上网行为管理和下一代防火墙的区别

   1产品定位上的差别 

   下一代防火墙是在传统的防火墙设备中增加了IPS、用户访问控制和应用访问控制功能，可以实现从内网双向的控制，在企业中的应用也更加偏向传统防火墙设备，主要被用来隔离内外网络。 

   上网行为管理，更加偏向用户上网流量的分析和上网行为的审计，同时增加了上网用户的认证和访问控制、URL分类、带宽管理等功能，方便实现审计和管理功能；也主要应用在对于员工上网行为的管理和带宽的控制上，来满足企业的互联网访问管理需求。 

   2应用功能上的差异 

   下一代防火墙在传统的防火墙的基础上增加了IPS、恶意软件分析、访问控制等功能，NGFW和其他两款产品相比，通常情况下可以支持更多的协议。使用下一代防火墙可以满足一定的管理要求，但从互联网访问的主要协议、Web访问管理的颗粒度和专业性上有所欠缺，尽管大多数的下一代防火墙都宣称支持深层次的内容解析功能，但由于开启内容解析功能后的性能问题，在大型企业的实际应用中，一般只会开启外向内的安全过滤功能。

   上网行为管理最初的主要功能实现是对于员工上网行为、带宽以及流媒体应用的审计、管理，随着近几年的技术发展，逐渐在产品中增加了URL分类、用户认证和访问控制以及对于员工上网内容的审计，但从产品发展理念的角度，总体来说还是以实现管理要求为主要目标。 

   3基于需求做选型 

   当然，技术本身并没有绝对的优劣之分，基于企业实际需求找到最合适的产品才是关键。 

   下一代防火墙更偏向于传统的防火墙设备，虽然增加了一些管理方面的技术，但由于其基于防火墙设计的基础，很难实现在Web应用方面的精细化管理和安全防护的需求，同时在加强内容与数据安全保护方面的功能拓展上存在局限。 

   上网行为管理AC作为管理型设备，对于员工网络访问行为管理比较适合，但由于其设计架构以及设计模式的问题，在Web应用安全、SSL加解密处理、URL恶链防护、病毒检查和内容审计等功能偏弱，限制了在企业中的Web安全的应用场景。