双模安全的一个重要部分就是通过一个双层安全架构，形成纵深防御体系。

    这个方法其实有的用户已经在用了。是什么样呢，网络部门运维统一的安全策略，应用开发部门在每个应用前端，运维per-app的，基于每个应用定制的精细化策略。

    为什么不在互联网接入区的硬件安全设备上部署基于每个应用定制的精细化策略呢。 这个刚才也说了，其实是和我们的运维相关的，一方面是安全人员有限，还有就是安全功能开多了，一上线就误报，应用部门不同意，我们要支持业务的发展，领导一句话，策略降下来，那么如果一旦策略放开，那么还能再开吗，很多时候，可能就这样了。然而，应用是在快速迭代变化的，所以经常就会有误报的出现。每出现一次误报，往往意味着安全策略的一次放松。慢慢就变成了一个非常宽松的、通用的安全策略。

    所以会出现双层安全架构，在互联网区是统一的安全策略，应用前端呢，是定制的精细化策略。

    先不说Web应用安全防护的功能，就说是slb软负载的功能，我们发现在现实中，很多用户的应用部门或者开发部门已经自己开始搞软负载了，在这样的情况下，很多应用部门的诉求就能实现，为什么，因为有自主权，应用部门，devops团队，就可以控制软件的slb。他甚至把这些slb的变更整合到他的发版的流程里，今天发一个小版本，直接就在团队内把这些事情都完成了，并不需要提一个流程工单给网络部门。

    那么现状是双层架构已经基本上都存在于用户的数据中心里了，用户网络部门的F5更多的是4层策略，用户应用部门的nginx更多的是7层策略。这时候我们看，如果应用部门，或者说是devops团队管理的一个轻量级的WAF，就可以解决很多问题。

    这样一种纵深防御的方法，其实也是非常合理的方法，因为应用部门最懂应用，如果他们可以部署精细化的安全策略，就能把安全策略做的更精细，把安全策略结合到devops的流水线里面，那么devsecops其实就可以往前走出一小步。