目前常見的技術(shù)手段包括NGFW（下一代防火墻）、上網(wǎng)行為管理以及Web安全代理（又稱Web安全網(wǎng)關），但在實際應用中，筆者發(fā)現(xiàn)很多用戶還無法準確區(qū)分它們之間的差別，因此在方案選型時，會面臨很多困惑。

隨著現(xiàn)代企業(yè)網(wǎng)絡安全技術(shù)和架構(gòu)的不斷發(fā)展和完善，以及企業(yè)對于員工互聯(lián)網(wǎng)訪問行為的安全性和管理性要求不斷提升，越來越多的企業(yè)需要對網(wǎng)絡訪問進行有效的管理。

目前常見的技術(shù)手段包括NGFW（下一代防火墻）、上網(wǎng)行為管理以及Web安全代理（又稱Web安全網(wǎng)關），但在實際應用中，筆者發(fā)現(xiàn)很多用戶還無法準確區(qū)分它們之間的差別，因此在方案選型時，會面臨很多困惑。

產(chǎn)品定位上的差別NGFW是在傳統(tǒng)的防火墻設備中增加了IPS、用戶訪問控制和應用訪問控制功能，可以實現(xiàn)從內(nèi)網(wǎng)雙向的控制，在企業(yè)中的應用也更加偏向傳統(tǒng)防火墻設備，主要被用來隔離內(nèi)外網(wǎng)絡。

上網(wǎng)行為管理，更加偏向用戶上網(wǎng)流量的分析和上網(wǎng)行為的審計，同時增加了上網(wǎng)用戶的認證和訪問控制、URL分類、帶寬管理等功能，方便實現(xiàn)審計和管理功能；也主要應用在對于員工上網(wǎng)行為的管理和帶寬的控制上，來滿足企業(yè)的互聯(lián)網(wǎng)訪問管理需求。

Web安全代理，基于深層次內(nèi)容解析技術(shù)，同樣能夠?qū)崿F(xiàn)上網(wǎng)流量分析和上網(wǎng)行為審計等上網(wǎng)行為管理功能，同時增加了對于HTTP/HTTPS/SMTP/FTP等常用協(xié)議的代理功能，增加了對于URL的安全過濾和防病毒功能，在上網(wǎng)行為管控的基礎上，融合了安全防護的功能。

應用功能上的差異NGFW在傳統(tǒng)的防火墻的基礎上增加了IPS、惡意軟件分析、訪問控制等功能，NGFW和其他兩款產(chǎn)品相比，通常情況下可以支持更多的協(xié)議。

使用NGFW可以滿足一定的管理要求，但從互聯(lián)網(wǎng)訪問的主要協(xié)議、Web訪問管理的顆粒度和專業(yè)性上有所欠缺，盡管大多數(shù)的NGFW都宣稱支持深層次的內(nèi)容解析功能，但由于開啟內(nèi)容解析功能后的性能問題，在大型企業(yè)的實際應用中，一般只會開啟外向內(nèi)的安全過濾功能。

上網(wǎng)行為管理最初的主要功能實現(xiàn)是對于員工上網(wǎng)行為、帶寬以及流媒體應用的審計、管理，隨著近幾年的技術(shù)發(fā)展，逐漸在產(chǎn)品中增加了URL分類、用戶認證和訪問控制以及對于員工上網(wǎng)內(nèi)容的審計，但從產(chǎn)品發(fā)展理念的角度，總體來說還是以實現(xiàn)管理要求為主要目標。

Web安全網(wǎng)關的前身是Web代理，在中國互聯(lián)網(wǎng)發(fā)展的初期，為保護內(nèi)部終端不直接暴露在互聯(lián)網(wǎng)上，很多企業(yè)使用Web代理來為員工提供上網(wǎng)的途徑。

隨后，Web代理作為企業(yè)連接互聯(lián)網(wǎng)的主要關口，增加了較多的Web應用安全功能，逐步演進成為Web安全代理網(wǎng)關。

隨著APT攻擊、遠程控制、木馬病毒等威脅的不斷傳播，企業(yè)開始更加關注員工上網(wǎng)行為的安全性，而不僅僅是為了提升辦公效率和帶寬的控制；同時，對于員工對外傳輸數(shù)據(jù)的內(nèi)容的管理和審計也被越來越多的企業(yè)所看重，大多數(shù)上網(wǎng)行為管理設備雖然能夠針對文件名稱進行審計，但無法識別和判斷文件中的內(nèi)容。

Web安全代理，因為其工作在代理模式的特殊性，能夠直接參與到內(nèi)部訪問網(wǎng)站的流量交互過程，也就是說員工訪問網(wǎng)站的流量還是網(wǎng)站返回的流量在代理設備層面都是透明可見的，基于這種機制，Web安全代理能夠?qū)崿F(xiàn)對于員工上網(wǎng)行為的管理、訪問網(wǎng)絡控制等上網(wǎng)行為管理設備所實現(xiàn)的管理功能，也能夠針對流量進行緩存加速、深層次的內(nèi)容檢查、病毒和威脅流量過濾等安全功能，同時滿足企業(yè)的安全和管理需求。

在實際應用中，Web安全代理通過使用中間人技術(shù)，能夠?qū)τ赟SL加密流量進行加解密、實現(xiàn)對內(nèi)容的深度識別，幫助員工應對訪問互聯(lián)網(wǎng)過程中遇到的隱藏在SSL流量中的網(wǎng)絡威脅。

同時，目前Web安全代理的內(nèi)容檢查技術(shù)也在不斷的發(fā)展，可以將流量解密后給到DLP（數(shù)據(jù)防泄漏）產(chǎn)品來進行內(nèi)容上的更加精確的檢查，以天空衛(wèi)士最新的增強型Web安全網(wǎng)關ASWG為例，已經(jīng)實現(xiàn)了和DLP的有效集成，系統(tǒng)處理效率更高。

基于需求做選型當然，技術(shù)本身并沒有絕對的優(yōu)劣之分，基于企業(yè)實際需求找到最合適的產(chǎn)品才是關鍵。

NGFW更偏向于傳統(tǒng)的防火墻設備，雖然增加了一些管理方面的技術(shù)，但由于其基于防火墻設計的基礎，很難實現(xiàn)在Web應用方面的精細化管理和安全防護的需求，同時在加強內(nèi)容與數(shù)據(jù)安全保護方面的功能拓展上存在局限。

上網(wǎng)行為管理作為管理型設備，對于員工網(wǎng)絡訪問行為管理比較適合，但由于其設計架構(gòu)以及設計模式的問題，在Web應用安全、SSL加解密處理、URL惡鏈防護、病毒檢查和內(nèi)容審計等功能偏弱，限制了在企業(yè)中的Web安全的應用場景。

Web安全代理作為一個“傳統(tǒng)”的新技術(shù)，因為其技術(shù)實現(xiàn)的特殊性，能夠針對員工訪問網(wǎng)絡的流量進行多方面的安全保護和管理審計，而其成熟的技術(shù)架構(gòu)也能夠適用于大多數(shù)的企業(yè)網(wǎng)絡環(huán)境，也能夠適用于企業(yè)的各種應用場景。

從最近階段的市場應用來看，一些大型企業(yè)已經(jīng)從過去單純的上網(wǎng)行為管理升級到Web安全代理方案。

綜合來看，如果您的企業(yè)希望在做到網(wǎng)絡分隔的同時，對于流量進行安全過濾，那NGFW比較適合；如果希望對于員工上網(wǎng)行為進行管理，提高員工的工作效率，那么上網(wǎng)行為管理比較適用；如果是除了網(wǎng)絡訪問行為上的管理之外，還需要對于內(nèi)容進行管理，對于SSL流量進行解密，對于Web訪問的安全性比較關注，那么Web安全代理是最適合的方案。