深度防御(Defense-in-depth)描述的是利用一系列防御机制来保护计算机网络的理念，这一系列防御机制的组织结构方式是：如果其中某一机制无法正常运行，会有另外一个可正常运行的机制替代它。本文侧重描述一个实用的利用现有技术来部署深度防御的例子，以及探索怎样将它们结合起来，从而构建一个全面、有效的企业网络安全体系。

　　环境

　　为了阐述怎样部署深度防御，我们先来考虑下面的一个普通企业信息技术体系方案。许多企业都选择使用第三方作为基础设施托管商，他们这样做是有一些原因的。通过同外部托管商合作，企业可以使传统范围和权力模式(也称为空间出租，colocation)都限制在托管商那里的一个非常安全的平台中，同时还可以自己对系统进行管理，或者从提供商那里购买功能更强大的托管服务，包括网络、系统和安全服务。这种平台通常是为托管一个企业的公共访问系统而设计的，服务范围从企业用户的邮件或文件传输，到企业的电子商务平台。

　　无论采取配置或托管部署方法，安全性都是这种平台设计中的重要组成部分。典型的为这种平台设计安全体系的方法是从网络开始的，为了便于讨论，我们假设企业将其电子商务平台托管在该工作环境中，该电子商务平台(为了讨论的方面，我们对其进行了高度的简化)包括Web层，它扮演的是各种交易的购物车或是支付途径的角色，这反过来又是通过中间设备(应用服务器)和数据库层来支持的。这种设计需要每个层面都在自己专门网络中进行管理，即虚拟局域网(VLANs)，这通常是通过使用类似防火墙一样的过滤设备分割层面来实现的，即将Web服务器设置在低安全接口处，而把中间设备和数据库层设置在高安全接口处，中间设备和数据库层不能从公共网络直接访问。在有些设计方案中，中间设备和数据库层在同样的防火墙接口处，但是在不同VLAN，这种情况下，两个层面之间就不存在网络流量过滤，除非通过开关强制执行。

　　在这种情况下防火墙可能主要也只是起到对互联网的防御作用。而我们要做的是：利用现有的安全技术，以这种环境平台为基础，实施一个深度防御战略。