虽然NAC是一个解决使用者利用软件由内部打穿防火墙的方法,但是NAC机制需要牵扯的网络架构与终端软件数量庞大,实际在企业的网络环境上部署时,会有太多不同的困难必须克服。原有环境的包袱,往往会让企业实际在导入NAC时,难以完全贯彻。举例来说,上述的防范方法,企业的信息人员首先要面对的难题就是怎么在数量庞大的终端计算机上安装NAC的终端软件,如果选择不安装终端软件的方案,可能又无法达到前述的检查效果。此外,如果想要做到更好,企业内部网络的交换器是不是全都支持802.1x,也会成为一个问题,因为这将会牵涉内部网络硬件的大规模变更。
方法2:利用网关器设备过滤
从网关器下手,也是避免员工利用软件规避由内穿透企业防火墙的方法之一,但是此类方法由于并没有直接控管到企业内部使用者的终端计算机,控管上还是无法非常有效,仅能减轻一定程度的风险。但是相对来说,使用网关器的设备过滤的方法,对于企业使用者的影响最小,成本也较低。
IPS就是此类设备的选择之一,其实部分IPS已有防范代理软件的能力,但因为代理软件种类众多,版本更新迅速,IPS的特征判断往往只能针对旧版本的代理软件有效果,使用者要是使用更新版本,IPS通常就无法发现,进而阻断。
还有一类网关器设备是员工上网行为管理设备(EmployeeInternetManagement,EIM),此类设备也能减轻一定程度的风险,也是比较多人目前有在使用的做法。达友科技信息安全顾问林皇兴表示,目前台湾约半数的金融业都装有Websense的EIM设备。以下就将以较多人使用的Websense为例,剖析此类产品防堵员工由内穿透防火墙的能力。
林皇兴指出,目前Websense的产品能够侦测出包括Hopster、GhostSurf、Tor、GoogleWebAccelerator、RealTunnel、JAP、Toonel、YourFreedom、SocksOnline、通通通等10种不同的代理软件,防止企业内部员工透过此类代理软件连结到代理服务器,然后以之为跳板,规避企业的管理规范。