安全顾问Michele Chubirka表示，市场上有很多网络安全工具，但是你可能已经有你所需要的了。

如果你咨询了很多专业人士关于安全工具的问题，你会发现，大部分会表示他们没有足够的或合适的安全工具。尽管这个行业已经很成熟了。事实上，当今的信息安全职业已经超越了实际解决问题，更多的是管理各种安全工具，这也使得这项本来很艰巨的工作变得简单。Conference & expo大会上展示了各种各样的安全产品，所以我们很想知道如何用有限的预算选购合适的产品来解决所有问题。但事实是，你可能已经有很多你需要的网络安全工具了。

你不相信？那么我们先看看标准的网络设备可以提供的安全功能。

想想访问控制列表（ACL）。防火墙厂商喜欢谈论line rate和connections-per-second，但现实情况是，没有哪个设备可以像一个好的老式路由器移动数据包那么快。尽管它们都有为你的流量使用ACL的能力。当你设计一个标准的DMZ sandwich时，你应该问问自己，哪些服务是可以公开访问的。如果主要是HTTP/HTTPS，那么最好是在你的DMZ中可以提供ACL、基于主机的防火墙和入侵检测系统的服务。当然，你不用维持这些协议的状态，因为它们会在应用层完成。

负载均衡可以提供优秀的安全功能

最近热门的下一代防火墙技术的高级功能令人印象颇为深刻，但是你相信它们不会打破公共的面向应用程序吗？很多高级的检测技术可能不能在防火墙上运行快速路径。所以在你的负载均衡中使用安全功能就显得更重要，因为它可以处理更多的connections-per-second问题。

说到负载均衡，其实有很多都有验证内容的高级检测功能。如果一个攻击者想损坏你的网络，负载均衡会将后端服务器变成非工作状态（out of service）。在应用程序前端放置一个负载均衡器还使得从外部直接访问托管服务器变得很难。

另外，还有很多其它原装功能，比如SYN cookies、服务连接限制、协议检测以及分布式拒绝服务（DDoS）预警。当然，你可以购买DDoS服务或使用内容分发网络，但是除非你是《纽约时报》（The New York Times），你才可能在你自己的数据中心托管一个Web应用程序。很多人甚至认为在DMZ边界放置一个负载均衡器来保护和服务你的公共应用程序是首选技术方案。

退一步看问题 找出真正的优势

技术人员对新技术的酷爱是不能控制的。他们喜欢所有先进的应用程序和硬件，而且常常陷入厂商推出的新产品的溢美之词中。这种热情可以激发出一些创新的解决方案，但更重要的是，你需要退一步看问题，评估一下企业是否可以从这个昂贵的硬件上受益，还是现有的工具就可以满足企业需求。

在之后的文章中，我们将探讨监控系统甚至是域名系统中的有益的安全功能。