引言　　

　　上世纪中，随着互联网的兴起，企业越来越关注对网络接入的安全保护，因此能隔离内外网和防护网络入侵攻击的防火墙应运而生；

　　本世纪初，用户开始关注网络病毒和内网攻击的防范，所以用于分析网络数据流和阻断网络攻击的IDS/IPS风生水起；

　　2003年开始，客户受困于大量安全设备的巨额投入和管理困难，作为合并防火墙、防病毒、反垃圾邮件和内容过滤的UTM设备便逐渐大行其道；

　　今天，我们发现“上网行为管理”已然成为一个新的潮流代名词，被各种媒体频繁引用，那么这种产品为何会流行？

　　“应用层安全（特别是关键词模式匹配）对于UTM的系统性能影响是比较大的。因此将这部分功能模块独立出来，并添加额外功能形成专门的访问控制管理设备是一个趋势”――以上摘自网界网对上网行为管理产品的一个判断。

　　事实上，这一判断从今天来看是比较准确的。由于企业愈来愈关注于员工网络行为的管理，而传统设备要不过于复杂（IDS/IPS），要不性能不够（UTM），专门针对员工上哪些网站、有没有聊天和P2P下载、企业带宽分配等等功能定制的产品，就成为专门的一类适合中国国情需求的新产品类别。

　　上网行为管理产品犹如一个精简版的UTM，一般只带防火墙和应用层内容过滤（也可额外增加选配模块），着重在网页过滤、上传下载管理、IM软件和P2P软件控制以及带宽管理上下功夫；不过，它仍然有同传统UTM网关类似的一系列问题：

　　用户身份认证薄弱

　　上网行为管理产品只有简单的用户名口令认证，或者加入IP/MAC绑定等，而现在的黑客技术强大到只要用个现成的小软件就能攻破口令，修改主机硬件信息；因此完全不足以保障企业内部身份的确认。而我们知道，如果内部网络使用者身份不能确认，或者模棱两可，那么所有的上网控制和管理审计都会像朝天开炮那样失去了准头。

　　IM和P2P程序控制困难

　　上网行为管理产品都通过对边界流量进行深层检测而达到程序控制。如果深层检测出现了误判，那么依据错误检测所做的防御措施会给用户的正常业务带来严重影响；此外，往往国内需要被控制的程序会想方设法绕开检测，所以QQ、电驴等软件会经常发布新版本以改进其流量特征，这对上网行为管理产品提出了及时更新代码和巨大维护量的要求，这是其一个控制的难点。

　　功能全开时性能下降

　　同UTM一样，上网行为管理产品性能衰耗最大的是流量的应用层模式匹配；随着URL库的增加和应用软件数量增大，其性能将直线下降，并存在很大的溢出和重启的风险。

　　只管边界不管内网

　　上网行为管理产品是一个边界设备，无论内网发生怎样的异常和资源泄漏，只要不是通过它出去，它都不闻不问。那么为了预防内网病毒爆发，或者内网服务器被内部窃取和攻破，用户不得不去购买内网安全防护设备（如：桌面管理系统，IPS等）。

　　只管出不管入

　　对于有VPN远程接入的企业，VPN接入就犹如一个巨大的管理黑洞。从VPN带进来或流出去的数据是上网行为管理产品所管理不了的范围，里面会不会有恶意程序和病毒？会不会有企业需要防止外泻的敏感数据呢？

　　只管本地不管分支

　　对于中大型企业，需要统一的策略来管理总部和分支机构。而上网行为管理产品只针对本地局域网进行管理。分支机构即便部署上网行为管理网关，也只能各自独立管理，无法进行全网安全策略的统一控制，因此往往会出现总部管理严格，分支形同虚设的情况发生。