方法2： 利用网关器设备过滤

    从网关器下手，也是避免员工利用软件规避由内穿透企业防火墙的方法之一，但是此类方法由于并没有直接控管到企业内部使用者的终端计算机，控管上还是无法非常有效，仅能减轻一定程度的风险。 但是相对来说，使用网关器的设备过滤的方法，对于企业使用者的影响最小，成本也较低。 

    IPS就是此类设备的选择之一，其实部分IPS已有防范代理软件的能力，但因为代理软件种类众多，版本更新迅速，IPS的特征判断往往只能针对旧版本的代理软件有效果，使用者要是使用更新版本，IPS通常就无法发现，进而阻断。

    还有一类网关器设备是员工上网行为管理设备（Employee Internet Management，EIM），此类设备也能减轻一定程度的风险，也是比较多人目前有在使用的做法。达友科技信息安全顾问林皇兴表示，目前台湾约半数的金融业都装有Websense的EIM设备。以下就将以较多人使用的Websense为例，剖析此类产品防堵员工由内穿透防火墙的能力。

    林皇兴指出，目前Websense的产品能够侦测出包括Hopster、GhostSurf、Tor、Google Web Accelerator、RealTunnel、JAP、Toonel、Your Freedom、SocksOnline、通通通等10种不同的代理软件，防止企业内部员工透过此类代理软件连结到代理服务器，然后以之为跳板，规避企业的管理规范。

    其侦测的做法是透过封包特征，当使用者使用上述的软件时，Websense的产品能够透过分析交换器或网关器设备镜射（Mirror）的流量，判断出封包的特征，进而与已知的特征比对，如果发现是上述的代理软件，就会自动将其联机阻断。

    至于那些没有办法透过特征发现的代理服务器联机，林皇兴表示，可以透过Websense的EIM设备的“继续”模式达到阻挡的效果。该模式是指Websense的EIM设备除了支持阻断与开放外，还支持一种介于两者之间的“继续”功能，对于无法分类或是企业设定规则的联机类别，会自动在浏览器页面跳出一个继续的按钮，使用者必须按下继续的按钮，才能浏览网页。而当内部使用者透过代理软件试图与代理服务器连接时，由于代理软件虽然伪装成HTTP联机，但是在与代理服务器进行连结时，本身并不会开启浏览器页面，自然也不会自动按下页面中的继续按钮，如此一来便无法与代理服务器建立连结，使用者也就无法以代理服务器为跳板，穿透防火墙，规避公司管理。

    不过，正如前面谈到，此种以网关器过滤的方法，都有一个共通的不足之处，那就是这些网关器设备都必须透过特征来判断连结的流量是否有异，但是偏偏自由门、Tor等代理软件，种类过多，又更新快速，这使得网关器产品在防堵内部员工使用此类软件穿透防火墙时，总是有未逮之处，例如如果封包内容加密，或是新版本的代理软件出现，都很有可能无法侦测出。

    而EIM产品虽然能够控管员工的上网行为，设立政策分类管理，并且有效的阻断联机，但当员工使用代理软件试图穿透其防范时，此类产品也会有特征更新的问题。举例来说，如果使用自由门，现在的Websense EIM设备可能就无法侦测出。此外，上述提到的继续模式，虽然能够阻挡代理软件联机，但这必须在企业联机政策涵盖范围很广的状况下，才有用。如果企业为了减少对使用者上网的冲击，而没有对所有人都采用继续模式的政策，那么防堵的效果还是有限。不过类似此种EIM产品还是可以留下容易调阅联机的记录，如果搭配企业内部自己架设的代理服务器，还能针对内容做过滤与检查，让信息人员在真正发生资安事件时仍有证据与记录可以提出。

    整体来说，使用此类产品来防范员工穿透防火墙，还是有一定的减轻效果，但无法像从终端着手来得全面，不过也由于设备建置在网络端，对于使用者的影响较小，受到的反弹较低。