本文是之前發(fā)布的《上網(wǎng)行為管理產(chǎn)品、市場(chǎng)與應(yīng)用現(xiàn)狀調(diào)研報(bào)告》初稿中的一部分，修訂中感覺這部分內(nèi)容跑題有點(diǎn)遠(yuǎn)，就從最終版里拿掉了。現(xiàn)將其獨(dú)立完善成文，簡(jiǎn)單探討下上網(wǎng)行為管理與其他安全產(chǎn)品之間的關(guān)系。

中國(guó)特色的下一代防火墻?

應(yīng)用識(shí)別、身份識(shí)別，這些上網(wǎng)行為管理用到的技術(shù)讓人很容易聯(lián)想到目前的市場(chǎng)熱點(diǎn)下一代防火墻。實(shí)際上，早先幾年業(yè)界就有“上網(wǎng)行為管理就是中國(guó)特色下一代防火墻”的論調(diào);某些下一代防火墻中，也確實(shí)提供了URL過濾、搜索關(guān)鍵字統(tǒng)計(jì)等原本屬于上網(wǎng)行為管理的功能。難道兩種產(chǎn)品有融合的趨勢(shì)?筆者認(rèn)為，很難!

原因很簡(jiǎn)單，從技術(shù)角度看，上網(wǎng)行為管理的核心在于數(shù)據(jù)收集，這個(gè)工作要消耗大量的存儲(chǔ)和計(jì)算資源。以目前網(wǎng)絡(luò)安全硬件平臺(tái)的水平，還難以在合理的價(jià)格范圍內(nèi)將安全業(yè)務(wù)與數(shù)據(jù)收集集成在同一設(shè)備中實(shí)現(xiàn)。所以除了上網(wǎng)行為管理，目前任何主流安全產(chǎn)品都不具有全面的數(shù)據(jù)收集能力，而沒有數(shù)據(jù)也就談不上審計(jì)和挖掘，無法在管理上體現(xiàn)出價(jià)值。 

 

如果對(duì)比下一代防火墻和上網(wǎng)行為管理的技術(shù)路線，可以看到應(yīng)用識(shí)別是最關(guān)鍵的技術(shù)。如果連用來傳輸文件的協(xié)議都識(shí)別不出來，又何談對(duì)文件內(nèi)容進(jìn)行安全掃描或?qū)徲?jì)呢?好的應(yīng)用識(shí)別技術(shù)，不但需要經(jīng)過長(zhǎng)期積累，更需要對(duì)本土應(yīng)用有全面的支持。了解了這一點(diǎn)，也就不難明白國(guó)內(nèi)主流上網(wǎng)行為管理廠商為何會(huì)在下一代防火墻的發(fā)布及市場(chǎng)拓展方面占得先機(jī)了。

其實(shí)套用下一代防火墻始作俑者PaloAlto Networks倡導(dǎo)的User-ID、App-ID、Content-ID三個(gè)概念來包裝上網(wǎng)行為管理，也顯得非常合適，只不過看待Content的角度要從安全轉(zhuǎn)向管理，對(duì)用戶產(chǎn)生了截然不同的價(jià)值。下一代防火墻注重安全，可以實(shí)現(xiàn)“對(duì)銷售部門員工用MSN接收文件進(jìn)行病毒掃描”這樣的功能;上網(wǎng)行為管理關(guān)注的則是對(duì)人的管理，具有“對(duì)銷售部門員工用Webmail發(fā)送郵件攜帶的附件進(jìn)行審計(jì)并延遲發(fā)送”的能力。如果對(duì)應(yīng)到用戶的管理架構(gòu)，一款好的下一代防火墻可以成為CIO和CSO手中保障IT安全的利器，上網(wǎng)行為管理則在某種程度上算是CEO的助手，它的職責(zé)不是捍衛(wèi)IT安全，而是保障合規(guī)及提高效率。這就好比一個(gè)國(guó)家，既需要軍隊(duì)、警察來攘外安內(nèi)，又需要審計(jì)和監(jiān)察部門來維持有序高效地運(yùn)轉(zhuǎn)。哪個(gè)都重要，哪個(gè)都不能少。

中國(guó)特色的SWG

如果仔細(xì)對(duì)比更多安全產(chǎn)品的功能定義，可以發(fā)現(xiàn)與上網(wǎng)行為管理更相似的不是下一代防火墻，而是安全Web網(wǎng)關(guān)(SWG)。國(guó)際著名第三方咨詢機(jī)構(gòu)Gartner對(duì)SWG有著非常精確的定義：這是一種作用于互聯(lián)網(wǎng)出口的產(chǎn)品方案，至少包括URL過濾、惡意代碼防護(hù)和包括Web應(yīng)用在內(nèi)的應(yīng)用控制功能，在保護(hù)安全的同時(shí)強(qiáng)制執(zhí)行企業(yè)的互聯(lián)網(wǎng)訪問策略。而業(yè)界主流的SWG產(chǎn)品，大多又在此基礎(chǔ)上提供了用戶識(shí)別和DLP(數(shù)據(jù)泄露防護(hù))功能，與《上網(wǎng)行為管理產(chǎn)品、市場(chǎng)與應(yīng)用現(xiàn)狀調(diào)研報(bào)告》中總結(jié)的上網(wǎng)行為管理的4大基本特性相比，只缺少了數(shù)據(jù)收集審計(jì)功能，相似度最高。不過這也意味著SWG還是重安全而輕管理，上網(wǎng)行為管理則重管理而輕安全，二者的價(jià)值仍有明顯差異。 

 

所以，上網(wǎng)行為管理雖然在功能上可以看做SWG的超集，卻也并不是在任何場(chǎng)景都能取代SWG。一來，上網(wǎng)行為管理的第一要?jiǎng)?wù)是滿足管理需求，其安全防護(hù)能力也許不如SWG那么強(qiáng)(例如，上網(wǎng)行為管理的URL庫(kù)大多沒有安全信譽(yù)指數(shù))。二來，很多國(guó)家地區(qū)都有針對(duì)互聯(lián)網(wǎng)上個(gè)人隱私保護(hù)的法律法規(guī)，海外用戶及跨國(guó)企業(yè)對(duì)帶有數(shù)據(jù)收集與審計(jì)功能的上網(wǎng)行為管理存在天然的抵觸感，反而要做功能裁剪并“本土化”后才能被用戶接受。以深信服科技面向海外市場(chǎng)推出的IAM(AC的海外版)為例，在Datasheet中數(shù)據(jù)收集與審計(jì)功能被明確標(biāo)為可選項(xiàng)，并且據(jù)稱URL庫(kù)也由自家的換成了Commtouch。 

 

綜上所述，還是將上網(wǎng)行為管理定位成中國(guó)特色的SWG顯得更合適，很多問題也就都有了清晰的答案。與UTM提倡大而全的思路不同，Gartner在定義下一代防火墻時(shí)充分強(qiáng)調(diào)過其串接在網(wǎng)絡(luò)中需要足夠的性能保障，應(yīng)避免集成容易造成較大時(shí)延的安全功能。它最好的搭檔莫過于追求深度安全防護(hù)和應(yīng)用合規(guī)的SWG，兩臺(tái)產(chǎn)品相輔相成，在網(wǎng)絡(luò)系統(tǒng)的安全性與可用性之間構(gòu)建平衡。一個(gè)最明顯的例子就是惡意代碼防護(hù)，它沒有出現(xiàn)在下一代防火墻的功能定義中，而是SWG的基礎(chǔ)功能。同樣的道理，數(shù)據(jù)收集這個(gè)上網(wǎng)行為管理的核心功能，由于對(duì)性能影響太大，幾乎可以肯定不會(huì)有出現(xiàn)在下一代防火墻中的可能，兩者分開獨(dú)立部署才是合理的方式。但對(duì)定位在中小企業(yè)和分支機(jī)構(gòu)、重視功能遠(yuǎn)大過性能的UTM來說，反倒與上網(wǎng)行為管理有融合的可能，《上網(wǎng)行為管理產(chǎn)品、市場(chǎng)與應(yīng)用現(xiàn)狀調(diào)研報(bào)告》中也對(duì)用戶提出的這個(gè)需求進(jìn)行了相應(yīng)描述。

對(duì)于下一代防火墻與SWG是否會(huì)融合的問題，Gartner于2011年就給出了明確的判斷。該機(jī)構(gòu)認(rèn)為，由于安全業(yè)務(wù)作用層面和需求場(chǎng)景的不同，兩種產(chǎn)品在2015年前很難融合，大型企業(yè)還是需要單獨(dú)部署兩種產(chǎn)品，部分中小企業(yè)則有可能通過單一產(chǎn)品解決問題。筆者認(rèn)為，把SWG換做上網(wǎng)行為管理，Gartner的觀點(diǎn)同樣適用。