為基礎架構選擇正確的網絡安全措施是非常重要的，因為保護敏感數據和消除安全威脅是重中之重的工作。在開始尋找解決方案時，你會發現可供選擇的安全供應商有很多——而且他們都會說自己的產品是最好的。但是，有一些網絡安全措施會更適合你的網絡架構和特殊珠數據安全需求。本文將介紹用于對比企業網絡安全產品的條件。

關鍵任務數據的位置

理解公司目前將數據存儲在什么位置——以及將來會存儲在什么位置，就能很好地反映需要什么類型的安全工具，以及它們對于整個安全架構的重要性。數據存儲在內部、云中還是兩個位置都存儲，這會影響到安全工具的有效性和重要性。

如果大部分數據都存儲在私有數據中心，那么使用下一代防火墻(NGFW)和網絡訪問控制(NAC)的邊界安全性就是一種重要的數據保護措施。防火墻將防止企業網絡之外的用戶接觸到數據，而NAC則負責保證用戶與設備有正確的數據訪問權限。

另一方面，如果數據目前或將來存儲在云中，那么整體架構安全性則應該重要關注于兼容云平臺的安全工具。例如，許多NGFW都支持用虛擬防火墻來兼容云平臺。類似地，網絡安全措施還應該注重使用安全的Web網關(SWG)和惡意軟件沙箱來防止網絡之間發生數據丟失。此外，這些工具能限制可能滋生惡意軟件的數據在企業網絡、各種云服務提供商及互聯網之間傳輸。許多SWG和惡意軟件沙箱都提供了云服務，因此它們更適合那些將數據存儲在云中的企業。

內部用戶與設備

通過禁止不可信外部連接(如互聯網和WAN邊界網絡)來保護企業組織是必然的選擇。但是，如果有一些特殊數據只能由特定用戶訪問呢?另外，有一些外部咨詢人員、訪問及其他有權限訪問內部網絡的用戶，他們是否也屬于不可信范圍呢?這時就應該使用NAC和NGFW。通過使用NAC，我們就可以驗證每一個試圖訪問網絡的用戶身份。不允許連接該網絡的用戶會被完全阻擋在外。而其他有一定訪問權限的用戶則允許進入網絡，但是只能訪問安全管理員所允許的應用、網絡和數據。NAC規則可以集成到網絡交換/路由設備中，也可以通過使用各過程中劃分內部網絡的內部NGFW實現。

可信設備正在慢慢成為一種更加重要的網絡安全組件，在一些允許非企業掌控設備連接內部網絡的公司中更是如此。自帶設備的趨勢給網絡帶來了巨大的風險，因為自帶設備的操作系統、應用程序及反病毒軟件的安全性可能都沒有保障。在一些最壞的情況下，用戶可能會連接一個受惡意軟件感染的設備，結果它再感染所連接的其他設備和服務器。為了防止這種情況，我們應該部署NAC，用它評測設備的狀態，確定它的硬件/操作系統/反病毒軟件，從而確定它是否符合預定義的安全標準。如果它不符合規定，則應該完全拒絕該用戶的訪問，或者在將問題解決之前把它隔離到一個網段中。

網絡安全工具的位置

許多安全工具可以部署在內部或云服務中。部署在云中的安全工具之所以流行的原因主要有兩個。首先，基于云的安全性使內部安全管理員不需要管理底層工具。服務提供商將負責維護網絡連接、補丁/更新及其他底層基礎架構的工作。因此安全管理員可以專注于安全工具本身的配置和管理。

通過云服務部署網絡安全措施的另一個優點是在高度分布式的網絡中可以更加方便地使用這些工具。例如，以前需要有一個遠程站點負責將所有Web流量轉發回企業辦公室，才能通過一個SWG對流量進行過濾。在每一個位置都部署一個SWG的成本太高，因此將流量轉發回總部才是最經濟的方法。

可是，如果這個遠程站點沒有部署冗余WAN連接并且與企業辦公室距離非常遠，那么這種設計通常會導致出現單點故障和增加網絡延遲。云提供商通常地理位置分散，因此SWG實際上是部署在全球各地，因此SWG可以更加接近各個遠程站點。對于將所有互聯網流量送回一個位置的老設計而言，這種結構可以顯著減少內在的延遲問題。

在深度防御戰略中集成產品的有效性

將一個安全架構視為一種統一深度防御戰略是非常重要的。在這個方面，許多網絡安全措施必須協同工作才能優化性能和提升有效性。當你開始評估不同的供應商產品時，一定要理解和確定應用程序對于其他安全工具的潛在依賴性。這樣才能保證使用正確的安全工具處理這種特殊的任務及其所集成的其他組件。

例如：有一些惡意軟件沙箱是完全獨立工作的。所有數據流都通過沙箱，而惡意軟件沙箱工具則負責過濾合法的流量，同時標記出一些可疑的數據——因此需要額外的測試。但是，其他一些惡意軟件沙箱則依靠NGFW和/或SWG來標記可疑數據。因此，我們必須保證NGFW和SWG能夠執行惡意軟件沙箱所需要的功能。

此外，所有網絡安全措施都必須與安全信息與事件管理(SIEM)平臺相兼容。SIEM的作用將捕捉所有事件，并將來自各種安全工具的數據記錄到一個知識庫中。然后，SIEM可以分析數據以發現潛在惡意安全趨勢及合規性問題。雖然大多數數據采集技術都使用基于標準的日志記錄和簡單網絡管理協議(SNMP)，但是一定要確認計劃使用的安全工具兼容目前已經在使用或計劃實現的SIEM。