深层防御的概念伴随我们已良多多少年了——没有上千年，也有上百年了。中世纪的城堡就从建筑角度表现了这一理念。城堡周边都是平地，如许一旦有来犯者，你便可以从城堡的岗哨看得清清晰楚。

　　城堡周围的地形不服整，目标是增加仇敌进攻的难度。城堡被沟壑，锋利的障碍物或护城河包抄。城墙高且高峻陡峭，仇敌不克不及直接攀上墙壁。城墙上的卫兵可以站在有益位置击退来犯者，他们可以直接利用火攻，或从高处直接抛掷石块等物。

　　护城河也是避免仇敌挖地道的好编制。假定没有护城河的话，报复打击者便可能挖地道绕过城墙，或减弱城墙的防护力。防御者也有可能挖通向外面的地道，假定两条地道交汇，试想，没有人愿意陷进如许一场暗中的地下战役。

　　假定外墙防御掉效，其他的内部城墙还能起到弥补感化，戍守城堡的其他部门。有些中世纪城堡有多层防御工事，所以报复打击者得冲破四，五，六乃至更多层封锁才能到手。而在城堡内部，也有良多防御办法，所以即便报复打击者冲破外围防御，仍然很难篡夺最有价值的东西——皇室家族及其财富。

　　防御不克不及只是静态的。报复打击会遭受城堡上粉碎性兵器的反击。梯子也会遭受弓箭，长矛和石块的冲击。有时辰，卫兵们还会用滚烫的油来浇淋报复打击者。

　　或许，我们可以从中世纪的城堡中学到一些东西，好比：

　　1.不要依托纯真的安然手艺。城堡不克不及仅仅依托一些圈套来抵抗梯子，或是用护城河避免他人挖地道。城堡设计者要假想各类可能遭受的报复打击情势，然后用防御策略解决标题问题。也就是说要利用WAF，反病毒，IDS，IPS和防火墙等来解决不合类型的报复打击。

　　2.利用分层防御。城堡利用了多层级的防御，以此增加报复打击者的进攻难度。所以我们可考虑利用安然的编码技能加固利用。利用WAF进一步呵护Web利用。加固利用运行的Web办事器。加密后端数据库。在系统上做缝隙测试，对找到的标题问题进行修复。利用强效登岸验证。用反病毒软件扫描办事器。做好安然控件打算，备份其他安然控件，如许便可和们可能消弭单点故障。请一个报复打击者做攻防练习训练。

　　3. 做好隔离办法。分层防御，伶仃设障等都可以有效挫败报复打击者——他们不克不及常胜不败。不但要在IT级别隔离环境，还要从安然级别做好隔离。确保每个防护对象彼此隔离，就仿佛把它们跟外界隔分开一样。把敏感系统从收集的其他部门隔分开来。内部防火墙和过滤器有助于节制报复打击者，使其没法在你的内网横行。在隔离对象之间设立监控，可助你定位和遏制***行动。

　　4.改良安然机能。防御者筑起壁垒抵当报复打击者。当报复打击者利用梯子时，防御者会向下抛掷尖矛。每次当报复打击加强时，防御也随之演变。改良安然法度的第一步就是利用可修复古缝隙的有效补丁治理系统。当WAF如许的手艺呈现时，要评估它是不是能加强你的防御机能，然后继续改良安然法度，以最大年夜程度操纵新手艺。

　　5.别偷懒。可别束手待毙。要不雅察到底产生了甚么。监控收集环境的安然状况，对突发事务和报复打击酿成的影响做出响应。查抄系统看是不是有亏弱环节。测试环境中的缝隙，保留一个可避免你透露的主动缝隙治理法度。

　　在大年夜大都案例中，收集安然掉守的结局并没有古代城池掉陷那样惨烈。但这其实不料味着我们可以不放在眼里现代收集报复打击的风险。所以，虽然明日黄花，但深层防御的概念仍然有效。