Question

考虑到入站和出站的侧重点完全不同，建议有条件的企业将入站和出站网关分开，同时为实现高可用性采用 F5 负载均衡设备，如图 16-26 所示。

图 16-26　整体防护邮件网关示意图

一封恶意邮件从外面投递过来，经过邮件网关、邮件服务器到达了用户终端，如何确保终端用户不中招又是另一个大工程，涉及防火墙/上网行为管控、终端防病毒/EDR、信誉/沙箱、外部情报分析对接等。

现在有很多厂商都有整套的解决方案，从邮件，到终端，再到上网，结合信誉、沙箱、情报分析等，思科公司的整体方案如图 16-27 所示。

图 16-27　思科 AMP 方案

还有一些厂商另辟蹊径，从数据的视角切入，提供从邮件，到网络，再到终端的方案，天空卫士的整体方案如图 16-28 所示。

图 16-28　天空卫士解决方案

此类方案如果落地，需要关注一点，即整体方案往往意味着在终端、邮件、网关都用其设备，否则联动效果会打折扣。而对于一些已经有一定基础安全建设的企业来说，全部更换成本略高。建议选择适合自己企业的方案，结合不断的运营优化，提升安全能力才是正道。