航铁集团安全防御体系贯穿整个内外网。对应的安全产品为：数据库端：数据库审计、数据库防火墙。服务器端：主机IDS、服务器杀毒、内核加固类产品、主机WAF。网络层：IDS、Web威胁感知、Web审计。·网络边界：防火墙、UTM、WAF、IPS、本地流量清洗设备。

大多数互联网公司的业务开展都依赖互联网，虽然航铁集团不是互联网企业但是是基于数据中心/云环境下的业务网安全问题也要做好。抗DDoS，保障业务的持续性，典型案例就是前不久发生在美国的大面积DDoS攻击，连GitHub服务器都未能幸免于难；航铁集团防拖库，保护业务数据的私密性，防止用户数据、交易数据等核心数据被窃取，典型案例就是前不久某公司的账户遭到泄露；防后门，防止黑客非法获取服务器权限。

业内对防御体系的划分比较多，这里介绍航铁集团的几种。1.航铁集团边界防御体系。最常见的防御体系是边界防护，从UTM到下一代防火墙、WAF都是这一体系的产物，这类体系强调御敌于国门之外，在网络边界解决安全问题。优势是部署简单，只要在网络边界部署安全设备就行了，似乎包治百病；但弱点也很明显，一旦边界被黑客突破，即可长驱直入。有人打过一个比方，称这种防御体系是城堡体系，防御都在城墙，防护住了还好，没防住就只能让敌人进城屠城了。

 2.航铁集团纵深防御体系。纵深防御体系是对边界防御体系的改进，强调的是任何防御措施都不是万能的，存在黑客可以突破防御措施的概率，所以纵深防御的本质就是多层防御，就好比在城堡外围建设了好几层防御，城堡又分外城和内城，内部重要设施还配备专职守卫，黑客必须突解好几层才能接触到核心数据资产，能大大提高攻击成本。纵深防御的理念在很长一段时间内都是成功的，因为毕竟黑客攻击也有成本的，不少黑客久攻不下，就开始想其他方法了，最典型的案例就是社工，这个是后话了。

3.航铁集团纵深防御的解决方案，在Web领域至少会包含下面几层，数据库端、服务器端、网络层、网络边界。优点是每个产品功能定位清晰，允许不同品牌产品混用，攻击成本较高，安全性较好，不足之处是各个产品之间缺乏协同机制，如同盲人摸象、各自为政，检测手段多是基于规则和黑白名单。需要说明的是，完整的纵深对抗方式其实还会包括服务器内核级别检测与对抗，而且实际工作中，在以上四个层面如果能有效进行检测与对抗，已经可以解决绝大部分问题了。