防火牆遷移：最大程度提高安全彈性與可用性的5種方法

如果您正在計劃一次防火牆升級，或者正在向下一代防火牆遷移，獲得的將不僅是更豐富的功能與更廣泛的保護，還有檢視整個安全架構的機會。後者確保了安全架構得以儘可能提高全部安全裝置的價值與效率，同時最大程度地降低網路停機風險。這種風險之所以引人注目，是因為知名研究諮詢公司Gartner指出，一系列行業的平均停機成本遠遠超過300,000美元/小時，這恰恰印證了本傑明·富蘭克林的格言“一分預防勝過十分治療”（an ounce of prevention is worth a pound of cure）。

然而什麼才是最適合的架構，又當如何將其整合到您的網路之中？按照以下5項最佳實踐技術，你將可以確保企業網路安全架構最大限度地提高整體安全及效率。

1: 降低停機風險

若要降低停機風險，首先應該檢查總體架構，確定潛在的故障點或效能問題。串聯部署是需要加以避免的關鍵結構特性，因為這種部署是將流量從一個安全裝置傳輸至另一個，而如果其中任意一個裝置發生故障，則會中斷流量傳遞，導致網路停機——隨之嚴重影響生產力、收益、甚至企業聲譽。

在防火牆及其它安全裝置前端採用模組化旁路交換機是一種簡單易行的替代方案。這些交換機必須持續監測所有內聯裝置，確保其隨時接收流量。如果某裝置發生故障，旁路交換機應引導流量繞過該裝置，直至恢復聯機狀態。

但是，該方法存在一個潛在問題，即必須在安全性與網路正常執行之間做出權衡——當裝置發生故障時，不會對旁路流量進行常規檢查。為此，第2個最佳實踐應運而生。

2: 高效的負載均衡行為

旁路交換機與Network Packet Broker（NPB）搭配使用能夠提高檢視與檢查內部網路資料包的能力，並僅將資料包傳送至適合該型別流量的裝置。例如，它可以引導非HTTP/HTTPS流量繞過網路應用防火牆，因為讓其穿過防火牆毫無益處。

該智慧型流量均衡降低了單件裝置的不必要處理負擔——減少其變得不堪重負與發生故障的可能性。另外，網路效率與安全性強度得到最大限度的提升——所有流量均會接受相關工具的檢查。

3: 巧妙配置獲得高可用性

擁有模組化旁路交換機與NPB後，接下來須對其進行配置以實現最佳可用性。例如，許多NPB能夠配置到所謂的雙主動模式。這能夠自動即時恢復安全架構內的任意裝置，同時執行即有安全裝置。巧妙的配置旨在提高正常執行情況下的可用性，而在某裝置出現故障時全面保護流量。如果配置得當，使用者將不會發現停機故障，安全監測也不會受到影響。

4: 藉助NPB實現更高可視性

重要的是，切勿自認為在架構內增加安全裝置就能夠自動降低風險。網路規模越大、越複雜，出現網路盲點的概率也越高，所以提升可視性是至關重要的一條原則。NPB的一項優勢在於提供了關於網路環境的全面檢視。它能夠捕獲並匯聚流量，去除資料重複，並剝離不必要的細節；甚至能夠根據源地址或地理位置預先過濾已知的惡意流量，讓您明智地決定應首先阻止哪些流量進入網路。

帶外監測工具最適合於分析網路效能，確定趨勢並響應合規性請求。也就是說，它們能夠支援全面且智慧的網路可視性，而這對於當今企業而言至關重要。最佳工具要能夠被遠端管理，並生成有關合規性的定製報告，支援日益重要的持續合規狀態。

5: 打造能經受未來考驗的架構

在這個企業停機所導致的不滿情緒隨時能夠被迅速反應並傳播的社交媒體時代，客戶體驗與應用可用性變得極其重要。藉助高速旁路交換機與強大的NPB將使您的安全架構面對未來考驗時無後顧之憂，它們不但可以最大化地縮減由意外裝置故障、部署、維護或升級導致的網路停機時間，還能夠儘可能延長安全基礎架構的正常執行時間，減少安全裝置負載，進而延伸其有用壽命，並生成高效的流量分析資料。另外，您還能夠以最少的新投資來支援網路流量增長。總而言之，這些優勢都將有助於您的企業得以從容應對未來代價高昂、引起混亂的網路調整。

由旁路交換機與NPB打造的網路安全架構能夠同為網路穩健與高效執行保駕護航——這是一種更加有效且在停機狀況下自我修復的架構。對於企業安全性來說，未雨綢繆遠勝遠勝江心補漏，且成本更低。

原文釋出時間為：2016-06-20

本文來自雲棲社群合作伙伴至頂網，瞭解相關資訊可以關注至頂網。