防火墻遷移：最大程度提高安全彈性與可用性的5種方法

如果您正在計劃一次防火墻升級，或者正在向下一代防火墻遷移，獲得的將不僅是更豐富的功能與更廣泛的保護，還有查看整個(gè)安全架構的機會(huì )。后者確保了安全架構得以盡可能提高全部安全設備的價(jià)值與效率，同時(shí)最大程度地降低網(wǎng)絡(luò )停機風(fēng)險。這種風(fēng)險之所以引人注目，是因為知名研究咨詢(xún)公司Gartner指出，一系列行業(yè)的平均停機成本遠遠超過(guò)300,000美元/小時(shí)，這恰恰印證了本杰明·富蘭克林的格言“一分預防勝過(guò)十分治療”(an ounce of prevention is worth a pound of cure)。

然而什么才是最適合的架構，又當如何將其整合到您的網(wǎng)絡(luò )之中?按照以下5項最佳實(shí)踐技術(shù)，你將可以確保企業(yè)網(wǎng)絡(luò )安全架構最大限度地提高整體安全及效率。

（Jeff Harris，Ixia副總裁，解決方案營(yíng)銷(xiāo)總監）

1: 降低停機風(fēng)險

若要降低停機風(fēng)險，首先應該檢查總體架構，確定潛在的故障點(diǎn)或性能問(wèn)題。串聯(lián)部署是需要加以避免的關(guān)鍵結構特性，因為這種部署是將流量從一個(gè)安全設備傳輸至另一個(gè)，而如果其中任意一個(gè)設備發(fā)生故障，則會(huì )中斷流量傳遞，導致網(wǎng)絡(luò )停機——隨之嚴重影響生產(chǎn)力、收益、甚至企業(yè)聲譽(yù)。

在防火墻及其它安全設備前端采用模塊化旁路交換機是一種簡(jiǎn)單易行的替代方案。這些交換機必須持續監測所有內聯(lián)設備，確保其隨時(shí)接收流量。如果某設備發(fā)生故障，旁路交換機應引導流量繞過(guò)該設備，直至恢復聯(lián)機狀態(tài)。

但是，該方法存在一個(gè)潛在問(wèn)題，即必須在安全性與網(wǎng)絡(luò )正常運行之間做出權衡——當設備發(fā)生故障時(shí)，不會(huì )對旁路流量進(jìn)行常規檢查。為此，第2個(gè)最佳實(shí)踐應運而生。

2: 高效的負載均衡行為

旁路交換機與Network Packet Broker(NPB)搭配使用能夠提高查看與檢查內部網(wǎng)絡(luò )數據包的能力，并僅將數據包傳送至適合該類(lèi)型流量的設備。例如，它可以引導非HTTP/HTTPS流量繞過(guò)網(wǎng)絡(luò )應用防火墻，因為讓其穿過(guò)防火墻毫無(wú)益處。

該智能型流量均衡降低了單件設備的不必要處理負擔——減少其變得不堪重負與發(fā)生故障的可能性。另外，網(wǎng)絡(luò )效率與安全性強度得到最大限度的提升——所有流量均會(huì )接受相關(guān)工具的檢查。

3: 巧妙配置獲得高可用性

擁有模塊化旁路交換機與NPB后，接下來(lái)須對其進(jìn)行配置以實(shí)現最佳可用性。例如，許多NPB能夠配置到所謂的雙主動(dòng)模式。這能夠自動(dòng)即時(shí)恢復安全架構內的任意設備，同時(shí)運行即有安全設備。巧妙的配置旨在提高正常運行情況下的可用性，而在某設備出現故障時(shí)全面保護流量。如果配置得當，用戶(hù)將不會(huì )發(fā)現停機故障，安全監測也不會(huì )受到影響。

4: 借助NPB實(shí)現更高可視性

重要的是，切勿自認為在架構內增加安全設備就能夠自動(dòng)降低風(fēng)險。網(wǎng)絡(luò )規模越大、越復雜，出現網(wǎng)絡(luò )盲點(diǎn)的概率也越高，所以提升可視性是至關(guān)重要的一條原則。NPB的一項優(yōu)勢在于提供了關(guān)于網(wǎng)絡(luò )環(huán)境的全面視圖。它能夠捕獲并匯聚流量，去除數據重復，并剝離不必要的細節;甚至能夠根據源地址或地理位置預先過(guò)濾已知的惡意流量，讓您明智地決定應首先阻止哪些流量進(jìn)入網(wǎng)絡(luò )。

帶外監測工具最適合于分析網(wǎng)絡(luò )性能，確定趨勢并響應合規性請求。也就是說(shuō)，它們能夠支持全面且智能的網(wǎng)絡(luò )可視性，而這對于當今企業(yè)而言至關(guān)重要。最佳工具要能夠被遠程管理，并生成有關(guān)合規性的定制報告，支持日益重要的持續合規狀態(tài)。

5: 打造能經(jīng)受未來(lái)考驗的架構

在這個(gè)企業(yè)停機所導致的不滿(mǎn)情緒隨時(shí)能夠被迅速反應并傳播的社交媒體時(shí)代，客戶(hù)體驗與應用可用性變得極其重要。借助高速旁路交換機與強大的NPB將使您的安全架構面對未來(lái)考驗時(shí)無(wú)后顧之憂(yōu)，它們不但可以最大化地縮減由意外設備故障、部署、維護或升級導致的網(wǎng)絡(luò )停機時(shí)間，還能夠盡可能延長(cháng)安全基礎架構的正常運行時(shí)間，減少安全設備負載，進(jìn)而延伸其有用壽命，并生成高效的流量分析數據。另外，您還能夠以最少的新投資來(lái)支持網(wǎng)絡(luò )流量增長(cháng)?？偠灾?，這些優(yōu)勢都將有助于您的企業(yè)得以從容應對未來(lái)代價(jià)高昂、引起混亂的網(wǎng)絡(luò )調整。

由旁路交換機與NPB打造的網(wǎng)絡(luò )安全架構能夠同為網(wǎng)絡(luò )穩健與高效運行保駕護航——這是一種更加有效且在停機狀況下自我修復的架構。對于企業(yè)安全性來(lái)說(shuō)，未雨綢繆遠勝遠勝江心補漏，且成本更低。