实用主义的本质就是不考虑那套理论，而是把相反的概念付诸实践。相反，实用主义者则利用理论作为一张地图，任期藉此寻找一种实用的解决方案。为了制作一份有用的地图，以便找到统一威胁管理基础架构的出路，一个办法就是把你的IT基础架构分成多个功能网段（functional network segment），它们也许是物理型的（如数据中心或者核心），也许是逻辑型的（如访客接入或者电子邮件通信）。然后，你可以试着找出每一个网段当中可能存在哪些安全缺口。这样你在进一步调查比较各种技术和厂商时知道应该问哪些问题，列一份简短的清单，然后做出最后的决定。

    要遵守这种实用策略，先要问一个简单的问题：我在以下每一个功能网段都落实了合理的产品和技术吗？

• ·边界
• ·数据中心
• ·核心
• ·ROBO/SOHO
• ·安全的电子邮件通信
• ·端点

    该表总结了这些网段和需要保护它们的技术。为了帮你开始制作一份地图以便查出潜在的安全漏洞，我们会逐一进行很简短的介绍，并列出了哪些挑战可能会带来危害性特别大的缺口。

    ·边界

    网络边界过去常常是网络安全的争论焦点。现在不是这样了，但就算还是这样，网络边界仍是你的第一道防线。这也是许多外部威胁所针对的地方，特别是怀有犯罪意图的那些威胁。在这方面，你面临网络层和内容层的多种威胁。应当最关注的潜在缺口会出现在VPN（IPSec或者SSL）、防火墙、入侵防御系统（IPS）和反病毒等解决方案中——吞吐量、可用性、最新的威胁程序等等。考虑一下这些解决方案的集成程度多紧密，只有紧密集成才有可能在保护方面获得协同效应，从而提高网络层和内容层的安全性。

    ·数据中心

    数据中心是贵公司的核心。这里放着让用户能够处理工作的各种服务器和应用程序。不过总的说来，这方面的最大挑战在于吞吐量和实时操作，尤其是在关键任务应用程序的反病毒和内容扫描方面——如果解决方案跟不上要求，恶意内容最终就会潜入进来，即使不会影响你的所有用户，也会影响许多用户。统一威胁管理解决方案可以在这方面发挥作用，但前提是它们提供可扩展的容量和性能，另外提供高可用性。为了获得最高的可靠性和灵活性，就要寻找与高级电信计算架构（ATCA）兼容的硬件。

    ·核心

    在网络核心，面临的挑战包括粗大带宽、数量众多的同步会话，还有IP语音传输（VOIP）等实时应用——这类应用的特点就是数据包很小。要当心：许多解决方案——尤其是在大众化硬件（如PC）上运行的软件——可能声称吞吐量很高，可以处理512字节的数据包；但实际上，它们在处理VoIP等应用所特有的比较小的数据包时，会出现性能严重下降。虽然在网络核心，主要关注的是防火墙、VPN和入侵防御系统（IPS）等系统的操作，但选择的解决方案必须提供可扩展的容量、性能、高可用性和冗余性。这正是ATCA硬件和专用ASIC处理器的职责范围，它们可以加速网络层和内容层保护功能！

    ·ROBO/SOHO

    远程办事处/分支机构（ROBO）和小型办公室/家庭办公室（SOHO）工作带来了与传统边界防御同样的问题。它们不但增加了漫游的用户和设备，以及无线网络和各种接入设备（如DLS调制调解器）的安全漏洞，还增添了语音及其他实时应用。同样要检查任何解决方案在处理小数据包方面的性能，确保厂商标称的吞吐量适用于这些应用。这方面最关键的也许是良好的集中管理。你不可能做到每个分支机构都派有IT员工，在雇员家里更做不到这一点！你将依靠UTM厂商功能强大的产品来帮助自己：比如便于集中管理的反病毒、反间谍软件和Web内容过滤等功能。

    ·安全的电子邮件通信

    用户们对电子邮件不以为然，但关注安全的IT主管们绝对不可以这样。从许多方面来看，这是最根本的安全缺口：电子邮件是传播病毒感染的头号途径、导致数据不安全的一个重要来源（由于一无所知或者不怀好意的用户）、而且常常是引发法律纠纷的根源（比如各种不当行为及/或侵权行为）。这方面的挑战是来自多方面的。当然，最主要的是入站安全：垃圾邮件、间谍软件、病毒及其他种类的恶意软件。但也不要忽视了出站安全：说到遵从法规要求，先进的归档功能可能是一项重要功能；出站内容过滤功能可以保护重要的机密信息。

    ·端点

    深层防御需要密切关注网络上的端点：台式电脑、笔记本电脑以及越来越多的个人数字助理（PDA）。这方面的安全缺口既影响网络的完整性，又影响应用程序的完整性；能够严格遵守公司制订的安全标准是关键所在。如果端点不安全，就不可以接入网络！防范间谍软件和病毒的保护机制具有的效果尤其重要。个人防火墙和可靠的VPN客户端能够增加另一层保护。