分层安全策略为什么不是万能的？

比如，如果一个组织部署了一个防火墙、入侵防御系统(IPS)和端点保护(EPP)系统，组织会认为这些产品可以通过其不同的功能组合提供更强大的保护：在网络外部，防火墙会检查恶意URL、IP地址和其它类似可以在访问控制列表中容易验证的指标传入的数据包。数据包如果通过防火墙，IPS系统会检查数据包的内容和头信息，如果任意数据包内容被视为符合IPS签名列表的恶意内容，这个数据包就会被丢弃或阻止。最后，在网络中EPP系统驻扎在每个终端设备上，作为防御恶意代码的最后一道防御线，对抗可能通过防火墙和IPS的恶意代码。

给定的数据包通过网络的每一个节点时，都需要接受为了保护网络而日益侵入性的检查。安全管理员都感到欣慰，觉得只有最复杂的恶意编码可以成功渗透安全设备的几层防御。然而，NSS实验室的独立安全测试人员发布的一份报告质疑部署分层安全方法会增强企业网络安全。

在报告中关于入侵侦测故障的部分，NSS实验室决定测试37种不同的安全设备，包括来自24家安全厂商提供的解决1711种已知漏洞的防火墙、下一代防火墙(NGFW)、IPS和EPP设备。所选择的攻击已知感染过超过200多种软件供应商，包括来自微软、苹果和思科的产品。NSS实验室为了确定对于检测漏洞的最佳配对，测试了各种设备的不同组合。对于分层安全策略的潜在故障，结果提供了一个有趣的答案。

测试的606种不同组合中，只有19种成功阻止了所有入侵企图，值得注意的是，没有一种单独进行测试的设备能够阻止所有的恶意企图。至于哪些产品一起工作是最佳搭配，NSS实验室发现NGFW和IPS的组合比任意EPP系统组合都能更有效地阻止已知的攻击。例如，任意NGFW-IPS组合平均故障率约为0.8%，而任意EPP组合平均故障率是惊人的26%.单单这些结果表明，如果不将一些内嵌的安全设备搭配起来，仅仅只是部署端点防护是不够安全的方法。

那么，组织应该采取或计划采取怎样的分层安全方法来应对这个报告？首先，企业应该重视报告的具体内容。例如，应当注意到，没有任何安全装置可以仅仅凭借自身来检测到所有直接的微软相关攻击。以微软为中心的组织决定部署安全设备组合时，应该认识到这个事实。

该报告提供了大量关于各种设备组合的性能详情，我建议至少通读整个报告，然后采用其中关于您的组织所使用的产品或供应商的性能内容。苹果对苹果产品的比较可能并不太合适，但是数据可能会凸显你的产品表现不佳的状况以及怎样将产品和其它技术结合起来可以提高你的分层安全。例如，一个特别的组合：Sourcefire 3D8250 IPS和Stonesoft 1301 NGFWs，在我心目中脱颖而出，因为它在测试过程中的阻拦表现非常好。尽管如此，某些产品可能适合一个组织，但不一定会适合另一个组织。

为此，每一个组织考虑或部署分层安全方式时，最好考虑到自身的威胁状况和安全要求，然后按照NSS实验室的方法自行进行测试。这将为每个组织提供特定的结果组合，并能产生一个更清晰的画面，告诉组织哪些产品可以提供最佳的性能。

最后，部署分层安全策略时如果不考虑到设备组合，其实很有可能导致灾难性的后果。虽然会有故障可能性，但是对于攻击者带来的许多问题，分层网络安全仍旧可以像当前任意方法一样提供极有说服力的解决方法。为了确保使用分层安全策略可以带来更好的效果，在部署设备之前，安全管理员应该深入研究不同厂商的设备组合，上述NSS实验室报告就是这个过程一个明智的开始。