目前常見的技術(shù)手段包括NGFW（下一代防火墻）、上網(wǎng)行為管理以及Web安全代理（又稱Web安全網(wǎng)關(guān)），但在實(shí)際應(yīng)用中，筆者發(fā)現(xiàn)很多用戶還無(wú)法準(zhǔn)確區(qū)分它們之間的差別，因此在方案選型時(shí)，會(huì)面臨很多困惑。

隨著現(xiàn)代企業(yè)網(wǎng)絡(luò)安全技術(shù)和架構(gòu)的不斷發(fā)展和完善，以及企業(yè)對(duì)于員工互聯(lián)網(wǎng)訪問(wèn)行為的安全性和管理性要求不斷提升，越來(lái)越多的企業(yè)需要對(duì)網(wǎng)絡(luò)訪問(wèn)進(jìn)行有效的管理。

目前常見的技術(shù)手段包括NGFW（下一代防火墻）、上網(wǎng)行為管理以及Web安全代理（又稱Web安全網(wǎng)關(guān)），但在實(shí)際應(yīng)用中，筆者發(fā)現(xiàn)很多用戶還無(wú)法準(zhǔn)確區(qū)分它們之間的差別，因此在方案選型時(shí)，會(huì)面臨很多困惑。

產(chǎn)品定位上的差別NGFW是在傳統(tǒng)的防火墻設(shè)備中增加了IPS、用戶訪問(wèn)控制和應(yīng)用訪問(wèn)控制功能，可以實(shí)現(xiàn)從內(nèi)網(wǎng)雙向的控制，在企業(yè)中的應(yīng)用也更加偏向傳統(tǒng)防火墻設(shè)備，主要被用來(lái)隔離內(nèi)外網(wǎng)絡(luò)。

上網(wǎng)行為管理，更加偏向用戶上網(wǎng)流量的分析和上網(wǎng)行為的審計(jì)，同時(shí)增加了上網(wǎng)用戶的認(rèn)證和訪問(wèn)控制、URL分類、帶寬管理等功能，方便實(shí)現(xiàn)審計(jì)和管理功能；也主要應(yīng)用在對(duì)于員工上網(wǎng)行為的管理和帶寬的控制上，來(lái)滿足企業(yè)的互聯(lián)網(wǎng)訪問(wèn)管理需求。

Web安全代理，基于深層次內(nèi)容解析技術(shù)，同樣能夠?qū)崿F(xiàn)上網(wǎng)流量分析和上網(wǎng)行為審計(jì)等上網(wǎng)行為管理功能，同時(shí)增加了對(duì)于HTTP/HTTPS/SMTP/FTP等常用協(xié)議的代理功能，增加了對(duì)于URL的安全過(guò)濾和防病毒功能，在上網(wǎng)行為管控的基礎(chǔ)上，融合了安全防護(hù)的功能。

應(yīng)用功能上的差異NGFW在傳統(tǒng)的防火墻的基礎(chǔ)上增加了IPS、惡意軟件分析、訪問(wèn)控制等功能，NGFW和其他兩款產(chǎn)品相比，通常情況下可以支持更多的協(xié)議。

使用NGFW可以滿足一定的管理要求，但從互聯(lián)網(wǎng)訪問(wèn)的主要協(xié)議、Web訪問(wèn)管理的顆粒度和專業(yè)性上有所欠缺，盡管大多數(shù)的NGFW都宣稱支持深層次的內(nèi)容解析功能，但由于開啟內(nèi)容解析功能后的性能問(wèn)題，在大型企業(yè)的實(shí)際應(yīng)用中，一般只會(huì)開啟外向內(nèi)的安全過(guò)濾功能。

上網(wǎng)行為管理最初的主要功能實(shí)現(xiàn)是對(duì)于員工上網(wǎng)行為、帶寬以及流媒體應(yīng)用的審計(jì)、管理，隨著近幾年的技術(shù)發(fā)展，逐漸在產(chǎn)品中增加了URL分類、用戶認(rèn)證和訪問(wèn)控制以及對(duì)于員工上網(wǎng)內(nèi)容的審計(jì)，但從產(chǎn)品發(fā)展理念的角度，總體來(lái)說(shuō)還是以實(shí)現(xiàn)管理要求為主要目標(biāo)。

Web安全網(wǎng)關(guān)的前身是Web代理，在中國(guó)互聯(lián)網(wǎng)發(fā)展的初期，為保護(hù)內(nèi)部終端不直接暴露在互聯(lián)網(wǎng)上，很多企業(yè)使用Web代理來(lái)為員工提供上網(wǎng)的途徑。

隨后，Web代理作為企業(yè)連接互聯(lián)網(wǎng)的主要關(guān)口，增加了較多的Web應(yīng)用安全功能，逐步演進(jìn)成為Web安全代理網(wǎng)關(guān)。

隨著APT攻擊、遠(yuǎn)程控制、木馬病毒等威脅的不斷傳播，企業(yè)開始更加關(guān)注員工上網(wǎng)行為的安全性，而不僅僅是為了提升辦公效率和帶寬的控制；同時(shí)，對(duì)于員工對(duì)外傳輸數(shù)據(jù)的內(nèi)容的管理和審計(jì)也被越來(lái)越多的企業(yè)所看重，大多數(shù)上網(wǎng)行為管理設(shè)備雖然能夠針對(duì)文件名稱進(jìn)行審計(jì)，但無(wú)法識(shí)別和判斷文件中的內(nèi)容。

Web安全代理，因?yàn)槠涔ぷ髟诖砟Ｊ降奶厥庑裕軌蛑苯訁⑴c到內(nèi)部訪問(wèn)網(wǎng)站的流量交互過(guò)程，也就是說(shuō)員工訪問(wèn)網(wǎng)站的流量還是網(wǎng)站返回的流量在代理設(shè)備層面都是透明可見的，基于這種機(jī)制，Web安全代理能夠?qū)崿F(xiàn)對(duì)于員工上網(wǎng)行為的管理、訪問(wèn)網(wǎng)絡(luò)控制等上網(wǎng)行為管理設(shè)備所實(shí)現(xiàn)的管理功能，也能夠針對(duì)流量進(jìn)行緩存加速、深層次的內(nèi)容檢查、病毒和威脅流量過(guò)濾等安全功能，同時(shí)滿足企業(yè)的安全和管理需求。

在實(shí)際應(yīng)用中，Web安全代理通過(guò)使用中間人技術(shù)，能夠?qū)τ赟SL加密流量進(jìn)行加解密、實(shí)現(xiàn)對(duì)內(nèi)容的深度識(shí)別，幫助員工應(yīng)對(duì)訪問(wèn)互聯(lián)網(wǎng)過(guò)程中遇到的隱藏在SSL流量中的網(wǎng)絡(luò)威脅。

同時(shí)，目前Web安全代理的內(nèi)容檢查技術(shù)也在不斷的發(fā)展，可以將流量解密后給到DLP（數(shù)據(jù)防泄漏）產(chǎn)品來(lái)進(jìn)行內(nèi)容上的更加精確的檢查，以天空衛(wèi)士最新的增強(qiáng)型Web安全網(wǎng)關(guān)ASWG為例，已經(jīng)實(shí)現(xiàn)了和DLP的有效集成，系統(tǒng)處理效率更高。

基于需求做選型當(dāng)然，技術(shù)本身并沒(méi)有絕對(duì)的優(yōu)劣之分，基于企業(yè)實(shí)際需求找到最合適的產(chǎn)品才是關(guān)鍵。

NGFW更偏向于傳統(tǒng)的防火墻設(shè)備，雖然增加了一些管理方面的技術(shù)，但由于其基于防火墻設(shè)計(jì)的基礎(chǔ)，很難實(shí)現(xiàn)在Web應(yīng)用方面的精細(xì)化管理和安全防護(hù)的需求，同時(shí)在加強(qiáng)內(nèi)容與數(shù)據(jù)安全保護(hù)方面的功能拓展上存在局限。

上網(wǎng)行為管理作為管理型設(shè)備，對(duì)于員工網(wǎng)絡(luò)訪問(wèn)行為管理比較適合，但由于其設(shè)計(jì)架構(gòu)以及設(shè)計(jì)模式的問(wèn)題，在Web應(yīng)用安全、SSL加解密處理、URL惡鏈防護(hù)、病毒檢查和內(nèi)容審計(jì)等功能偏弱，限制了在企業(yè)中的Web安全的應(yīng)用場(chǎng)景。

Web安全代理作為一個(gè)“傳統(tǒng)”的新技術(shù)，因?yàn)槠浼夹g(shù)實(shí)現(xiàn)的特殊性，能夠針對(duì)員工訪問(wèn)網(wǎng)絡(luò)的流量進(jìn)行多方面的安全保護(hù)和管理審計(jì)，而其成熟的技術(shù)架構(gòu)也能夠適用于大多數(shù)的企業(yè)網(wǎng)絡(luò)環(huán)境，也能夠適用于企業(yè)的各種應(yīng)用場(chǎng)景。

從最近階段的市場(chǎng)應(yīng)用來(lái)看，一些大型企業(yè)已經(jīng)從過(guò)去單純的上網(wǎng)行為管理升級(jí)到Web安全代理方案。

綜合來(lái)看，如果您的企業(yè)希望在做到網(wǎng)絡(luò)分隔的同時(shí)，對(duì)于流量進(jìn)行安全過(guò)濾，那NGFW比較適合；如果希望對(duì)于員工上網(wǎng)行為進(jìn)行管理，提高員工的工作效率，那么上網(wǎng)行為管理比較適用；如果是除了網(wǎng)絡(luò)訪問(wèn)行為上的管理之外，還需要對(duì)于內(nèi)容進(jìn)行管理，對(duì)于SSL流量進(jìn)行解密，對(duì)于Web訪問(wèn)的安全性比較關(guān)注，那么Web安全代理是最適合的方案。