起初，企業(yè)部署Web網(wǎng)關(guān)安全（SWG）設(shè)備來執(zhí)行企業(yè)政策（例如，防止員工在辦公時間內(nèi)訪問視頻）。早在2008年，企業(yè)逐漸意識到他們不能僅僅依靠防火墻、殺毒軟件和簡單的URL過濾來阻止零日攻擊，當時SWG被視為將各種單一用途設(shè)備（例如URL過濾和帶寬限制）的功能整合到一臺設(shè)備的最佳方式。Web應(yīng)用級控制和集中管理也是大賣點，加之非基于簽名的檢測和過濾也已經(jīng)開始出現(xiàn)。

自SWG推出以來，企業(yè)所面臨的威脅已經(jīng)發(fā)生巨大變化，因此，企業(yè)必須重新考慮SWG包含的新特點和功能，并在挑選潛在部署時，確定哪些功能是最重要的。攻擊者群體不斷增長且日益復(fù)雜，加上終端多樣化、移動性和BYOD的出現(xiàn)，都迫使SWG技術(shù)迅速發(fā)展以滿足現(xiàn)代企業(yè)的需求。

在本文中，我們將從技術(shù)演進的角度重新審視，企業(yè)應(yīng)該對Web安全網(wǎng)關(guān)有何期待，以及基于云的SWG和企業(yè)內(nèi)部SWG設(shè)備部署之間的差異。

Web安全網(wǎng)關(guān)功能

◆URL過濾

◆HTTPS掃描

◆惡意軟件檢測，入站和出站

◆威脅情報源

◆移動支持

◆應(yīng)用控制

◆數(shù)據(jù)丟失防護（DLP）

◆威脅和流量可視化

鑒于威脅格局瞬息萬變的性質(zhì)，企業(yè)應(yīng)該注意控制質(zhì)量，比如URL過濾、惡意軟件檢測和DLP支持存在的顯著差異。例如，過濾和檢測技術(shù)近年來已經(jīng)得到顯著改善。為了解決過時黑名單的問題，SWG現(xiàn)在依靠多種類型的分析方法，包括信譽分析、實時瀏覽器代碼掃描、行為分析、內(nèi)容控制和數(shù)據(jù)指紋等。

現(xiàn)代SWG的另一個顯著進步是管理員在控制Web、電子郵件和數(shù)據(jù)流量時，具有更大的靈活性和細粒度。管理員可以分析和阻止動態(tài)Web頁面中的個別元素， 并能在一天中特定時間或者當服務(wù)到達預(yù)定閥值時訪問特定服務(wù)。可以根據(jù)內(nèi)容類別為上行和下行流量指定帶寬利用率參數(shù)，還可以根據(jù)特定訪問要求為用戶和組調(diào)整帶寬利用率參數(shù)。

為了保持設(shè)備獲取最新威脅和攻擊信息，很多Web安全網(wǎng)關(guān)產(chǎn)品加入了來自云服務(wù)的智能情報信息。DLP支持越來越多地應(yīng)用于各種移動設(shè)備，而移動設(shè)備是支持BYOD企業(yè)的關(guān)鍵要素。通過結(jié)合安全分類與自定義數(shù)據(jù)集，內(nèi)容意識的數(shù)據(jù)丟失防護也同樣在改進。很多SWG還支持“回呼（call home）”檢測，或者對尋求遠程指令的惡意軟件發(fā)出警報，以幫助覆蓋所有盲點。

可視化看起來像是一個花哨的功能，但它能使管理員輕松地發(fā)現(xiàn)網(wǎng)絡(luò)中需要進一步關(guān)注的熱點。例如，對捕捉流量的可視化可以快速找出試圖利用網(wǎng)絡(luò)鄰居尋找可利用漏洞的被感染設(shè)備。此外，管理員還可以觀察帶寬利用率或?qū)崟r網(wǎng)站訪問情況，這可以對網(wǎng)絡(luò)使用情況以及規(guī)則變化對生產(chǎn)力和安全性的影響提供更好的洞察力。這也讓部署復(fù)雜的規(guī)則，使其按照預(yù)期執(zhí)行的操作變得更加簡單。

Web安全網(wǎng)關(guān)部署趨勢

在如何部署Web安全網(wǎng)關(guān)方面，根據(jù)Gartner公司的最新Web安全網(wǎng)關(guān)Magic Quadrant 2012顯示，企業(yè)內(nèi)部企業(yè)級設(shè)備仍然占市場主導地位，但基于云的SWG即服務(wù)的細分市場正在迅速增長。此外，還有結(jié)合企業(yè)內(nèi)部和基于云SWG元素的混合部署設(shè)備。

為了最大化當今SWG提供的優(yōu)勢，企業(yè)必須了解自身需求，以及企業(yè)內(nèi)部、基于云或混合SWG部署各自的優(yōu)缺點。通過基于云的SWG服務(wù)，企業(yè)可以向所有用戶部署相同的保護和政策，而無論其身處何處，但企業(yè)必須選擇一個能夠整合其現(xiàn)有基礎(chǔ)設(shè)施的基于云的SWG。對于企業(yè)內(nèi)部SWG，企業(yè)必須使用代理服務(wù)器架構(gòu)以處理所有Web流量。通過迫使所有web流量在該代理服務(wù)器停止，網(wǎng)關(guān)可以確保在未經(jīng)檢驗或控制的情況下，沒有流量流入或流自互聯(lián)網(wǎng)?？梢蕴娲鶶WG的部署，例如TAP部署會通過網(wǎng)關(guān)來觀察經(jīng)過的流量，因為有流量流向網(wǎng)絡(luò)側(cè)邊。如果由于流量沒有被攔截，網(wǎng)關(guān)不能像內(nèi)嵌設(shè)備一樣及時檢測到威脅，惡意軟件或其他威脅可能會悄悄進入網(wǎng)絡(luò)。這種方法對于執(zhí)行組織策略很適用，但它絕對不是抵御web威脅的可靠方法。

最后，與大多數(shù)web安全技術(shù)一樣，Web安全網(wǎng)關(guān)產(chǎn)品的營銷材料堆砌著各種廣告詞，例如獨特、最佳以及行業(yè)領(lǐng)先。企業(yè)在評估某個設(shè)備是否能滿足企業(yè)要求時，應(yīng)該嘗試忽視這些在很大程度上毫無根據(jù)的說辭，而根據(jù)企業(yè)預(yù)先制定的必須具備功能列表，將可選產(chǎn)品范圍進一步縮小，然后，根據(jù)價格、性能測試以及其他客戶的建議來做出最終決定。

毫無疑問，web安全網(wǎng)關(guān)近幾年發(fā)展非常迅速，新增了很多令人印象深刻的新功能，但單靠進步并不能保證成功。對當今產(chǎn)品能做什么，以及它們?nèi)绾螡M足企業(yè)的需求進行仔細全面的審查，是選擇正確web安全網(wǎng)關(guān)產(chǎn)品的先決條件。