其侦测的做法是透过封包特征,当使用者使用上述的软件时,Websense的产品能够透过分析交换器或网关器设备镜射(Mirror)的流量,判断出封包的特征,进而与已知的特征比对,如果发现是上述的代理软件,就会自动将其联机阻断。
至于那些没有办法透过特征发现的代理服务器联机,林皇兴表示,可以透过Websense的EIM设备的“继续”模式达到阻挡的效果。该模式是指Websense的EIM设备除了支持阻断与开放外,还支持一种介于两者之间的“继续”功能,对于无法分类或是企业设定规则的联机类别,会自动在浏览器页面跳出一个继续的按钮,使用者必须按下继续的按钮,才能浏览网页。而当内部使用者透过代理软件试图与代理服务器连接时,由于代理软件虽然伪装成HTTP联机,但是在与代理服务器进行连结时,本身并不会开启浏览器页面,自然也不会自动按下页面中的继续按钮,如此一来便无法与代理服务器建立连结,使用者也就无法以代理服务器为跳板,穿透防火墙,规避公司管理。
不过,正如前面谈到,此种以网关器过滤的方法,都有一个共通的不足之处,那就是这些网关器设备都必须透过特征来判断连结的流量是否有异,但是偏偏******、Tor等代理软件,种类过多,又更新快速,这使得网关器产品在防堵内部员工使用此类软件穿透防火墙时,总是有未逮之处,例如如果封包内容加密,或是新版本的代理软件出现,都很有可能无法侦测出。
而EIM产品虽然能够控管员工的上网行为,设立政策分类管理,并且有效的阻断联机,但当员工使用代理软件试图穿透其防范时,此类产品也会有特征更新的问题。举例来说,如果使用******,现在的WebsenseEIM设备可能就无法侦测出。此外,上述提到的继续模式,虽然能够阻挡代理软件联机,但这必须在企业联机政策涵盖范围很广的状况下,才有用。如果企业为了减少对使用者上网的冲击,而没有对所有人都采用继续模式的政策,那么防堵的效果还是有限。不过类似此种EIM产品还是可以留下容易调阅联机的记录,如果搭配企业内部自己架设的代理服务器,还能针对内容做过滤与检查,让信息人员在真正发生资安事件时仍有证据与记录可以提出。