在搜索未果的情况下，笔者只能通过对业界主流产品的分析，抽象整理出一个上网行为管理产品的功能定义。定义分为基本功能和扩展功能两部分，满足基本功能的产品即可称之为上网行为管理；支持扩展功能越多，产品对新需求的满足度就越高。

　　从搜集到的产品资料来看，目前业界主流的上网行为管理产品能够以网关、桥接、旁路等方式进行部署，且具有静态路由、NAT等网络接入所必须的特性。功能方面，上网行为管理必须支持以下基本功能：

用户身份感知/认证：支持本地、第三方、透明等用户身份感知机制，并能通过本地及第三方联动的方式对用户身份进行认证。

应用流量识别与控制：具有完整的应用层流控功能，可对应用流量进行限速或阻断处理，同时支持连接数限制、用户流量配额、基于应用的引流等特性。

对主流应用行为进行内容审计、过滤、阻断：够且不限于对HTTP、POP3、SMTP、FTP、Telnet协议、主流IM应用、主流WebIM应用、主流WebMail应用的交互信息、内容、文件传输进行审计、过滤、阻断。对于网页浏览来说，应能基于URL分类库进行访问控制，并可基于关键字、内嵌文件类型进行过滤/阻断；对于SMTP来说，应支持外发邮件延迟审计；对于主流IM应用来说，应能对用户账号进行审计。

分析报表系统：提供丰富、完善的报表生成系统，为管理员及决策团队提供有价值的参考依据。

　　刚才提到过，上网行为管理正在发生又一次革命，一些新的扩展功能得到了用户的极度重视，虽然它们目前还没有成为业界公认的事实标准（只有一些产品能够支持），但未来有望成为产品定义中的基本功能。考虑到产品部署的周期性，用户应该在选型中将其列为评估项目。

对主流Web 2.0应用进行内容审计、过滤、阻断：能对主流论坛、微博、博客应用中的的发帖内容、文件传输进行审计，并可基于关键字进行过滤、阻断。

移动终端感知及管理：能识别移动终端类型及其访问网络时的位置，并关联到用户。

对主流移动应用进行内容审计、过滤、阻断：能识别主流移动应用，并对应用行为及网页浏览进行审计、过滤、阻断。

对主流加密应用（SSL）的审计、过滤、阻断：能够卸载HTTPs、SMTPs、POP3s等使用SSL套接层的加密流量，并对其执行行为管理策略。

准入控制：能独立/与客户端联动，对终端执行网络准入控制策略。行为分析：能对审计数据进行挖掘分析，对离职、工作效率、泄密等对用户管理层面存在参考价值的行为做出趋势预测。     

 

　　从归纳出的目前主流上网行为管理产品的功能定义来看，四大基本功能已趋于稳定，细节仍在不断完善；大量扩展功能正在需求的驱使下不断涌现，随着时间的推移，它们必将被更多用户所认可，成为上网行为管理必须具有的功能。

　　不可否认，从上网行为管理的基本定义来看，它确实与下一代防火墙有着相似之处，早先几年业界甚至还有“上网行为管理就是中国特色下一代防火墙”的论调。但笔者认为，无论在技术还是业务层面，两者都不可被彼此取代。从技术角度看，上网行为管理的核心在于数据收集，这个工作要消耗大量的存储和计算资源。以目前网络安全硬件平台的水平，还难以在合理的价格范围内将安全业务与数据收集整合在同一设备中实现。所以除了上网行为管理，目前任何主流安全产品都不具有数据收集能力，而没有数据也就谈不上审计和挖掘，无法在管理上体现出价值。

　　在业务和对用户的价值层面，下一代防火墙和上网行为管理也有着天壤之别。下一代防火墙注重安全，可以实现“对销售部门员工用MSN接收文件进行病毒扫描”这样的功能；上网行为管理关注的则是对人的管理，具有“对销售部门员工用Webmail发送邮件携带的附件进行审计并延迟发送”的能力。从使用者的角色看，一款好的下一代防火墙可以成为CIO和CSO手中保障IT安全的利器；上网行为管理则在某种程度上算是CEO的助手，它的职责不是捍卫IT安全，而是保障合规及提高效率。这就好比一个国家，既需要军队、警察来攘外安内，又需要审计和监察部门来维持有序高效地运转。哪个都重要，哪个都不能少。

　　阅读原文：http://t.cn/zQGIHdx