Web安全網(wǎng)關(guān)可以顯著提高企業(yè)的整體安全狀態(tài),但它不是一個“部署隨即忘記”的產(chǎn)品�,Web安全網(wǎng)關(guān)的部署、配置和維護方式都會影響它提供的安全水平����。在這篇技術(shù)文章中,我們將討論如何通過優(yōu)化部署����、配置和維護來最大限度地發(fā)揮對Web安全網(wǎng)關(guān)的投資。
選擇一個Web安全網(wǎng)關(guān)部署策略
為了最大限度地發(fā)揮Web安全網(wǎng)關(guān)的優(yōu)勢���,企業(yè)必須確立明確的安全目標(biāo)���,并了解各種部署策略的優(yōu)點和缺點。雖然傳統(tǒng)的物理的設(shè)備仍然很受歡迎���,但大 家對虛擬設(shè)備越來越感興趣。由于部署相對簡單�����,基于云計算的Web安全網(wǎng)關(guān)服務(wù)越來越普及。事實上��,現(xiàn)在很多這種產(chǎn)品利用云服務(wù)來提供實時URL查找和信 譽服務(wù)��,結(jié)合企業(yè)內(nèi)部�����、托管和基于云計算的混合元素部署已經(jīng)非常普遍��。
成功的關(guān)鍵在于選擇能夠整合到現(xiàn)有IT基礎(chǔ)設(shè)施(特別是安全基礎(chǔ)設(shè)施)的產(chǎn)品或服務(wù)����,并且這種產(chǎn)品或服務(wù)還要能夠處理當(dāng)前和未來的網(wǎng)絡(luò)流量負(fù)載。針 對中小企業(yè)的產(chǎn)品提供了抵御基本威脅的保護��,且更易于管理�����,而企業(yè)級的產(chǎn)品和服務(wù)則提供抵御高級和有針對性威脅的更強的保護�,但需要更多的技能和資源來管 理。
對于內(nèi)部資源或?qū)I(yè)人才有限的企業(yè)而言����,基于云計算的產(chǎn)品和托管產(chǎn)品往往是更好的選擇�����。然而��,這些選擇意味著企業(yè)需要將數(shù)據(jù)交給第三方系統(tǒng)和個人�����, 所以企業(yè)不要忘記考慮相關(guān)合規(guī)性要求�。此外�,與企業(yè)內(nèi)部Web安全網(wǎng)關(guān)相比,這些產(chǎn)品的小缺點在于不能使用帶寬和應(yīng)用控制來阻止互聯(lián)網(wǎng)中的不必要的流量��, 因為這些流量需要傳輸?shù)皆品⻊?wù)來進行分析����。
對于企業(yè)內(nèi)部部署的Web安全網(wǎng)關(guān),代理架構(gòu)是最有效的���。通過強制所有Web流量終止于web安全網(wǎng)關(guān)���,它可以在流量進入或者離開網(wǎng)絡(luò)前允許或阻止 任何流量�。同時���,通過內(nèi)嵌被動監(jiān)控式部署(也被稱為TAP部署),流量被復(fù)制和轉(zhuǎn)發(fā)到web安全網(wǎng)關(guān)進行分析����。如果沒有及時檢查到威脅,那么將無法完全阻 止威脅��,因為在內(nèi)嵌代理配置中�����,流量不會被攔截���。TAP部署更容易部署和更改�����,也利于執(zhí)行企業(yè)政策����,但它絕對不是抵御網(wǎng)絡(luò)威脅的可靠保障�。
很多防火墻供應(yīng)商已經(jīng)開始整合Web安全網(wǎng)關(guān)功能到他們的產(chǎn)品中�,但現(xiàn)代威脅的復(fù)雜性使統(tǒng)一威脅管理(UTM)等設(shè)備失去效用�����。對于高容量網(wǎng)絡(luò)���,在流量被傳輸?shù)絎eb 安全網(wǎng)關(guān)之前��,最好先使用防火墻來過濾和阻止低級別網(wǎng)絡(luò)流量����,例如禁止的協(xié)議或者端口請求���。這樣一來��,就可以實現(xiàn)性能和深入分析之間的適當(dāng)平衡����。
