安全方案扩展性并非多多益善

以前常说，做安全方案都要考虑扩展性。不少用户在选择自己的安全方案的时候，都会适度超前。但最近一位用户的做法，却令记者陷入思考。

这是一家国内数一数二的能源企业，为了能够满足应用层安全的需要，特别是对一些间谍件、木马、恶意软件、恶意站点、病毒进行防御，他们打算在全系统内部建设自己的Web过滤安全方案。

事实上，这家企业虽然庞大且分支机构众多，但其内部的HTTP流量并不大，所有流量算下来只有不到100M，但该企业考虑到日后扩展性，提出了部署多台过滤设备的需求，并且要求设备性能至少达到400M。

对这种企业来说，钱不是问题。但接下来的一幕令记者感到吃惊，所有参与投标的企业都声称自己的设备能够满足400M的要求，事实上这并不是事实，据记者所知，有些厂商的设备跑死也到不了这个吞吐率。而之所以敢“混水摸鱼”，就是看到了用户的实际流量现在没有，日后也不可能有这么多。因此即便进行实际测试，所有的产品也都是“同质”。

这种结果自然为后续的价格战打下伏笔，无疑这对于货真价实的竞争者是不利的。更令人担心的是，按照四台设备所组成的方案异常庞大，有些时候其维护的复杂度甚至超过了厂商自己的想象。对用户而言，这无异于给自己找麻烦。只不过，这些麻烦在实际不大的流量面前，仍将被掩盖一段时间。

这个案例反映出了国内用户采购的某些现状，特别对于那些资金宽裕的用户来说，指标惊人的方案不一定就是最好且货真价实的，君不见那个2008元一平米，号称“真的很德国”的高价地板实则“真的很通州”？只不过这次的例子是IT设备，其形更隐而已。

在此希望提醒用户，再高端的设备、方案也都是三至五年的寿命期，而自己的实际需求才是硬道理，盲目追求最大扩展毫无疑义，甚至自找麻烦。