互联网常见的4种web防御体系

  大多数互联网公司的业务开展都依赖互联网，所以我们这里讨论的是基于数据中心/云环境下的web安全问题。甲方安全的主要职责也是保护公司互联网业务的安全，比如业务持续性、业务数据的私密性，所以优先解决的以下问题：

  DDoS防护，保障业务的持续性，典型case就是前不久美国发生的大面积DDoS攻击，连github都挂了防拖库，保护业务数据的私密性，防止用户数据、交易数据等核心数据被窃取，典型case就是前不久京东的账户泄露防后门，防止黑客非法获取服务器权限

  最常见的防护体系就是边界防护了，从UTM到下一代防火墙、WAF都是这一体系的产物，强调御敌于国门之外，在网络边界解决安全问题。优势是部署简单，只要在网络边界部署安全设备就行了，包治百病，问题是，一旦边界被黑客突破，即可长驱直入。有人打过比方，称这种防御体系是城堡体系，防御都在城墙，防护还好，没防住敌人进城就开始屠城了。

  纵深防御体系是边界防护体系的进步，强调的是任何防御措施都不是万能的，存在一定概率黑客是可以突破防御措施的，所以纵深防御的本质就是多层防御，就好比在城堡外围建设了好几层防御，城堡自己也分外城和内城，重要内部设置还配备专职守卫，黑客死磕好几层才能接触到核心数据资产，大幅度的提升攻击成本。

  纵深防御的理念在很长一段时间内都是成功的，因为毕竟黑客攻击也有成本的，不少黑客久攻不下，就开始想其他路子了，最典型就是社工，这个是后话了。大型的传统安全厂商大多数都会有纵深防御的解决方案，在web领域至少会包含下面几层，数据库端、服务器端、网络层、网络边界。

  优点是每个产品功能定位清晰，可以不一样的品牌产品混用，攻击成本比较高，安全性较好，不足是各个产品之间缺乏协同机制，盲人摸象、各自为政，检验测试手段多是基于规则和黑白名单，对于0day以及刻意绕过防御的抱有经济、政治目的的专业黑客，攻克也只是时间问题。

  数字公司提过多次塔防体系，塔防体系我认为本质上也是纵深防御，不过比纵深防御进步的地方是强调了终端要纳入安全防御网络中并且具有自我防御能力，并且有了云的管控能力和威胁情报数据，即是后来数字公司主推的云+端+边界+联动的下一代安全体系。不过目前看数字公司基本的产品还是集中在办公网领域，安全体系重点还是在办公网而不是web生产网。

  腾讯lake2同学提出的河防体系，概念来自”捻乱止于河防”,捻军是清末的武装，主要战斗模式是游击，主力是马队，遇到正规军打得赢就打，打不赢就跑，马队跑得快，清军步兵、洋枪队根本追不上，搞得清政府很头痛。连当时刚刚打败了太平天国的天下无敌的湘军(湖南人打仗太厉害了，号称“无湘不成军”)也拿捻军没有很好的方法。后来湘军参考明末将领孙传庭对付流寇的办法，以黄河为界，在重要位置步步设防，逐步推进，把捻军赶到一个包围圈里面，再集中优势兵力逼其决战歼灭之。最终捻军被河防策略消灭。

  防方要赢就要靠一个字：“控”——把对手控制在一个可控范围，再用丰富的资源打败他。回到企业入侵防御上来，“控”的思路就是坚壁清野步步为营层层设防，让黑客即使入侵进来也是在可控的位置活动。具体落地就是要在隔离的基础上，严控办公网对生产网的访问，同时在生产网内部进行隔离的基础上进行边界防护以及检测。

  河防体系的优点是很适合数据中心用户，而且一开始业务规划就融入安全管控的公司，具有一定开发能力的公司若是打算自助建设安全体系可以借鉴，不过缺点也很明显，就是在完全云环境下，不好落地，管理成本较大，大多数网络公司如果没有足够人力、财力投入很难搞定。

  下一代web纵深防御系统是突破传统安全基于边界防护的设计理念，从网络、主机、数据库层面，依托人工智能技术和虚拟机执行技术，结合大数据、威胁情报提供全方位的web纵深防护，保护企业核心web业务不被黑产网络攻击中断，保障企业核心业务数据不被黑产窃取。

  帮助企业建立完整的web防护体系，从传统的边界防护过渡到新一代的基于预测、检测、协同、防御、响应、溯源理念的web纵深防御。威胁情报好比是积累的知识，大数据和人工智能好比是聪明的大脑，WAF、ADS、WAG好比是有效的武器，大家互相配合，实现了下一代的纵深防御，在对已知威胁有较好的防御能力外，对于未知威胁也具有一定防御能力。

  本文为36大数据独家稿件，由 兜哥谈安全 投稿至36大数据，并经由36大数据编辑发布，转载一定要活得原作者和36大数据许可，并标注来源36大数据，任何不经同意的转载均为侵权。

  转载请注明来自36大数据（：36大数据» 互联网常见的4种web防御体系返回搜狐，查看更加多