上网行为管理与下一代防火墙、SWG之间的关系

本文是之前发布的《上网行为管理产品、市场与应用现状调研报告》初稿中的一部分，修订中感觉这部分内容跑题有点远，就从最终版里拿掉了。现将其独立完善成文，简单探讨下上网行为管理与其他安全产品之间的关系。

中国特色的下一代防火墙?

应用识别、身份识别，这些上网行为管理用到的技术让人很容易联想到目前的市场热点下一代防火墙。实际上，早先几年业界就有“上网行为管理就是中国特色下一代防火墙”的论调;某些下一代防火墙中，也确实提供了URL过滤、搜索关键字统计等原本属于上网行为管理的功能。难道两种产品有融合的趋势?笔者认为，很难!

原因很简单，从技术角度看，上网行为管理的核心在于数据收集，这个工作要消耗大量的存储和计算资源。以目前网络安全硬件平台的水平，还难以在合理的价格范围内将安全业务与数据收集集成在同一设备中实现。所以除了上网行为管理，目前任何主流安全产品都不具有全面的数据收集能力，而没有数据也就谈不上审计和挖掘，无法在管理上体现出价值。 

如果对比下一代防火墙和上网行为管理的技术路线，可以看到应用识别是最关键的技术。如果连用来传输文件的协议都识别不出来，又何谈对文件内容进行安全扫描或审计呢?好的应用识别技术，不但需要经过长期积累，更需要对本土应用有全面的支持。了解了这一点，也就不难明白国内主流上网行为管理厂商为何会在下一代防火墙的发布及市场拓展方面占得先机了。

其实套用下一代防火墙始作俑者PaloAlto Networks倡导的User-ID、App-ID、Content-ID三个概念来包装上网行为管理，也显得非常合适，只不过看待Content的角度要从安全转向管理，对用户产生了截然不同的价值。下一代防火墙注重安全，可以实现“对销售部门员工用MSN接收文件进行病毒扫描”这样的功能;上网行为管理关注的则是对人的管理，具有“对销售部门员工用Webmail发送邮件携带的附件进行审计并延迟发送”的能力。如果对应到用户的管理架构，一款好的下一代防火墙可以成为CIO和CSO手中保障IT安全的利器，上网行为管理则在某种程度上算是CEO的助手，它的职责不是捍卫IT安全，而是保障合规及提高效率。这就好比一个国家，既需要军队、警察来攘外安内，又需要审计和监察部门来维持有序高效地运转。哪个都重要，哪个都不能少。

中国特色的SWG

如果仔细对比更多安全产品的功能定义，可以发现与上网行为管理更相似的不是下一代防火墙，而是安全Web网关(SWG)。国际著名第三方咨询机构Gartner对SWG有着非常精确的定义：这是一种作用于互联网出口的产品方案，至少包括URL过滤、恶意代码防护和包括Web应用在内的应用控制功能，在保护安全的同时强制执行企业的互联网访问策略。而业界主流的SWG产品，大多又在此基础上提供了用户识别和DLP(数据泄露防护)功能，与《上网行为管理产品、市场与应用现状调研报告》中总结的上网行为管理的4大基本特性相比，只缺少了数据收集审计功能，相似度最高。不过这也意味着SWG还是重安全而轻管理，上网行为管理则重管理而轻安全，二者的价值仍有明显差异。 

所以，上网行为管理虽然在功能上可以看做SWG的超集，却也并不是在任何场景都能取代SWG。一来，上网行为管理的第一要务是满足管理需求，其安全防护能力也许不如SWG那么强(例如，上网行为管理的URL库大多没有安全信誉指数)。二来，很多国家地区都有针对互联网上个人隐私保护的法律法规，海外用户及跨国企业对带有数据收集与审计功能的上网行为管理存在天然的抵触感，反而要做功能裁剪并“本土化”后才能被用户接受。以深信服科技面向海外市场推出的IAM(AC的海外版)为例，在Datasheet中数据收集与审计功能被明确标为可选项，并且据称URL库也由自家的换成了Commtouch。 

综上所述，还是将上网行为管理定位成中国特色的SWG显得更合适，很多问题也就都有了清晰的答案。与UTM提倡大而全的思路不同，Gartner在定义下一代防火墙时充分强调过其串接在网络中需要足够的性能保障，应避免集成容易造成较大时延的安全功能。它最好的搭档莫过于追求深度安全防护和应用合规的SWG，两台产品相辅相成，在网络系统的安全性与可用性之间构建平衡。一个最明显的例子就是恶意代码防护，它没有出现在下一代防火墙的功能定义中，而是SWG的基础功能。同样的道理，数据收集这个上网行为管理的核心功能，由于对性能影响太大，几乎可以肯定不会有出现在下一代防火墙中的可能，两者分开独立部署才是合理的方式。但对定位在中小企业和分支机构、重视功能远大过性能的UTM来说，反倒与上网行为管理有融合的可能，《上网行为管理产品、市场与应用现状调研报告》中也对用户提出的这个需求进行了相应描述。

对于下一代防火墙与SWG是否会融合的问题，Gartner于2011年就给出了明确的判断。该机构认为，由于安全业务作用层面和需求场景的不同，两种产品在2015年前很难融合，大型企业还是需要单独部署两种产品，部分中小企业则有可能通过单一产品解决问题。笔者认为，把SWG换做上网行为管理，Gartner的观点同样适用。