【深信服】上网行为管理与防火墙、SWG间的关系

众多人都大概了解上网行为管理、下一代防火墙，然很少有人知道上网行为管理与防火墙、SWG间的关系，下面深圳创智天成将为您详细讲解深信服上网行为管理、下一代防火墙与SWE间的关系。

工具/原料

上网行为管理

防火墙

中国特色的下一代防火墙?

1、应用识别、身份识别，这些上网行为管理用到的技术让人很容易联想到目前的市场热点下一代防火墙。实际上，早先几年业界就有“上网行为管理就是中国特色下一代防火墙”的论调;某些下一代防火墙中，也确实提供了URL过滤、搜索关键字统计等原本属于上网行为管理的功能。

2、原因很简单，从技术角度看，上网行为管理的核心在于数据收集，这个工作要消耗大量的存储和计算资源。以目前网络安全硬件平台的水平，还难以在合理的价格范围内将安全业务与数据收集集成在同一设备中实现。所以除了上网行为管理，目前任何主流安全产品都不具有全面的数据收集能力，而没有数据也就谈不上审计和挖掘，无法在管理上体现出价值。

2、所以，上网行为管理虽然在功能上可以看做SWG的超集，却也并不是在任何场景都能取代SWG。一来，上网行为管理的第一要务是满足管理需求，其安全防护能力也许不如SWG那么强(例如，上网行为管理的URL库大多没有安全信誉指数)。二来，很多国家地区都有针对互联网上个人隐私保护的法律法规，海外用户及跨国企业对带有数据收集与审计功能的上网行为管理存在天然的抵触感，反而要做功能裁剪并“本土化”后才能被用户接受。以深信服科技面向海外市场推出的IAM(AC的海外版)为例，在Datasheet中数据收集与审计功能被明确标为可选项，并且据称URL库也由自家的换成了Commtouch。

3、综上所述，还是将上网行为管理定位成中国特色的SWG显得更合适，很多问题也就都有了清晰的答案。与UTM提倡大而全的思路不同，Gartner在定义下一代防火墙时充分强调过其串接在网络中需要足够的性能保障，应避免集成容易造成较大时延的安全功能。它最好的搭档莫过于追求深度安全防护和应用合规的SWG，两台产品相辅相成，在网络系统的安全性与可用性之间构建平衡。一个最明显的例子就是恶意代码防护，它没有出现在下一代防火墙的功能定义中，而是SWG的基础功能。同样的道理，数据收集这个上网行为管理的核心功能，由于对性能影响太大，几乎可以肯定不会有出现在下一代防火墙中的可能，两者分开独立部署才是合理的方式。