本文别名：网络安全纵深防御五道防线

先看一下这张图，这是欧洲中世纪非常典型的棱堡。

棱堡

在十字军东征期间，代表基督教世界的医院骑士团占领了意大利罗德岛，在岛上修建了这样的棱堡，用7000多人抵御奥斯曼帝国，而对方，派出400艘战舰和10万人的军队发起攻击。

城堡分外城和内城，城墙设计成凹陷形状，外面还挖了壕沟，这样，不管是敌军从哪个方向进攻，守方都可以在两个面上对来犯者进行打击。

奥斯曼帝国使用火炮、挖地道、正面攻坚等方式下，两个月后，终于攻破了外墙。骑士团依靠内墙，又抵御了3个月，最后，双方由于精疲力尽，缺乏补给，谁也再耗不起，最终通过和谈方式才结束了战争。骑士团携带财产完美退出。

显然，纵深防御思维作为人类战争中最朴素的思维，在网络安全领域一样适用。但专门研究网络安全纵深防御的文章非常少见，人们通常觉得说说就可以了。

对于一个企业或单位，要构筑多少道防线，以及怎样的防线，才能抵挡中国顶尖级别的黑客团队？

我认为至少要五道。

第一道：边界防御

边界防御是最基础、最常用，也是最管用的。

一个单位，即便人力和资源再有限，也会在边界上投入的。

这其中，防火墙是最基础的。注意一点，对于比较大的单位，建议仅使用防火墙的网络封禁能力，不要使用其他那些花里胡哨的功能，这主要是从性能角度考虑，让防火墙做单一的事，其他功能让其他设备做。

防火墙封禁应尽可能做到自动化、简单化、减少误操作，使得操作员简单填入IP就可以封禁，而不需要登录防火墙操作。具体参见《如何封禁大量恶意IP》。

第二类产品是IDS/IPS，这个比较古老，而且多年来一直以海量报警而闻名，所以形象比较差，一般而言不是监控防御的主力选手。

WAF是一道防线的重要组成部分，可以抵御常见的WEB攻击，这类产品已经比较成熟，通过返回HTTP错误的形式拦截攻击。由于其自动化拦截能力，WAF是一道防线必不可少的。

K01这类产品，结合情报信息，可以实时阻断进犯IP，而且不用串接，也是很有力的工具。它通过发送TCP reset包分别到访问端和服务端，有很好的拦截效果。

还有一类工具叫“动态安全”，这类产品，可以自动识别访问者是自然人还是黑客工具。如果发现是后者，则自动阻断（返回HTTP错误），这让惯用工具的黑客非常头疼。

它的基本原理是：设备以中间人形式串接在服务端和访问端之间，当服务端返回响应页面时，设备在返回页面中插入js，要求访问端（浏览器或黑客工具）执行js并计算出token放入cookie返回，设备收到token后进行判断，判断对方是否为黑客工具并采取相应动作。

这类产品还可以对页面中的指定内容（比如页面中的url或是表单内容）做加密。虽然从理论上讲，这种加密难不倒一个意志坚定的密码学爱好者（因为客户端和服务端之间并没有实现一个完美的密钥建立机制），但对付那些熟练的渗透工具使用者已经足够。

部署时，对于HTTPS应用，这类产品应放在SSL网关之后，如果并没有SSL网关，要把服务端的证书和私钥导入产品，总之，产品要能看得见明文。

一道防线主要部署在企业边界和DMZ区。一般来说，会有这样的复杂性：入站的流量经过一层层的安全设备，在逻辑上呈现出糖葫芦状，在部署和维护时，需要清晰梳理关系和路由，比较麻烦。

使用流量编排设备，可以通过SDN技术将流量进行灵活、简单地配置，原先串接的安全设备放入安全资源池中，流量经过谁，不经过谁，先过谁，后过谁，经过一台，还是多台，都可以通过Web界面做比较容易的编排，这就轻松多了。

流量编排使得安全结构和网络拓扑解耦，在部署和维护上会带来很多便利。这篇文章《网络智能流量编排探索》很好，感兴趣可以看看。

第二道：监测响应

第二道防线的名字不太好取，我反复思考以后，将其命名为监测响应。

二道防线中的重点不是拦截，而是能准确发现正在发生的攻击，不管是从外部还是内部发起的。

像NTA、NDR，都属于这类工具，为确保安全，一个单位应至少部署两到三家这样的产品，互相弥补对方的不足：即便一家发现不了，另一家也可能发现。当然，最好的情况下，这类产品可以和防火墙联动。

很多产品仅分析访问单向来包，并不做双向的分析。WEBIDS做得比较好，它能够对http请求和响应进行综合分析，服务端是否已经被控，很有价值。

蜜罐/蜜网主要用来引诱攻击者，内网的蜜罐如果被触发，不是误触就是攻击者已经进来。通常应在各个网络区域都开启蜜罐，只要是不用的IP都放入蜜罐。可以购买专门的产品，也可以利用负载均衡的功能来设置。

抗APT工具这里不多说了，它的侧重点和优势在于发现木马。

在检测木马（包括隐蔽信道）方面，还有一种比较新的产品是加密流量检测。现在，几乎所有木马都采用了加密方式，没有私钥是无法解开分析的，这类产品可以通过特征匹配、行为识别和机器学习的方法，在不解密的情况下，分析一个加密流量是不是木马流量。

总之，这道防线的产品很多，而且往往会用到很多先进技术，但能力和易用性参差不齐，能否买到好的产品，既考验判断力，也考验运气，如果条件允许，多部署一些总是对的。

从基础设施上讲，单位最好能建设一个流量汇聚平台，该平台可以采集各个网络区域的流量，然后汇聚和处理，最终输出到需要流量的设备，这样，各类安全设备不用到处接流量，集中部署并享用流量输出就可以了。这篇文章《数据中心流量如何整合应用》就是讲这个的，有兴趣可以一看。

第三道：访问控制

基本上，内网里面的一切访问控制措施都可以认为是第三道防线。

这道防线体现一个单位的安全基本功，也体现一个单位的信息科技实力。

访问控制其实就是给攻击者处处设卡，让攻击者寸步难行。

从网络访问的角度看，网络分区，系统间的隔离，终端间的隔离，以及网络准入、DNS安全等，都是非常有效的防护手段。

从资源访问的角度看，使用虚拟桌面、堡垒机、特权管理这些工具，使得服务器、网络设备、数据库不能被随便访问，结合口令管理、认证管理（包括双因素）、审计管理（录屏取证）等，不仅防外部攻击，也防内部人员攻击。

从应用访问的角度看，通过开发安全、认证授权、加密通信、加密存储、漏洞管理等这些工作，来保障应用系统的安全性。这方面内容很多，这里不细说了。

值得一提的是，看似不起眼的口令管理，应该格外重视，很多所谓著名黑客的著名攻击，并没有什么技术含量，仅仅是口令的窃取和尝试成功而已。一个单位的口令管理应尽可能自动和严格，强制口令复杂度、强制定期修改，对于重要系统强制双因素认证（短信或动态口令）。这些看上去不难，但能做好的很少，只有很懂安全的单位才能做好这件事。

从安全的本质讲，第三道防线是最重要的。一道和二道防线在很大程度上都是在帮助三道，如果一个应用系统自身不安全，前两道防线能挡一挡，但终究是挡不住的。

如果应用系统很安全，即便没有前两道防线，攻击者也无计可施。

看过我写的《区块链安全和传统安全的区别》都知道，安全说到底，是程序的问题。

开发安全能力，是真正的实力。

第四道：端点安全

端点通常是攻击者最想拿到的据点，拿下一个机器就代表着一种胜利。

这道防线建立在服务器或用户终端上，从技术上讲，这已经是最后的防线了。

这道防线最基本的一个功能是防病毒，这里不多说了，主要说说EDR（端点检测和响应）。

EDR的重要功能是异常发现，主要是通过对主机的网络、进程、文件等资源的监控。比如通过网络监测，可以发现正在开展的网络攻击、网络扫描以及可疑的外联；通过进程监测，可以发现一些异常的进程创建和执行；通过文件监测，可以发现一些恶意文件的读写。

EDR可以对这些网络异常、进程异常、文件异常进行阻拦和处置，这在一定程度上可以防范0day攻击。

此外，通过监测日志，EDR可以发现正在开展的暴力破解；通过离线破译，可以发现常见应用的弱口令；其他如资产管理、漏洞管理等能力也很实用。

总体而言，这类产品是非常有力和有效的。

第五道：人的防线

上述这些工具，都需要人的使用和维护。人就是第五道防线。

所以你看在搞安全演习时，满满一屋子都是人（至少30、40人起）。

组织层面不多说了，大多数单位在组织层面做得都还不错，因为组织技术是通用的，一般而言，就是领导重视、层层压实、某处牵头、全局动员、资产梳理、表格完善、制定方案、安排任务、汇报进度、协调资源、各司其职、检查确认、问题发现、举一反三，落实整改，层层请示、高层决策。这和做其他工作没有什么不同，属于管理层面的技术。

但有一点，传统管理往往不太能注意到，并因此中招，这就是老生常谈的安全意识问题。

纵观网络安全攻击史，社工一直是攻击者最重要的手段。（没有之一）

一个攻击者想入侵一个单位，100%会采用社工方法，所以一定要在所有员工的意识层面建立起强大的防御能力。

一封带有木马的钓鱼邮件，如果躲过了第一层的封禁，逃过了第二层的检测，一般就会逃过第三层和第四层，那么这封邮件就展现在员工面前了，这时就靠员工的安全意识防线了。

增强员工意识的方法就是反复讲，反复说，反复培训，反复测试，看看员工是不是真的掌握了，要通过最真实的案例强化员工意识。

这个工作看上去没有什么技术含量，但如果水平不足，往往无法做好这个工作。

反社工需要和社工一样的能力：洞悉人性。

回顾

第一道防线守住大门，及时阻拦可能的攻击。

第二道防线严加监测，一旦发现有异常，立刻处置。

第三道防线坚壁清野，让攻击者即便进来也寸步难行，无门可入，或者是处处踩雷。

第四道防线坚守据点，在终端层面第一时间发现异常，然后采取行动。

第五道防线全民皆兵，各司其职，协作有力；人人不中招，不上当。

纵深防御的应用

这些年比较火的零信任架构，其实也是纵深防御思维的应用。

下图是某个零信任方案的架构图：

某厂商零信任安全架构

图中，单包认证（SPA）就是一道防线，

SDP控制器和SDP可信网关是二道防线，对用户的行为和终端的安全情况进行分析，并据此动态调整用户可访问的资源和权限。

再往右，就进入企业的内部，这里是三道防线，发挥作用的是企业的身份认证和权限管理（IAM），以及企业内部各种访问控制。

客户端上的防病毒软件，终端安全软件，是第四道防线，主机上的EDR也属于这道防线。

最后，第五道防线在人脑之中。

文｜卫剑钒

关注并回复5，获取本文PPT版本。