網(wǎng)行為管理與防火墻、SWG間的關(guān)系
網(wǎng)行為管理與防火墻、SWG間的關(guān)系
眾多人都大概了解上網(wǎng)行為管理、下一代防火墻,然很少有人知道上網(wǎng)行為管理與防火墻、SWG間的關(guān)系,下面深圳創(chuàng)智天成將為您詳細(xì)講解深信服上網(wǎng)行為管理、下一代防火墻與SWE間的關(guān)系。下面是學(xué)習(xí)啦小編跟大家分享的是網(wǎng)行為管理與防火墻、SWG間的關(guān)系,歡迎大家來閱讀學(xué)習(xí)。
網(wǎng)行為管理與防火墻、SWG間的關(guān)系
工具/原料
上網(wǎng)行為管理
防火墻
中國特色的下一代防火墻?
1應(yīng)用識別、身份識別,這些上網(wǎng)行為管理用到的技術(shù)讓人很容易聯(lián)想到目前的市場熱點下一代防火墻。實際上,早先幾年業(yè)界就有“上網(wǎng)行為管理就是中國特色下一代防火墻”的論調(diào);某些下一代防火墻中,也確實提供了URL過濾、搜索關(guān)鍵字統(tǒng)計等原本屬于上網(wǎng)行為管理的功能。
2原因很簡單,從技術(shù)角度看,上網(wǎng)行為管理的核心在于數(shù)據(jù)收集,這個工作要消耗大量的存儲和計算資源。以目前網(wǎng)絡(luò)安全硬件平臺的水平,還難以在合理的價格范圍內(nèi)將安全業(yè)務(wù)與數(shù)據(jù)收集集成在同一設(shè)備中實現(xiàn)。所以除了上網(wǎng)行為管理,目前任何主流安全產(chǎn)品都不具有全面的數(shù)據(jù)收集能力,而沒有數(shù)據(jù)也就談不上審計和挖掘,無法在管理上體現(xiàn)出價值。
3如果對比下一代防火墻和上網(wǎng)行為管理的技術(shù)路線,可以看到應(yīng)用識別是最關(guān)鍵的技術(shù)。如果連用來傳輸文件的協(xié)議都識別不出來,又何談對文件內(nèi)容進(jìn)行安全掃描或?qū)徲嬆?好的應(yīng)用識別技術(shù),不但需要經(jīng)過長期積累,更需要對本土應(yīng)用有全面的支持。了解了這一點,也就不難明白國內(nèi)主流上網(wǎng)行為管理廠商為何會在下一代防火墻的發(fā)布及市場拓展方面占得先機了。
4其實套用下一代防火墻始作俑者PaloAlto Networks倡導(dǎo)的User-ID、App-ID、Content-ID三個概念來包裝上網(wǎng)行為管理,也顯得非常合適,只不過看待Content的角度要從安全轉(zhuǎn)向管理,對用戶產(chǎn)生了截然不同的價值。下一代防火墻注重安全,可以實現(xiàn)“對銷售部門員工用MSN接收文件進(jìn)行病毒掃描”這樣的功能;上網(wǎng)行為管理關(guān)注的則是對人的管理,具有“對銷售部門員工用Webmail發(fā)送郵件攜帶的附件進(jìn)行審計并延遲發(fā)送”的能力。如果對應(yīng)到用戶的管理架構(gòu),一款好的下一代防火墻可以成為CIO和CSO手中保障IT安全的利器,上網(wǎng)行為管理則在某種程度上算是CEO的助手,它的職責(zé)不是捍衛(wèi)IT安全,而是保障合規(guī)及提高效率。這就好比一個國家,既需要軍隊、警察來攘外安內(nèi),又需要審計和監(jiān)察部門來維持有序高效地運轉(zhuǎn)。哪個都重要,哪個都不能少。
中國特色的SWG
如果仔細(xì)對比更多安全產(chǎn)品的功能定義,可以發(fā)現(xiàn)與上網(wǎng)行為管理更相似的不是下一代防火墻,而是安全Web網(wǎng)關(guān)(SWG)。國際著名第三方咨詢機構(gòu)Gartner對SWG有著非常精確的定義:這是一種作用于互聯(lián)網(wǎng)出口的產(chǎn)品方案,至少包括URL過濾、惡意代碼防護(hù)和包括Web應(yīng)用在內(nèi)的應(yīng)用控制功能,在保護(hù)安全的同時強制執(zhí)行企業(yè)的互聯(lián)網(wǎng)訪問策略。而業(yè)界主流的SWG產(chǎn)品,大多又在此基礎(chǔ)上提供了用戶識別和DLP(數(shù)據(jù)泄露防護(hù))功能,與《上網(wǎng)行為管理產(chǎn)品、市場與應(yīng)用現(xiàn)狀調(diào)研報告》中總結(jié)的上網(wǎng)行為管理的4大基本特性相比,只缺少了數(shù)據(jù)收集審計功能,相似度最高。不過這也意味著SWG還是重安全而輕管理,上網(wǎng)行為管理則重管理而輕安全,二者的價值仍有明顯差異。
所以,上網(wǎng)行為管理雖然在功能上可以看做SWG的超集,卻也并不是在任何場景都能取代SWG。一來,上網(wǎng)行為管理的第一要務(wù)是滿足管理需求,其安全防護(hù)能力也許不如SWG那么強(例如,上網(wǎng)行為管理的URL庫大多沒有安全信譽指數(shù))。二來,很多國家地區(qū)都有針對互聯(lián)網(wǎng)上個人隱私保護(hù)的法律法規(guī),海外用戶及跨國企業(yè)對帶有數(shù)據(jù)收集與審計功能的上網(wǎng)行為管理存在天然的抵觸感,反而要做功能裁剪并“本土化”后才能被用戶接受。以深信服科技面向海外市場推出的IAM(AC的海外版)為例,在Datasheet中數(shù)據(jù)收集與審計功能被明確標(biāo)為可選項,并且據(jù)稱URL庫也由自家的換成了Commtouch。
3綜上所述,還是將上網(wǎng)行為管理定位成中國特色的SWG顯得更合適,很多問題也就都有了清晰的答案。與UTM提倡大而全的思路不同,Gartner在定義下一代防火墻時充分強調(diào)過其串接在網(wǎng)絡(luò)中需要足夠的性能保障,應(yīng)避免集成容易造成較大時延的安全功能。它最好的搭檔莫過于追求深度安全防護(hù)和應(yīng)用合規(guī)的SWG,兩臺產(chǎn)品相輔相成,在網(wǎng)絡(luò)系統(tǒng)的安全性與可用性之間構(gòu)建平衡。一個最明顯的例子就是惡意代碼防護(hù),它沒有出現(xiàn)在下一代防火墻的功能定義中,而是SWG的基礎(chǔ)功能。同樣的道理,數(shù)據(jù)收集這個上網(wǎng)行為管理的核心功能,由于對性能影響太大,幾乎可以肯定不會有出現(xiàn)在下一代防火墻中的可能,兩者分開獨立部署才是合理的方式。