前面我們介紹過一個優(yōu)秀的安全方案應(yīng)該具備以下特點:能夠有效解決問題、用戶體驗好、高性能、低耦合、易于擴展與升級,若有沒有看過該文章的可以點《如何做好互聯(lián)網(wǎng)產(chǎn)品安全方案》訪問，關(guān)于縱深防御包含兩層含義：首先，要在各個不同層面、不同方面實施安全方案，避免出現(xiàn)疏 漏，不同安全方案之間需要相互配合，構(gòu)成一個整體;其次，要在正確的地方做正確的事情， 即：在解決根本問題的地方實施針對性的安全方案。

某礦泉水品牌曾經(jīng)在廣告中展示了一滴水的生產(chǎn)過程：經(jīng)過十多層的安全過濾，去除有害物質(zhì)， 最終得到一滴飲用水。這種多層過濾的體系，就是一種縱深防御，是有立體層次感的安全方案。

縱深防御并不是同一個安全方案要做兩遍或多遍，而是要從不同的層面、不同的角度對系 統(tǒng)做出整體的解決方案。我們常常聽到“木桶理論”這個詞，說的是一個桶能裝多少水，不是 取決于最長的那塊板，而是取決于最短的那塊板，也就是短板。設(shè)計安全方案時最怕出現(xiàn)短板，木桶的一塊塊板子，就是各種具有不同作用的安全方案，這些板子要緊密地結(jié)合在一起，才能 組成一個不漏水的木桶。

在常見的入侵案例中，大多數(shù)是利用 Web 應(yīng)用的漏洞，攻擊者先獲得一個低權(quán)限的 webshell， 然后通過低權(quán)限的 webshell 上傳更多的文件，并嘗試執(zhí)行更高權(quán)限的系統(tǒng)命令，嘗試在服務(wù)器上 提升權(quán)限為root;接下來攻擊者再進一步嘗試滲透內(nèi)網(wǎng)，比如數(shù)據(jù)庫服務(wù)器所在的網(wǎng)段。

在這類入侵案例中，如果在攻擊過程中的任何一個環(huán)節(jié)設(shè)置有效的防御措施，都有可能導(dǎo) 致入侵過程功虧一簣。但是世上沒有萬能靈藥，也沒有哪種解決方案能解決所有問題，因此南昌網(wǎng)站設(shè)計公司百恒網(wǎng)絡(luò)網(wǎng)絡(luò)安全工程師提示大家非常有必要將風(fēng)險分散到系統(tǒng)的各個層面。就入侵的防御來說，我們需要考慮的可能有 Web 應(yīng)用 安全、OS 系統(tǒng)安全、數(shù)據(jù)庫安全、網(wǎng)絡(luò)環(huán)境安全等。在這些不同層面設(shè)計的安全方案，將共 同組成整個防御體系，這也就是縱深防御的思想。

縱深防御的第二層含義，是要在正確的地方做正確的事情。如何理解呢?它要求我們深入 理解威脅的本質(zhì)，從而做出正確的應(yīng)對措施。

在 XSS 防御技術(shù)的發(fā)展過程中，曾經(jīng)出現(xiàn)過幾種不同的解決思路，直到最近幾年 XSS 的 防御思路才逐漸成熟和統(tǒng)一。

在一開始的方案中，主要是過濾一些特殊字符，比如：

<<笑傲江湖>> 會變成 笑傲江湖

尖括號被過濾掉了。

但是這種粗暴的做法常常會改變用戶原本想表達的意思，比如：

1<2 可能會變成 1 2

造成這種“烏龍”的結(jié)果就是因為沒有“在正確的地方做正確的事情”。對于 XSS 防御， 對系統(tǒng)取得的用戶輸入進行過濾其實是不太合適的，因為 XSS 真正產(chǎn)生危害的場景是在用戶 的瀏覽器上，或者說服務(wù)器端輸出的 HTML 頁面，被注入了惡意代碼。只有在拼裝 HTML 時 輸出，系統(tǒng)才能獲得 HTML 上下文的語義，才能判斷出是否存在誤殺等情況。所以“在正確

的地方做正確的事情”，也是縱深防御的一種含義——必須把防御方案放到最合適的地方去解 決。( XSS 防御的更多細節(jié)請參考“跨站腳本攻擊”一章。)

近幾年安全廠商為了迎合市場的需要，推出了一種產(chǎn)品叫 UTM，全稱是“統(tǒng)一威脅管理” (Unified Threat Management)。 UTM 幾乎集成了所有主流安全產(chǎn)品的功能，比如防火墻、VPN、 反垃圾郵件、IDS、反病毒等。UTM 的定位是當(dāng)中小企業(yè)沒有精力自己做安全方案時，可以在 一定程度上提高安全門檻。但是 UTM 并不是萬能藥，很多問題并不應(yīng)該在網(wǎng)絡(luò)層、網(wǎng)關(guān)處解 決，所以實際使用時效果未必好，它更多的是給用戶買個安心。

對于一個復(fù)雜的系統(tǒng)來說，縱深防御是構(gòu)建安全體系的必要選擇。

本文僅限內(nèi)部技術(shù)人員學(xué)習(xí)交流,不得作于其他商業(yè)用途.希望此文對廣技人員有所幫助。原創(chuàng)文章出自:南昌網(wǎng)站建設(shè)公司-百恒網(wǎng)絡(luò)http://www.gimmickmag.com/如轉(zhuǎn)載請注明出處!