網行為管理與防火墻、SWG間的關系

　　眾多人都大概了解上網行為管理、下一代防火墻，然很少有人知道上網行為管理與防火墻、SWG間的關系，下面深圳創(chuàng)智天成將為您詳細講解深信服上網行為管理、下一代防火墻與SWE間的關系。下面是學習啦小編跟大家分享的是網行為管理與防火墻、SWG間的關系，歡迎大家來閱讀學習。

　　網行為管理與防火墻、SWG間的關系

　　工具/原料

　　上網行為管理

　　防火墻

　　中國特色的下一代防火墻?

　　1應用識別、身份識別，這些上網行為管理用到的技術讓人很容易聯(lián)想到目前的市場熱點下一代防火墻。實際上，早先幾年業(yè)界就有“上網行為管理就是中國特色下一代防火墻”的論調;某些下一代防火墻中，也確實提供了URL過濾、搜索關鍵字統(tǒng)計等原本屬于上網行為管理的功能。

　　2原因很簡單，從技術角度看，上網行為管理的核心在于數據收集，這個工作要消耗大量的存儲和計算資源。以目前網絡安全硬件平臺的水平，還難以在合理的價格范圍內將安全業(yè)務與數據收集集成在同一設備中實現。所以除了上網行為管理，目前任何主流安全產品都不具有全面的數據收集能力，而沒有數據也就談不上審計和挖掘，無法在管理上體現出價值。

　　3如果對比下一代防火墻和上網行為管理的技術路線，可以看到應用識別是最關鍵的技術。如果連用來傳輸文件的協(xié)議都識別不出來，又何談對文件內容進行安全掃描或審計呢?好的應用識別技術，不但需要經過長期積累，更需要對本土應用有全面的支持。了解了這一點，也就不難明白國內主流上網行為管理廠商為何會在下一代防火墻的發(fā)布及市場拓展方面占得先機了。

　　4其實套用下一代防火墻始作俑者PaloAlto Networks倡導的User-ID、App-ID、Content-ID三個概念來包裝上網行為管理，也顯得非常合適，只不過看待Content的角度要從安全轉向管理，對用戶產生了截然不同的價值。下一代防火墻注重安全，可以實現“對銷售部門員工用MSN接收文件進行病毒掃描”這樣的功能;上網行為管理關注的則是對人的管理，具有“對銷售部門員工用Webmail發(fā)送郵件攜帶的附件進行審計并延遲發(fā)送”的能力。如果對應到用戶的管理架構，一款好的下一代防火墻可以成為CIO和CSO手中保障IT安全的利器，上網行為管理則在某種程度上算是CEO的助手，它的職責不是捍衛(wèi)IT安全，而是保障合規(guī)及提高效率。這就好比一個國家，既需要軍隊、警察來攘外安內，又需要審計和監(jiān)察部門來維持有序高效地運轉。哪個都重要，哪個都不能少。

　　中國特色的SWG

　　如果仔細對比更多安全產品的功能定義，可以發(fā)現與上網行為管理更相似的不是下一代防火墻，而是安全Web網關(SWG)。國際著名第三方咨詢機構Gartner對SWG有著非常精確的定義：這是一種作用于互聯(lián)網出口的產品方案，至少包括URL過濾、惡意代碼防護和包括Web應用在內的應用控制功能，在保護安全的同時強制執(zhí)行企業(yè)的互聯(lián)網訪問策略。而業(yè)界主流的SWG產品，大多又在此基礎上提供了用戶識別和DLP(數據泄露防護)功能，與《上網行為管理產品、市場與應用現狀調研報告》中總結的上網行為管理的4大基本特性相比，只缺少了數據收集審計功能，相似度最高。不過這也意味著SWG還是重安全而輕管理，上網行為管理則重管理而輕安全，二者的價值仍有明顯差異。

　　所以，上網行為管理雖然在功能上可以看做SWG的超集，卻也并不是在任何場景都能取代SWG。一來，上網行為管理的第一要務是滿足管理需求，其安全防護能力也許不如SWG那么強(例如，上網行為管理的URL庫大多沒有安全信譽指數)。二來，很多國家地區(qū)都有針對互聯(lián)網上個人隱私保護的法律法規(guī)，海外用戶及跨國企業(yè)對帶有數據收集與審計功能的上網行為管理存在天然的抵觸感，反而要做功能裁剪并“本土化”后才能被用戶接受。以深信服科技面向海外市場推出的IAM(AC的海外版)為例，在Datasheet中數據收集與審計功能被明確標為可選項，并且據稱URL庫也由自家的換成了Commtouch。

　　3綜上所述，還是將上網行為管理定位成中國特色的SWG顯得更合適，很多問題也就都有了清晰的答案。與UTM提倡大而全的思路不同，Gartner在定義下一代防火墻時充分強調過其串接在網絡中需要足夠的性能保障，應避免集成容易造成較大時延的安全功能。它最好的搭檔莫過于追求深度安全防護和應用合規(guī)的SWG，兩臺產品相輔相成，在網絡系統(tǒng)的安全性與可用性之間構建平衡。一個最明顯的例子就是惡意代碼防護，它沒有出現在下一代防火墻的功能定義中，而是SWG的基礎功能。同樣的道理，數據收集這個上網行為管理的核心功能，由于對性能影響太大，幾乎可以肯定不會有出現在下一代防火墻中的可能，兩者分開獨立部署才是合理的方式。