很多企业都会利用防火墙限制员工可联机的网站,但其实现在已经有很多可以自动和代理服务器联机的软件,只要安装就能轻易穿透企业防火墙的控管,使得防火墙等于形同虚设。这除了造成企业数据外泄的风险,实际上许多代理服务器本身就是恶意程序的来源。企业必须建立起一套管理的制度,要管到多严?目的是为了什么?这些都是必须在搭配各种配套的工具时,事先想好的重点。在有了这样前提的体认之后,我们就介绍怎么利用上述不同的工具,达到防堵此类代理软件的效果。
方法1:网络存取控制(NAC)
目前有许多厂商都已推出NAC(NetworkAccessControl)机制,事实上,NAC并不能算是单一的产品,而是企业内整体网络架构协防的机制,透过不同的软件与交换器等硬设备的互相沟通,NAC机制能让企业掌握终端计算机(EndPoint)连上网络的权限,且为了确保终端计算机的健康,多数NAC方案都能检查诸如防毒软件更新、操作系统更新等终端计算机的健康状态。
多数的NAC方案都能支持终端计算机健康状态检测的功能,并且能够依照企业的规范,以一台完全符合规定的计算机做为模范,强制要求企业内其它的计算机符合其规定的需求,否则将无法与内网连结。而此一功能就能够防止企业内部的使用者,安装类似******、无界等代理软件,进而以不明的代理服务器为跳板,达到绕过防火墙规范的目的。
此外,由于NAC方案一般来说都有能力辨识使用者的身分,且能够依据终端计算机的健康状况与使用者的身分,依照事先设定好的政策,决定该台终端计算机能否连上企业内网,并且能自动判断使用者的权限,能够有效的替企业内不同使用者设立不同的政策,达到分类管理的效果。
Juniper(瞻博)先进科技资深技术经理林佶骏认为,如果要更有效果,NAC机制可以进一步整合符合802.1x规范的交换器,终端计算机的NAC终端软件(Agent),一侦测到有异,或是为了规避检查而没有安装NAC终端软件,使用者将会直接从交换器端被阻断联机,这代表要在企业内部使用网络,就必定要安装NAC终端软件,并且符合健康的模板。这样一来,使用者如果想透过代理软件打穿企业的防火墙,将会立刻被阻断网络联机。微软全球技术支持中心项目经理林宏嘉也有类似看法,他认为采用微软的NAC机制NAP,在这类问题上,能有一定效果。