防火墻遷移：最大程度提高安全彈性與可用性的5種方法

如果您正在計(jì)劃一次防火墻升級(jí)，或者正在向下一代防火墻遷移，獲得的將不僅是更豐富的功能與更廣泛的保護(hù)，還有查看整個(gè)安全架構(gòu)的機(jī)會(huì)。后者確保了安全架構(gòu)得以盡可能提高全部安全設(shè)備的價(jià)值與效率，同時(shí)最大程度地降低網(wǎng)絡(luò)停機(jī)風(fēng)險(xiǎn)。這種風(fēng)險(xiǎn)之所以引人注目，是因?yàn)橹芯孔稍児綠artner指出，一系列行業(yè)的平均停機(jī)成本遠(yuǎn)遠(yuǎn)超過(guò)300,000美元/小時(shí)，這恰恰印證了本杰明·富蘭克林的格言“一分預(yù)防勝過(guò)十分治療”(an ounce of prevention is worth a pound of cure)。

然而什么才是最適合的架構(gòu)，又當(dāng)如何將其整合到您的網(wǎng)絡(luò)之中?按照以下5項(xiàng)最佳實(shí)踐技術(shù)，你將可以確保企業(yè)網(wǎng)絡(luò)安全架構(gòu)最大限度地提高整體安全及效率。

（Jeff Harris，Ixia副總裁，解決方案營(yíng)銷(xiāo)總監(jiān)）

1: 降低停機(jī)風(fēng)險(xiǎn)

若要降低停機(jī)風(fēng)險(xiǎn)，首先應(yīng)該檢查總體架構(gòu)，確定潛在的故障點(diǎn)或性能問(wèn)題。串聯(lián)部署是需要加以避免的關(guān)鍵結(jié)構(gòu)特性，因?yàn)檫@種部署是將流量從一個(gè)安全設(shè)備傳輸至另一個(gè)，而如果其中任意一個(gè)設(shè)備發(fā)生故障，則會(huì)中斷流量傳遞，導(dǎo)致網(wǎng)絡(luò)停機(jī)——隨之嚴(yán)重影響生產(chǎn)力、收益、甚至企業(yè)聲譽(yù)。

在防火墻及其它安全設(shè)備前端采用模塊化旁路交換機(jī)是一種簡(jiǎn)單易行的替代方案。這些交換機(jī)必須持續(xù)監(jiān)測(cè)所有內(nèi)聯(lián)設(shè)備，確保其隨時(shí)接收流量。如果某設(shè)備發(fā)生故障，旁路交換機(jī)應(yīng)引導(dǎo)流量繞過(guò)該設(shè)備，直至恢復(fù)聯(lián)機(jī)狀態(tài)。

但是，該方法存在一個(gè)潛在問(wèn)題，即必須在安全性與網(wǎng)絡(luò)正常運(yùn)行之間做出權(quán)衡——當(dāng)設(shè)備發(fā)生故障時(shí)，不會(huì)對(duì)旁路流量進(jìn)行常規(guī)檢查。為此，第2個(gè)最佳實(shí)踐應(yīng)運(yùn)而生。

2: 高效的負(fù)載均衡行為

旁路交換機(jī)與Network Packet Broker(NPB)搭配使用能夠提高查看與檢查內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)包的能力，并僅將數(shù)據(jù)包傳送至適合該類(lèi)型流量的設(shè)備。例如，它可以引導(dǎo)非HTTP/HTTPS流量繞過(guò)網(wǎng)絡(luò)應(yīng)用防火墻，因?yàn)樽屍浯┻^(guò)防火墻毫無(wú)益處。

該智能型流量均衡降低了單件設(shè)備的不必要處理負(fù)擔(dān)——減少其變得不堪重負(fù)與發(fā)生故障的可能性。另外，網(wǎng)絡(luò)效率與安全性強(qiáng)度得到最大限度的提升——所有流量均會(huì)接受相關(guān)工具的檢查。

3: 巧妙配置獲得高可用性

擁有模塊化旁路交換機(jī)與NPB后，接下來(lái)須對(duì)其進(jìn)行配置以實(shí)現(xiàn)最佳可用性。例如，許多NPB能夠配置到所謂的雙主動(dòng)模式。這能夠自動(dòng)即時(shí)恢復(fù)安全架構(gòu)內(nèi)的任意設(shè)備，同時(shí)運(yùn)行即有安全設(shè)備。巧妙的配置旨在提高正常運(yùn)行情況下的可用性，而在某設(shè)備出現(xiàn)故障時(shí)全面保護(hù)流量。如果配置得當(dāng)，用戶將不會(huì)發(fā)現(xiàn)停機(jī)故障，安全監(jiān)測(cè)也不會(huì)受到影響。

4: 借助NPB實(shí)現(xiàn)更高可視性

重要的是，切勿自認(rèn)為在架構(gòu)內(nèi)增加安全設(shè)備就能夠自動(dòng)降低風(fēng)險(xiǎn)。網(wǎng)絡(luò)規(guī)模越大、越復(fù)雜，出現(xiàn)網(wǎng)絡(luò)盲點(diǎn)的概率也越高，所以提升可視性是至關(guān)重要的一條原則。NPB的一項(xiàng)優(yōu)勢(shì)在于提供了關(guān)于網(wǎng)絡(luò)環(huán)境的全面視圖。它能夠捕獲并匯聚流量，去除數(shù)據(jù)重復(fù)，并剝離不必要的細(xì)節(jié);甚至能夠根據(jù)源地址或地理位置預(yù)先過(guò)濾已知的惡意流量，讓您明智地決定應(yīng)首先阻止哪些流量進(jìn)入網(wǎng)絡(luò)。

帶外監(jiān)測(cè)工具最適合于分析網(wǎng)絡(luò)性能，確定趨勢(shì)并響應(yīng)合規(guī)性請(qǐng)求。也就是說(shuō)，它們能夠支持全面且智能的網(wǎng)絡(luò)可視性，而這對(duì)于當(dāng)今企業(yè)而言至關(guān)重要。最佳工具要能夠被遠(yuǎn)程管理，并生成有關(guān)合規(guī)性的定制報(bào)告，支持日益重要的持續(xù)合規(guī)狀態(tài)。

5: 打造能經(jīng)受未來(lái)考驗(yàn)的架構(gòu)

在這個(gè)企業(yè)停機(jī)所導(dǎo)致的不滿情緒隨時(shí)能夠被迅速反應(yīng)并傳播的社交媒體時(shí)代，客戶體驗(yàn)與應(yīng)用可用性變得極其重要。借助高速旁路交換機(jī)與強(qiáng)大的NPB將使您的安全架構(gòu)面對(duì)未來(lái)考驗(yàn)時(shí)無(wú)后顧之憂，它們不但可以最大化地縮減由意外設(shè)備故障、部署、維護(hù)或升級(jí)導(dǎo)致的網(wǎng)絡(luò)停機(jī)時(shí)間，還能夠盡可能延長(zhǎng)安全基礎(chǔ)架構(gòu)的正常運(yùn)行時(shí)間，減少安全設(shè)備負(fù)載，進(jìn)而延伸其有用壽命，并生成高效的流量分析數(shù)據(jù)。另外，您還能夠以最少的新投資來(lái)支持網(wǎng)絡(luò)流量增長(zhǎng)?？偠灾?，這些優(yōu)勢(shì)都將有助于您的企業(yè)得以從容應(yīng)對(duì)未來(lái)代價(jià)高昂、引起混亂的網(wǎng)絡(luò)調(diào)整。

由旁路交換機(jī)與NPB打造的網(wǎng)絡(luò)安全架構(gòu)能夠同為網(wǎng)絡(luò)穩(wěn)健與高效運(yùn)行保駕護(hù)航——這是一種更加有效且在停機(jī)狀況下自我修復(fù)的架構(gòu)。對(duì)于企業(yè)安全性來(lái)說(shuō)，未雨綢繆遠(yuǎn)勝遠(yuǎn)勝江心補(bǔ)漏，且成本更低。