为了应对日趋复杂的歹意行动和歹意软件，分层安然策略在不久之前变得相当受欢迎，并且此刻已深进人心，成为全部行业呵护企业收集最好的实践编制。从直不雅的角度来看，它仿佛在收集内摆设了多台安然设备，每台都有其本身的防御载体，供给一种具有反复性、在几个不合层次上都成心义的收集防御。

　　好比，假定一个组织摆设了一个防火墙、进侵防御系统(IPS)和端点呵护(EPP)系统，组织会觉得这些产品可以经由过程其不合的功能组合供给更强大年夜的呵护：在收集外部，防火墙会查抄歹意URL、IP地址和其它近似可以在拜候节制列表中等闲验证的指标传进的数据包。数据包假定经由过程防火墙，IPS系统会查抄数据 包的内容和头信息，假定肆意数据包内容被视为合适IPS签名列表的歹意内容，这个数据包就会被丢弃或禁止。最后，在收集中EPP系统驻扎在每个终端设备上，作为防御歹意代码的最后一道防御线，匹敌可能经由过程防火墙和IPS的歹意代码。

　　给定的数据包经由过程收集的每个节点时，都需要接管为了呵护收集而日趋侵进性的查抄。安然治理员都感应欣慰，感觉只有最复杂的歹意编码可以成功渗入安然设备的几层防御。但是，NSS尝试室的自力安然测试人员发布的一份陈述质疑摆设分层安然编制会加强企业收集安然。

　　在陈述中关于进侵侦测故障的部门，NSS尝试室决定测试37种不合的安然设备，包含来自24家安然厂商供给的解决1711种已知缝隙的防火墙、下一代防火 墙(NGFW)、IPS和EPP设备。所选择的报复打击已知传染过超越200多种软件供给商，包含来自微软、苹果和思科的产品。NSS尝试室为了肯定对检测 缝隙的最好配对，测试了各类设备的不合组合。对分层安然策略的暗藏故障，成果供给了一个有趣的谜底。

　　测试的606种不合组合中，只有19种成功禁止了所有进侵诡计，值得寄望的是，没有一种伶仃进行测试的设备可以或许禁止所有的歹意诡计。至于哪些产品一路工作 是最好搭配，NSS尝试室发现NGFW和IPS的组合比肆意EPP系统组合都能更有效地禁止已知的报复打击。例如，肆意NGFW-IPS组合平均故障率约为 0.8%，而肆意EPP组合平均故障率是惊人的26%.单单这些成果表白，假定不将一些内嵌的安然设备搭配起来，仅仅只是摆设端点防护是不敷安然的编制。

　　那么，组织应当采纳或打算采纳如何的分层安然编制来应对这个陈述？起首，企业应当正视陈述的具体内容。例如，该当寄望到，没有任何安然装配可以仅仅仰仗本身来检测到所有直接的微软相干报复打击。以微软为中间的组织决定摆设安然设备组应时，应当熟谙到这个事实。

　　该陈述供给了大年夜量关于各类设备组合的机能详情，我建议起码通读全部陈述，然后采取此中关于您的组织所利用的产品或供给商的机能内容。苹果对苹果产品的比较 可能其实不太合适，可是数据可能会凸显你的产品表示不佳的状况和如何将产品和其它手艺连络起来可以进步你的分层安然。例如，一个出格的组 合：Sourcefire 3D8250 IPS和Stonesoft 1301 NGFWs，在我心目中脱颖而出，因为它在测试过程中的禁止表示很是好。虽然如斯，某些产品可能合适一个组织，但不必然会合适另外一个组织。

　　为此，每个组织考虑或摆设分层安然编制时，最好考虑到本身的威胁状况和安然要求，然后遵循NSS尝试室的编制自行进行测试。这将为每个组织供给特定的成果组合，并能产生一个更清晰的画面，奉告组织哪些产品可以供给最好的机能。

　　最后，摆设分层安然策略时假定不考虑到设备组合，其实很有可能导致灾害性的后果。当然会有故障可能性，可是对报复打击者带来的良多标题问题，分层收集安然仍然可 以像当前肆意编制一样供给极有说服力的解决编制。为了确保利用分层安然策略可以带来更好的结果，在摆设设备之前，安然治理员应当深进研究不合厂商的设备组 合，上述NSS尝试室陈述就是这个过程一个明智的开端。