深層防御的概念伴隨我們已經好多年了——沒有上千年，也有上百年了。中世紀的城堡就從建筑角度體現了這一理念。城堡周邊都是平地，這樣一旦有來犯者，你就可以從城堡的崗哨看得清清楚楚。

城堡四周的地形不平整，目的是增加敵人進攻的難度。城堡被溝壑，尖銳的障礙物或護城河包圍。城墻高且陡峭，敵人不能直接攀上墻壁。城墻上的衛兵可以站在有利位置擊退來犯者，他們可以直接使用火攻，或者從高處直接投擲石塊等物。

[[109705]]

護城河也是防止敵人挖地道的好辦法。如果沒有護城河的話，攻擊者就可能挖地道繞過城墻，或者削弱城墻的防護力。防御者也有可能挖通向外面的地道，如果兩條地道交匯，試想，沒有人愿意陷入這樣一場黑暗的地下戰斗。

如果外墻防御失效，其他的內部城墻還能起到補充作用，防守城堡的其他部分。有些中世紀城堡有多層防御工事，所以攻擊者得突破四，五，六甚至更多層封鎖才能得手。而在城堡內部，也有很多防御措施，所以即便攻擊者突破外圍防御，仍然很難奪取最有價值的東西——皇室家族及其財富。

防御不能只是靜態的。攻擊會遭遇城堡上破壞性武器的反擊。梯子也會遭遇弓箭，長矛和石塊的打擊。有時候，衛兵們還會用滾燙的油來澆淋攻擊者。

或許，我們可以從中世紀的城堡中學到一些東西，比如：

1.不要依賴單純的安全技術。城堡不能僅僅依靠一些陷阱來抵御梯子，或是用護城河防止別人挖地道。城堡設計者要設想各種可能遭遇的攻擊形式，然后用防御策略解決問題。也就是說要使用WAF，反病毒，IDS，IPS和防火墻等來解決不同類型的攻擊。

2.使用分層防御。城堡使用了多層級的防御，以此增加攻擊者的進攻難度。所以我們可考慮使用安全的編碼技巧加固應用。使用WAF進一步保護Web應用。加固應用運行的Web服務器。加密后端數據庫。在系統上做漏洞測試，對找到的問題進行修復。使用強效登陸驗證。用反病毒軟件掃描服務器。做好安全控件計劃，備份其他安全控件，這樣就可以及們可能消除單點故障。請一個攻擊者做攻防演練。

3. 做好隔離措施。分層防御，單獨設障等都可以有效挫敗攻擊者——他們不能常勝不敗。不僅要在IT級別隔離環境，還要從安全級別做好隔離。確保每個防護對象彼此隔離，就好像把它們跟外界隔離開一樣。把敏感系統從網絡的其他部分隔離開來。內部防火墻和過濾器有助于控制攻擊者，使其無法在你的內網橫行。在隔離對象之間設立監控，可助你定位和停止反常行為。

4.改善安全性能。防御者筑起壁壘抵抗攻擊者。當攻擊者使用梯子時，防御者會向下投擲尖矛。每次當攻擊增強時，防御也隨之演變。改善安全程序的第一步就是使用可修復舊漏洞的有效補丁管理系統。當WAF這樣的技術出現時，要評估它是否能增強你的防御性能，然后繼續改善安全程序，以最大程度利用新技術。

5.別偷懶。可別坐以待斃。要觀察到底發生了什么。監控網絡環境的安全狀況，對突發事件和攻擊造成的影響做出響應。檢查系統看是否有薄弱環節。測試環境中的漏洞，保留一個可避免你暴露的主動漏洞管理程序。

在大多數案例中，網絡安全失守的結局并沒有古代城池失陷那樣慘烈。但這并不意味著我們可以輕視現代網絡攻擊的危害。所以，盡管時過境遷，但深層防御的概念仍然有效。

原文地址：http://www.securityweek.com/defense-d epth-has-always-been-valid-concept