2011年1月18日消息，雖然經濟環境尚未完全好轉，但是企業卻不能呆在原地觀望不前。它們必須擴張自己的業務，尋找新的增長機會，在現有的優勢市場之外開拓新的地盤。

　　而在這種業務轉型的過程中，IT技術將會發揮關鍵性的作用，Gartner的副總裁Mark McDonald說。“假如企業想要改變自己的運營方式，包括在其他國家經營業務，假如企業想要讓自己的產品打入鄰近的行業市場，那么企業就需要IT技術來獲得規模和連接性，以便進入這些市場，以有效地方式與新的客戶打交道。”

　　在此，我們確定了IT技術可以幫助企業重塑業務、裝備員工的六大關鍵領域，這些技術將會讓企業和員工的工作更高效。

數據中心網絡扁平化

　　專業人士和廠商都表示，現在是讓數據中心網絡扁平化的時候了。隨著虛擬化和虛擬機圍繞基礎設施移動的速度加快，網絡也必須加快速度。

　　加快網絡速度的最佳途徑是取消交換機(一個交換機層)，同時提高端口的速度。

　　簡單地把服務器與交換機之間以及交換機與交換機之間的速度提高到10G，不足以優化數據中心網絡的性能，使之滿足移動虛擬機的需求。縮短延遲時間(通過三層網絡架構向二層網絡架構過渡，再向一層網絡架構過渡)和取消生成樹(Spanning Tree)也是關鍵的因素。

　　10G以太網交換機有較高的無阻塞吞吐量，允許用戶把服務器機架和架頂式交換機直接連接到核心網絡，從而不再需要匯聚層。再有，服務器虛擬化由于切斷了應用和操作系統與物理硬件的直接聯系，從而可以把更多的應用負荷加載到較少的服務器上。

　　用較少的服務器硬件承擔更多的應用負荷需要更高性能的網絡。一種更高性能的網絡是用一個能夠利用交換機之間的多個有效鏈路的新技術取代以太網中的生成樹協議。這類技術(如IETF正在研究的TRILL)旨在克服生成樹協議在規模和拓撲重聚方面的局限性。

　　多鏈接半透明互聯(TRILL)旨在成為具有鏈路狀態路由增強功能的二層協議，支持最短路徑多跳路由，從而使用戶能夠建立大規模以太網和光纖通道以太網數據中心網絡。TRILL旨在克服與生成樹協議相聯系的緩慢的拓撲重聚時間。緩慢的拓撲重聚時間會限制規模且更容易出現鏈路故障。

　　廠商也在提出自己的類似TRILL的使數據中心網絡扁平化的方法。思科的FabricPath是TRILL的一個“預標準擴展集”。它包括TRILL，但是擴展了它的功能。瞻博網絡稱，它的虛擬機箱技術可以實現TRILL的同樣目標，主要是消除數據中心網絡的交換層并且讓服務器之間的“東西”通信比“南北”更順暢。虛擬機箱技術把多臺瞻博網絡交換機相互連接起來組成一臺支持數百個千兆以太網端口的交換機。

　　Brocade的One架構采用TRILL，而Avaya的VENA采用IEEE應對TRILL的方案802.1AQ最短路徑橋接。阿爾卡特-朗訊計劃今年為其新的OmniSwitch 10000設備增加TRILL式的多機箱/虛擬機箱連接。

　　紐約證券交易所正在使其瞻博網絡10G網絡扁平化，以降低延遲并且取消市場饋送流量處理層。

　　紐約證券交易所的東家NYSE Euronext的高級副總裁兼全球溝通負責人Andy Bach表示，它基本上取消了一跳，因此減少了10至20毫秒的延遲。

　　Bach稱，從服務器機架交換機到核心的多個10G鏈路取消了匯聚層。紐約證券交易所還將開始在實驗室測試兩個瞻博網絡數據中心架構(DCF)的能力，進一步使這個網絡扁平化和激活更多鏈路。

　　當問到Bach提到的DCF 1.6和2.0是不是瞻博網絡的Stratus架構的時候，他沒有發表評論。

　　Bach在談到多有效連接實施的時候說，它是虛擬機箱和相互連接的方法。那是我們的發展方向。在我們進入2012年的時候，我們會實現這個目標。生成樹協議早就遠去了。

　　扁平化數據中心網絡的另一個推動因素是向把存儲協議融合到以太網的統一交換架構的遷移。這也需要一個適合兩層法的延遲極低的無損架構。

　　行業專家稱，存儲流量不能容忍通過包含匯聚層的三層架構時增加的交換跳躍的緩存和延遲。除了10G、TRILL和最短路徑橋接之外，使網絡更順暢的標準還有IEEE的數據中心橋接/融合增強以太網(DCB)和ANSI T11的光纖通道以太網(FCoE)。DCB定義一個用于無損傳輸的以太網結構，FCoE規定局域網/存儲區域網融合。

　　網絡扁平化方面的另一個重要標準是IEEE研究制定的VEPA”及其相關的技術。VEPA的含義是虛擬以太網端口匯聚，旨在消除需要在數據中心管理的大量的交換設備。VEPA卸載了服務器中的管理程序和虛擬交換機的大量的網絡處理工作，依靠網絡中的物理交換機計算接入控制列表、虛擬局域網、NAC、管理媒體接入控制地址表、校正策略以及端口和虛擬機過濾器。

將企業Wi-Fi提高到更高層次

　　采用802.11n協議，企業Wi-Fi網絡正在從方便易用的網絡向關鍵性基礎設施轉變。

　　企業Wi-Fi網絡將成為用戶首選的和主要的接入方式。這就意味著IT部門必須重新考慮如何部署、保護、管理和運行無線局域網。

　　來自IT前線的證據表明，花錢把802.11n提供的Wi-Fi數據傳輸速度比802.11abg提供的速度提高3倍至5倍是很容易的。如果發生這種事情，無線局域網預計鞥個輕松處理日益增多的Wi-Fi用戶，吸引對延遲非常敏感的多媒體通訊的應用，為不能滿足需求的企業提供一致的、高吞吐量。

　　迅速發展的特點正在迫使IT專業人員重新考慮他們的無線局域網的方法。

　　位于諾克斯維爾的田納西大學IT設計師Philippe Hanset半開玩笑地說，我的新的Wi-Fi設計標準是：人們可以在廁所閱讀在iPhone或者iPad上的報紙。人們現在可以在以前想不到的地方觀看多媒體內容。

　　Hanset對多媒體有一個廣泛的定義。他說，我不認為多媒體就是視頻。這是根據人們將在無線網絡上看到的新的應用程序設計的一個無線網絡。這些應用程序包括一個視頻聊天應用程序(如蘋果的FaceTime)、用于協作的豐富媒體Web應用程序或者企業贊助的社交網絡和VoIP電話。

　　Aberdeen Group負責無線和移動實踐的高級研究分析師Andrew Borg稱，這些應用程序有獨特的性能要求，如延遲和糾錯。802.11n必須作為設計良好的無線局域網基礎設施的一部分進行優化。

　　同時，Wi-Fi用戶數量正在迅速增長。每個用戶的Wi-Fi設備數量也在爆炸式增長。在田納西大學，Wi-Fi設備在過去的兩年里已經從3千部增長到了9千部。目前，大多數這類設備是iPod Touch和智能手機，而不是筆記本電腦。這些新的設備一般都體積較小，Wi-Fi無線電信號較弱，天線沒有嵌入在筆記本電腦中的天線那樣敏感。

　　處理這些變化需要知道你的用戶現在和未來將運行什么應用程序;設計一個能夠滿足具體吞吐量目標以支持這些應用程序的無線局域網;創建一個超越接入點和控制器的“基礎設施”，以便包括網絡和用戶安全、端對端的網絡管理、持續的監視和一個經過培訓的無線局域網響應團隊和服務臺。

　　下面是你把你的企業無線局域網提高到下一個層次需要了解的東西。

·設計容量而不是覆蓋范圍

　　采用802.11n，極少的接入點能夠創建一個覆蓋整個企業的Wi-Fi網絡。但是，隨著通信類型、應用程序和客戶的發展，僅有覆蓋范圍是不夠的。加州克萊爾蒙特斯克利普斯學院的IT經理Jeff Sessler說，在這所大學，一個802.11n接入點能夠覆蓋有6個教室的樓房，每個教室有大約25個學生。不過，雖然每一個人都能得到無線功能，但是，我們不能保證一個接入點或者兩個無線接入點上的150多個學生都能滿足基本的性能需求。

　　Sessler表示，為容量進行設計和制作意味著考慮一個指定區域的實際用戶需求，部署足夠的接入點滿足你的性能預期。

　　這種方法中的一個關鍵的要素是理解接入點在預定的通訊類型和通訊量、用戶數量和應用程序的情況下如何發揮性能。全面的測試將澄清用戶需求、接入點能夠提供什么、如何部署和在什么地方部署接入點以滿足服務水平的要求。

　　一種做法是部署具有通訊優先等級和應用程序或用戶帶寬限制的Wi-Fi網絡。這是不斷優化無線性能的整個重點的一部分。然而，從頭開始設計無線局域網以應對新興的多媒體的挑戰也許是一個更有效的長期的解決方案。

采取不同方式處理802.11n遷移

　　一個802.11n網絡不僅僅是一個速度更快的Wi-Fi網絡。這個網絡有更高的速度，但是，也有更高的預期。要滿足這些預期，IT部門也許需要制定新的部署方案或者更新現有的方案。

　　位于西雅圖的華盛頓大學的移動通訊戰略主管David Morton稱，我們正在以不同的方式處理我們的802.11n遷移工作。這是一個不同的架構和標準并且是一種不同的部署方法。作為這所大學向802.11n轉變的一部分，IT部門更新了其Wi-Fi部署指南，規定了一些細節，包括那個接入點正在使用，預計會有什么水平的信號，接入點如何安裝、布線和供電等等。

　　斯克利普斯學院的Sessler稱，我發現802.11n無線電比802.11g在覆蓋范圍方面有明顯的改善，能夠在指定的距離始終保持較高的性能。同時，許多IT部門正在首次大規模使用5GHz Wi-Fi頻段：它有不同的射頻信號傳播特性，需要在802.11n無線局域網中考慮這個因素。

　　在華盛頓大學，分階段實施的802.11n升級工作是由項目經理監管的。Morton表示，有許多協調工作需要做。這包括找到合適的人在適當的時候參加這個項目。

·不要忘記后臺

　　最佳設計的無線局域網可能因為后臺服務過載而癱瘓。兩個例子是RADIUS服務器和DHCP服務器在遇到潮水般請求的時候由于各種原因出現故障。

　　此外，DHCP服務器通常不知道一個Wi-Fi用戶已經斷開了連接，或者沒有及時發布IP地址。這可能導致這個無線局域網沒有可用的IP地址。

控制無線局域網管理

　　據IT人員稱，與有線網絡的管理工具相比，無線管理工具仍然是新的。無線管理工具傾向于把重點放在具體的問題方面，傾向于把重點放在反應方面，缺少端對端的觀點。

　　華盛頓大學的Morton稱，有許多很好的Wi-Fi工具。有些工具專門解決Wi-Fi網絡的設計網絡或者配出故障問題。但是，目前缺少的是向我們顯示網絡在發生什么事情及其影響的工具。我們不了解整個網絡的情況。在你查看在網絡中做出一些修改的時候和在將來投資網絡的時候，這些情況是非常重要的。你要能夠在趨勢剛剛出現的時候就抓住它，這樣，你就不會手足無措。

　　最佳的企業知道他們的無線網絡性能如何，健康狀況如何。

　　據Aberdeen Group的研究報告稱，最佳企業知道他們的無線網絡性能如何以及健康狀況如何。例如，他們會定期地例行性地使用RF(射頻)頻譜分析器，很可能使用一些工具創建網絡數據的客戶報告。

　　除了擁有廣泛的必要的工具以及使用這種工具的技術和預期之外，一個關鍵的做法是收集和利用這些公司產生的信息。Aberdeen Group發現，一個擁有最佳性能的無線局域網的企業很可能通過一個集中的無線局域數據庫實施知識共享。據Borg稱，這是許多無線局域網最佳做法的一個關鍵的實現因素。

準備應對客戶問題

　　在內布拉斯加州弗里蒙特的米蘭德路瑟蘭學院，IT人員遇到了801.11n用戶的一些頑固的問題，這些用戶的信號強度會突然在非常強或者非常弱的周期內循環，導致無法連接。這些設備有802.11x客戶端軟件，可用于身份識別，通常使用5GHz頻帶。造成這個問題的確切原因一直沒有找到。但是，當服務臺下載了更新的驅動程序之后，這個問題解決了。

　　米蘭德路瑟蘭學院的IT主管Ken Clipperton稱，根據這個經驗，我們服務臺的經驗法則是如果一臺正確配置的客戶機遇到連接無線網絡的問題，那么，我們就檢查更新的驅動程序。

　　培訓服務臺人員有效地處理客戶無線問題和讓IT人員在網絡方面解決這些問題對于減少線路中斷和提供用戶對無線服務的滿意度是非常重要的。

擴展Wi-Fi最佳做法庫

　　Aberdeen Group的研究報告發現，擁有最佳無線局域網性能、可靠性和用戶滿意度的企業是那些把最佳做法匯集起來解決整個無線網絡不同部分的問題的企業。這些最佳做法相互促進，改善網絡可靠性和性能。

　　例如，高性能的無線局域網一般都擁有集中的Wi-Fi管理、無線入侵檢測/防御系統、帶寬優先次序和頻譜分析器用于連續不斷地排除故障和微調網絡。每一個最佳做法都有一組相關的最佳做法：例如，IT政策和計劃安排能夠保證定期使用頻譜分析器，而現場調查應用程序能夠使用這個數據描繪波動現象并且找到故障點。同樣，入侵控制系統補充定期的站點方面的安全漏洞評估、安全培訓和IT人員認證以及對用戶實施的熟悉安全的教育。

在企業中為iPad尋找合適位置

　　iPad進入企業是遲早的事情，因此IT部門最好事先為其找到最適合的使用場所。

　　雖然企業接受iPad的速度比接受iPhone快一些，但是，一些人士稱，他們仍然在考慮如何應用iPad。

　　一個大問題是確定如何在企業領域最充分地利用iPad。iPad平板電腦很輕、容易使用并且深受員工的喜愛。但是，iPad真的是替代智能手機或者筆記本電腦的產品嗎?這兩個問題的答案到目前為止還都是否定的，至少對于大多數工人來說是如此。

　　波士頓美術館的IT經理Phil Getchell稱，我們還沒有為每一個人配發一臺ipad作為主要設備或者備用設備。我們目前有10臺iPad，主要用于一些特定的項目，沒有廣泛應用。

　　ChangeWave上個月發表的一篇研究報告稱，許多企業正在考慮冒險嘗試使用平板電腦。在接受調查的企業IT購買者中，7%的人表示他們的公司目前使用了平板電腦。14%的受訪者表示，他們的公司將在2011年第一季度購買平板電腦。iPad在企業采購計劃中仍然占統治地位。但是，ChangeWave還發現人們對于戴爾和RIM的平板電腦的興趣正在增長。RIM面向企業的PlayBook平板電腦將于第一季度出貨。

　　波士頓美術館將把iPad平板電腦用于兩個目的。第一，他們把iPad平板電腦分配給波士頓美術館圖書館的解說員。他們需要一種輕型的、便攜式移動設備為他們迅速地提供信息以便回答參觀者提出的有關這個美術館的問題。第二，銷售部門的人員使用iPad平板電腦管理這個美術館的成員名單和銷售以及其它電子商務功能。Getchell稱，波士頓美術館已經發現到目前為止管理它的iPad平板電腦非常方便，因為它限制了iPad的使用范圍并且禁止員工把公司的iPad帶回家。

　　Wells Fargo公司高級副總裁兼總經理Sharon Murphy表示，她的公司正在試驗管理iPad平板電腦以了解這種產品的優點和缺點。雖然iPad到目前為止能夠取代智能手機和筆記本電腦的一些關鍵功能，但是，iPad在近期不會取代任何一種設備。

　　Murphy特別指出，iPad適用于這樣的數據消費者：他們需要一種可隨時訪問數據的簡單的和可接入網絡的設備。但是，對于編寫龐大文件的或者實施大量數據輸入的數據制作者來說，使用PC仍然是最好的方法。

　　Murphy解釋說，我們將看到兩個陣營在發展：信息消費者和信息提供者。iPad對于消費更多的信息并且沒有制作同樣多的信息的那些人來說肯定有一個合適的位置。

　　市場研究公司Forrester的分析師Christian Kane稱，無論企業使用iPad做什么，任何使用iPad的企業最擔心的問題就是安全。企業對于如何應用iPad采取了謹慎的方法，因為他們仍然不能確定他們需要什么安全措施。雖然iPad擁有一些本地的安全功能，如加密和遠程刪除，但是，企業通常必須要查看第三方應用程序以滿足他們的安全需求。

　　分析師Kane稱，一些企業希望得到一種能夠跨平臺工作的移動設備管理解決方案。這樣，他們就能夠管理Android和iPhone操作系統。平板電腦市場還很新，盡管蘋果向開發人員施加壓力要求得到更安全的應用程序，但是，平板電腦市場仍在發展之中。

　　安全廠商Safend負責產品管理的副總裁Edy Almer稱，安全對于iPad和其它平板電腦來說比對智能手機更加重要，因為平板電腦能夠比智能手機攜帶更多的企業數據。

　　Almer稱，在iPhone上，除了電子郵件之外，你不能編輯內容。電子郵件是保密的。在平板電腦上，你可以做許多事情。假如你是一個醫生，你可以使用iPad評估醫療影像的結果。這個問題是，這個核磁共振成像資料附帶患者的數據，因此，在那臺機器上就有保密的個人健康信息。如果這個設備丟失，就可以追溯到某個人。

　　Almer稱，當涉及到第三方安全應用程序時，企業應該尋找這樣的功能，即允許他們專門指定什么數據可以在公司的iPad上使用，什么數據不可以在iPad上使用。這將降低iPad丟失之后企業丟失敏感數據的風險，因為在刪除丟失設備上的數據之前其他人會有機會看到關鍵的企業數據。Almer還指出，企業應該考慮僅允許企業發放的iPad進入工作場所，因為這將為這些iPad制定更多的執行什么安全政策的規定。

　　Almer表示，如果你把iPad作為機構的配備提供給員工，你就有權管理它和遠程刪除它的數據。如果它不是你擁有的設備，你就不能這樣做。因此，如果你有許多人使用iPad，向他們提供機構的iPad而不允許他們使用自己的iPad是一個好主意。

　　Murphy贊同這個觀點。她表示，企業需要投資第三方應用程序，如果他們將在自己的網絡上使用iPad的話。她說，Wells Fargo有一個逐個步驟搞清楚哪一個應用程序最適合需求的方法。

　　Murphy稱，我們必須支持一系列的第三方工具，這樣，我們就能夠有一套完整的設備。我把這個方法稱作“作法自斃”的方法。

　　Murphy表示，這種補救方法是緩慢和小心翼翼的。這是Wells Fargo一直謹慎地對待擴大iPad在員工中應用的原因，也是她認為平板電腦不能很快在企業中取代更安全的筆記本電腦或者智能手機的原因。

　　同樣，Getchell稱，企業在確保覆蓋自己全部的安全用戶群之前應該認真考慮在整個員工隊伍中部署iPad的問題。

　　Getchell稱，他們應該擔心iPad如何迅速地變得非常流行。如果iPad不足以取代筆記本電腦成為你的主要企業設備，你就不要廣泛地使用它。

做好向私有云遷移的準備

　　在企業進入云之前必須完全掌握虛擬化，獲得公司高層的支持，最好能有成功的商業案例。

　　云計算不容置疑的經濟利益促使很多企業在考慮構建他們自己的私有云，但是企業在進入云之前必須確保企業已經準備就緒。

　　ING美國公司是云安全聯盟的創始人之一、云技術的用戶之一，該公司負責IT戰略和企業架構的副總裁Alan Boehme認為，人員、公司治理、價格和技術必須協調行動才行。

　　此外，組織在準備接受私有云的挑戰之前，還需要攀爬一段虛擬化成熟曲線，Forrester副總裁兼首席分析師James Staten說。

　　攀爬這段曲線是要經歷4部曲，首先是要向不太情愿采納虛擬化的業務部門推銷虛擬化，然后是鄭重其事地部署，再就是優化服務器池的使用率，最后是在全企業創造鼓勵共享虛擬基礎設施的激勵措施，他說。

　　在第一階段，IT部門得在自己的組織內部尋找開發人員來嘗試云技術。第二階段，IT部門需要獲得批準，以便在需要時可將虛擬機遷移出物理機之外。

　　Staten稱此階段為英雄階段，因為IT部門在此階段可以有效地減少增加新資源的時間和成本。在此階段中，需要虛擬和不需要虛擬的物理服務器之間的比例會加大，成為衡量虛擬化是否成功的一個指標。

　　而在第三階段，隨著企業試圖最大化物理服務器資源池的使用率，上述比例會逐漸變得不重要，這一階段的關鍵指標就是使用率。在此階段中，工具和程序必須及時部署到位，務必使虛擬機的蔓延降至最低程度，確保閑置的虛擬機能夠關閉，服務器資源可重復使用，Staten說。

　　最后一個階段就是向各業務部門積極推廣虛擬化，要讓他們相信整個組織共享資源才是最好的資源配置。這一階段最有效的手段就是要隨時向用戶比較新增和開通一臺物理服務器(一般需要數周時間)、在數據中心開通一個新的虛擬機(一般需要一天到一周)以及在云中利用標準模板打開一個虛擬機(即刻)這三者之間巨大的時間差異。當集中的服務器倉庫可以在各業務部門間共享時，可以說企業就為采納私有云做好了準備。

　　對于還未能在這條虛擬化成熟曲線上攀爬到太高階段的企業來說，也有一些更快捷的方法可以采用。Boehme說，比如IT部門的一個小組可以與云服務提供商建立一種關系，在提供商的云基礎設施內為企業客戶創建一個專用云。這種做法可以卸掉創建企業所有和維護的私有云的很多沉重負擔。

　　但是要向私有云遷移，其準備過程要比只是虛擬化復雜得多，Boehme說，這其中培訓是個關鍵。企業的IT人員必須要打破以前狹隘的以任務為中心的觀念，要變成通才和多面手。比如說，代替一個存儲專家，現在是一個能夠采用存儲技能的、由多方面人員組成的小組。“讓人們擺脫專業束縛，只要有適當的管理手段，你手下的人是會很快轉變過來的，”而這些人就會去激勵變化，并使變化的痛苦減弱。

　　此外，如果企業想要雇人來實現向私有云的遷移，它們應該考慮較年輕的專業人士，因為這些人是跟著虛擬化一起成長起來的，不會被一些傳統的IT服務配置思維所禁錮。

　　有了云架構中的虛擬化，用戶便可配置自己的工作空間，并輔以治理手段確保個別人不會過度配置資源，這樣一來，虛擬機的實時遷移便能平滑進行，也不會違背協作風險規則，Boehme說。

　　IT部門還必須為他們所提供的云服務建立財務透明制度，以便讓客戶能夠方便地購買這些服務。客戶們對于按使用計費的方式并不熟悉。在傳統上，他們都是為物理服務器付費的，但是在云中，卻可以按每分鐘、每個核心、每個兆字節付費，Boehme說。在云中，服務的價格是變化的，取決于各種因素，例如資源部署的環境以及每天何時使用資源等。

　　企業一旦準備要采用私有云，還必須挑選正確的應用進行部署，美國高爾夫聯合會(USGA)負責IT的執行董事Jessica Caroll說。舉例來說，USGA正在規劃一個可支持該組織社交媒體網站的應用，但是對于網站會有多大流量沒有概念。于是他們決定利用一家公有云提供商的網絡構造一個托管的私有云。如果云應用需要更多的處理能力或者存儲容量，擴容也很方便很快捷。

　　在選擇一家可在其公有云中創建私有云的提供商時，Caroll的建議是必須現場參觀其服務能力例如服務器、數據中心、發電機等以便確保必要的服務等級。

采用下一代防火墻

　　下一代防火墻要求的是一種只和安全目標相關的傳統防火墻完全不同的思維方式。

　　企業如果想從傳統防火墻變換為下一代防火墻，會發生什么情況?企業必須清楚，下一代防火墻的安全思維方式和傳統防火墻的安全目標已經完全不同了，它尤其需要建立應用感知控制，對員工們的上網、瀏覽Web內容以及上社交網站的行為進行監控。

　　“這里面有一個分歧需要解決，”SonicWall的產品管理副總裁Patrick Sweeney說。就傳統基于端口的防火墻而言，系統管理員要討論的是“協議語言”，這種老式的思維方式對新一代防火墻來說是不合適的。企業需要采用一種更加關注業務的語匯，一種和應用有關聯的語匯，可以讓CIO、CFO和CEO們更容易理解的語匯。“必須統一這幾類人之間所講的語言，”Sweeney說。

　　因為新一代快速、智能的防火墻是對應用感知的，所以它能讓企業針對員工建立并強制執行基于身份的應用使用策略。所謂下一代防火墻(NGFW)還可以融合VPN功能，對流量執行入侵防御掃描，并且有智能可以利用一些技術進行聲譽過濾，還能與Active Directory集成進行身份而和策略管理等。

　　這是研究公司Gartner和其他幾家廠商(包括Palo Alto網絡、McAfee、Check Point、Barracuda網絡以及SonicWall等)給出的下一代防火墻的定義，以此來描繪他們的防火墻產品。

　　雖說NGFW浪潮至少已經持續了三年之久，但是Gartner也承認，其實際的使用到目前為止還是為數甚少，甚至還不到1%。至于未來，Gartner的樂觀預計是到2014年，NGFW的采用率會增長到35%。

　　廠商們會繼續研發NGFW產品及服務，NGFW“會成為企業的首選防火墻，”Gartner分析師Greg Young說。即便你的企業還沒打算更新或者替換現有的防火墻，但IT經理仍然應該研究廠商的NGFW路線圖，為下一次更新周期做好準備。

　　采用下一代防火墻的一個驅動力就是上網行為和帶寬消耗會越來越多，SonicWall的Sweeney說。“所以你必須能夠監控到每一個特定用戶，看到他們是否在使用BitTorrent或者某個應用。”

　　借助NGFW，企業可根據帶寬需求和優先級對應用加以控制。此外，有些NGFW產品，比如CheckPoint和SonicWall的產品還可以像防數據泄漏工具一樣，基于關鍵詞和其他規則定義限制應用的使用。

　　Check Point目前在其防火墻產品中通過應用控制軟件刀片提供了NGFW控制，可覆蓋近5000個應用和9萬個社交網絡器具，該公司的網絡安全副總裁Oded Gonda說。Check Point的防火墻還采取了一種警告用戶而不是一下子徹底禁止訪問的做法，這種做法就是在用戶要上Facebook的時候會插入一個“告知頁面”，告訴你按照公司的政策，可能會限制共享某些與公司相關的信息。“有時候人們是不愿意被限制的，所以需要對他們進行教育和告知，”Gonda說。

　　Check Point的NGFW還可發揮這樣一個作用，去尋找人們轉向Web應用的原因。“IT部門要理解人們為何會使用谷歌文檔的原因，”Gonda舉例說。“有時候，這類信息是很難收集的。所以在用戶首次使用谷歌文檔的時候，插入一個問答頁面你就能夠他們使用該應用的原因。”Check Point稱此功能為“用戶檢查”，從2011年開始啟用。

　　從傳統防火墻向NGFW轉移是意義重大的。Young稱，“企業必須制定轉移規則和策略，”并對人員進行相應的培訓。

　　有些企業選擇逐步向NGFW過渡，串聯使用傳統的和下一代的防火墻。大約一半的SonicWall客戶已經開始在使用帶有應用感知的NGFW，Sweeney說，這些客戶通常都會維持其傳統防火墻的使用，同時隨著時間的推移逐步加入了基于應用的控制。

　　根據Young的觀點，從積極的方面看，向整合的多功能NGFW的轉移將會降低企業的成本。

接受社交媒體

　　企業不能簡單地把上社交網站視為員工的個人消遣行為，而完全在工作環境中禁止社交網站。

　　由于很有誘惑力，因此有些企業可能會禁止其員工訪問社交網站和社交媒體網站，但這絕非長久之計。如今，很多行業企業的IT部門都會遭遇到來自員工的壓力，要求放寬限制，能夠讓他們訪問像Facebook、LinkedIn和YouTube等網站。

　　這種壓力來自多個方面。銷售和營銷團隊希望通過社交媒體吸引客戶，并向客戶銷售產品。企業內部員工希望有更多的自由能夠在工作場所訪問個人的社交網絡賬戶。人力資源部門也希望能夠招聘、雇傭和留住精通社交媒體的員工，但是他們都因為企業過于嚴格的限制使用策略而感到不滿。

　　有很多企業，無論大小，都在避免使用非常嚴厲的禁止社交媒體的做法，而改用一種更為寬松的訪問模式，Forrester的副總裁兼首席分析師Chenxi Wang說。

　　這里的挑戰就在于，要找出既能讓企業利用社交媒體發揮自身優勢，又能保證員工的生產效率，確保網絡安全的平衡之道。

　　專家們建議從制定一個好的計劃開始。雖然很多企業已經采用了可接受的使用策略，恰當地解決了e-mail和互聯網的使用問題，但卻很少有企業制定過既能在工作期間使用社交媒體，又能保障企業網絡正常運轉的相關流程。

　　組織需要做的第一件事就是要擴展現有的可接受的使用策略，以便覆蓋所有類型的互聯網溝通方式，M86安全公司的技術戰略副總裁Bradley Anstis說。

　　可接受的使用策略能夠解決諸如允許訪問的級別等問題。舉例來說，并非所有員工都需要在YouTube上發布視頻，或者下載Facebook的應用。對于某些群組的員工來說，只讀訪問就足夠了。要教育員工知悉和社交媒體相關的安全風險，并提供相關的內容共享指南，都是可接受使用策略的關鍵內容。

　　2010年初，FaceTime通信公司曾經調查過1654位IT經理和終端用戶，結果出現了很大的分歧。在這份調查中，62%的IT專業人士估計在他們的網絡上存在著社交網絡應用，而來自已部署了FaceTime設備的實際數據顯示，社交網絡應用在所調查的樣本中為100%。所發現的文件共享工具也有74%，而只有32%的IT專業人士估計有人在用這類工具。發現Web聊天工具也有95%，但卻只有31%的IT專業人士估計有人在用。

　　未來，IT的挑戰就在于要解決因此帶來的安全風險，例如通過員工的社交媒體活動而帶進來的惡意軟件，或者由于員工疏忽大意導致的商業敏感信息的泄露等。

　　除了純粹的Web威脅外(惡意軟件、僵尸網絡、網絡釣魚、有目標攻擊)，還有治理結構、風險和法規遵從(總稱GRC)等問題需要考慮，Check Point的產品營銷經理John Vecchi說。“Web 2.0給IT部門的GRC努力帶來了新的挑戰，尤其是在數據保護方面。Web 2.0讓企業信息有了更多的泄密渠道。”

　　為了監管社交媒體活動，IT部門必須能夠在應用層有強制用戶或特定群組的策略(比較典型的做法是與企業目錄集成)。能夠探測并禁止基于腳本的惡意軟件也是重要的，因為這樣做不僅可以分析下載的內容，而且還能發布內容，確保不會有人違背數據保護策略。

　　以美國的杜瓦爾縣學區為例，該學區就定義了好幾個互聯網訪問級別作為其可接受使用策略的組成部分。各校的校長和管理資源的官員擁有最全面的訪問權，包括對社交網站的訪問權，該學區的信息安全經理Jim Cullbert說。

　　而訪問控制在該學區的其他群組中間則更為嚴格。例如學區的職員可允許使用園區網之外的e-mail應用，但是教師不允許，因為該學區希望所有教師與學生及學生家長間的通信只能通過內部的郵件系統來進行。學區的內容過濾策略與其Active Directory的部署緊密相連，并通過M86安全公司的Web過濾和報表技術強制執行。

　　雖然采取防范社交媒體安全的額措施是重要的，但是IT部門還是需要留意員工對于像Facebook、Twitter和LinkedIn等網站的使用，可能也會像企業基礎設施中的其他方面一樣是無法完全控制或者無法鎖定的。因為員工的行為準則和價值判斷是不可能自動千篇一律的。

　　因此Forrester的Wang建議，“對于員工們在網上做些什么一定要有開放的心態。我會讓員工意識到風險的存在，并為他們提供工具自己去評估和社交媒體相關的風險，但是我也會讓他們自己作出決斷。”