防火墙迁移:提高安全弹性与可用性的5种方法

本文涉及的产品
云防火墙,500元 1000GB
简介:

如果企业正在计划一次防火墙升级,或者正在向下一代防火墙迁移,获得的将不仅是更丰富的功能与更广泛的保护,还有查看整个安全架构的机会。后者确保了安全架构得以尽可能提高全部安全设备的价值与效率,同时最大程度地降低网络停机风险。这种风险之所以引人注目,是因为研究机构Gartner指出,一系列行业的平均停机成本远远超过300,000美元/小时,这恰恰印证了本杰明•富兰克林的格言“一分预防胜过十分治疗”。

然而什么才是最适合的架构,又当如何将其整合到网络之中?按照以下5项最佳实践,你将可以确保企业网络安全架构最大限度地提高整体安全及效率。

1. 降低停机风险

若要降低停机风险,首先应该检查总体架构,确定潜在的故障点或性能问题。串联部署是需要加以避免的关键结构特性,因为这种部署是将流量从一个安全设备传输至另一个,而如果其中任意一个设备发生故障,则会中断流量传递,导致网络停机——随之严重影响生产力、收益、甚至企业声誉。

在防火墙及其它安全设备前端采用模块化旁路交换机是一种简单易行的替代方案。这些交换机必须持续监测所有内联设备,确保其随时接收流量。如果某设备发生故障,旁路交换机应引导流量绕过该设备,直至恢复联机状态。

但是,该方法存在一个潜在问题,即必须在安全性与网络正常运行之间做出权衡——当设备发生故障时,不会对旁路流量进行常规检查。为此,第2个最佳实践应运而生。

2. 高效的负载均衡行为

旁路交换机与Network Packet Broker(NPB)搭配使用能够提高查看与检查内部网络数据包的能力,并仅将数据包传送至适合该类型流量的设备。例如,它可以引导非HTTP/HTTPS流量绕过网络应用防火墙,因为让其穿过防火墙毫无益处。

该智能型流量均衡降低了单件设备的不必要处理负担——减少其变得不堪重负与发生故障的可能性。另外,网络效率与安全性强度得到最大限度的提升——所有流量均会接受相关工具的检查。

3. 巧妙配置获得高可用性

拥有模块化旁路交换机与NPB后,接下来须对其进行配置以实现最佳可用性。例如,许多NPB能够配置到所谓的双主动模式。这能够自动即时恢复安全架构内的任意设备,同时运行即有安全设备。巧妙的配置旨在提高正常运行情况下的可用性,而在某设备出现故障时全面保护流量。如果配置得当,用户将不会发现停机故障,安全监测也不会受到影响。

4. 借助NPB实现更高可视性

重要的是,切勿自认为在架构内增加安全设备就能够自动降低风险。网络规模越大、越复杂,出现网络盲点的概率也越高,所以提升可视性是至关重要的一条原则。NPB的一项优势在于提供了关于网络环境的全面视图。它能够捕获并汇聚流量,去除数据重复,并剥离不必要的细节;甚至能够根据源地址或地理位置预先过滤已知的恶意流量,让企业明智地决定应首先阻止哪些流量进入网络。

带外监测工具最适合于分析网络性能,确定趋势并响应合规性请求。也就是说,它们能够支持全面且智能的网络可视性,而这对于当今企业而言至关重要。最佳工具要能够被远程管理,并生成有关合规性的定制报告,支持日益重要的持续合规状态。

5. 打造能经受未来考验的架构

在这个企业停机所导致的不满情绪随时能够被迅速反应并传播的社交媒体时代,用户体验与应用可用性变得极其重要。借助高速旁路交换机与强大的NPB将使企业安全架构面对未来考验时无后顾之忧,它们不但可以最大化地缩减由意外设备故障、部署、维护或升级导致的网络停机时间,还能够尽可能延长安全基础架构的正常运行时间,减少安全设备负载,进而延伸其有用寿命,并生成高效的流量分析数据。另外,企业还能够以最少的新投资来支持网络流量增长。总而言之,这些优势都将有助于企业得以从容应对未来代价高昂、引起混乱的网络调整。

由旁路交换机与NPB打造的网络安全架构能够同为网络稳健与高效运行保驾护航——这是一种更加有效且在停机状况下自我修复的架构。对于企业安全性来说,未雨绸缪远胜远胜江心补漏,且成本更低。


原文发布时间:2017年3月24日

本文由:安全加 发布,版权归属于原作者

原文链接:http://toutiao.secjia.com/%E9%98%B2%E7%81%AB%E5%A2%99%E8%BF%81%E7%A7%BB%EF%BC%9A%E6%8F%90%E9%AB%98%E5%AE%89%E5%85%A8%E5%BC%B9%E6%80%A7%E4%B8%8E%E5%8F%AF%E7%94%A8%E6%80%A7%E7%9A%845%E7%A7%8D%E6%96%B9%E6%B3%95

本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站

相关文章
|
4月前
|
安全 网络协议 Shell
【内网安全】 域防火墙&入站出站规则&不出网隧道上线&组策略对象同步
【内网安全】 域防火墙&入站出站规则&不出网隧道上线&组策略对象同步
|
16天前
|
安全 网络安全 数据安全/隐私保护
人工防火墙对于确保SaaS环境的安全至关重要
人工防火墙对于确保SaaS环境的安全至关重要
|
2月前
|
监控 安全 网络安全
安全工具防火墙(Firewall)
【8月更文挑战第10天】
61 7
|
2月前
|
网络协议 Ubuntu 安全
在Ubuntu上安装和配置配置服务器防火墙(CSF)的方法
在Ubuntu上安装和配置配置服务器防火墙(CSF)的方法
41 1
|
5月前
|
弹性计算 监控 安全
通过NAT网关和云防火墙防护私网出站流量安全的最佳实践
针对云上企业出站流量安全攻击,企业可以通过采用“NAT网关+NAT边界防火墙”方案实现出向流量有效监控保护,有效降低恶意软件攻陷风险、内部人员风险、数据泄露风险、供应链风险、出站流量合规风险等
113 3
|
5月前
|
SQL 监控 安全
【阿里云云原生专栏】云原生安全体系构建:阿里云云防火墙与WAF的应用
【5月更文挑战第27天】阿里云云防火墙和WAF是构建云原生安全体系的关键产品,提供网络、主机和Web应用多维度防护。云防火墙采用分布式架构抵御网络攻击,确保应用安全稳定;WAF专注Web应用安全,防止SQL注入、XSS和DDoS等威胁。简单部署配置,结合使用可实现全面安全防护,提升企业云上应用安全性,保障业务安全运行。未来,阿里云将持续强化云原生安全建设。
327 1
|
5月前
|
安全 网络协议 网络安全
防火墙之安全策略
防火墙之安全策略
79 7
|
4月前
|
安全 网络协议 Linux
【内网安全】 隧道技术&SMB&ICMP&正反向连接&防火墙出入规则上线
【内网安全】 隧道技术&SMB&ICMP&正反向连接&防火墙出入规则上线
|
4月前
|
弹性计算 人工智能 供应链
云服务器 ECS产品使用问题之端口已加入安全组,但是端口不通,同时服务器已关闭防火墙,是什么导致的
云服务器ECS(Elastic Compute Service)是各大云服务商阿里云提供的一种基础云计算服务,它允许用户租用云端计算资源来部署和运行各种应用程序。以下是一个关于如何使用ECS产品的综合指南。
|
5月前
|
云安全 数据采集 安全
阿里云安全产品,Web应用防火墙与云防火墙产品各自作用简介
阿里云提供两种关键安全产品:Web应用防火墙和云防火墙。Web应用防火墙专注网站安全,防护Web攻击、CC攻击和Bot防御,具备流量管理、大数据防御能力和简易部署。云防火墙是SaaS化的网络边界防护,管理南北向和东西向流量,提供访问控制、入侵防御和流量可视化。两者结合可实现全面的网络和应用安全。
阿里云安全产品,Web应用防火墙与云防火墙产品各自作用简介