起初，企業(yè)部署Web網(wǎng)關(guān)安全（SWG）設(shè)備來(lái)執(zhí)行企業(yè)政策（例如，防止員工在辦公時(shí)間內(nèi)訪問(wèn)視頻）。早在2008年，企業(yè)逐漸意識(shí)到他們不能僅僅依靠防火墻、殺毒軟件和簡(jiǎn)單的URL過(guò)濾來(lái)阻止零日攻擊，當(dāng)時(shí)SWG被視為將各種單一用途設(shè)備（例如URL過(guò)濾和帶寬限制）的功能整合到一臺(tái)設(shè)備的最佳方式。Web應(yīng)用級(jí)控制和集中管理也是大賣點(diǎn)，加之非基于簽名的檢測(cè)和過(guò)濾也已經(jīng)開始出現(xiàn)。

自SWG推出以來(lái)，企業(yè)所面臨的威脅已經(jīng)發(fā)生巨大變化，因此，企業(yè)必須重新考慮SWG包含的新特點(diǎn)和功能，并在挑選潛在部署時(shí)，確定哪些功能是最重要的。攻擊者群體不斷增長(zhǎng)且日益復(fù)雜，加上終端多樣化、移動(dòng)性和BYOD的出現(xiàn)，都迫使SWG技術(shù)迅速發(fā)展以滿足現(xiàn)代企業(yè)的需求。

在本文中，我們將從技術(shù)演進(jìn)的角度重新審視，企業(yè)應(yīng)該對(duì)Web安全網(wǎng)關(guān)有何期待，以及基于云的SWG和企業(yè)內(nèi)部SWG設(shè)備部署之間的差異。

Web安全網(wǎng)關(guān)功能

◆URL過(guò)濾

◆HTTPS掃描

◆惡意軟件檢測(cè)，入站和出站

◆威脅情報(bào)源

◆移動(dòng)支持

◆應(yīng)用控制

◆數(shù)據(jù)丟失防護(hù)（DLP）

◆威脅和流量可視化

鑒于威脅格局瞬息萬(wàn)變的性質(zhì)，企業(yè)應(yīng)該注意控制質(zhì)量，比如URL過(guò)濾、惡意軟件檢測(cè)和DLP支持存在的顯著差異。例如，過(guò)濾和檢測(cè)技術(shù)近年來(lái)已經(jīng)得到顯著改善。為了解決過(guò)時(shí)黑名單的問(wèn)題，SWG現(xiàn)在依靠多種類型的分析方法，包括信譽(yù)分析、實(shí)時(shí)瀏覽器代碼掃描、行為分析、內(nèi)容控制和數(shù)據(jù)指紋等。

現(xiàn)代SWG的另一個(gè)顯著進(jìn)步是管理員在控制Web、電子郵件和數(shù)據(jù)流量時(shí)，具有更大的靈活性和細(xì)粒度。管理員可以分析和阻止動(dòng)態(tài)Web頁(yè)面中的個(gè)別元素， 并能在一天中特定時(shí)間或者當(dāng)服務(wù)到達(dá)預(yù)定閥值時(shí)訪問(wèn)特定服務(wù)?？梢愿鶕?jù)內(nèi)容類別為上行和下行流量指定帶寬利用率參數(shù)，還可以根據(jù)特定訪問(wèn)要求為用戶和組調(diào)整帶寬利用率參數(shù)。

為了保持設(shè)備獲取最新威脅和攻擊信息，很多Web安全網(wǎng)關(guān)產(chǎn)品加入了來(lái)自云服務(wù)的智能情報(bào)信息。DLP支持越來(lái)越多地應(yīng)用于各種移動(dòng)設(shè)備，而移動(dòng)設(shè)備是支持BYOD企業(yè)的關(guān)鍵要素。通過(guò)結(jié)合安全分類與自定義數(shù)據(jù)集，內(nèi)容意識(shí)的數(shù)據(jù)丟失防護(hù)也同樣在改進(jìn)。很多SWG還支持“回呼（call home）”檢測(cè)，或者對(duì)尋求遠(yuǎn)程指令的惡意軟件發(fā)出警報(bào)，以幫助覆蓋所有盲點(diǎn)。

可視化看起來(lái)像是一個(gè)花哨的功能，但它能使管理員輕松地發(fā)現(xiàn)網(wǎng)絡(luò)中需要進(jìn)一步關(guān)注的熱點(diǎn)。例如，對(duì)捕捉流量的可視化可以快速找出試圖利用網(wǎng)絡(luò)鄰居尋找可利用漏洞的被感染設(shè)備。此外，管理員還可以觀察帶寬利用率或?qū)崟r(shí)網(wǎng)站訪問(wèn)情況，這可以對(duì)網(wǎng)絡(luò)使用情況以及規(guī)則變化對(duì)生產(chǎn)力和安全性的影響提供更好的洞察力。這也讓部署復(fù)雜的規(guī)則，使其按照預(yù)期執(zhí)行的操作變得更加簡(jiǎn)單。

Web安全網(wǎng)關(guān)部署趨勢(shì)

在如何部署Web安全網(wǎng)關(guān)方面，根據(jù)Gartner公司的最新Web安全網(wǎng)關(guān)Magic Quadrant 2012顯示，企業(yè)內(nèi)部企業(yè)級(jí)設(shè)備仍然占市場(chǎng)主導(dǎo)地位，但基于云的SWG即服務(wù)的細(xì)分市場(chǎng)正在迅速增長(zhǎng)。此外，還有結(jié)合企業(yè)內(nèi)部和基于云SWG元素的混合部署設(shè)備。

為了最大化當(dāng)今SWG提供的優(yōu)勢(shì)，企業(yè)必須了解自身需求，以及企業(yè)內(nèi)部、基于云或混合SWG部署各自的優(yōu)缺點(diǎn)。通過(guò)基于云的SWG服務(wù)，企業(yè)可以向所有用戶部署相同的保護(hù)和政策，而無(wú)論其身處何處，但企業(yè)必須選擇一個(gè)能夠整合其現(xiàn)有基礎(chǔ)設(shè)施的基于云的SWG。對(duì)于企業(yè)內(nèi)部SWG，企業(yè)必須使用代理服務(wù)器架構(gòu)以處理所有Web流量。通過(guò)迫使所有web流量在該代理服務(wù)器停止，網(wǎng)關(guān)可以確保在未經(jīng)檢驗(yàn)或控制的情況下，沒(méi)有流量流入或流自互聯(lián)網(wǎng)?？梢蕴娲鶶WG的部署，例如TAP部署會(huì)通過(guò)網(wǎng)關(guān)來(lái)觀察經(jīng)過(guò)的流量，因?yàn)橛辛髁苛飨蚓W(wǎng)絡(luò)側(cè)邊。如果由于流量沒(méi)有被攔截，網(wǎng)關(guān)不能像內(nèi)嵌設(shè)備一樣及時(shí)檢測(cè)到威脅，惡意軟件或其他威脅可能會(huì)悄悄進(jìn)入網(wǎng)絡(luò)。這種方法對(duì)于執(zhí)行組織策略很適用，但它絕對(duì)不是抵御web威脅的可靠方法。

最后，與大多數(shù)web安全技術(shù)一樣，Web安全網(wǎng)關(guān)產(chǎn)品的營(yíng)銷材料堆砌著各種廣告詞，例如獨(dú)特、最佳以及行業(yè)領(lǐng)先。企業(yè)在評(píng)估某個(gè)設(shè)備是否能滿足企業(yè)要求時(shí)，應(yīng)該嘗試忽視這些在很大程度上毫無(wú)根據(jù)的說(shuō)辭，而根據(jù)企業(yè)預(yù)先制定的必須具備功能列表，將可選產(chǎn)品范圍進(jìn)一步縮小，然后，根據(jù)價(jià)格、性能測(cè)試以及其他客戶的建議來(lái)做出最終決定。

毫無(wú)疑問(wèn)，web安全網(wǎng)關(guān)近幾年發(fā)展非常迅速，新增了很多令人印象深刻的新功能，但單靠進(jìn)步并不能保證成功。對(duì)當(dāng)今產(chǎn)品能做什么，以及它們?nèi)绾螡M足企業(yè)的需求進(jìn)行仔細(xì)全面的審查，是選擇正確web安全網(wǎng)關(guān)產(chǎn)品的先決條件。