很多企業(yè)都會(huì)利用防火墻限制員工可聯(lián)機(jī)的網(wǎng)站,但其實(shí)現(xiàn)在已經(jīng)有很多可以自動(dòng)和代理服務(wù)器聯(lián)機(jī)的軟件,只要安裝就能輕易穿透企業(yè)防火墻的控管,使得防火墻等于形同虛設(shè)。這除了造成企業(yè)數(shù)據(jù)外泄的風(fēng)險(xiǎn)��,實(shí)際上許多代理服務(wù)器本身就是惡意程序的來源�����。企業(yè)必須建立起一套管理的制度�����,要管到多嚴(yán)����?目的是為了什么�����?這些都是必須在搭配各種配套的工具時(shí)��,事先想好的重點(diǎn)��。在有了這樣前提的體認(rèn)之后����,我們就介紹怎么利用上述不同的工具�,達(dá)到防堵此類代理軟件的效果����。
方法1:網(wǎng)絡(luò)存取控制
目前有許多廠商都已推出NAC機(jī)制,事實(shí)上����,NAC并不能算是單一的產(chǎn)品,而是企業(yè)內(nèi)整體網(wǎng)絡(luò)架構(gòu)協(xié)防的機(jī)制���,透過不同的軟件與交換器等硬設(shè)備的互相溝通�,NAC機(jī)制能讓企業(yè)掌握終端計(jì)算機(jī)連上網(wǎng)絡(luò)的權(quán)限���,且為了確保終端計(jì)算機(jī)的健康�,多數(shù)NAC方案都能檢查諸如防毒軟件更新��、操作系統(tǒng)更新等終端計(jì)算機(jī)的健康狀態(tài)�。
多數(shù)的NAC方案都能支持終端計(jì)算機(jī)健康狀態(tài)檢測的功能�����,并且能夠依照企業(yè)的規(guī)范����,以一臺完全符合規(guī)定的計(jì)算機(jī)做為模范��,強(qiáng)制要求企業(yè)內(nèi)其它的計(jì)算機(jī)符合其規(guī)定的需求��,否則將無法與內(nèi)網(wǎng)連結(jié)�。而此一功能就能夠防止企業(yè)內(nèi)部的使用者����,安裝類似******、無界等代理軟件���,進(jìn)而以不明的代理服務(wù)器為跳板����,達(dá)到繞過防火墻規(guī)范的目的�����。
此外���,由于NAC方案一般來說都有能力辨識使用者的身分����,且能夠依據(jù)終端計(jì)算機(jī)的健康狀況與使用者的身分,依照事先設(shè)定好的政策�����,決定該臺終端計(jì)算機(jī)能否連上企業(yè)內(nèi)網(wǎng)����,并且能自動(dòng)判斷使用者的權(quán)限,能夠有效的替企業(yè)內(nèi)不同使用者設(shè)立不同的政策����,達(dá)到分類管理的效果。
Juniper先進(jìn)科技資深技術(shù)經(jīng)理林佶駿認(rèn)為���,如果要更有效果�����,NAC機(jī)制可以進(jìn)一步整合符合802.1x規(guī)范的交換器����,終端計(jì)算機(jī)的NAC終端軟件����,一偵測到有異,或是為了規(guī)避檢查而沒有安裝NAC終端軟件���,使用者將會(huì)直接從交換器端被阻斷聯(lián)機(jī)�,這代表要在企業(yè)內(nèi)部使用網(wǎng)絡(luò)���,就必定要安裝NAC終端軟件����,并且符合健康的模板���。這樣一來��,使用者如果想透過代理軟件打穿企業(yè)的防火墻���,將會(huì)立刻被阻斷網(wǎng)絡(luò)聯(lián)機(jī)。微軟全球技術(shù)支持中心項(xiàng)目經(jīng)理林宏嘉也有類似看法��,他認(rèn)為采用微軟的NAC機(jī)制NAP�,在這類問題上,能有一定效果�����。
