实用深度防御

　　我采取一种“厨房水槽”方式来实施如上所述的环境的安全保障工作，用这种方式，每一部分能够独立于其它部分单独实施，并且能随每个企业的特定具体要求而定。

　　深度防御刚开始可能面临的难题是由提供商所提供的网络基础设施中的企业平台外部强制引起的。这种技术组件负责保护平台不受分布式拒绝服务(DDoS)攻击，而DDoS攻击缓解技术通常由两部分组成：第一部分负责通过监控正常传输流中存在的异样来检测攻击，第二部分负责通过已知的传输行为方式来缓解这种攻击(例如威胁管理系统，即TMS)。

　　DDoS保护是通过近乎即时传输分流来实现的，这种分流采用从核心路由设备到DDoS清理中心(TMS)的边界网关协议(BGP)。最有效的DDoS攻击缓解方法是通过提供商的基础设备(上游)来实现的，因此链接饱和与增加带宽花费的风险就降低了。

　　虽然防火墙在防御某些网络威胁时是有效的，但在一些端口对互联网HTTP(80//TCP)和HTTPS(443/TCP)开放的托管平台里，防火墙的效果就降低了。在这种平台环境中，再加入一个网络应用防火墙(WAF)以形成一个增强的防火墙体系，这是一个不错的想法。

　　WAF主要为保护平台免受一些特定应用型攻击服务，如跨站点脚本(XSS)、结构化查询语言(SQL)注入和参数的篡改。这些设备通常是在托管平台内沿防火墙到核心网关之间的途径配置的，在那里，WAF起一个桥接设备的作用，具有阻止与已知应用层的攻击媒介相匹配的攻击的能力，同时，它也可以在硬件故障时使打开命令不能执行，这样可以保证传输继续流到网络服务器处。一些WAF供应商还提供数据库监控和保护功能，能够处理针对数据库的威胁，保护是通过代理实施，并安装在托管数据库实例的服务器上的。

　　由于WAFs通常侧重于来自应用层的攻击，它们在阻止类似网络蠕虫这样的以网络为中心的攻击时，效率是有限的。WAF可以用来与入侵防御系统(IPS)配合，这种方式的侧重点是利用基于签名的网络层缓解措施，从而弥补这方面的不足。这些设备可以作为能够与内嵌防火墙集成的模块，在那里即使威胁离开防火墙也能被阻止。

　　当我们越靠近服务器平台，对深度防御来说，防止恶意威胁与文件系统监控就变得至关重要。这可以通过主流杀毒反恶意软件产品和内容完整性监控系统(CIMS)的结合使用来实现，从而实时跟踪并对文件系统的变化发出警报。

　　将所有这一系列捆绑起来就形成了一个集中的日志管理系统，除了具有传统的服务器日志功能之外，它还可以储存来自每个安全组件的工作记录。日志管理系统(LMS)除了可以为从各个安全组件查询记录数据提供灵活的搜索界面之外，还可以在预先设定的事件过滤器上产生实时警报。另外，一系列以日志管理为基础的产品，称为安全信息和事件管理(SIEM)系统，也可以被用在日志管理系统(LMS)上，SIEM通过提供智能威胁分析和威胁缓解功能而扩展了LMS的功能。

　　组合

　　正如你所看到的，从提供商的基础设备DDoS攻击缓解开始，到防火墙和IPS技术对网络的保护，到WAF对应用层的保护，再到CIMS对文件系统完整性的保护，最后到LMS起到储存来自各个安全组件和服务器组件日志信息的作用，我们已经确定了一种具体的、可用于保护企业托管平台每个组件的安全技术。通过实施深度防御，或者只实施其中的部分组件(如LMS)，你的企业将逐步进入一个灵活的、可以提供实时安全威胁监控的安全平台。