如果说分而治之对于解决问题是一个成功的策略，那么入侵防御仍然在分化阶段。大多数网络使用防火墙，许多使用IDS，它们都有防病毒和反垃圾邮件的软件，并且一些网络使用IPS。但是却没有一个经销商将这些技术结合成一个整体并进行管理，进而使得使用更简单。

　　提出更多全程的术语，大多数网络管理者在其网络上拥有大量的各种高效控制端口，不论是外围还是核心。然而，正如任何一个工程师告诉你的，仅有控制端口的网络并不等同于一个受控网络。受控网络需要测量端口、控制端口和反馈回路，以保证所有的端口均在限度里运行。当然，数据网络不同于石油管道网络——除此之外，在很多方面它们相似。我们处在可以控制的安全体制之中，但是我们不知道需要控制什么，以及为何要控制。

　　防火墙中关于统一威胁管理（UTM）意见之一似乎可以更好的进行综合管理，答案并不是将各种功能集中在一个盒子里。在小型网络中，单一的UTM防火墙是仅有的一个防御端口，单个管理端口的优点很突出。然而，当UTM经销商出于安全都在努力创建各站代办处时，他们会乐意承认UTM防火墙并没有涵盖所有的基线。如果你的UTM防火墙有一个病毒扫描器，那么是否意味着在桌面上你就不需要防病毒软件了呢？UTM防火墙也可以退一步解决问题：当然，你现在可以管理一个单独的端口，但是如果你有两个端口怎么办啊？

　　必备知识

　　带有许多分布式控制点的网络能够各行其责，原因之一就是：过去，我们几乎不需要网络本身的知识。但是今天，大多数网络由数量巨大的一两条指令进行了大量设计，并且这种趋势仍在继续。观察带有10 Gbit端口的小型配线柜交换器在未来12个月中的增长情况，你就会得出进一步的证据。

　　构建一个十倍或者百倍于需求容量的大型网络比构建一个满足需求的网络要容易得多。网络经销商已经全心全意地跟上了这一潮流，并且提供了数量可观的经济鼓励。在他们心中，当一个10/100/1000交换器仅售几百美元时，谁会在配线间里安装一个48个端口、10/100的交换器呢？

　　随着网络设备的价格大幅度下降，我们趋向于买许多快捷、便宜的硬件，而不安装和多需要测量和管理的工具。由于诸如交换器和路由器之类的基本设备组件之间的价格存在差距，以及越来越成熟的管理与控制产品的不断增加，比如IDS和安全信息管理（SIM），这种趋势将会继续下去。人类的时间观受到如下因素的影响：一个自动的交换器需要花费1000美元，网络管理人员需要花时间来安装，但是该交换器运行的时候几乎不需要任何费用。这样价格差距会更大。将IDS安装到网络中，并且你需要每周花几个小时来保证设备可以良好使用。这是一个巨大的代价。结果是产生了“黑箱”网络：网络有大量的连接点，看不到其运行情况。

　　构建这些黑箱网络的结果是它们大部分时间运行良好——除了它们运行不好的时候。当不必要的网络中断变得更加频繁时，网络中断的后果越来越来越严重。IT性能以及甚至因特网的连通性更紧密地与关键操作结合在一起，对坚若磐石的网络性能的需求也变得极为重要。如果你将CRM外包到SalesForce.com中，但是又无法进入网站，你将如何销售？如果你转向一个无纸传输信息的物资需求计划（MRP）系统，当一堆材料出现在装载码头时，该系统又无法利用，你该怎么办呢？

　　这依赖于网络，也就意味着需要一定的知识，尤其是网络方面的知识。了解我们的网络内部的具体情况，我们就可以预防或阻止问题，并且当问题出现时，可以更快地解决问题。

　　你可能知道的太多

　　当我说你需要网络方面的知识，我并不是指全部的知识。很容易陷入这样一种陷阱：花费整天、每天的时间来查看你网络上一些毫无意义的安全和性能数据。任何网络知识、控制和可见性的投资都必须考虑其对公司的价值。获得太多的信息很容易。实际上，这种情况很普遍。我们的每一个控制点通常几乎都是测量点，并且如果你简单地开启日志记录或统计资料，你将很快被数据所淹没。

　　将数据转变为有用的信息是一项相当艰巨的任务。我们今天现有的所有数据处理产品通常都要么范围过于偏大，要么范围狭小。比如，SIM系统看起来不错，但是大多数的设计目的仅仅是用于处理防火墙和IDS的日志，几乎很少处理相关的网络流量数据。这些SIM规模更大，花费几十万美元，需要大量连续的人力资源进行检测，需要巨大的投资来解答最基本最简单的问题：这个网络健康吗？安全吗？我们是否需要增加性能？如果需要什么时候进行？

　　这是现在不令人满意的情形：大多数网络的构建和管理都是以黑箱进行的，在使用中很少或者没有监控和管理能力。虽然一些网络拥有它们所需要的所有监控，但是安装却需要大量的花销和高额的连续操作成本。此外，一个更多的花费已经用于安装了一些检测工具，但是由于这些工具不能满足IT工作人员的要求，或者因为这些工具需要花很长时间，因此它们从未得到使用。

　　未来的解决方法

　　今天，安全专家提供了一些构建黑箱网络的选择。在这样一个预算紧张以及安全与网络小组之间没完没了的紧张局势的时代中，仅仅大型企业可以负担得起购买产品和员工的开销，因为这些工具需要提供真正的网络可见性。这将随着时间而改变。越来越多的安全产品和网络信息经销商都开始考虑开发优良的产品，增长的网络和安全可见性带来一系列优点，而新开发的产品可以利用这些优点进而达到合理需求和运行费用之间的平衡。今天的关键之处是合理安置网络和安全的结构体系，并充分利用市场上的这些新产品。

　　确定了目标以后，考虑下面的策略为将来做好准备的同时提供临时的缓解方法。

　　1．大多数安全控制点都有能力为外部设备提供日志。然而，诸如交换器和路由器之类的网络控制点的性能通常较差。将企业的安全和体系结构方面的信息结合起来，这一点很重要，进而可以创建一个有效的安全策略。确保你与网络小组共同工作，将新的设备指引成为“安全报告兼容”形式。对于交换器，可能和SNMP性能端口的统计资料以及转发表一样简单；而对于路由器而言，流量分析资料和NAT表格就变得极为重要。这可能需要一些压力，因为制造一种可以传递流量统计资料的路由器会增加成本。

　　2．了解什么类型的数据对你来说是有用的。当一些糟糕的情况发生，你是否需要报警呢？那种情况下，过滤IDS和IPS日志中重要事件的产品可能很容易启动，而且一些工具将漏洞分析信息与攻击警报结合起来，这些工具用处更大。你是不是在寻找鉴定信息来跟踪问题和非法闯入者？SIM设备和IDS的“超级控制台”可以帮助提供相关信息，研究问题时，这些信息可以分离重要信息与相关信息。采用今天可用的集中单点解决方案工具，可以获得经验，因为这有助于发现你在未来需要什么。

　　3．最安全的产品，比如IPS和病毒扫描器，在入侵防御中是主动的。然而，比较被动的工具，比如异常行为检测系统和IDS可以提供真实安全可见性所需要的多余数据。即使你现在没有这些工具，计划一下你会将它们配置在什么地方，并确定你设计网络是为了这些所有可见的设备。偶尔检查一些开源IDS传感器，即使你不经常查看这些结果，它们会给你更多的信心，你可以在合适的点收集到合适的数据。

　　4．在你的企业内部构建网络与安全小组之间的沟通桥梁。大多数企业在这两种职责的分工上采用了非常生硬的方法。最终，随着网络安全成为网络本身的核心功能和需求时，这种分工会消失。由于难以区分外围安全与核心安全，网络与安全状态信息的可见性同时将是任何监控系统的一种假设。现在关系更为紧密，你就可以确定企业网络持续的建设和升级可以满足这些可见性的要求。