Web安全網(wǎng)關(guān)可以顯著提高企業(yè)的整體安全狀態(tài)，但它不是一個“部署隨即忘記”的產(chǎn)品，Web安全網(wǎng)關(guān)的部署、配置和維護方式都會影響它提供的安全水平。在這篇技術(shù)文章中，我們將討論如何通過優(yōu)化部署、配置和維護來最大限度地發(fā)揮對Web安全網(wǎng)關(guān)的投資。

選擇一個Web安全網(wǎng)關(guān)部署策略

為了最大限度地發(fā)揮Web安全網(wǎng)關(guān)的優(yōu)勢，企業(yè)必須確立明確的安全目標，并了解各種部署策略的優(yōu)點和缺點。雖然傳統(tǒng)的物理的設(shè)備仍然很受歡迎，但大家對虛擬設(shè)備越來越感興趣。由于部署相對簡單，基于云計算的Web安全網(wǎng)關(guān)服務(wù)越來越普及。事實上，現(xiàn)在很多這種產(chǎn)品利用云服務(wù)來提供實時URL查找和信譽服務(wù)，結(jié)合企業(yè)內(nèi)部、托管和基于云計算的混合元素部署已經(jīng)非常普遍。

成功的關(guān)鍵在于選擇能夠整合到現(xiàn)有IT基礎(chǔ)設(shè)施（特別是安全基礎(chǔ)設(shè)施）的產(chǎn)品或服務(wù)，并且這種產(chǎn)品或服務(wù)還要能夠處理當前和未來的網(wǎng)絡(luò)流量負載。針對中小企業(yè)的產(chǎn)品提供了抵御基本威脅的保護，且更易于管理，而企業(yè)級的產(chǎn)品和服務(wù)則提供抵御高級和有針對性威脅的更強的保護，但需要更多的技能和資源來管理。

對于內(nèi)部資源或?qū)I(yè)人才有限的企業(yè)而言，基于云計算的產(chǎn)品和托管產(chǎn)品往往是更好的選擇。然而，這些選擇意味著企業(yè)需要將數(shù)據(jù)交給第三方系統(tǒng)和個人，所以企業(yè)不要忘記考慮相關(guān)合規(guī)性要求。此外，與企業(yè)內(nèi)部Web安全網(wǎng)關(guān)相比，這些產(chǎn)品的小缺點在于不能使用帶寬和應(yīng)用控制來阻止互聯(lián)網(wǎng)中的不必要的流量，因為這些流量需要傳輸?shù)皆品?wù)來進行分析。

對于企業(yè)內(nèi)部部署的Web安全網(wǎng)關(guān)，代理架構(gòu)是最有效的。通過強制所有Web流量終止于web安全網(wǎng)關(guān)，它可以在流量進入或者離開網(wǎng)絡(luò)前允許或阻止任何流量。同時，通過內(nèi)嵌被動監(jiān)控式部署（也被稱為TAP部署），流量被復(fù)制和轉(zhuǎn)發(fā)到web安全網(wǎng)關(guān)進行分析。如果沒有及時檢查到威脅，那么將無法完全阻止威脅，因為在內(nèi)嵌代理配置中，流量不會被攔截。TAP部署更容易部署和更改，也利于執(zhí)行企業(yè)政策，但它絕對不是抵御網(wǎng)絡(luò)威脅的可靠保障。

很多防火墻供應(yīng)商已經(jīng)開始整合Web安全網(wǎng)關(guān)功能到他們的產(chǎn)品中，但現(xiàn)代威脅的復(fù)雜性使統(tǒng)一威脅管理（UTM）等設(shè)備失去效用。對于高容量網(wǎng)絡(luò)，在流量被傳輸?shù)絎eb安全網(wǎng)關(guān)之前，最好先使用防火墻來過濾和阻止低級別網(wǎng)絡(luò)流量，例如禁止的協(xié)議或者端口請求。這樣一來，就可以實現(xiàn)性能和深入分析之間的適當平衡。

整合Web安全網(wǎng)關(guān)與其他端點安全產(chǎn)品

在部署Web安全網(wǎng)關(guān)之前，必須確保現(xiàn)有安全控制的正常運作，否則，面對糟糕的安全控制，Web安全網(wǎng)關(guān)只能提供有限的保護，并不能提供額外的保護。例如，由于Web安全網(wǎng)關(guān)給網(wǎng)絡(luò)添加了一個新設(shè)備，企業(yè)必須檢查企業(yè)的網(wǎng)絡(luò)拓撲結(jié)構(gòu)，并確保網(wǎng)絡(luò)為不同類別數(shù)據(jù)和流程進行了正確的分區(qū)。

此外，調(diào)查網(wǎng)絡(luò)上的其他安全設(shè)備，確認這些安全設(shè)備用于阻止的威脅類型，并記錄它們用于執(zhí)行安全政策的規(guī)則和過濾器。還要確定誰來整理這些信息以及如何對信息進行審查。企業(yè)必須避免這樣的情況，即Web安全網(wǎng)關(guān)和端點設(shè)備都沒有抵御某種特定威脅。

由于員工是所有企業(yè)安全狀況的關(guān)鍵部分，請確保讓他們了解最新社會工程學(xué)攻擊。教他們?nèi)绾巫R別潛在攻擊或者認識惡意鏈接，這樣你就不需要完全依賴于web安全網(wǎng)關(guān)來避免網(wǎng)絡(luò)攻擊。

將可接受用法和合規(guī)政策反映到規(guī)則集

控制員工使用社交網(wǎng)站是很重要的，因為，雖然很多這樣的網(wǎng)站是有價值的業(yè)務(wù)工具，但它們同時也帶來安全風(fēng)險，并降低生產(chǎn)力。Web安全網(wǎng)關(guān)可以幫助企業(yè)更簡單地部署復(fù)雜的規(guī)則，以執(zhí)行安全策略，因為它們能夠提供對網(wǎng)絡(luò)流量的可視性。觀察實時帶寬利用率或者網(wǎng)站訪問情況等信息，讓管理員可以調(diào)整可接受的用法和安全規(guī)則，從而優(yōu)化生產(chǎn)效率和安全性。

Web安全網(wǎng)關(guān)提供的細粒度控制的精細度意味著這些規(guī)則可以具體到特定的應(yīng)用，而不是完全允許或否定控制端口和協(xié)議的規(guī)則。此外，對關(guān)鍵應(yīng)用分配帶寬優(yōu)先級，意味著企業(yè)不需要阻止所有員工使用某個Web應(yīng)用或者錯過云計算和移動應(yīng)用的優(yōu)勢，同時能夠有效地執(zhí)行安全政策。

開發(fā)流程用于審查和調(diào)查警報 改善規(guī)則集

當規(guī)則被違反或者達到預(yù)定閾值時，Web安全網(wǎng)關(guān)將會生成警報，企業(yè)需要部署程序來處理這些警報，以確保快速的、有效的、一致的、有組織的響應(yīng)。事件的優(yōu)先排序是很重要的，特別是當需要處理多個事件時。涉及高價值或者關(guān)鍵業(yè)務(wù)系統(tǒng)或數(shù)據(jù)的事件，或者可能導(dǎo)致進一步破壞的事件，應(yīng)該首先處理。

最后，為了量化和評估web安全網(wǎng)關(guān)的效率，企業(yè)需要記錄事件的類型、數(shù)量和成本，以及警報信息。對Web安全網(wǎng)關(guān)儀表盤和流量類型可視化反應(yīng)的持續(xù)監(jiān)控，使管理員可以減少誤報的數(shù)量，提高改善帶寬的規(guī)則。企業(yè)還需要建立一個審計程序，來檢查規(guī)則集按預(yù)期執(zhí)行，以及正確地執(zhí)行了安全政策。