代理软件种类繁多，防堵需靠多管齐下

    由上述可知，当内部员工以代理软件由内部穿透防火墙，企业想要有效管理，并不是件容易的事情。若放任不管，原有的管理政策也就形同虚设，使用此类软件连网的员工，就很有可能成为企业潜在的资安风险。 那么，该怎么做才能有效的防堵此类不受规范的联机方式呢？ 

    Juniper（瞻博）先进技术资深经理林佶骏表示，要有效管理此类软件，最好的方法就是从终端计算机着手，透过一些政策的制定，限制终端计算机的权限会是最好的做法。“在企业不考虑成本效益的状况下，让使用者完全不能安装软件，或是透过网络存取控制（Network Access Control，NAC）等方案，这些会是杜绝代理软件联机穿透防火墙的最好方法，但问题在于，有多少企业能够有足够的预算，或是能够切实执行？”林佶骏说。

    不过，林佶骏认为，企业若无法强制在终端计算机上做一些措施，其实若能了解员工使用的代理软件种类与原理，透过网关器端一些设定，还是能够有一定的阻挡效果。林佶骏说：“有些代理软件，使用的是固定的代理服务器网域名称，那么管理者只要从防火墙上去封锁FQDN，就可以阻断此类软件的联机。”

    林佶骏指出，所以企业如果真的想要防堵这类能够穿透防火墙规范的软件，最重要的是必须先了解员工为什么要使用这样的软件？并且要了解企业做这一类管理要达到的目的：是要减少数据外泄的风险？还是要减少员工上班时间浏览网站的时间？因应不同目的，就要使用不同的手段，因为目前并没有一个单一的软件或方案可以完全阻挡此类的软件，必须要全面性的使用不同的设备或方案，从网关器端、终端计算机、管理规范等各种不同的面向着手，才有可能达到有效的管理。

    如果没有办法全面性的规画，因为代理软件的种类繁多，对于企业的信息人员来说，其实是难以针对此类软件完全防堵的。除了较知名的Tor、无界、自由门、Freedom、通通通、Hamachi，以及可以远程遥控的Softether、LogMeIn、VNN等软件外，光是笔者透过网络搜寻就找到不下60种不同的此类软件，虽然都是透过代理服务器的方式达到穿透防火墙的效果，但每种软件的原理和做法都不相同，管理人员如果没有透过一些设备与工具，很难针对每一种软件做到完全的封锁。这也是为什么，没有任何一种设备或方案能够百分之百防堵此类软件的原因。

    不过，有心做好企业员工上网行为管理的企业也不用灰心，如果愿意投资，现在也有很多方案可以协助企业达到一定程度的上网管理，诸如NAC、员工上网行为管理设备（Employee Internet Management，EIM）、Program Control软件、IPS等，都可以达到一定效果。至于没有预算的企业，甚至透过一般企业原有的防火墙和微软的AD（Active Directory）架构搭配，也能做到一定的管理效果。这些都是企业在面对此类问题时，可以使用的工具。

    此外，最重要的还是企业必须建立起一套管理的制度，要管到多严？目的是为了什么？这些都是必须在搭配各种配套的工具时，事先想好的重点。