纵深防御是分层设防、层层把关的持续防护体系:涵盖网络边界、主机系统、应用服务、数据访问、行为审计五层,每层有明确防护目标与失效兜底机制,并需季度红蓝对抗验证有效性。
纵深防御不是堆砌工具,而是分层设防、层层把关:网络边界、主机系统、应用服务、数据访问、行为审计,每一层都该有明确的防护目标和失效兜底机制。
网络层:边界收敛与流量过滤
企业出口必须收敛,避免多条宽带直通内网。用防火墙(如iptables/nftables或硬件FW)做第一道过滤,只放行必要端口(如443、22),默认拒绝所有入向连接。禁用SNMP、Telnet等明文协议,关闭ICMP回显响应以防扫描探测。NAT后端服务器禁止直接暴露公网IP,通过反向代理或跳板机中转访问。若使用云环境,安全组规则需遵循“最小开放原则”,并定期清理过期规则。
主机层:加固基线与权限管控
所有Linux服务器应基于CIS Benchmark或等保2.0三级要求做基线加固。关键操作包括:禁用root远程登录,强制使用密钥+双因素认证;创建专用运维账号,通过sudo限制可执行命令(如仅允许systemctl restart nginx);启用SELinux或AppArmor,限制进程越权行为;定期检查/etc/passwd中空密码、UID 0非root账户;关闭不必要服务(rpcbind、avahi-daemon等)。
应用层:运行隔离与漏洞闭环
Web服务、数据库、中间件统一以非root用户运行,配合cgroup限制资源使用。应用部署走容器化时,镜像需扫描CVE(如Trivy),禁用privileged模式,挂载目录设为只读或noexec。对Java/Python类应用,定期更新JDK/解释器版本,移除调试接口(如Spring Boot Actuator未授权端点)。所有应用日志接入集中审计平台,异常请求(如SQL注入特征、高频404)触发实时告警。
数据与审计层:加密存储与行为留痕
敏感配置文件(如数据库连接串、API密钥)不得明文存于代码或配置中,改用HashiCorp Vault或K8s Secret + KMS加密。磁盘级加密启用LUKS,备份介质离线加密存储。开启auditd服务,监控关键路径(/etc/shadow、/usr/bin/sudo、/var/log/auth.log)的读写和执行事件。所有管理员操作必须经跳板机记录完整会话(ttyrec或堡垒机录像),保留至少180天。
纵深防御不是一次性配置,而是持续验证:每季度做一次红蓝对抗演练,从外网打点到提权落地,检验各层防线是否真实有效。工具会过时,但分层思维和快速响应机制不会。
