精選文檔賽門鐵克網關安全解決方案北京賽門鐵克信息技術有限公司2012年3月.精選文檔賽門鐵克網關安全解決方案1一、某某公司網絡構造描繪3二、某某公司網絡網關安全需求分析32．1分析來自Internet的安全威迫42．2其余網關安全考慮72．3某某公司網絡網關安全需求分析7三、項目的設計目標和原則8四、網關安全產品的種類及公司選擇網關安全產品應試慮的要素94．1網關安全產品的種類及優弊端94．2公司選擇網關安全產品應試慮的要素11五、賽門鐵克網關安全產品介紹15六、賽門鐵克網關安全產品部署規劃166．1部署前準備166．2試驗性部署166．3實質部署176．4調試、查收186．5管理保護說明18.精選文檔一、某某公司網絡構造描繪（以客戶網絡拓撲圖為基礎，正確、清楚的描繪客戶的網絡構造，包含Internet出口，Extranet連結，路由器互換機部署，各線路的帶寬，以及近期可能的網絡改動計劃等等）（客戶網絡拓撲圖）某某公司是在1999年建立。網絡規模較小。目前全部辦公及業務贊成均在一個網絡中。進行分析：只有一個連結INTERNET的連結口，使用？？？的上網方式。重要服務器集中在某一網段里。。。。。。。。。（拜見表示圖）。（公司網絡拓撲）二、某某公司網絡網關安全需求分析網絡的寬泛連結性、專用網絡與鑒于這些網絡之上的計算機基礎設備間的混淆應用改變了公司商務運作的方式。跟著信息變得愈來愈有價值，也愈來愈易傳達，因此在網絡的受保護地區及未受保護地區間進行信息的安全傳達顯得比從前更加重要。公司的信息技.精選文檔術主管都在考慮以下所列出的問題：·能否公司的網絡同互聯網相聯·經過公司的網絡能否能夠獲得機密信息·公司的職工及信息財產能否遇到保護·公司能否有遠程或許挪動工作職工；如何對他們的系統進行保護·公司能否擁有遠程做事處；他們能否有需要保護的信息財產·公司能否因為攻擊而遇到財政損失·公司能否滿意現有的安全保護級別，并且公司能否已擁有了此種保護能力防火墻（或近似產品）關于任何一個公司網絡安全規劃都是一個重要的組件。防火墻是一種鑒于硬件或軟件之上的，在專用或封閉網絡的內部或許界限進行戰略安裝的系統。它阻截未受權用戶進入這些網絡或相應網絡段。這也就是為何稱它們為界限防備系統或安全網關的原由所在。一個高安全的防火墻能夠檢查從互聯網或外面網絡試圖進入受保護網絡或網絡段的全部信息。它經過分析網絡信息和鑒于預設規則的贊成通道而供給保護。它防備任何不知足特定的、不符合安全標準規則的信息進入。2．1分析來自Internet的安全威迫Internet是最寬泛、最復雜也最不安全的網絡，因此當私有網絡在沒有安裝防火墻而直接與Internet連結時私有網絡上的每個節點都裸露給Internet上的其余主機，極易受到攻擊。這就意味著私有網絡的安全性要由內部每一個主機的自己的牢固程度來決定，并且安全性等同于此中最弱的系統。這樣一旦某臺內網的主機被黑客攻擊成功，便能夠經過這臺主機作為跳板，順利的實行對內部網其余主機的攻擊。黑客攻擊產生的結果常常是及其嚴重的，比方造成機密信息泄露，重要數據的損壞，沒法供給正常服務等惡劣結果。從而給整個網絡造成極大的損失，還將嚴重影響公司形象和公司信用甚至致使沒法拯救的災難。網絡的開放和互聯使Internet接口幾乎承受著全部可能的安全威迫，因此接入Internet的界限處對安全技術要求很高。對內部網接入Internet的安全防備應知足以下原則：在未采納安全舉措的狀況下，嚴禁內部網以任何形式直接接入Internet；.精選文檔采納足夠的安全舉措后，贊成內部網對Internet開通必需的業務；對Internet公然宣告的信息應采納安全舉措保障信息不被竄改。在內部網絡和Internet的連結處部署集成的安全技術和產品。因此，連結Internet的界限處考慮實行網關安全舉措時，主要考慮:身份認證、接見控制、數據圓滿性、安全審計、入侵檢測及入侵防備、病毒防備和反垃圾郵件等安全指標，要求以下：1、身份認證必需時能夠對內部網接見Internet加身份認證，認證方式可采納靜態口令來實現；從Internet進入內部網指定主機的特定接見，必然經過鑒于動向口令或公鑰系統的身份認證。2、接見控制在Internet接口，接見控制的主體是內部網用戶和Internet用戶，客體是內部主機、內部服務器及對Internet開放的各樣資源服務器。對內部網用戶和Internet用戶的接見控制應有所差別。內部網用戶接見Internet，接見控制要求以下：能限制開通的服務種類，如開通www、email，封閉telnet；能限制接見特定的Internet網站；能開通內部對外面的單向接見；能嚴禁或贊成特定主機對Internet的接見。對來自Internet的接見，其接見控制要求以下：嚴禁來自Internet的接見直接進入內部網；只贊成Internet特定用戶經代理設備接見內部網指定主機供給的指定業務；必然采納安全舉措，將為Internet供給信息服務的服務器與Internet隔離，從而保障該服務器的安全；必然采納安全舉措，將為Internet供給信息服務的服務器與內部網間隔，從而保障內部網的安全。.精選文檔3、數據圓滿性Internet接口的安全舉措必然保障為Internet供給服務的服務器上的數據不受非授權改正。4、安全審計對進出Internet的接見必然進行審計。詳盡要求以下：能夠生成進出Internet的接見日記；日記內容包含接見時間、主體和客體地點和身份信息、接見方式、接見成敗狀況、連續時間、同一接見倡議建立連結次數、本次接見通信流量等；對所記錄的日記擁有格式化的審計功能，能夠針對不一樣樣主體、客體、時間段、接見成敗等狀況進行統計并形式化輸出。5、入侵檢測及入侵防備入侵檢測系統是安全系統重要構成部分，能夠對流經的數據包進行數據分析，過濾掉含有攻擊指令和操作的數據包，保護網絡的安全。供給對內部攻擊、外面攻擊和誤操作的及時保護。利用高效的智能檢測技術，并配置過濾規則知識庫，從而能夠迅速地對經過系統的信息包進行分析檢測，在保障正常網絡通信的同時能夠有效地阻截黑客的攻擊行為或用戶的非法操作。入侵檢測系統在發現入侵后，會及時做進出侵防備響應，包含切斷網絡連結、記錄事件、自動調用防火墻來實現阻斷和報警等。6、病毒防備在網關、服務器、客戶端均有病毒防備的需求，而在網關處部署網關級病毒防備有重粗心義，對進出內部網絡流量，特別是從Internet進入內部網絡的流量，如：FTP、HTTP、SMTP流量進行病毒掃描，防備絕大部分病毒由Internet傳入公司內部網絡，大大降低內部網絡應付病毒的難度和工作量。7、反垃圾郵件在網關處對進出內部網絡的SMTP流量，特別是從Internet進入內部網絡的SMTP流量進行反垃圾郵件控制，防備大批的垃圾郵件由Internet傳入公司內部網絡，大大降低內部.精選文檔網絡應付垃圾郵件的難度和工作量。2．2其余網關安全考慮1、VPN接入VPN中文全稱是虛假專用網，是一種使用公網實現安全數據傳輸的技術，它能夠保證數據傳輸途中不被窺伺其內容，但它沒法阻截VPN兩頭的某端借此通路對另一端實行攻擊或病毒流傳。因此，對VPN接入線路相同需考慮安全舉措，主要考慮對來自VPN通路的數據也需進行入侵檢測和防病毒，并且考慮將VPN進口置于防火墻從前，不要直接接入內部網絡。2、撥號接入近似對VPN接入的考慮，對撥號接入線路相同需考慮安全舉措，主要考慮對來自撥號接入通路的數據也需進行入侵檢測和防病毒，并且考慮將撥號接入進口置于防火墻從前，不要直接接入內部網絡。3．內部重要服務器間隔對一些內部的重要服務器或重要部門的小網絡，為了供給其安全性，特別是為防備內部人員的攻擊或內部病毒延伸的損壞，考慮設置“內部網關”實現內部的網絡間隔。4．對外公然的服務器對外公然的服務器，比方WEB服務器，FTP服務器等，必然不可以夠直接裸露于外面網絡，建立DMZ區（非軍事區），將對外公然的服務器置于此中，再加以必需的安全控制。2．3某某公司網絡網關安全需求分析（分析客戶網絡連結狀況，目前客戶網絡中已經采納的安全產品和安全舉措，要點分析關于重要服務器/重要網絡網段而言的界限點的安全威迫，如Internet連結處或與Entranet的其余部分的連結處，明確提出需求分析結論即建議在哪些界限點部署如何的網關安全產品。）.精選文檔經過以上分析，聯合某某公司網絡拓撲構造的分析，我們建議:1、在INTERNET連結處部署一臺高安全性高性能的硬件防火墻（包含接見控制、身份認證、VPN、入侵檢測、防病毒、反垃圾郵件、安全審計功能）來控制Internet通信、VPN接入，同時用它建立一個DMZ區，將一些需要對外公然的服務器放入DMZ區加以保護。（見部署表示圖）5、對核心服務器群（如財務服務器）部署一臺高安全性高性能的硬件防火墻（包含接見控制、身份認證、VPN、入侵檢測、防病毒、反垃圾郵件、安全審計功能）來實現重要服務器群的安全間隔。（見部署表示圖）三、項目的設計目標和原則本項目的設計目標是為某某公司網絡建立一套界限安全系統，聯合目前某某公司網絡的現狀，在盡量不改變目前網絡構造和盡量不影響目前網絡性能的前提下，提出合理可行、安全高效的解決方案。在規劃設計過程中，主要考慮和依據以下幾條原則：1、保證選擇先進的、開放的技術和產品；2、保證選擇的產品有優異的安全性、可擴大性和易管理性；.精選文檔3、在選擇產品和確立相應的解決方案時，充分考慮其合用性和靠譜性；4、盡量本著不降低網絡性能；盡量減少網絡改造；5、本著保護現有投資原則；6、充分考慮高可用性以及高擴展性；7、保證公司最低總擁有成本，盡量減少公司的成本；8、從發展的角度出發，提出遠景規劃和其余方面的考慮。四、網關安全產品的種類及公司選擇網關安全產品應試慮的要素4．1網關安全產品的種類及優弊端包過濾防火墻在Internet這樣的TCP/IP網絡上，全部來往的信息都被切割成許很多多必然長度的信息包，包中包含發送者的IP地點和接收者的IP地點信息。當這些信息包被奉上Internet時，路由器會讀取接收者的IP并選擇一條適合的物理線路發送出去，信息包可能經由不一樣樣的路線到達目的地，當全部的包到達目的地后會從頭組裝復原。包過濾式的防火墻會檢查全部經過的信息包中的IP地點，并依據系統管理員所給定的過濾規則進行過濾。假如防火墻設定某一IP地點的站點為不適合接見的話，從這個地點來的全部信息都會被防火墻障蔽掉。包過濾防火墻檢查進出IP信息包，決定能否接收鑒于下邊一種或兩種狀況的信息IP地點的信號源或目的地TCP/UDP端口的信號源或目的地包過濾防火墻的長處是它關于用戶來說是透明的，辦理速度快并且易于保護，平常作為第一道防線。包過濾路由器平常沒合用戶的使用記錄，這樣我們就不可以夠獲得入侵者的攻擊記錄。而攻破一個純真的包過濾式防火墻對黑客來說仍是有方法的。“IP地點欺詐”和“同步風暴”即是黑客用于攻擊包過濾防火墻比較常用的手段。其余,包過濾防火墻還擁有配置繁瑣的弊端。它阻截他人進入內部網絡,但也不告訴你何人進入你的系統,或許何人從內部進入Internet。它能夠阻截外面對私有網絡的接見,卻不可以夠記錄內部的接見。包過濾另一個要點的弊端就是不可以夠在用戶級別進步行過濾,即不可以夠鑒識不一樣樣的用戶和防備IP地點盜用。.精選文檔狀態監測防火墻這類防火墻相較于純真的過濾包而言，供給了更高級其余安全性能，它使用了一個在網關上履行網絡安全策略的軟件模塊，稱之為監測引擎，監測引擎在不影響網絡正常運轉的前提下，采納抽取相關數據的方法對網絡通信的各層實行監測，抽取狀態信息，并動向地保留起來作為此后履行安全策略的參照。與前種防火墻不一樣樣，當用戶接見懇求到達網關的操作系統前，狀態督查器要抽取相關數據進行分析，聯合網絡配置和安全規定做出采納、拒絕、身份認證、報警或給該通信加密等辦理動作。這類防火墻的長處是一旦某個接見違犯安全規定，就會拒絕該接見，并報告相關狀態作日記記錄。狀態監測防火墻的另一個長處是它會監測無連結狀態的遠程過程調用（RPC）和用戶數據報（UDP）之類的端口信息。這類防火墻會降低網絡的速度，并且配置也比較復雜。應用代理型防火墻應用代理型防火墻包含一系列代理服務器，它合用于各樣特定的Internet服務，如SMTP、HTTP、FTP等等。代理服務器平常運轉在兩個網絡之間，它關于客戶來說像是一臺真的服務器，而關于外界的服務器來說，它又是一臺客戶機。今世理服務器接收到用戶對某站點的接見懇求后會檢查該懇求能否符合規定，假如規則贊成用戶接見該站點的話，代理服務器會像一個客戶相同去那個站點取回所需信息，做全面的安全檢查（包含包頭和數據檢查），再轉發給用戶。代理服務器平常都擁有一個高速緩存，這個緩儲藏藏用戶常常接見的站點內容，在下一個用戶要接見同一站點時，服務器就不用重復地獲得相同的內容，直接將緩存內容發出即可，既節儉了時間也節儉了網絡資源。代理服務器會像一堵墻相同擋在內部用戶和外界之間，不讓他們建立直接的連結，這樣提升了安全性，從外面只美麗到該代理服務器而沒法獲知任何的內部資源，諸如用戶的IP地點等。應用代理型防火墻比單調的包過濾和狀態檢測型防火墻都更加安全靠譜，除了包頭信息外會詳盡檢查子協議內容和內部Data部分，并且會詳盡地記錄全部的接見狀態信息。.精選文檔可是應用代理型防火墻也存在一些不足之處：第一它會使接見速度變慢，因為它不一樣樣意用戶直接連結外面網絡，并且收到的包要做全面的安全檢查，其余應用代理型防火墻需要對每一個特定的Internet服務供給相應的應用代理模塊，假如應用代理模塊有限，那么用戶不可以夠使用沒有模塊支持的服務。多模式防火墻多模式防火墻包含著來自其余防火墻的多種工作模式，一般此類防火墻常擁有包過濾和應用代理兩類工作模式，可依據需要對不一樣樣的應用環境使用不一樣樣的工作模式來實現安全控制和性能的均衡。新式多功能網關近一兩年，鑒于對網關安全需求的全面考慮（如2.1,2.2的分析），很多安全廠商推出了新式的多功能網關，新式多功能網關就是在防火墻的基礎上供給網關需要的其余安全功能，比方最常有的是在防火墻上增添VPNSERVER功能。還有在防火墻上增添防病毒功能。也有更加先進的是在防火墻上同時集成了VPN、防病毒、入侵檢測、內容過濾等全面安全功能。新式多功能網關是網關安全發展的趨向，只有新式多功能網關才能真實讓網關地點成為安全防備系統的重要有力的構成部分。4．2公司選擇網關安全產品應試慮的要素因為每一各樣類的網關安全產品都有自己的特色和著要點，有些網關安全產品主要考慮速度，有的網關安全產品安全性特別好，公司應依據自己的詳盡狀況，包含網絡狀況、所要達到的安全級別、需要保護的對象以及被保護對象的重要程度等因向來選擇知足公司要求的產品，因此公司必然先理解網關安全產品的工作方式和工作原理才能評估它能否能夠真實知足自己的需要。為了找出合合用戶所在組織的最正確網關安全產品產品，公司必然將自己的需求照耀到特定的網關安全產品種類上，才能夠選擇最適合自己的產品，一般來講，在選擇網關安全產品時，主要考慮以下幾個方面的要素：網關安全產品功能方面：.精選文檔1、接見控制：能夠供給鑒于時間的安全策略；以不一樣樣的服務端口劃分各樣應用進行管理，新應用能夠由管理員配置成新的服務，擁有高安全性、高性能、更好的伸縮性和擴展性。2、身份認證：用戶認證：對FTP、TELNET、HTTP、HTTPS、RLOGIN的鑒于身份的透明認證。客戶機認證：鑒于客戶機的IP地點進行認證，與協議沒關。3、及時監控活動會話4、地點變換：靜態源地點變換和靜態目的地點變換動向地點變換，隱蔽整個內部網絡地點端口（服務）變換5、供給日記、報警、審查等功能6、能否擁有加強功能：VPN功能供給S2S(SitetoSite)VPN連結功能供給R2S（RemoteclienttoSite）VPN連結功能7、能否擁有加強功能：防病毒功能檢測并辦理各樣病毒、蠕蟲、木馬、混淆威迫8、能否擁有加強功能：入侵檢測功能正確檢測各樣入侵妄圖、入侵數據包9、能否擁有加強功能：入侵防備功能正確響應入侵，阻截入侵，保護網關和內部網絡10、能否擁有加強功能：反垃圾郵件功能檢測并過濾大批垃圾郵件，防備其進入內部網絡11、內容過濾依據安全策略，過濾公司敏感信息傳出網關，也過濾不良信息進入內部網絡.精選文檔網關安全產品的可管理性：1、網關安全產品管理的難易程度，能否擁有直觀的管理界面。2、規則無序性。3、能否能夠實現集中的安全管理，包含遠程配置管理網關安全產品等。各個網關安全產品經過單調控制臺用圖形用戶界面進行集中管理、配置、保護。4、制定規則的難易程度，能否擁有規則制定導游。5、網關安全產品安裝實行的難易程度。6、支持跨平臺的安全管理。網關安全產品的可擴展性和高可用性關于一個好的網關安全產品而言，它的規模和功能應當能夠適應內部網絡的規模和安全策略的變化。選擇哪一種網關安全產品，除了應試慮它的基天性能以外，毫無疑問，還應試慮用戶的實質需求與將來網絡的升級。因此網關安全產品除了擁有保護網絡安全的基本功能外，還供給對VPN的支持，同時還應當擁有可擴展的內駐應用層代理，除了支持常有的網絡服務以外，還應當能夠依據用戶的需求供給相應的代理服務，比方，假如用戶需要NNTP（網絡信息傳輸協議），XWindow，HTTP和Gopher等服務，網關安全產品就應當包含相應的代理服務程序。優異的網關安全產品系統應是一個可任意伸縮的模塊化解決方案，從最為基本的包過濾器到帶加密功能的VPN型包過濾器，直至一個獨立的應用網關，使用戶有充分的余地建立自己所需要的網關安全產品系統。優異的性能新一代的網關安全產品不只應當能夠更好地保護后邊內部網絡的安全，并且應當擁有更加優異的整體性能。傳統的應用代理型防火墻固然能夠供給較高級其余安全保護，可是同時它也成為限制網絡帶寬的瓶頸，這極大地限制了在網絡中的實質應用。數據經過率是.精選文檔表示防火墻性能的參數，因為不一樣樣防火墻的不一樣樣功能擁有不一樣樣的工作量和系統資源要求，因此數據在經過防火墻時會產生延時。自然，數據經過率越高，防火墻性能越好。此刻大多半的防火墻產品都支持NAT功能，它能夠讓防火墻受保護的一邊的IP地點不至于裸露在沒有保護的另一邊，可是啟用NAT后必然會對防火墻系統的性能有所影響。目前如何盡量減少這類影響也成為防火墻產品的賣點之一。其余防火墻系統中集成的VPN解決方案必然是真實的線速運轉，不然將成為網絡通信的瓶頸。特別是采納復雜的加密算法（如3DES）時，其性能特別重要。自然，新式的網關安全產品因為具備的比常例防火墻更多更強的安全功能，那么這些加強功能必然也有資源耗費和性能損失，因此新式網關安全產品在供給高安全性的同時還要要點考慮如何供給硬件平臺的更高性能以保證多種安全功能的使用，總之，客戶對優異的網關安全產品的要求是把最大限度的安全性和高速的性能有機聯合在一同。網關安全產品自己的安全性大部分公司在選擇網關安全產品時都將注意力放在網關安全產品如何控制連結以及網關安全產品支持多少種服務，但常常忽視了一點，網關安全產品也是網絡上的主機之一，也可能存在安全問題，網關安全產品假如不可以夠保證自己安全，則網關安全產品的控制功能再強，也終歸不可以夠圓滿保護內部網絡。大部分網關安全產品都安裝或運轉在一般的操作系統上，如Unix、NT系統等。在網關安全產品主機上履行的除了防火墻軟件外，全部的程序、系統核心，也大多來自于操作系統自己的原有程序。當網關安全主機上所履行的軟件出現安全破綻時，網關安全產品自己也將遇到威迫。此時，任何的網關安全產品控制系統都可能無效，因為當一個黑客獲得了網關安全產品上的控制權此后，黑客幾乎可為非作惡地改正網關安全產品上的配置規則，從而侵入更多的系統。因此網關安全產品自己應有相當高的安全保護。網關安全產品自己的安全性主要表現為以下幾個方面：1、當網關安全產品不論因為任何原由造成某個功能模塊，甚至整個網關安全產品的功能無效時，應當拒絕來自外面的接見，間隔來自外面的連結。2、網關安全產品的自動加固功能：.精選文檔在安裝網關安全產品時，應當自動封閉與網關安全產品沒關的服務和端口。在網關安全產品運轉的過程中，同時實行連續安全性檢查-不停的發現并停止、記錄不安全行為包含不安全的進度和服務等。在安裝以及運轉時自動進行系統自己安全配置與監控，能夠減少因系統管理員的失誤而帶來的威迫。擁有對進入公司內部網絡的全部數據包進行入侵檢測功能，如：端口掃描、IP地點欺詐、SYNFlood和碎片攻擊等鑒于網絡的攻擊。五、賽門鐵克網關安全產品介紹介紹使用賽門鐵克網關集成安全（SymantecGatewaySecurity5400系列,簡稱SGS）。SymantecGatewaySecurity5400系列是新式的網關安全設備，作為業界功能最全面的公司網關安全設備，它將全封包檢測防火墻、鑒于協議異樣和鑒于特色的入侵防守及入侵檢測引擎、有名的病毒防備、鑒于URL的內容過濾、反垃圾郵件以及符合IPSec標準的VPN技術無縫地集成在一同。SymantecGatewaySecurity5400系列對最歹意的互聯網安全威迫也能供給最大程度的防備，其“即插即用”簡單配置功能使得管理員在30分鐘就能夠達成配置工作，其內置HA/LB功能可輕松實現擴展，總之，SymantecGatewaySecurity5400系列為公司Internet和Intranet安全供給最大安全的、可管理的和可擴展的安全解決方案。其主要特色歸納以下：擁有七種必需的公司安全功能，集成了防火墻、鑒于協議異樣和鑒于攻擊特色的入侵防守及入侵檢測、有名的病毒防備、鑒于URL的內容過濾、反垃圾郵件以及符合IPSec標準的VPN技術。供給全面的網絡防備，既能保護連結Internet的網絡，又能保護連結廣域網或局域網的子網。供給集中式管理，經過集中的日記記錄、警報、報告和策略配置簡化網絡安全的.精選文檔管理擁有集成的高可用性和負載均衡選件，能夠知足任何規模的組織的性能要求擁有三種高性能的型號，可供給從100Mbps到1.8Gbps以上的吞吐量范圍經過賽門鐵克?安全響應中心－世界當先的互聯網安全研究和支持組織的LiveUpdate?技術，供給自動安全更新另附上詳盡的《SGS5400產品技術白皮書》六、賽門鐵克網關安全產品部署規劃6．1部署前準備部署從前，針對各個網關安全產品的部署環境（總部、各分公司）進行調研，采集部署所需的必需信息，并提出部署所需條件，讓當地IT部門做好準備。準備方面包含：現有IP地點使用狀況需開放的常有服務端口特別應用（使用何協議、何端口）物理部署地點（某機房、哪一個機架、電源線、網線）可用于部署的時間（比方某個周末能夠）（遇到財年關不可以夠夠）IT人員在場配合（誰，何時能夠）真實部署時哪些部門會受影響需起初通知6．2試驗性部署真實部署從前，依據調研和采集的信息，在一個封閉環境里用幾臺代表機模擬內外網主要應用（特別是特別業務應用要模擬），部署SymantecGatewaySecurity5400于此模擬環境進行試驗，保證定義的協議、配置的規則、地點變換、各安全功能實現均沒有問題，這樣能夠防備貿然在實質環境里部署一旦出現問題就會馬上影響正常業務運作的風險。同時在此試驗性部署過程中，能夠發現一些問題，累積使用經驗