全面解析互联网常见的4种web防御体系

     今天编程学习网来和大家一起探讨“互联网常见的4种web防御体系”，有需要的小伙伴，可以参考一下，希望可以帮助你解决这方面的难题。各位小伙伴一定要认真阅读哦！

问题域

　　大多数互联网公司的业务开展都依赖互联网，所以我们这里讨论的是基于数据中心/云环境下的web安全问题。甲方安全的主要职责也是保护公司互联网业务的安全，比如业务持续性、业务数据的私密性，所以优先解决的以下问题：

　　DDoS防护，保障业务的持续性，典型case就是前不久美国发生的大面积DDoS攻击，连github都挂了

　　防拖库，保护业务数据的私密性，防止用户数据、交易数据等核心数据被窃取，典型case就是前不久京东的账户泄露

　　防后门，防止黑客非法获取服务器权限

　　常见防御体系

　　业内对体系的划分比较多，这里就列举比较常见的几种

　　边界防护体系

　　最常见的防护体系就是边界防护了，从UTM到下一代防火墙、WAF都是这一体系的产物，强调御敌于国门之外，在网络边界解决安全问题。优势是部署简单，只要在网络边界部署安全设备就行了，包治百病，问题是，一旦边界被黑客突破，即可长驱直入。有人打过比方，称这种防御体系是城堡体系，防御都在城墙，防护还好，没防住敌人进城就开始屠城了。

　　纵深防御体系

　　纵深防御体系是边界防护体系的进步，强调的是任何防御措施都不是万能的，存在一定概率黑客是可以突破防御措施的，所以纵深防御的本质就是多层防御，就好比在城堡外围建设了好几层防御，城堡自己也分外城和内城，重要内部设置还配备专职守卫，黑客死磕好几层才能接触到核心数据资产，大大提高攻击成本。

　　纵深防御的理念在很长一段时间内都是成功的，因为毕竟黑客攻击也有成本的，不少黑客久攻不下，就开始想其他路子了，最典型就是社工，这个是后话了。大型的传统安全厂商一般都会有纵深防御的解决方案，在web领域至少会包含下面几层，数据库端、服务器端、网络层、网络边界。

　　优点是每个产品功能定位清晰，可以不同品牌产品混用，攻击成本较高，安全性较好，不足是各个产品之间缺乏协同机制，盲人摸象、各自为政，检测手段多是基于规则和黑白名单，对于0day以及刻意绕过防御的抱有经济、政治目的的专业黑客，攻克也只是时间问题。

　　对应的安全产品为：

　　塔防体系

　　数字公司提过多次塔防体系，塔防体系我认为本质上也是纵深防御，不过比纵深防御进步的地方是强调了终端要纳入安全防御网络中并且具有自我防御能力，并且有了云的管控能力和威胁情报数据，即是后来数字公司主推的云+端+边界+联动的下一代安全体系。不过目前看数字公司主要产品还是集中在办公网领域，安全体系重点还是在办公网而不是web生产网。

　　入侵防御系统架构的设计和测试结果

　　通过PPDR安全模型我们可以看出，防火墙和入侵检测系统都是网络安全体系中非常重要的一环。但单纯的防火墙或是入侵检测系统都不足以构成一个完整的网络安全防御体系。防火墙执行访问控制策略，阻止来自外部网络的攻击行为，为内部网络提供安全保护，可认为是PPDR中的防护环节。显然，将防火墙与入侵检测系统相结合，在防护和检测两个环节中加入响应环节，将它们有效的结合起来，协同工作，相互补充，组成一个坚实的整体，才能为网络提供充实的安全性保障。4.1防火墙及其局限性

　　防火墙(Firewall)是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列安全部件的组合。从防火墙技术来分，可以分为包过滤型和应用代理型两大类。尽管防火墙经过几代的发展，在主动性检测力面有所提高，仍然不能有效检测数据包。如果利用防火墙对数据包进行检测会导致网络效率大大降低，网络费用相应提高。

　　4.2入侵检测系统及其局限性

　　入侵检测系统(IDS，IntrusionDetectionSystem)是对防火墙有益的补充，作为一种积极主动的安全防御技术，入侵检测技术能够协助系统对付来自网络内部和外部的各种入侵攻击以及合法用户的误操作行为，尽可能的降低入侵对网络带来的危害。

　　4.3防火墙与入侵检测联动防御系统设计

　　动态的网络需要动态的安全防御措施。防火墙与入侵检测联动防御系统的流程图如图1所示。入侵检测系统积极主动的收集网络中的数据包及主机相关日志，实时监视网络状况，以发现网络中存在的入侵攻击行为，并把发现了的攻击行为传送给防火墙进行有效的拦截处理。

　　首先，防护环节实施安全策略，对网络系统实施保护;IDS检测监视网络的现行状况，发现网络中的异常状况，防火墙监督安全策略的有效实施。当发现问题时，检测转向响应环节，通过各种应急措施减小安全事故对系统带来的危害，并修正防护环节存在的缺陷，达到对防护环节的有利补充。整个系统通过不断的“防护――检测――响应――再防护”的循环往复，使得系统的安全性呈现一种螺旋上升的趋势。

　　典型的应用部署内容层包括Web类应用系统生成、处理、存储或传输的敏感信息内容，例如客户隐私信息与公司机密等。应用层特指Web应用程序，通常由HTML、Javascript、java、ASP.NET、php等语言编写而成，运行于Web服务器或应用服务器环境，并向用户浏览器提供业务功能访问界面。设备层主要包含承载Web类应用系统的服务器、网络连接设备和存储设备。例如Web服务器、应用服务器、中间件、数据库服务器、操作系统、路由器与防火墙等。网络层包括Web类应用系统的网络架构与互联网出口设计。例如安全域划分、冗余设计、边界防护等。物理层包括维护Web类应用系统的机房物理安全与访问控制等。同时入侵系统所检测的结果在一定程度上为防火墙技术的安全管理作业提供了最可靠的依据，从而将防火墙技术的智能控制访问能力得到大幅度的提升。

　　河防体系

　　腾讯lake2同学提出的河防体系，概念来自”捻乱止于河防”,捻军是清末的反政府武装，主要战斗模式是游击，主力是马队，遇到正规军打得赢就打，打不赢就跑，马队跑得快，清军步兵、洋枪队根本追不上，搞得清政府很头痛。连当时刚刚打败了太平天国的天下无敌的湘军(湖南人打仗太厉害了，号称“无湘不成军”)也拿捻军没有办法。后来湘军参考明末将领孙传庭对付流寇的办法，以黄河为界，在重要位置步步设防，逐步推进，把捻军赶到一个包围圈里面，再集中优势兵力逼其决战歼灭之。最终捻军被河防策略消灭。

　　防方要赢就要靠一个字：“控”——把对手控制在一个可控范围，再用丰富的资源打败他。回到企业入侵防御上来，“控”的思路就是坚壁清野步步为营层层设防，让黑客即使入侵进来也是在可控的位置活动。具体落地就是要在隔离的基础上，严格控制办公网对生产网的访问，同时在生产网内部进行隔离的基础上进行边界防护以及检测。

　　河防体系的优点是特别适合数据中心用户，而且一开始业务规划就融入安全管控的公司，具有一定开发能力的公司如果打算自助建设安全体系可以参考，不过缺点也很明显，就是在完全云环境下，不好落地，管理成本较大，大多数互联网公司如果没有足够人力、财力投入很难搞定。

　　下一代纵深防御体系

　　下一代web纵深防御系统是突破传统安全基于边界防护的设计理念，从网络、主机、数据库层面，依托人工智能技术以及虚拟机执行技术，结合大数据、威胁情报提供全方位的web纵深防护，保护企业核心web业务不被黑产网络攻击中断，保障企业核心业务数据不被黑产窃取。

　　帮助企业建立完整的web防护体系，从传统的边界防护过渡到新一代的基于预测、检测、协同、防御、响应、溯源理念的web纵深防御。威胁情报好比是积累的知识，大数据和人工智能好比是聪明的大脑，WAF、ADS、WAG好比是有效的武器，大家互相配合，实现了下一代的纵深防御，在对已知威胁有较好的防御能力外，对于未知威胁也具有一定防御能力。

　　下一代纵深防御原理图

     结束语：看完文章的小伙伴，应该了解“互联网常见的4种web防御体系”了吧！如果觉得自己了解的还不够透彻，还想知道更多这方面的知识，那么大家随时可以登陆编程学习网哟~ 我们一直在这里等待着你的到来。