防火墙、上网行为审计、防毒墙、WAF、IPS/IDS等各种安全相关的"墙",如果要发挥最大的作用一般是以网桥或网关形式放在网络主干道上,这就带来一个问题,网络架构复杂度增加,经过这么多网络安全设备,网络性能是否会受到影响,对以后排除网络故障也会带来很大影响,咱们有这么用的吗?
我们目前现在就这样。防火墙,上网行为审计,waf,计费网关,线路负载均衡网关5个设备串在一条主干上。无论对那个设备进行更新都会影响到网络。而且其中有一部分设备当时上的时候不支持桥接模式。还是以路由模式连接的。一旦设备故障,要临时更改结构。连前后的网络设备都要重新调整,这也的确是网络安全设备带来的问题。所以现在很多厂商的设备越来越融合。越来越简化。多半都支持桥接 bypass,减少设备故障对线路的影响,多种功能来减少网络结构的复杂。
收起之前为了过认证,给公司加了审计和防火墙,你说的那些功能新防火墙都有。管理层双热备,成本先不说,网络结构变得更加复杂,一个部门来弄还好。一个人就快累死了。 权限,规则,专用人员的VPN通道,老板对公司员工访问网站的控制。。。。 网络性能实际没有降下多少,但是员工的体验就不太好了。
其实很多时候公司的网络安全是从内部发生的,员工安全意识没有到位,你在外面加再多的墙都不管用。