如果您正在計劃一次防火墻升級，或者正在向下一代防火墻遷移，獲得的將不僅是更豐富的功能與更廣泛的保護，還有查看整個安全架構的機會。后者確保了安全架構得以盡可能提高全部安全設備的價值與效率，同時最大程度地降低網絡停機風險。這種風險之所以引人注目，是因為知名研究咨詢公司Gartner指出，一系列行業(yè)的平均停機成本遠遠超過300,000美元/小時，這恰恰印證了本杰明·富蘭克林的格言“一分預防勝過十分治療”(an ounce of prevention is worth a pound of cure)。

然而什么才是最適合的架構，又當如何將其整合到您的網絡之中?按照以下5項最佳實踐技術，你將可以確保企業(yè)網絡安全架構最大限度地提高整體安全及效率。

（Jeff Harris，Ixia副總裁，解決方案營銷總監(jiān)）

1: 降低停機風險

若要降低停機風險，首先應該檢查總體架構，確定潛在的故障點或性能問題。串聯部署是需要加以避免的關鍵結構特性，因為這種部署是將流量從一個安全設備傳輸至另一個，而如果其中任意一個設備發(fā)生故障，則會中斷流量傳遞，導致網絡停機——隨之嚴重影響生產力、收益、甚至企業(yè)聲譽。

在防火墻及其它安全設備前端采用模塊化旁路交換機是一種簡單易行的替代方案。這些交換機必須持續(xù)監(jiān)測所有內聯設備，確保其隨時接收流量。如果某設備發(fā)生故障，旁路交換機應引導流量繞過該設備，直至恢復聯機狀態(tài)。

但是，該方法存在一個潛在問題，即必須在安全性與網絡正常運行之間做出權衡——當設備發(fā)生故障時，不會對旁路流量進行常規(guī)檢查。為此，第2個最佳實踐應運而生。

2: 高效的負載均衡行為

旁路交換機與Network Packet Broker(NPB)搭配使用能夠提高查看與檢查內部網絡數據包的能力，并僅將數據包傳送至適合該類型流量的設備。例如，它可以引導非HTTP/HTTPS流量繞過網絡應用防火墻，因為讓其穿過防火墻毫無益處。

該智能型流量均衡降低了單件設備的不必要處理負擔——減少其變得不堪重負與發(fā)生故障的可能性。另外，網絡效率與安全性強度得到最大限度的提升——所有流量均會接受相關工具的檢查。

3: 巧妙配置獲得高可用性

擁有模塊化旁路交換機與NPB后，接下來須對其進行配置以實現最佳可用性。例如，許多NPB能夠配置到所謂的雙主動模式。這能夠自動即時恢復安全架構內的任意設備，同時運行即有安全設備。巧妙的配置旨在提高正常運行情況下的可用性，而在某設備出現故障時全面保護流量。如果配置得當，用戶將不會發(fā)現停機故障，安全監(jiān)測也不會受到影響。

4: 借助NPB實現更高可視性

重要的是，切勿自認為在架構內增加安全設備就能夠自動降低風險。網絡規(guī)模越大、越復雜，出現網絡盲點的概率也越高，所以提升可視性是至關重要的一條原則。NPB的一項優(yōu)勢在于提供了關于網絡環(huán)境的全面視圖。它能夠捕獲并匯聚流量，去除數據重復，并剝離不必要的細節(jié);甚至能夠根據源地址或地理位置預先過濾已知的惡意流量，讓您明智地決定應首先阻止哪些流量進入網絡。

帶外監(jiān)測工具最適合于分析網絡性能，確定趨勢并響應合規(guī)性請求。也就是說，它們能夠支持全面且智能的網絡可視性，而這對于當今企業(yè)而言至關重要。最佳工具要能夠被遠程管理，并生成有關合規(guī)性的定制報告，支持日益重要的持續(xù)合規(guī)狀態(tài)。

5: 打造能經受未來考驗的架構

在這個企業(yè)停機所導致的不滿情緒隨時能夠被迅速反應并傳播的社交媒體時代，客戶體驗與應用可用性變得極其重要。借助高速旁路交換機與強大的NPB將使您的安全架構面對未來考驗時無后顧之憂，它們不但可以最大化地縮減由意外設備故障、部署、維護或升級導致的網絡停機時間，還能夠盡可能延長安全基礎架構的正常運行時間，減少安全設備負載，進而延伸其有用壽命，并生成高效的流量分析數據。另外，您還能夠以最少的新投資來支持網絡流量增長?？偠灾?，這些優(yōu)勢都將有助于您的企業(yè)得以從容應對未來代價高昂、引起混亂的網絡調整。

由旁路交換機與NPB打造的網絡安全架構能夠同為網絡穩(wěn)健與高效運行保駕護航——這是一種更加有效且在停機狀況下自我修復的架構。對于企業(yè)安全性來說，未雨綢繆遠勝遠勝江心補漏，且成本更低。