第2章 业务网纵深防御体系建设

大多数互联网公司的业务开展都依赖互联网，所以我们这里讨论的是基于数据中心/云环境下的业务网安全问题。甲方安全的主要职责是保护公司互联网业务的安全，比如业务持续性、业务数据的私密性，所以需要优先解决以下问题：

● 抗DDoS，保障业务的持续性，典型案例就是前不久发生在美国的大面积DDoS攻击，连GitHub服务器都未能幸免于难；

● 防拖库，保护业务数据的私密性，防止用户数据、交易数据等核心数据被窃取，典型案例就是前不久某公司的账户遭到泄露；

● 防后门，防止黑客非法获取服务器权限。

本章将介绍如何建立起企业的防御体系，包括建设WAF系统、抗DDoS系统，以及比较新的应用实时防护（RASP）。

2.1 常见防御体系

业内对防御体系的划分比较多，这里列举比较常见的几种。

1．边界防御体系

最常见的防御体系是边界防护，从UTM到下一代防火墙、WAF都是这一体系的产物，这类体系强调御敌于国门之外，在网络边界解决安全问题。优势是部署简单，只要在网络边界部署安全设备就行了，似乎包治百病；但弱点也很明显，一旦边界被黑客突破，即可长驱直入。有人打过一个比方，称这种防御体系是城堡体系，防御都在城墙，防护住了还好，没防住就只能让敌人进城屠城了。

2．纵深防御体系

纵深防御体系是对边界防御体系的改进，强调的是任何防御措施都不是万能的，存在黑客可以突破防御措施的概率，所以纵深防御的本质就是多层防御，就好比在城堡外围建设了好几层防御，城堡又分外城和内城，内部重要设施还配备专职守卫，黑客必须突解好几层才能接触到核心数据资产，能大大提高攻击成本。纵深防御的理念在很长一段时间内都是成功的，因为毕竟黑客攻击也有成本的，不少黑客久攻不下，就开始想其他方法了，最典型的案例就是社工，这个是后话了。大型的传统安全厂商一般都会有纵深防御的解决方案，如图2-1所示，在Web领域至少会包含下面几层，数据库端、服务器端、网络层、网络边界。优点是每个产品功能定位清晰，允许不同品牌产品混用，攻击成本较高，安全性较好，不足之处是各个产品之间缺乏协同机制，如同盲人摸象、各自为政，检测手段多是基于规则和黑白名单，对于0day以及刻意绕过防御的抱有经济、政治目的的专业黑客，攻克这种防御体系也只是时间问题。需要说明的是，完整的纵深对抗方式其实还会包括服务器内核级别检测与对抗，这部分内容已经超过本书的范围，而且实际工作中，在以上四个层面如果能有效进行检测与对抗，已经可以解决绝大部分问题了。

对应的安全产品为：

● 数据库端：数据库审计、数据库防火墙。

● 服务器端：主机IDS、服务器杀毒、内核加固类产品、主机WAF。

● 网络层：IDS、Web威胁感知、Web审计。

● 网络边界：防火墙、UTM、WAF、IPS、本地流量清洗设备。

3．河防体系

腾讯lake2提出的河防体系，概念来自“捻乱止于河防”，防御方要赢就要靠一个字：“控”，即把对手控制在一个可控范围，再用丰富的资源打败他。回到企业入侵防御上来，“控”的思路就是坚壁清野，步步为营，层层设防，让黑客即使入侵进来也是在可控的范围内活动。具体措施就是要在隔离的基础上，严格控制办公网对生产网的访问，同时在对生产网内部进行隔离的基础上进行边界防护以及检测。河防体系特别适合数据中心用户，而且从业务规划就融入安全管控的公司，对于具有一定开发能力的公司，如果打算自助建设安全体系可以参考该体系。

4．塔防体系

数字公司提过多次塔防体系，我认为塔防体系本质上也是纵深防御，不过优于纵深防御的是强调了终端要纳入安全防御网络中，具有自我防御能力，并且有了云的管控能力和威胁情报数据，即图2-2所示的数字公司主推的云+端+边界+联动的下一代安全体系。

5．下一代纵深防御体系

下一代Web纵深防御系统突破了传统基于边界防护安全的设计理念，从网络、主机、数据库层面，依托人工智能技术以及沙箱技术，结合威胁情报提供全方位的Web纵深防护，保护企业核心Web业务不被黑产网络攻击中断，保障企业核心业务数据不被黑产窃取。帮助企业建立完整的Web防护体系，从传统的边界防护过渡到新一代的基于预测、检测、协同、防御、响应、溯源理念的Web纵深防御。威胁情报好比是积累的知识，大数据和人工智能好比是聪明的大脑，WAF、SIEM、服务器安全等好比是有效的武器，大家互相配合，实现了下一代的纵深防御，在对已知威胁有较好的防御能力外，对于未知威胁也具有一定防御能力。阿里、腾讯、百度、金山、UCLOUD等都在自己的云上不同程度实现了下一代纵深防御的理念，比如阿里云的防御产品集合云盾（包括高防IP、WAF和安骑士）+检测产品集合态势感知方案，腾讯云的主机防护产品集+大禹网络安全产品集，金山的海陆空防御体系等。图2-3是下一代Web纵深防御的一种实现。