长期以来，人们都深信深度防御是实现最佳安全的方法，并且必然需要多层防御。虽然很多安全厂商提供的解决方案正在不断改进，但是，如果我们完全依赖某个厂商的安全产品和平台，就无法实现真正的分层安全。

不管企业采用了何种安全方案，都不可能保证绝对安全。攻击者总在寻找安全防御中的漏洞，并且有可能找到这些漏洞。

企业的目标仍是减轻风险，并且实现这种目标必然采用分层安全。没有哪种方案或厂商或服务可以防御所有攻击。所以，最佳方法就是部署最有效的方案、产品、服务，使其相互补充。一种产品遗漏的功能可由另一种产品实现。

深度防御是一种利用多种产品和方案实现安全的主动方法。最好是通过相互补充的方案来解决安全问题。用户保持持续的警惕和关注非常重要，并对深度防御的过程进行必要调整和更新。

对安全防御来说，外围的观念已经消失。损害往往是由网络内部开始的（例如，特洛伊木马），而且，工作组通信、移动计算、不安全的无线网络和临时互联网访问都有可能破坏企业网络的安全性。健全的安全方案必须超越传统的思考方法，并且要考虑当今甚至不远的将来有可能出现的攻击媒介和手段。

深度防御要求网络资源与使用网络的设备之间的交互是可管理的和可扩展的，并且是一个由许可和访问控制组成的模块化系统。防火墙和通信分离已经不能满足要求。

实现主动安全防御的六大策略

企业应当实现访问控制、完整性和私密性，并由此部署足够多的安全控制层和提高企业的安全水平。

在部署各种方案时，必须遵循从应用层到物理层都实施安全保护的原则。移动应用、数据安全、云安全、无线保护等都必须考虑在内。

在部署安全防御层时，为实现主动防御和适时响应，企业应遵循下面的方法或策略：

策略一：对所有的网络用户都进行认证和授权

网络中的每一个用户都要进行认证和授权。允许用户访问却不知道该用户在网络上的什么位置，或者不知道该用户在做什么，这些都是很糟糕的实践。在整个过程中，积极认证以及基于用户的授权都至关重要。

策略二：部署VLAN实现通信分离

企业应根据用户认证来动态地部署VLAN，以实现最佳的可管理性。数据中心和虚拟平台的“微分离”已经成为安全实践。

策略三：在端口水平上使用强健的防火墙技术

基于用户的高级安全策略非常重要。在端口水平上部署防火墙，可以解决与嵌入式防火墙有关的许多固有困难。

策略四：在整个网络中实施加密，确保私密性

企业中的数据私密至关重要。在传输、存储敏感数据时，必须防止意外的或有意的泄露。对许多企业来说，确保数据的完整性和私密性是法律要求。企业可以在任何层上进行数据加密。

策略五：进行威胁检测，确保网络的完整性

威胁可能来自任何地方，有些威胁的防御非常困难。企业需要能够检测、保护威胁，并修复造成的损害。入侵检测系统是第一道防线。其它的有用工具包括入侵防御系统、应用防火墙、针对特定威胁的工具、威胁管理工具、漏洞分析和安全管理工具等。

策略六：实施端点安全强化和利用基于策略的强化

用户系统各不相同,企业应当根据用户访问的系统授予具体特权。企业应当根据终端系统的安全状态和既定策略来实施强化。终端系统的安全状态可用以决定如何管理对系统的访问。

结论

深度防御可以在最大程度上防止入侵。很多厂商都在改善安全产品和服务，但是，即使企业使用了某厂商的安全方案，也不能将其用作唯一的安全解决方案，而只能将其用作分层安全方法的一部分，并结合其它优秀厂商的安全产品。