縱深防御模式是保護企業的最佳方法是沒有爭議的。但是，哪一層最重要?有人說，應用層是最為關鍵的一環，而且這種說法也有一定依據(這是未來的爭論?)。但是，我們這里考察兩個更普通的方法：網絡層與端點。

觀點1：網絡層更重要，可提供處境意識

NitroSecurity重要基礎設施市場主管Eric Knapp稱，雖然端點安全是縱深防御態勢的一個重要組成部分，但是，網絡層是最重要的，因為它能幫助消除進入服務器、主機和其它資產的入站惡意代碼，同時提供一個極好的活動監視基礎以改善我們的整體處境意識。

當網絡和主機安全都增強的時候，最終產生的安全“大塊糖”是攻擊者很難咬動的。這是重要的，因為雖然應用程序白名單和其它技術的推出顯著改善了端點安全，但是，我們的系統和設備種類太多并且相互連接太多，不能保證主機安全措施百分之百地普遍應用和百分之百地有效。端點安全防護措施中的一個薄弱環節就可能為攻擊者創造一個灘頭陣地。因此，對于網絡上的一切東西的相互連接有一個全面的觀點是重要的。

安全測驗

當然，網絡安全不是一個新技術。甚至使用單向網關(網絡層相當于應用白名單。在那里，在物理層將提供絕對的保護)，也有可能繞過一個增強的網絡外殼，暴露網絡主機的內部狀況。然而，網絡是公分母，是所有的系統、應用程序和服務的紐帶。通過適當地監視網絡，可以發現大規模的威脅。主機本身會更安全。

使用防火墻和入侵防御系統等標準的網絡安全設備的積極保護是開端。使用入侵檢測系統、網絡流量分析以及網絡行為分析工具、記錄管理和安全信息與事件管理(SIME)系統等更全面的系統實施的網絡活動監視將豐富端點保護設備和提供更廣泛的威脅檢測能力。

換句話說，基于網絡的安全不僅僅是一層防御，它是獲得處境意識的要點，向安全分析人士顯示所有這些離散的主機安全事件如何相互關聯，與重要的安全以及企業的遵守法規政策有什么關系。

當正確地使用的時候，網絡層安全信息能夠與主機上的應用白名單一起使用以便創建更好的東西。在倫敦召開的SANS研究所安全會議上首次出現的詞匯“智能名單”引進了這樣一個概念，就是使用主機上的應用程序白名單代理程序中的安全事件完成網絡安全設備的反饋回路。網絡安全設備通常根據黑名單封鎖通訊或者定義特征。這些特征告訴防火墻或者入侵防御系統我們所知道的壞東西。

當一個另日攻擊漏洞經過這些黑名單防御并且攻擊使用某些應用控制保護的主機時，這個利用安全漏洞的攻擊將被阻止并且被記錄下來細節。

但是，那個利用安全漏洞的攻擊來自哪里?它是一個內部的威脅，還是來自另一個國家的更高級的攻擊?它是如何通過網絡層安全控制的?回答這些問題的唯一的途徑是查看網絡本身，特別是查看網絡層安全事件以及網絡流信息。

當我們看到某些東西試圖在一個保護的主機上執行應用程序的惡意企圖的時候，我們能夠由直覺知道這個應用程序是惡意的并且相應地調整我們的黑名單。換句話說，我們根據從主機上獲得的情報和在網絡層的環境中進行的評估創建一個我們推斷是惡意的“智能名單”。

只有使用這種水平的自動化智能和網絡層得意識才能用網絡層安全控制檢測出最高級的攻擊并且把這些攻擊封鎖在網絡周圍。因為如果網絡讓這個攻擊進入，這個攻擊最終將找到自己的灘頭陣地：沒有很好地保護的臺式電腦、服務器、打印機或者一些其它設備。

有許多隱蔽的、變異的和高級的惡意軟件。因此，如果一個攻擊成功地登陸，它將在發現漏洞之前攻破系統。當網絡和主機安全是堅固的，攻擊者就很難咬動這個安全的大塘塊。#p#

觀點2：網絡安全完全取決于端點

Sophos技術戰略主管James Lyne稱，急劇變化的攻擊方式、漫游用戶、過多的需要保護的平臺和對更多的數據進行加密的日益增長的需求是讓端點安全成為提供安全的重要控制措施的因素。

加密因素本身就迫使人們改變思維方式。在傳輸或者數據層進行加密，基于網絡的檢測將變的不現實，使網絡設備無法做自己的工作。另一方面，端點能夠看到加密前的數據，允許對通訊進行性能檢測。

而且，在端點有更多的環境背景用于安全活動。這個因素越來越重要。目前在Sophos實驗室，我們每天看到9.5萬個單個的惡意代碼，每一秒鐘能夠發現一個新的被感染的網頁，惡意軟件的數量和質量在過去的幾年里驚人地增長。在過去的25年里一直使用的基于內容的檢測技術對于這種大量的惡意代碼正在日益失效。在端點，應用程序、數據、行為和系統健康的可見性可用于做出更準確的決策和更好的預先防御。

比較一個例子，設法識別和阻止Skype的任務(還沒有惡意代碼那樣復雜)。你在端點可以簡單地識別出Skype.exe(使用各種機制)。而要在網絡中實現這個目的，你需要解碼數據包。由于數據包有數千種格式，這個任務是很困難的。惡意代碼經常偽裝成合法通訊的其它格式。

更多的用戶還從路上訪問數據和應用程序，目前在許多情況下是使用云服務。如果這個通訊沒有回程通過企業，網絡安全就失去了過去在外圍和網絡結構上提供的可見性。因此，無論設備在什么地方都需要擁有檢查被感染的網站的URL地址等一些安全能力，即使這個設備不在網絡上的時候也要有這種能力。端點和基于云的保護能夠實現這個目的。

然而，網絡安全比端點安全更容易部署，因為企業能夠在網絡的幾個地方部署安全措施，不用在每一臺PC上部署安全措施。然而，當安全出行錯誤或者一臺設備被感染的時候，端點保護可提供清除惡意代碼和避免損失或者緩解問題的能力。這是網絡層安全做不到的。

公平地說，在端點是一個不停的戰斗，因為許多惡意軟件的設計都是要關閉端點安全軟件。從網絡監測惡意軟件沒有這個問題。好消息是：在端點的惡意軟件在試圖感染其它軟件或者撥號回家的時候能夠被監測出來。

總之，這兩種形式的安全對于防止現代的威脅都是很重要的。過去在網絡上提供的一些安全功能需要過渡到端點，以便提供有效性和兼容新的大量的漫游用戶。

相反，網絡解決方案能夠覆蓋不可能部署代理程序的設備、來訪客戶或者被惡意軟件關閉了端點軟件的系統。在網絡解決方案中，網絡級的攻擊和嗅探更容易發現。

由于有這樣大量的惡意軟件和更多的有針對性的攻擊，你運行的層次越多，你撒下的捕捉網絡犯罪分子的網就越大。在未來幾年里，許多安全傳統將受到挑戰并且被改變。但是，這兩種方法將繼續提供價值。

傳統的端點和網絡安全一直被不同的團隊當作隔離的區域。為了應對更廣泛的威脅和新的設備，讓它們配合工作以便提供更好的安全是有許多好處的。在網絡、端點和云之間共享信息毫無疑問是現代安全的發展方向。