為了應對日益復雜的惡意行為和惡意軟件，分層安全策略在不久之前變得相當受歡迎，而且現(xiàn)在已經(jīng)深入人心，成為整個行業(yè)保護企業(yè)網(wǎng)絡最好的實踐方式。從直觀的角度來看，它似乎在網(wǎng)絡內(nèi)部署了多臺安全設備，每一臺都有其自身的防御載體，提供一種具有重復性、在幾個不同層次上都有意義的網(wǎng)絡防御。

比如，如果一個組織部署了一個防火墻、入侵防御系統(tǒng)(IPS)和端點保護(EPP)系統(tǒng)，組織會認為這些產(chǎn)品可以通過其不同的功能組合提供更強大的保護：在網(wǎng)絡外部，防火墻會檢查惡意URL、IP地址和其他類似可以在訪問控制列表中容易驗證的指標傳入的數(shù)據(jù)包。數(shù)據(jù)包如果通過防火墻，IPS系統(tǒng)會檢查數(shù)據(jù)包的內(nèi)容和頭信息，如果任意數(shù)據(jù)包內(nèi)容被視為符合IPS簽名列表的惡意內(nèi)容，這個數(shù)據(jù)包就會被丟棄或阻止。最后，在網(wǎng)絡中EPP系統(tǒng)駐扎在每個終端設備上，作為防御惡意代碼的最后一道防御線，對抗可能通過防火墻和IPS的惡意代碼。

給定的數(shù)據(jù)包通過網(wǎng)絡的每一個節(jié)點時，都需要接受為了保護網(wǎng)絡而日益侵入性的檢查。安全管理員都感到欣慰，覺得只有最復雜的惡意編碼可以成功滲透安全設備的幾層防御。然而，NSS實驗室的獨立安全測試人員發(fā)布的一份報告質(zhì)疑部署分層安全方法會增強企業(yè)網(wǎng)絡安全。

在報告中關于入侵偵測故障的部分，NSS實驗室決定測試37種不同的安全設備，包括來自24家安全廠商提供的解決1711種已知漏洞的防火墻、下一代防火墻(NGFW)、IPS和EPP設備。所選擇的攻擊已知感染過超過200多種軟件供應商，包括來自微軟、蘋果和思科的產(chǎn)品。NSS實驗室為了確定對于檢測漏洞的最佳配對，測試了各種設備的不同組合。對于分層安全策略的潛在故障，結果提供了一個有趣的答案。

測試的606種不同組合中，只有19種成功阻止了所有入侵企圖，值得注意的是，沒有一種單獨進行測試的設備能夠阻止所有的惡意企圖。至于哪些產(chǎn)品一起工作是最佳搭配，NSS實驗室發(fā)現(xiàn)NGFW 和IPS的組合比任意EPP系統(tǒng)組合都能更有效地阻止已知的攻擊。例如，任意NGFW-IPS組合平均故障率約為0.8%，而任意EPP組合平均故障率是驚人的26%.單單這些結果表明，如果不將一些內(nèi)嵌的安全設備搭配起來，僅僅只是部署端點防護是不夠安全的方法。

那么，組織應該采取或計劃采取怎樣的分層安全方法來應對這個報告？首先，企業(yè)應該重視報告的具體內(nèi)容。例如，應當注意到，沒有任何安全裝置可以僅僅憑借自身來檢測到所有直接的微軟相關攻擊。以微軟為中心的組織決定部署安全設備組合時，應該認識到這個事實。

該報告提供了大量關于各種設備組合的性能詳情，我建議至少通讀整個報告，然后采用其中關于您的組織所使用的產(chǎn)品或供應商的性能內(nèi)容。蘋果對蘋果產(chǎn)品的比較可能并不太合適，但是數(shù)據(jù)可能會凸顯你的產(chǎn)品表現(xiàn)不佳的狀況以及怎樣將產(chǎn)品和其他技術結合起來可以提高你的分層安全。例如，一個特別的組合：Sourcefire 3D 8250 IPS和Stonesoft 1301 NGFWs，在我心目中脫穎而出，因為它在測試過程中的阻攔表現(xiàn)非常好。盡管如此，某些產(chǎn)品可能適合一個組織，但不一定會適合另一個組織。

為此，每一個組織考慮或部署分層安全方式時，最好考慮到自身的威脅狀況和安全要求，然后按照NSS實驗室的方法自行進行測試。這將為每個組織提供特定的結果組合，并能產(chǎn)生一個更清晰的畫面，告訴組織哪些產(chǎn)品可以提供最佳的性能。

最后，部署分層安全策略時如果不考慮到設備組合，其實很有可能導致災難性的后果。雖然會有故障可能性，但是對于攻擊者帶來的許多問題，分層網(wǎng)絡安全仍舊可以像當前任意方法一樣提供極有說服力的解決方法。為了確保使用分層安全策略可以帶來更好的效果，在部署設備之前，安全管理員應該深入研究不同廠商的設備組合，上述NSS實驗室報告就是這個過程一個明智的開始。