眾多人都大概瞭解上網行為管理、下一代防火牆,然很少有人知道上網行為管理與防火牆、SWG間的關係,下面深圳創智天成將為您詳細講解深信服上網行為管理、下一代防火牆與SWE間的關係。
工具/原料
上網行為管理
防火牆
中國特色的下一代防火牆?
應用識別、身份識別,這些上網行為管理用到的技術讓人很容易聯想到目前的市場熱點下一代防火牆。實際上,早先幾年業界就有“上網行為管理就是中國特色下一代防火牆”的論調;某些下一代防火牆中,也確實提供了URL過濾、搜尋關鍵字統計等原本屬於上網行為管理的功能。
原因很簡單,從技術角度看,上網行為管理的核心在於資料收集,這個工作要消耗大量的儲存和計算資源。以目前網路安全硬體平臺的水平,還難以在合理的價格範圍內將安全業務與資料收集整合在同一裝置中實現。所以除了上網行為管理,目前任何主流安全產品都不具有全面的資料收集能力,而沒有資料也就談不上審計和挖掘,無法在管理上體現出價值。
如果對比下一代防火牆和上網行為管理的技術路線,可以看到應用識別是最關鍵的技術。如果連用來傳輸檔案的協議都識別不出來,又何談對檔案內容進行安全掃描或審計呢?好的應用識別技術,不但需要經過長期積累,更需要對本土應用有全面的支援。瞭解了這一點,也就不難明白國內主流上網行為管理廠商為何會在下一代防火牆的釋出及市場拓展方面佔得先機了。
其實套用下一代防火牆始作俑者PaloAlto Networks倡導的User-ID、App-ID、Content-ID三個概念來包裝上網行為管理,也顯得非常合適,只不過看待Content的角度要從安全轉向管理,對使用者產生了截然不同的價值。下一代防火牆注重安全,可以實現“對銷售部門員工用MSN接收檔案進行病毒掃描”這樣的功能;上網行為管理關注的則是對人的管理,具有“對銷售部門員工用Webmail傳送郵件攜帶的附件進行審計並延遲傳送”的能力。如果對應到使用者的管理架構,一款好的下一代防火牆可以成為CIO和CSO手中保障IT安全的利器,上網行為管理則在某種程度上算是CEO的助手,它的職責不是捍衛IT安全,而是保障合規及提高效率。這就好比一個國家,既需要軍隊、警察來攘外安內,又需要審計和監察部門來維持有序高效地運轉。哪個都重要,哪個都不能少。
中國特色的SWG
如果仔細對比更多安全產品的功能定義,可以發現與上網行為管理更相似的不是下一代防火牆,而是安全Web閘道器(SWG)。國際著名第三方諮詢機構Gartner對SWG有著非常精確的定義:這是一種作用於網際網路出口的產品方案,至少包括URL過濾、惡意程式碼防護和包括Web應用在內的應用控制功能,在保護安全的同時強制執行企業的網際網路訪問策略。而業界主流的SWG產品,大多又在此基礎上提供了使用者識別和DLP(資料洩露防護)功能,與《上網行為管理產品、市場與應用現狀調研報告》中總結的上網行為管理的4大基本特性相比,只缺少了資料收集審計功能,相似度最高。不過這也意味著SWG還是重安全而輕管理,上網行為管理則重管理而輕安全,二者的價值仍有明顯差異。
所以,上網行為管理雖然在功能上可以看做SWG的超集,卻也並不是在任何場景都能取代SWG。一來,上網行為管理的第一要務是滿足管理需求,其安全防護能力也許不如SWG那麼強(例如,上網行為管理的URL庫大多沒有安全信譽指數)。二來,很多國家地區都有針對網際網路上個人隱私保護的法律法規,海外使用者及跨國企業對帶有資料收集與審計功能的上網行為管理存在天然的抵觸感,反而要做功能裁剪並“本土化”後才能被使用者接受。以深信服科技面向海外市場推出的IAM(AC的海外版)為例,在Datasheet中資料收集與審計功能被明確標為可選項,並且據稱URL庫也由自家的換成了Commtouch。
綜上所述,還是將上網行為管理定位成中國特色的SWG顯得更合適,很多問題也就都有了清晰的答案。與UTM提倡大而全的思路不同,Gartner在定義下一代防火牆時充分強調過其串接在網路中需要足夠的效能保障,應避免整合容易造成較大時延的安全功能。它最好的搭檔莫過於追求深度安全防護和應用合規的SWG,兩臺產品相輔相成,在網路系統的安全性與可用性之間構建平衡。一個最明顯的例子就是惡意程式碼防護,它沒有出現在下一代防火牆的功能定義中,而是SWG的基礎功能。同樣的道理,資料收集這個上網行為管理的核心功能,由於對效能影響太大,幾乎可以肯定不會有出現在下一代防火牆中的可能,兩者分開獨立部署才是合理的方式。