除了防火牆，還要部署什麼裝置才能保證伺服器安全？

“防火牆就像防盜門，雖然大部分情況下它都能攔住來歷不明的陌生人，保障住戶的安全，但如果有人強行繞過或者偽裝透過，防盜門就失去了它的安全防護作用。”

防火牆作為網路安全的代表性產品，時至今日依然在防禦網路威脅中發揮著重要作用，但大部分企業組織已經意識到單靠防火牆遠遠不夠。

因此，很多人想了解的問題是： “除了防火牆以外，我還需要部署什麼裝置才能保障核心數字資產的安全呢？”

本文針對這個問題，從縱深防禦的角度解釋為什麼單靠防火牆並不能保證內網的安全？以及除了防火牆以外，還要部署什麼產品才能最大程度實現伺服器安全？希望對各種規模的企業組織網路安全體系建設都能有所幫助。

掃碼下載“主機安全能力建設等級自查Checklist”

對承載著企業核心資產的伺服器來說，一個成熟的網路安全防禦體系，從縱深的角度看，其防護工程從外到內可以分為四層：暴露面收斂、邊界防護、訪問控制、主機安全。當然，除了這些，還有針對社工、釣魚等攻擊的安全意識培訓等安全措施。

● 暴露面收斂 ：減少可能會成為駭客攻擊入口的點，比如VPN、弱密碼、系統漏洞等；

● 邊界防護：以防火牆為代表，邊界防護是防禦系統的大門，把可能的攻擊抵擋在門外；

● 訪問控制：對核心資源、網路、應用等設定訪問控制，增加攻擊難度；

● 主機安全：如果說前三層防禦都是與伺服器有一定距離的圍繞在其周邊的保護，那麼主機安全就是對核心系統的“貼身保護”。

例如上文中的四層防禦就是層層遞進的關係，每一層都能對突破上一層的攻擊做出進一步防禦，直到攻擊者拿下靶標或攻擊被中斷。一般來說，伺服器承載著企業組織的核心資產，大部分網路攻擊的最終目標都是伺服器或伺服器上存放的數字資產。因此， 對伺服器的縱深防禦體系建設就顯得尤為重要。

以防火牆為代表的邊界防護，多年來在網路邊界防禦上擁有不可或缺的地位。基於“把內外網隔離開”的安全理念，防火牆相當於在網路邊界建起了“城門”，把住了進入網路的必經通道，以此來限制某些網段之間不互通，或有條件地互通，這種方式攔截了大部分的網路威脅，降低了系統被攻擊的機率。不過，它也存在一些不足之處：

1、只能抵禦來自外部的一些攻擊，不能防範來自內部的攻擊；

2、對有意繞過它進出內網的流量無法篩選和阻止，給系統安全帶來隱患 ；

3、不能抵禦未知的威脅。基於威脅特徵庫的檢測方式，能較好地防備已知的威脅，但不能自動防禦所有新的威脅 ；

4、為了提高安全性，防火牆通常會限制和關閉一些有用但存在安全缺陷的網路服務，給使用者帶來了很大不便；

隨著網路攻擊技術的發展，繞過防火牆對專業的網路攻擊者來說輕而易舉。這意味著傳統的防火牆的防禦效果已經大打折扣，企業組織必須尋找新的防護措施來應對攻擊者“突破防火牆”之後的階段，這就催生了由多層防禦措施組成的縱深防禦體系。

但就現狀而言，大部分企業在對伺服器的縱深防禦上做得並不全面， 很多企業只停留在邊界防護（即防火牆）上，沒有更深入的防禦措施，這也意味著攻擊者一旦突破這層邊界，就可以為所欲為。

除了上述防火牆本身固有的缺陷以外，外部環境的變化也使得防火牆的防護效果逐漸弱化。一方面，雲端計算與虛擬化、遠端辦公，以及業務外包合作等新的技術和商業運營模式等技術的大規模運用，極大地改變了IT的基礎設施和業務架構，傳統IT架構中的網路邊界正在消失，相應地，以防火牆為代表的邊界型防禦也逐漸失去意義。

另一方面，攻擊方式不斷進化和增多，傳統的防護手段很難起到良好的防護效果。很多邊界防禦，比如防火牆，很多時候幾乎形同虛設。此外，伺服器周圍的防護產品雖然種類繁多，但各產品之間彼此孤立，沒有實現資訊互通，對高隱蔽性、高複雜度的攻擊防禦效果非常有限。

種種跡象都表明： 這種簡單粗暴的將內網“圈起來”的安全手段已經不足以應對不斷出現的新型攻擊方式。

這個時候，我們不妨換個安全防護思路：既然防火牆防禦的最終目的是為了保證主機（常指伺服器）的安全，那麼 與其在主機周圍圈起圍牆，不如讓主機自身變得更安全。

所以我們應該把重點放在縱深防禦體系的第四層——主機安全上，這樣的話，即使攻擊者攻破了邊界，主機可以自己保護自己，不至於處於“裸奔”的狀態。

這裡需要強調的是，“主機安全”並不是一個產品，而是對應一個需要被保護的位置，“主機安全”即主機側的安全保護。

主機安全的核心內容包括安全應用交付系統、應用監管系統、作業系統安全增強系統和運維安全管控系統。它的具體功能是指保證主機在資料儲存和處理的保密性、完整性，可用性，它包括硬體、韌體、系統軟體的自身安全，以及一系列附加的安全技術和安全管理措施，從而建立一個完整的主機安全保護環境。

目前市場上有很多安全產品宣稱可以解決主機側的安全問題，但大部分都是由其他產品改裝而來的，很難滿足主機側“ 安全與穩定兼顧”的需求，比如針對PC等終端的EDR（這點可以參考筆者之前的文章： 明明已部署EDR，伺服器為什麼還是被入侵了？ ）等。

最有效的主機安全防護產品應該是針對主機專門研發的，充分考慮了 主機側穩定需求>安全需求的特性，既能對主機側的威脅做到及時、有效的檢測，又能保證業務的連續性，結合相應的人工介入來對威脅進行響應，以實現對業務影響的最小化。

因此，在選擇主機安全產品的時候，要考慮如下幾個因素：

● 是否會影響業務；

● 部署步驟及成本是否簡介低廉；

● 是基於特徵庫還是基於攻擊行為進行入侵檢測；

● 對威脅的監測是否是持續性的；

● 功能模組是否全面並且可按需擴充套件，如資產清點、合規基線、微隔離等。

青藤萬相作為國內首個主機安全領域的原生產品，採用自適應安全架構，充分運用雲、大資料、AI等技術，只需一個輕量級Agent即可打造集“預測、防禦、監控和響應”一體的安全閉環，其 核心功能包括資產清點、風險發現、入侵檢測、合規基線、病毒查殺等多個模組，各功能模組之間無縫聯動，幫助企業有效預測風險，精準感知威脅，提升響應效率。兼顧安全、穩定、低消耗，對業務0影響。

憑藉領先的技術和理念優勢，青藤萬相連續6年入選Gartner CWPP市場指南，位列Frost&Sullivan雲主機安全市場領袖梯隊，並在賽迪雲主機安全報告中市場佔有率第一，為金融、政府、運營商、網際網路、國央企等20+行業的1000+頭部客戶提供了主機防護。如果你對這個領域有任何疑問或有主機安全防護需求，可以撥打400-188-9287諮詢青藤安全專家或 掃描下方二維碼申請萬相免費試用~