跳转到主要内容

纵深防御

本文约需 2 分钟阅读

纵深防御 (Defense in Depth) 是指叠加部署多重安全措施,即使某一道防御层被突破,也能由下一层拦截攻击的策略。它源自军事术语「纵深防御」,通过组合防火墙IDS/IPSWAF加密访问控制等不同种类的措施,消除单点故障。

现场使用案例

“一次绕过 WAF 的 SQL 注入攻击,被应用层的输入校验检测并拦截了。此外,借助数据库的访问控制,即使校验也被突破,其设计也能将损害限制在有限的表内。这是一个让我们切实体会到纵深防御效果的案例。”

纵深防御概念图

第 1 层:边界防御
防火墙 / WAF / DDoS 防护
第 2 层:网络防御
IDS/IPS / 网络分段 / VPN
第 3 层:应用防御
输入校验 / 认证与授权 / 安全编码
第 4 层:数据防御
加密 / 访问控制 / 备份

构成要素与设计思路

纵深防御在「物理」「网络」「主机」「应用」「数据」各层级部署措施。物理层采用出入管理和监控摄像头,网络层采用防火墙和DMZ,主机层采用 EDR 和补丁管理,应用层采用 WAF 和安全编码,数据层采用加密和访问控制。重要的是,要将各层措施设计为独立运作,使一层被突破不会波及其他层。纵深防御相关书籍 (Amazon)可供系统学习。

实务中的应用

截至 2025 年,云环境中的纵深防御正逐渐与零信任架构融合。在传统边界防御之外,结合微分段、SASE (Secure Access Service Edge) 和 CSPM (Cloud Security Posture Management) 的设计已成为主流。为每项服务使用各自独立的强密码来保护所有账户,也是认证层的重要防御要素。将零信任安全与纵深防御相结合,可构建更稳固的防御体系。安全对策相关书籍 (Amazon)也很有参考价值。

相关术语

这篇文章对您有帮助吗?

XHatena