Web安全網(wǎng)關(guān)可以顯著提高企業(yè)的整體安全狀態(tài)，但它不是一個(gè)“部署隨即忘記”的產(chǎn)品，Web安全網(wǎng)關(guān)的部署、配置和維護(hù)方式都會(huì)影響它提供的安全水平。在這篇技術(shù)文章中，我們將討論如何通過優(yōu)化部署、配置和維護(hù)來最大限度地發(fā)揮對(duì)Web安全網(wǎng)關(guān)的投資。

選擇一個(gè)Web安全網(wǎng)關(guān)部署策略

為了最大限度地發(fā)揮Web安全網(wǎng)關(guān)的優(yōu)勢(shì)，企業(yè)必須確立明確的安全目標(biāo)，并了解各種部署策略的優(yōu)點(diǎn)和缺點(diǎn)。雖然傳統(tǒng)的物理的設(shè)備仍然很受歡迎，但大家對(duì)虛擬設(shè)備越來越感興趣。由于部署相對(duì)簡(jiǎn)單，基于云計(jì)算的Web安全網(wǎng)關(guān)服務(wù)越來越普及。事實(shí)上，現(xiàn)在很多這種產(chǎn)品利用云服務(wù)來提供實(shí)時(shí)URL查找和信譽(yù)服務(wù)，結(jié)合企業(yè)內(nèi)部、托管和基于云計(jì)算的混合元素部署已經(jīng)非常普遍。

成功的關(guān)鍵在于選擇能夠整合到現(xiàn)有IT基礎(chǔ)設(shè)施（特別是安全基礎(chǔ)設(shè)施）的產(chǎn)品或服務(wù)，并且這種產(chǎn)品或服務(wù)還要能夠處理當(dāng)前和未來的網(wǎng)絡(luò)流量負(fù)載。針對(duì)中小企業(yè)的產(chǎn)品提供了抵御基本威脅的保護(hù)，且更易于管理，而企業(yè)級(jí)的產(chǎn)品和服務(wù)則提供抵御高級(jí)和有針對(duì)性威脅的更強(qiáng)的保護(hù)，但需要更多的技能和資源來管理。

對(duì)于內(nèi)部資源或?qū)I(yè)人才有限的企業(yè)而言，基于云計(jì)算的產(chǎn)品和托管產(chǎn)品往往是更好的選擇。然而，這些選擇意味著企業(yè)需要將數(shù)據(jù)交給第三方系統(tǒng)和個(gè)人，所以企業(yè)不要忘記考慮相關(guān)合規(guī)性要求。此外，與企業(yè)內(nèi)部Web安全網(wǎng)關(guān)相比，這些產(chǎn)品的小缺點(diǎn)在于不能使用帶寬和應(yīng)用控制來阻止互聯(lián)網(wǎng)中的不必要的流量，因?yàn)檫@些流量需要傳輸?shù)皆品?wù)來進(jìn)行分析。

對(duì)于企業(yè)內(nèi)部部署的Web安全網(wǎng)關(guān)，代理架構(gòu)是最有效的。通過強(qiáng)制所有Web流量終止于web安全網(wǎng)關(guān)，它可以在流量進(jìn)入或者離開網(wǎng)絡(luò)前允許或阻止任何流量。同時(shí)，通過內(nèi)嵌被動(dòng)監(jiān)控式部署（也被稱為TAP部署），流量被復(fù)制和轉(zhuǎn)發(fā)到web安全網(wǎng)關(guān)進(jìn)行分析。如果沒有及時(shí)檢查到威脅，那么將無法完全阻止威脅，因?yàn)樵趦?nèi)嵌代理配置中，流量不會(huì)被攔截。TAP部署更容易部署和更改，也利于執(zhí)行企業(yè)政策，但它絕對(duì)不是抵御網(wǎng)絡(luò)威脅的可靠保障。

很多防火墻供應(yīng)商已經(jīng)開始整合Web安全網(wǎng)關(guān)功能到他們的產(chǎn)品中，但現(xiàn)代威脅的復(fù)雜性使統(tǒng)一威脅管理（UTM）等設(shè)備失去效用。對(duì)于高容量網(wǎng)絡(luò)，在流量被傳輸?shù)絎eb安全網(wǎng)關(guān)之前，最好先使用防火墻來過濾和阻止低級(jí)別網(wǎng)絡(luò)流量，例如禁止的協(xié)議或者端口請(qǐng)求。這樣一來，就可以實(shí)現(xiàn)性能和深入分析之間的適當(dāng)平衡。

整合Web安全網(wǎng)關(guān)與其他端點(diǎn)安全產(chǎn)品

在部署Web安全網(wǎng)關(guān)之前，必須確保現(xiàn)有安全控制的正常運(yùn)作，否則，面對(duì)糟糕的安全控制，Web安全網(wǎng)關(guān)只能提供有限的保護(hù)，并不能提供額外的保護(hù)。例如，由于Web安全網(wǎng)關(guān)給網(wǎng)絡(luò)添加了一個(gè)新設(shè)備，企業(yè)必須檢查企業(yè)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，并確保網(wǎng)絡(luò)為不同類別數(shù)據(jù)和流程進(jìn)行了正確的分區(qū)。

此外，調(diào)查網(wǎng)絡(luò)上的其他安全設(shè)備，確認(rèn)這些安全設(shè)備用于阻止的威脅類型，并記錄它們用于執(zhí)行安全政策的規(guī)則和過濾器。還要確定誰來整理這些信息以及如何對(duì)信息進(jìn)行審查。企業(yè)必須避免這樣的情況，即Web安全網(wǎng)關(guān)和端點(diǎn)設(shè)備都沒有抵御某種特定威脅。

由于員工是所有企業(yè)安全狀況的關(guān)鍵部分，請(qǐng)確保讓他們了解最新社會(huì)工程學(xué)攻擊。教他們?nèi)绾巫R(shí)別潛在攻擊或者認(rèn)識(shí)惡意鏈接，這樣你就不需要完全依賴于web安全網(wǎng)關(guān)來避免網(wǎng)絡(luò)攻擊。

將可接受用法和合規(guī)政策反映到規(guī)則集

控制員工使用社交網(wǎng)站是很重要的，因?yàn)椋m然很多這樣的網(wǎng)站是有價(jià)值的業(yè)務(wù)工具，但它們同時(shí)也帶來安全風(fēng)險(xiǎn)，并降低生產(chǎn)力。Web安全網(wǎng)關(guān)可以幫助企業(yè)更簡(jiǎn)單地部署復(fù)雜的規(guī)則，以執(zhí)行安全策略，因?yàn)樗鼈兡軌蛱峁?duì)網(wǎng)絡(luò)流量的可視性。觀察實(shí)時(shí)帶寬利用率或者網(wǎng)站訪問情況等信息，讓管理員可以調(diào)整可接受的用法和安全規(guī)則，從而優(yōu)化生產(chǎn)效率和安全性。

Web安全網(wǎng)關(guān)提供的細(xì)粒度控制的精細(xì)度意味著這些規(guī)則可以具體到特定的應(yīng)用，而不是完全允許或否定控制端口和協(xié)議的規(guī)則。此外，對(duì)關(guān)鍵應(yīng)用分配帶寬優(yōu)先級(jí)，意味著企業(yè)不需要阻止所有員工使用某個(gè)Web應(yīng)用或者錯(cuò)過云計(jì)算和移動(dòng)應(yīng)用的優(yōu)勢(shì)，同時(shí)能夠有效地執(zhí)行安全政策。

開發(fā)流程用于審查和調(diào)查警報(bào) 改善規(guī)則集

當(dāng)規(guī)則被違反或者達(dá)到預(yù)定閾值時(shí)，Web安全網(wǎng)關(guān)將會(huì)生成警報(bào)，企業(yè)需要部署程序來處理這些警報(bào)，以確保快速的、有效的、一致的、有組織的響應(yīng)。事件的優(yōu)先排序是很重要的，特別是當(dāng)需要處理多個(gè)事件時(shí)。涉及高價(jià)值或者關(guān)鍵業(yè)務(wù)系統(tǒng)或數(shù)據(jù)的事件，或者可能導(dǎo)致進(jìn)一步破壞的事件，應(yīng)該首先處理。

最后，為了量化和評(píng)估web安全網(wǎng)關(guān)的效率，企業(yè)需要記錄事件的類型、數(shù)量和成本，以及警報(bào)信息。對(duì)Web安全網(wǎng)關(guān)儀表盤和流量類型可視化反應(yīng)的持續(xù)監(jiān)控，使管理員可以減少誤報(bào)的數(shù)量，提高改善帶寬的規(guī)則。企業(yè)還需要建立一個(gè)審計(jì)程序，來檢查規(guī)則集按預(yù)期執(zhí)行，以及正確地執(zhí)行了安全政策。