淺析NGFW、上網行為管理和Web安全網關在企業中的應用差別與選型

隨著現代企業網絡安全技術和架構的不斷髮展和完善，以及企業對於員工互聯網訪問行為的安全性和管理性要求不斷提升，越來越多的企業需要對網絡訪問進行有效的管理。目前常見的技術手段包括NGFW（下一代防火牆）、上網行為管理以及Web安全代理（又稱Web安全網關），但在實際應用中，筆者發現很多用戶還無法準確區分它們之間的差別，因此在方案選型時，會面臨很多困惑。

產品定位上的差別

NGFW是在傳統的防火牆設備中增加了IPS、用戶訪問控制和應用訪問控制功能，可以實現從內網雙向的控制，在企業中的應用也更加偏向傳統防火牆設備，主要被用來隔離內外網絡。

上網行為管理，更加偏向用戶上網流量的分析和上網行為的審計，同時增加了上網用戶的認證和訪問控制、URL分類、帶寬管理等功能，方便實現審計和管理功能；也主要應用在對於員工上網行為的管理和帶寬的控制上，來滿足企業的互聯網訪問管理需求。

Web安全代理，基於深層次內容解析技術，同樣能夠實現上網流量分析和上網行為審計等上網行為管理功能，同時增加了對於HTTP/HTTPS/SMTP/FTP等常用協議的代理功能，增加了對於URL的安全過濾和防病毒功能，在上網行為管控的基礎上，融合了安全防護的功能。

應用功能上的差異

NGFW在傳統的防火牆的基礎上增加了IPS、惡意軟件分析、訪問控制等功能，NGFW和其他兩款產品相比，通常情況下可以支持更多的協議。使用NGFW可以滿足一定的管理要求，但從互聯網訪問的主要協議、Web訪問管理的顆粒度和專業性上有所欠缺，儘管大多數的NGFW都宣稱支持深層次的內容解析功能，但由於開啟內容解析功能後的性能問題，在大型企業的實際應用中，一般只會開啟外向內的安全過濾功能。

上網行為管理最初的主要功能實現是對於員工上網行為、帶寬以及流媒體應用的審計、管理，隨著近幾年的技術發展，逐漸在產品中增加了URL分類、用戶認證和訪問控制以及對於員工上網內容的審計，但從產品發展理念的角度，總體來說還是以實現管理要求為主要目標。

Web安全網關的前身是Web代理，在中國互聯網發展的初期，為保護內部終端不直接暴露在互聯網上，很多企業使用Web代理來為員工提供上網的途徑。隨後，Web代理作為企業連接互聯網的主要關口，增加了較多的Web應用安全功能，逐步演進成為Web安全代理網關。

隨著APT攻擊、遠程控制、木馬病毒等威脅的不斷傳播，企業開始更加關注員工上網行為的安全性，而不僅僅是為了提升辦公效率和帶寬的控制；同時，對於員工對外傳輸數據的內容的管理和審計也被越來越多的企業所看重，大多數上網行為管理設備雖然能夠針對文件名稱進行審計，但無法識別和判斷文件中的內容。

Web安全代理，因為其工作在代理模式的特殊性，能夠直接參與到內部訪問網站的流量交互過程，也就是說員工訪問網站的流量還是網站返回的流量在代理設備層面都是透明可見的，基於這種機制，Web安全代理能夠實現對於員工上網行為的管理、訪問網絡控制等上網行為管理設備所實現的管理功能，也能夠針對流量進行緩存加速、深層次的內容檢查、病毒和威脅流量過濾等安全功能，同時滿足企業的安全和管理需求。

在實際應用中，Web安全代理通過使用中間人技術，能夠對於SSL加密流量進行加解密、實現對內容的深度識別，幫助員工應對訪問互聯網過程中遇到的隱藏在SSL流量中的網絡威脅。同時，目前Web安全代理的內容檢查技術也在不斷的發展，可以將流量解密後給到DLP（數據防洩漏）產品來進行內容上的更加精確的檢查，以天空衛士最新的增強型Web安全網關ASWG為例，已經實現了和DLP的有效集成，系統處理效率更高。

基於需求做選型

當然，技術本身並沒有絕對的優劣之分，基於企業實際需求找到最合適的產品才是關鍵。

NGFW更偏向於傳統的防火牆設備，雖然增加了一些管理方面的技術，但由於其基於防火牆設計的基礎，很難實現在Web應用方面的精細化管理和安全防護的需求，同時在加強內容與數據安全保護方面的功能拓展上存在侷限。

上網行為管理作為管理型設備，對於員工網絡訪問行為管理比較適合，但由於其設計架構以及設計模式的問題，在Web應用安全、SSL加解密處理、URL惡鏈防護、病毒檢查和內容審計等功能偏弱，限制了在企業中的Web安全的應用場景。

Web安全代理作為一個“傳統”的新技術，因為其技術實現的特殊性，能夠針對員工訪問網絡的流量進行多方面的安全保護和管理審計，而其成熟的技術架構也能夠適用於大多數的企業網絡環境，也能夠適用於企業的各種應用場景。從最近階段的市場應用來看，一些大型企業已經從過去單純的上網行為管理升級到Web安全代理方案。

綜合來看，如果您的企業希望在做到網絡分隔的同時，對於流量進行安全過濾，那NGFW比較適合；如果希望對於員工上網行為進行管理，提高員工的工作效率，那麼上網行為管理比較適用；如果是除了網絡訪問行為上的管理之外，還需要對於內容進行管理，對於SSL流量進行解密，對於Web訪問的安全性比較關注，那麼Web安全代理是最適合的方案。

閱讀更多 安全牛 的文章

關鍵字: 技術 網絡安全 設計模式