隨著(zhù)網(wǎng)絡(luò )安全形勢日漸嚴峻，廠(chǎng)商對網(wǎng)絡(luò )安全防御也十分警惕，與此同時(shí)，隨著(zhù)廠(chǎng)商對安全威脅的理解深入與技術(shù)創(chuàng )新，防護和抵御手段不斷涌現，催生了新網(wǎng)絡(luò )安全環(huán)境下令人期待的產(chǎn)業(yè)。

網(wǎng)絡(luò )安全攻擊通?？芍踩牒箝T(mén)程序或者控制漏洞，隱匿地獲取被攻擊方的信息和數據。APT攻擊通常不僅僅為了短時(shí)間內攻破對方信息系統，而是長(cháng)年累月的潛伏在對象系統直至完成收集或者破壞任務(wù)。由于APT攻擊通過(guò)長(cháng)達數年的觀(guān)察、分析、監視至掌控，一旦獲取到重要的情報信息或是需要完成破壞任務(wù)，那么將整個(gè)數據庫全部轉移甚至將被全部摧毀也是輕而易舉，破壞程度之大甚于原來(lái)的所有攻擊方式。

APT攻擊中通常使用0day漏洞，即官方軟件廠(chǎng)商或者網(wǎng)上尚未公開(kāi)發(fā)布補丁的漏洞。由于其動(dòng)機和目的的隱秘性，在公開(kāi)環(huán)境中很難探尋到特定APT攻擊的蹤跡。另外攻擊的方式具有戰術(shù)思想，在發(fā)動(dòng)多種混合攻擊的同時(shí)善于將主要的攻擊手段隱藏在內，傳統的防御措施束手無(wú)策或者僅能識別防御其小部分的偽裝攻擊，而無(wú)法全局控制和抵御真正的威脅。

從目前的攻擊方式及手段來(lái)看，主要通過(guò)網(wǎng)絡(luò )審計監測三種方式進(jìn)行抵御與防護。

最小網(wǎng)絡(luò )授權源于安全領(lǐng)域頂尖咨詢(xún)機構Forrester提出的“零信任網(wǎng)絡(luò )”概念。其認為所有的流量都不可信，無(wú)論訪(fǎng)問(wèn)來(lái)自于何種位置，都必須遵守最嚴格的控制訪(fǎng)問(wèn)策略。作為隔斷內部網(wǎng)絡(luò )和外部網(wǎng)絡(luò )第一道防線(xiàn)的防火墻是最基礎的角色，通過(guò)限制網(wǎng)絡(luò )互訪(fǎng)來(lái)保護內網(wǎng)資源。

傳統的防火墻分為四種類(lèi)型，包過(guò)濾、狀態(tài)性協(xié)議監測、網(wǎng)絡(luò )地址轉換（NAT）以及虛擬私用網(wǎng)絡(luò )接入（VPN），主要適用于OSI模型中傳輸層與網(wǎng)絡(luò )層的防護。而隨著(zhù)攻擊技術(shù)的不斷升級，傳統的防火墻存在著(zhù)無(wú)法檢測加密Web流量、對于Web應用防護能力不足、深度檢測擴展能力有限、遭遇攻擊時(shí)有效流量無(wú)法通過(guò)等問(wèn)題，日漸難以對應未來(lái)的復雜網(wǎng)絡(luò )威脅環(huán)境。

于是，下一代防火墻（NGFW）應運而生，其能夠支持全面面向安全漏洞與威脅的特征碼，動(dòng)態(tài)啟發(fā)性的探測攻擊方式及手段，同時(shí)能夠識別在應用和應用層上執行獨立于端口和協(xié)議，而不是根據純端口、純協(xié)議和純服務(wù)部署網(wǎng)絡(luò )安全政策，有效的彌補了傳統安全設備在設備性能、訪(fǎng)問(wèn)控制、應用識別和內容安全等方面的缺陷，在未來(lái)相當長(cháng)的階段中能較為成功的承擔起Forrester“零信任網(wǎng)絡(luò )”模型中網(wǎng)絡(luò )隔離網(wǎng)關(guān)的角色。

對于企業(yè)內部信息系統而言，網(wǎng)絡(luò )應用的管理成為防御APT攻擊的重要方式，相對應的安全防護產(chǎn)品應用防護系統（WAF）成為完善這一方式的有利手段。WAF是執行系列針對HTTP/HTTPS的安全策略專(zhuān)門(mén)為Web應用提供保護的一款產(chǎn)品，主要面向Web服務(wù)器。雖然與下一代防火墻同為在應用層層面的防護，但是兩者的部署位置與防護對象均不同。從防護對象來(lái)說(shuō)，NGFW的防護對象是網(wǎng)絡(luò )中的外部應用，例如P2P下載、外部網(wǎng)頁(yè)訪(fǎng)問(wèn)等，而WAF的防護對象主要是內部服務(wù)器，兩款產(chǎn)品的保護對象、防護的威脅種類(lèi)、安全需求均不同。其次，從部署位置來(lái)說(shuō)，NGFW一般部署在整個(gè)網(wǎng)絡(luò )的網(wǎng)關(guān)位置，而WAF部署在WEB服務(wù)器之前，二者的性能壓力也完全不同。

在面對APT的混合攻擊時(shí)以上防護方式可能也會(huì )存在百密一疏，或者更新的APT攻擊手段超越了目前的業(yè)界已有的防護措施。細致、精確的網(wǎng)絡(luò )審計監測系統則成為監測預警、過(guò)程記錄、事后追溯的強有力手段。在為自身業(yè)務(wù)提供高效的網(wǎng)絡(luò )運營(yíng)平臺同時(shí)，日趨復雜的IT業(yè)務(wù)系統與不同背景業(yè)務(wù)用戶(hù)的行為也給網(wǎng)絡(luò )帶來(lái)潛在的威脅，如內部業(yè)務(wù)數據、重要敏感文件通過(guò)電子郵件、數據庫訪(fǎng)問(wèn)、遠程終端訪(fǎng)問(wèn)、網(wǎng)絡(luò )文件共享等方式被篡改、泄露和竊取，都極有可能成為APT攻擊者發(fā)現、利用并進(jìn)行長(cháng)期潛伏、日后破壞的手段。

敏感信息傳播，準確掌握網(wǎng)絡(luò )系統的安全狀態(tài)，及時(shí)發(fā)現違反安全策略的事件并實(shí)時(shí)告警、記錄，同時(shí)進(jìn)行安全事件定位分析，成為防御APT攻擊的重要方式和手段，網(wǎng)絡(luò )安全審計系統成為必不可少的組件，只有這樣，才能保證杜絕網(wǎng)絡(luò )攻擊事件發(fā)生。