Web安全網(wǎng)關可以顯著提高企業(yè)的整體安全狀態(tài)，但它不是一個“部署隨即忘記”的產品，Web安全網(wǎng)關的部署、配置和維護方式都會影響它提供的安全水平。在這篇技術文章中，我們將討論如何通過優(yōu)化部署、配置和維護來最大限度地發(fā)揮對Web安全網(wǎng)關的投資。

選擇一個Web安全網(wǎng)關部署策略

為了最大限度地發(fā)揮Web安全網(wǎng)關的優(yōu)勢，企業(yè)必須確立明確的安全目標，并了解各種部署策略的優(yōu)點和缺點。雖然傳統(tǒng)的物理的設備仍然很受歡迎，但大家對虛擬設備越來越感興趣。由于部署相對簡單，基于云計算的Web安全網(wǎng)關服務越來越普及。事實上，現(xiàn)在很多這種產品利用云服務來提供實時URL查找和信譽服務，結合企業(yè)內部、托管和基于云計算的混合元素部署已經非常普遍。

成功的關鍵在于選擇能夠整合到現(xiàn)有IT基礎設施（特別是安全基礎設施）的產品或服務，并且這種產品或服務還要能夠處理當前和未來的網(wǎng)絡流量負載。針對中小企業(yè)的產品提供了抵御基本威脅的保護，且更易于管理，而企業(yè)級的產品和服務則提供抵御高級和有針對性威脅的更強的保護，但需要更多的技能和資源來管理。

對于內部資源或專業(yè)人才有限的企業(yè)而言，基于云計算的產品和托管產品往往是更好的選擇。然而，這些選擇意味著企業(yè)需要將數(shù)據(jù)交給第三方系統(tǒng)和個人，所以企業(yè)不要忘記考慮相關合規(guī)性要求。此外，與企業(yè)內部Web安全網(wǎng)關相比，這些產品的小缺點在于不能使用帶寬和應用控制來阻止互聯(lián)網(wǎng)中的不必要的流量，因為這些流量需要傳輸?shù)皆品諄磉M行分析。

對于企業(yè)內部部署的Web安全網(wǎng)關，代理架構是最有效的。通過強制所有Web流量終止于web安全網(wǎng)關，它可以在流量進入或者離開網(wǎng)絡前允許或阻止任何流量。同時，通過內嵌被動監(jiān)控式部署（也被稱為TAP部署），流量被復制和轉發(fā)到web安全網(wǎng)關進行分析。如果沒有及時檢查到威脅，那么將無法完全阻止威脅，因為在內嵌代理配置中，流量不會被攔截。TAP部署更容易部署和更改，也利于執(zhí)行企業(yè)政策，但它絕對不是抵御網(wǎng)絡威脅的可靠保障。

很多防火墻供應商已經開始整合Web安全網(wǎng)關功能到他們的產品中，但現(xiàn)代威脅的復雜性使統(tǒng)一威脅管理（UTM）等設備失去效用。對于高容量網(wǎng)絡，在流量被傳輸?shù)絎eb安全網(wǎng)關之前，最好先使用防火墻來過濾和阻止低級別網(wǎng)絡流量，例如禁止的協(xié)議或者端口請求。這樣一來，就可以實現(xiàn)性能和深入分析之間的適當平衡。#p#

整合Web安全網(wǎng)關與其他端點安全產品

在部署Web安全網(wǎng)關之前，必須確保現(xiàn)有安全控制的正常運作，否則，面對糟糕的安全控制，Web安全網(wǎng)關只能提供有限的保護，并不能提供額外的保護。例如，由于Web安全網(wǎng)關給網(wǎng)絡添加了一個新設備，企業(yè)必須檢查企業(yè)的網(wǎng)絡拓撲結構，并確保網(wǎng)絡為不同類別數(shù)據(jù)和流程進行了正確的分區(qū)。

此外，調查網(wǎng)絡上的其他安全設備，確認這些安全設備用于阻止的威脅類型，并記錄它們用于執(zhí)行安全政策的規(guī)則和過濾器。還要確定誰來整理這些信息以及如何對信息進行審查。企業(yè)必須避免這樣的情況，即Web安全網(wǎng)關和端點設備都沒有抵御某種特定威脅。

由于員工是所有企業(yè)安全狀況的關鍵部分，請確保讓他們了解最新社會工程學攻擊。教他們如何識別潛在攻擊或者認識惡意鏈接，這樣你就不需要完全依賴于web安全網(wǎng)關來避免網(wǎng)絡攻擊。

將可接受用法和合規(guī)政策反映到規(guī)則集

控制員工使用社交網(wǎng)站是很重要的，因為，雖然很多這樣的網(wǎng)站是有價值的業(yè)務工具，但它們同時也帶來安全風險，并降低生產力。Web安全網(wǎng)關可以幫助企業(yè)更簡單地部署復雜的規(guī)則，以執(zhí)行安全策略，因為它們能夠提供對網(wǎng)絡流量的可視性。觀察實時帶寬利用率或者網(wǎng)站訪問情況等信息，讓管理員可以調整可接受的用法和安全規(guī)則，從而優(yōu)化生產效率和安全性。

Web安全網(wǎng)關提供的細粒度控制的精細度意味著這些規(guī)則可以具體到特定的應用，而不是完全允許或否定控制端口和協(xié)議的規(guī)則。此外，對關鍵應用分配帶寬優(yōu)先級，意味著企業(yè)不需要阻止所有員工使用某個Web應用或者錯過云計算和移動應用的優(yōu)勢，同時能夠有效地執(zhí)行安全政策。

開發(fā)流程用于審查和調查警報  改善規(guī)則集

當規(guī)則被違反或者達到預定閾值時，Web安全網(wǎng)關將會生成警報，企業(yè)需要部署程序來處理這些警報，以確?？焖俚?、有效的、一致的、有組織的響應。事件的優(yōu)先排序是很重要的，特別是當需要處理多個事件時。涉及高價值或者關鍵業(yè)務系統(tǒng)或數(shù)據(jù)的事件，或者可能導致進一步破壞的事件，應該首先處理。

最后，為了量化和評估web安全網(wǎng)關的效率，企業(yè)需要記錄事件的類型、數(shù)量和成本，以及警報信息。對Web安全網(wǎng)關儀表盤和流量類型可視化反應的持續(xù)監(jiān)控，使管理員可以減少誤報的數(shù)量，提高改善帶寬的規(guī)則。企業(yè)還需要建立一個審計程序，來檢查規(guī)則集按預期執(zhí)行，以及正確地執(zhí)行了安全政策。