Web安全网关可以显著提高企业的整体安全状态，但它不是一个“部署随即忘记”的产品，Web安全网关的部署、配置和维护方式都会影响它提供的安全水平。在这篇技术文章中，我们将讨论如何通过优化部署、配置和维护来最大限度地发挥对Web安全网关的投资。

选择一个Web安全网关部署策略

为了最大限度地发挥Web安全网关的优势，企业必须确立明确的安全目标，并了解各种部署策略的优点和缺点。虽然传统的物理的设备仍然很受欢迎，但大 家对虚拟设备越来越感兴趣。由于部署相对简单，基于云计算的Web安全网关服务越来越普及。事实上，现在很多这种产品利用云服务来提供实时URL查找和信 誉服务，结合企业内部、托管和基于云计算的混合元素部署已经非常普遍。

成功的关键在于选择能够整合到现有IT基础设施(特别是安全基础设施)的产品或服务，并且这种产品或服务还要能够处理当前和未来的网络流量负载。针 对中小企业的产品提供了抵御基本威胁的保护，且更易于管理，而企业级的产品和服务则提供抵御高级和有针对性威胁的更强的保护，但需要更多的技能和资源来管 理。

对于内部资源或专业人才有限的企业而言，基于云计算的产品和托管产品往往是更好的选择。然而，这些选择意味着企业需要将数据交给第三方系统和个人， 所以企业不要忘记考虑相关合规性要求。此外，与企业内部Web安全网关相比，这些产品的小缺点在于不能使用带宽和应用控制来阻止互联网中的不必要的流量， 因为这些流量需要传输到云服务来进行分析。

对于企业内部部署的Web安全网关，代理架构是最有效的。通过强制所有Web流量终止于web安全网关，它可以在流量进入或者离开网络前允许或阻止 任何流量。同时，通过内嵌被动监控式部署(也被称为TAP部署)，流量被复制和转发到web安全网关进行分析。如果没有及时检查到威胁，那么将无法完全阻 止威胁，因为在内嵌代理配置中，流量不会被拦截。TAP部署更容易部署和更改，也利于执行企业政策，但它绝对不是抵御网络威胁的可靠保障。

很多防火墙供应商已经开始整合Web安全网关功能到他们的产品中，但现代威胁的复杂性使统一威胁管理(UTM)等设备失去效用。对于高容量网络，在流量被传输到Web 安全网关之前，最好先使用防火墙来过滤和阻止低级别网络流量，例如禁止的协议或者端口请求。这样一来，就可以实现性能和深入分析之间的适当平衡。