防火墙迁移：最大程度提高安全弹性与可用性的5种方法

如果您正在计划一次防火墙升级，或者正在向下一代防火墙迁移，获得的将不仅是更丰富的功能与更广泛的保护，还有查看整个安全架构的机会。后者确保了安全架构得以尽可能提高全部安全设备的价值与效率，同时最大程度地降低网络停机风险。这种风险之所以引人注目，是因为知名研究咨询公司Gartner指出，一系列行业的平均停机成本远远超过300,000美元/小时，这恰恰印证了本杰明·富兰克林的格言“一分预防胜过十分治疗”(an ounce of prevention is worth a pound of cure)。

然而什么才是最适合的架构，又当如何将其整合到您的网络之中?按照以下5项最佳实践技术，你将可以确保企业网络安全架构最大限度地提高整体安全及效率。

（Jeff Harris，Ixia副总裁，解决方案营销总监）

1: 降低停机风险

若要降低停机风险，首先应该检查总体架构，确定潜在的故障点或性能问题。串联部署是需要加以避免的关键结构特性，因为这种部署是将流量从一个安全设备传输至另一个，而如果其中任意一个设备发生故障，则会中断流量传递，导致网络停机——随之严重影响生产力、收益、甚至企业声誉。

在防火墙及其它安全设备前端采用模块化旁路交换机是一种简单易行的替代方案。这些交换机必须持续监测所有内联设备，确保其随时接收流量。如果某设备发生故障，旁路交换机应引导流量绕过该设备，直至恢复联机状态。

但是，该方法存在一个潜在问题，即必须在安全性与网络正常运行之间做出权衡——当设备发生故障时，不会对旁路流量进行常规检查。为此，第2个最佳实践应运而生。

2: 高效的负载均衡行为

旁路交换机与Network Packet Broker(NPB)搭配使用能够提高查看与检查内部网络数据包的能力，并仅将数据包传送至适合该类型流量的设备。例如，它可以引导非HTTP/HTTPS流量绕过网络应用防火墙，因为让其穿过防火墙毫无益处。

该智能型流量均衡降低了单件设备的不必要处理负担——减少其变得不堪重负与发生故障的可能性。另外，网络效率与安全性强度得到最大限度的提升——所有流量均会接受相关工具的检查。

3: 巧妙配置获得高可用性

拥有模块化旁路交换机与NPB后，接下来须对其进行配置以实现最佳可用性。例如，许多NPB能够配置到所谓的双主动模式。这能够自动即时恢复安全架构内的任意设备，同时运行即有安全设备。巧妙的配置旨在提高正常运行情况下的可用性，而在某设备出现故障时全面保护流量。如果配置得当，用户将不会发现停机故障，安全监测也不会受到影响。

4: 借助NPB实现更高可视性

重要的是，切勿自认为在架构内增加安全设备就能够自动降低风险。网络规模越大、越复杂，出现网络盲点的概率也越高，所以提升可视性是至关重要的一条原则。NPB的一项优势在于提供了关于网络环境的全面视图。它能够捕获并汇聚流量，去除数据重复，并剥离不必要的细节;甚至能够根据源地址或地理位置预先过滤已知的恶意流量，让您明智地决定应首先阻止哪些流量进入网络。

带外监测工具最适合于分析网络性能，确定趋势并响应合规性请求。也就是说，它们能够支持全面且智能的网络可视性，而这对于当今企业而言至关重要。最佳工具要能够被远程管理，并生成有关合规性的定制报告，支持日益重要的持续合规状态。

5: 打造能经受未来考验的架构

在这个企业停机所导致的不满情绪随时能够被迅速反应并传播的社交媒体时代，客户体验与应用可用性变得极其重要。借助高速旁路交换机与强大的NPB将使您的安全架构面对未来考验时无后顾之忧，它们不但可以最大化地缩减由意外设备故障、部署、维护或升级导致的网络停机时间，还能够尽可能延长安全基础架构的正常运行时间，减少安全设备负载，进而延伸其有用寿命，并生成高效的流量分析数据。另外，您还能够以最少的新投资来支持网络流量增长。总而言之，这些优势都将有助于您的企业得以从容应对未来代价高昂、引起混乱的网络调整。

由旁路交换机与NPB打造的网络安全架构能够同为网络稳健与高效运行保驾护航——这是一种更加有效且在停机状况下自我修复的架构。对于企业安全性来说，未雨绸缪远胜远胜江心补漏，且成本更低。