有了上述几种方案,你又该如何在不同情况下作出选择呢?你所作出的决策在很大程度上取决于你同事的经验水平,以及你的安全策略所定义的安全系统需求。但一般来说,下面是本书其余部分要讨论的关于实际设计方案的合理建议。
1.专业安全设备
在大部分网络中,专业设备都应该是安全系统的载体。它们在支持、配置和部署方面的优势足以弥补厂商局限性方面的不足。在对运行时间要求苛刻并且性能需求很高的关键位置中推荐使用专业设备。利用专业设备来实现安全功能的例子包括VPN网关和状态化防火墙的使用。
2.通用操作系统安全设备
使用通用操作系统安全设备的原因有二。首先,使用它们可以实现专门的安全功能,这些功能既可以为某台设备服务,也可服务于用户团体中的一小部分用户。其次,新的安全技术通常首先出现在PC平台上,这使得PC成为实现新生安全特性的首选。利用PC平台可实现的功能包括代理服务器、niche安全功能、防病毒和URL过滤。
3.将安全技术集成到网络中
在组织机构内的两个主要位置上可以使用网络集成安全功能。首先,可以在没有IT员工办公的远程站点使用。典型的例子是与中央站点建立连接的分支办公室。使用一台结合了路由器/防火墙/IDS/VPN 功能的设备比分别使用独立设备更加适合小型分支机构。集成这些功能可以降低成本,并减轻中央站点IT员工的管理负担。其次,在必须对现有网络做尽可能小的修改的环境中使用它们。比如,若将硬件NIDS集成到数据中心的交换机中,管理员就能够检查所有数据中心上的流量,而无需部署多个IDS传感器或者修改拓扑结构了。 |