随着现代企业网络安全技术和架构的不断发展和完善，以及企业对于员工互联网访问行为的安全性和管理性要求不断提升，越来越多的企业需要对网络访问进行有效的管理。目前常见的技术手段包括NGFW（下一代防火墙）、上网行为管理以及Web安全代理（又称Web安全网关），但在实际应用中，笔者发现很多用户还无法准确区分它们之间的差别，因此在方案选型时，会面临很多困惑。

产品定位上的差别

NGFW是在传统的防火墙设备中增加了IPS、用户访问控制和应用访问控制功能，可以实现从内网双向的控制，在企业中的应用也更加偏向传统防火墙设备，主要被用来隔离内外网络。

上网行为管理，更加偏向用户上网流量的分析和上网行为的审计，同时增加了上网用户的认证和访问控制、URL分类、带宽管理等功能，方便实现审计和管理功能；也主要应用在对于员工上网行为的管理和带宽的控制上，来满足企业的互联网访问管理需求。

Web安全代理，基于深层次内容解析技术，同样能够实现上网流量分析和上网行为审计等上网行为管理功能，同时增加了对于HTTP/HTTPS/SMTP/FTP等常用协议的代理功能，增加了对于URL的安全过滤和防病毒功能，在上网行为管控的基础上，融合了安全防护的功能。

应用功能上的差异

NGFW在传统的防火墙的基础上增加了IPS、恶意软件分析、访问控制等功能，NGFW和其他两款产品相比，通常情况下可以支持更多的协议。使用NGFW可以满足一定的管理要求，但从互联网访问的主要协议、Web访问管理的颗粒度和专业性上有所欠缺，尽管大多数的NGFW都宣称支持深层次的内容解析功能，但由于开启内容解析功能后的性能问题，在大型企业的实际应用中，一般只会开启外向内的安全过滤功能。

上网行为管理最初的主要功能实现是对于员工上网行为、带宽以及流媒体应用的审计、管理，随着近几年的技术发展，逐渐在产品中增加了URL分类、用户认证和访问控制以及对于员工上网内容的审计，但从产品发展理念的角度，总体来说还是以实现管理要求为主要目标。

Web安全网关的前身是Web代理，在中国互联网发展的初期，为保护内部终端不直接暴露在互联网上，很多企业使用Web代理来为员工提供上网的途径。随后，Web代理作为企业连接互联网的主要关口，增加了较多的Web应用安全功能，逐步演进成为Web安全代理网关。

随着APT攻击、远程控制、木马病毒等威胁的不断传播，企业开始更加关注员工上网行为的安全性，而不仅仅是为了提升办公效率和带宽的控制；同时，对于员工对外传输数据的内容的管理和审计也被越来越多的企业所看重，大多数上网行为管理设备虽然能够针对文件名称进行审计，但无法识别和判断文件中的内容。

Web安全代理，因为其工作在代理模式的特殊性，能够直接参与到内部访问网站的流量交互过程，也就是说员工访问网站的流量还是网站返回的流量在代理设备层面都是透明可见的，基于这种机制，Web安全代理能够实现对于员工上网行为的管理、访问网络控制等上网行为管理设备所实现的管理功能，也能够针对流量进行缓存加速、深层次的内容检查、病毒和威胁流量过滤等安全功能，同时满足企业的安全和管理需求。

在实际应用中，Web安全代理通过使用中间人技术，能够对于SSL加密流量进行加解密、实现对内容的深度识别，帮助员工应对访问互联网过程中遇到的隐藏在SSL流量中的网络威胁。同时，目前Web安全代理的内容检查技术也在不断的发展，可以将流量解密后给到DLP（数据防泄漏）产品来进行内容上的更加精确的检查，以天空卫士最新的增强型Web安全网关ASWG为例，已经实现了和DLP的有效集成，系统处理效率更高。

基于需求做选型

当然，技术本身并没有绝对的优劣之分，基于企业实际需求找到最合适的产品才是关键。

NGFW更偏向于传统的防火墙设备，虽然增加了一些管理方面的技术，但由于其基于防火墙设计的基础，很难实现在Web应用方面的精细化管理和安全防护的需求，同时在加强内容与数据安全保护方面的功能拓展上存在局限。

上网行为管理作为管理型设备，对于员工网络访问行为管理比较适合，但由于其设计架构以及设计模式的问题，在Web应用安全、SSL加解密处理、URL恶链防护、病毒检查和内容审计等功能偏弱，限制了在企业中的Web安全的应用场景。

Web安全代理作为一个“传统”的新技术，因为其技术实现的特殊性，能够针对员工访问网络的流量进行多方面的安全保护和管理审计，而其成熟的技术架构也能够适用于大多数的企业网络环境，也能够适用于企业的各种应用场景。从最近阶段的市场应用来看，一些大型企业已经从过去单纯的上网行为管理升级到Web安全代理方案。

综合来看，如果您的企业希望在做到网络分隔的同时，对于流量进行安全过滤，那NGFW比较适合；如果希望对于员工上网行为进行管理，提高员工的工作效率，那么上网行为管理比较适用；如果是除了网络访问行为上的管理之外，还需要对于内容进行管理，对于SSL流量进行解密，对于Web访问的安全性比较关注，那么Web安全代理是最适合的方案。

（作者：天空卫士 刘晓楷 杨明非）