從建筑角度體現(xiàn)了這一理念。城堡周邊都是平地，這樣一旦有來犯者，你就可以從城堡的崗哨看得清清楚楚。

城堡四周的地形不平整，目的是增加敵人進(jìn)攻的難度。城堡被溝壑，尖銳的障礙物或護(hù)城河包圍。城墻高且陡峭，敵人不能直接攀上墻壁。城墻上的衛(wèi)兵可以站在有利位置擊退來犯者，他們可以直接使用火攻，或者從高處直接投擲石塊等物。

[[109705]]

護(hù)城河也是防止敵人挖地道的好辦法。如果沒有護(hù)城河的話，攻擊者就可能挖地道繞過城墻，或者削弱城墻的防護(hù)力。防御者也有可能挖通向外面的地道，如果兩條地道交匯，試想，沒有人愿意陷入這樣一場黑暗的地下戰(zhàn)斗。

如果外墻防御失效，其他的內(nèi)部城墻還能起到補(bǔ)充作用，防守城堡的其他部分。有些中世紀(jì)城堡有多層防御工事，所以攻擊者得突破四，五，六甚至更多層封鎖才能得手。而在城堡內(nèi)部，也有很多防御措施，所以即便攻擊者突破外圍防御，仍然很難奪取最有價(jià)值的東西——皇室家族及其財(cái)富。

防御不能只是靜態(tài)的。攻擊會遭遇城堡上破壞性武器的反擊。梯子也會遭遇弓箭，長矛和石塊的打擊。有時候，衛(wèi)兵們還會用滾燙的油來澆淋攻擊者。

或許，我們可以從中世紀(jì)的城堡中學(xué)到一些東西，比如：

1.不要依賴單純的安全技術(shù)。城堡不能僅僅依靠一些陷阱來抵御梯子，或是用護(hù)城河防止別人挖地道。城堡設(shè)計(jì)者要設(shè)想各種可能遭遇的攻擊形式，然后用防御策略解決問題。也就是說要使用WAF，反病毒，IDS，IPS和防火墻等來解決不同類型的攻擊。

2.使用分層防御。城堡使用了多層級的防御，以此增加攻擊者的進(jìn)攻難度。所以我們可考慮使用安全的編碼技巧加固應(yīng)用。使用WAF進(jìn)一步保護(hù)Web應(yīng)用。加固應(yīng)用運(yùn)行的Web服務(wù)器。加密后端數(shù)據(jù)庫。在系統(tǒng)上做漏洞測試，對找到的問題進(jìn)行修復(fù)。使用強(qiáng)效登陸驗(yàn)證。用反病毒軟件掃描服務(wù)器。做好安全控件計(jì)劃，備份其他安全控件，這樣就可以及們可能消除單點(diǎn)故障。請一個攻擊者做攻防演練。

3. 做好隔離措施。分層防御，單獨(dú)設(shè)障等都可以有效挫敗攻擊者——他們不能常勝不敗。不僅要在IT級別隔離環(huán)境，還要從安全級別做好隔離。確保每個防護(hù)對象彼此隔離，就好像把它們跟外界隔離開一樣。把敏感系統(tǒng)從網(wǎng)絡(luò)的其他部分隔離開來。內(nèi)部防火墻和過濾器有助于控制攻擊者，使其無法在你的內(nèi)網(wǎng)橫行。在隔離對象之間設(shè)立監(jiān)控，可助你定位和停止反常行為。

4.改善安全性能。防御者筑起壁壘抵抗攻擊者。當(dāng)攻擊者使用梯子時，防御者會向下投擲尖矛。每次當(dāng)攻擊增強(qiáng)時，防御也隨之演變。改善安全程序的第一步就是使用可修復(fù)舊漏洞的有效補(bǔ)丁管理系統(tǒng)。當(dāng)WAF這樣的技術(shù)出現(xiàn)時，要評估它是否能增強(qiáng)你的防御性能，然后繼續(xù)改善安全程序，以最大程度利用新技術(shù)。

5.別偷懶。可別坐以待斃。要觀察到底發(fā)生了什么。監(jiān)控網(wǎng)絡(luò)環(huán)境的安全狀況，對突發(fā)事件和攻擊造成的影響做出響應(yīng)。檢查系統(tǒng)看是否有薄弱環(huán)節(jié)。測試環(huán)境中的漏洞，保留一個可避免你暴露的主動漏洞管理程序。

在大多數(shù)案例中，網(wǎng)絡(luò)安全失守的結(jié)局并沒有古代城池失陷那樣慘烈。但這并不意味著我們可以輕視現(xiàn)代網(wǎng)絡(luò)攻擊的危害。所以，盡管時過境遷，但深層防御的概念仍然有效。

原文地址：http://www.securityweek.com/defense-d epth-has-always-been-valid-concept