安全架构和IT组织问题

　　网络的大小、运营模式和分段情况影响着安全和VPN平台决策。在某些情况下，将多种安全和VPN功能整合在一台设备中能够更好地满足企业的要求。但在其它情况下，用专用设备提供专用功能更为适合。

　　从规模的角度看，大企业网络的流量大、复杂度高，因而需要部署功能更专用的设备。以只提供某几种甚至某一种功能的设备为基础建立起来的安全和VPN基础设施不但可扩展性好，易于选择软件版本和升级周期，还能进行全面配置调试，增加网络分段。从运营角度看，部署专用功能设备还有助于在不同的IT部门之间分配网络安全责任。

　　需要专用安全和VPN设备的功能分段的典型实例如下：

• 部署专用的远程接入VPN设备
• 部署专用IPS设备，执行安全策略审查和法规符合性检查，或者指定IT部门的责任
• 旨在保护Web服务器集群和应用服务器的数据中心专用高速部署
• 支持永续的高速流量检查和访问控制的网络边缘防火墙

　　在较小的网络和机构中，趋势朝相反方向发展。对于越小的网络，例如小企业和远程机构，IT部门也越小，其发展方向是尽可能将多种安全和VPN功能集中在少数设备中。减少设备数量不但能降低网络的复杂性，还能减少网络操作需要的平台数，从而降低对IT人员的技能要求。事实上，在IT人员较少，而且通常不具有太高安全技能的小企业中，设备集中通常能简化站点的运营。

　　Cisco ASA 5500 系列高度灵活，因而既适合提供专用型功能，又适合提供融合型功能。由于它提供多种VPN和安全服务，因

页码：[1] [2] [3] [4] [5] [6] [7] [8] [9] 第5页、共9页