多管齐下，完全防堵防火墙被穿透 

    前面说到了很多不同的方法，可以用来确保企业的连网政策，不被使用者以代理软件的方式绕过，达到管制的效果。但实际在企业中来看，这些方法势必要搭配使用，才能发挥最好的效果。接下来我们就可以看看几家企业实际使用的方式，了解在实际环境中，企业该怎么应用这些方法确保内部使用者无法透过软件的方式规避连网政策。

第一银行以Websense与AD等多种方法搭配管控

    由于数据重要性特别高，许多金融业和高科技制造业对于这一方面的管控都不遗余力，第一银行当然也不例外。该公司为了让员工都能遵循资安政策的管理，在3年前开始收回每台电脑的管理权限，以AD（Active Directory）的群组规则设定限制使用者权限不能在终端计算机上安装软件。

    此外，在网关器端，也有使用Websense的EIM设备，并且将IDS、IPS等控管的设备委外由数联资安管理，内部也有专属人员透过防火墙的Log监控软件，检查是否有联机异常的流量。

    第一银行系统管理部副理林庆麟表示，在这么多做法中，将AD的管理者权限收回，并且让使用者的终端计算机不能随意安装软件的做法，对他们来说是最有效果的方式。林庆麟说：“3年前导入这样的措施时，反弹的声浪不小，但是现在让我们在管理上更有效果，未来要再推更强势的政策，可以预期的反弹的声浪也会比较小。”

    林庆麟表示，AD的群组规则设定，再加上Websense对不同网页连结的控管，让他们公司内部员工使用特定软件穿越防火墙的问题大幅减少。至于部分权限较高的使用者，即便安装了类似自由门、无界等代理软件，每天安管部门的2名员工，都会定时透过收集防火墙Log的软件，去找出联机数量特别高的异常联机；委外给数联资安的部分，也是24小时不停机的监控，所以即便发生异常的状况，也会立刻被发现。

    不过林庆麟指出，AD的群组规则设定虽然让第一银行减少了很多使用者穿破防火墙的风险，但是在规定和维护上仍有些麻烦。“现在我们正在调查更好的方案，类似Program Control这种产品，让我们能够在终端计算机以更方便的方式控管。”林庆麟说。

    不光是技术面上的控管，第一银行在政策面上也有相关的规范。林庆麟以3年前收回AD权限时为例，当时他们设计了很多教材、电子报，并且到各个据点巡回，进行教育训练，然后才开始推行。除此之外，如果发现内部员工有异常的联机数，或是使用不合规范的软件，如代理软件、实时通讯软件等，公司也有一套完整的规范，信息人员会先以电话告知，然后再有发现的话，会发正式的公文前去要求改善。

    不过林庆麟说，即便有了这么多的配套措施，让大多数的人都被限制在公司的规范中，偶尔还是会有道高一尺、魔高一丈的状况出现，要完全阻挡住这样的状况，并不是太容易，但是至少在多种方法并用的管理下，这样的事件已经大幅减少。“对于我们来说，现在这种问题并没有很严重。”林庆麟说。

终端计算机下手，还是最有效的管理方式

    从第一银行的经验中可以看出，从终端计算机下手，直接根绝软件安装的可能性，还是最有效的管理方式。而多数公司都有的AD架构，在这方面可以发挥很大的功用。

    网骇科技资安顾问曾信田表示，就他实际处理的经验来说，在内部使用者试图规避公司网络管控机制时，AD控管权限的方式，往往是企业最不用花钱也最能立即见效的手段。他以实际处理过的企业经验为例，该企业在以AD控管安装软件的权限后，使用者利用代理软件等方式试图规避企业管理的状况，就几乎完全消失了。

    从这些例子中可以看出，如果没有足够预算的企业，要防堵使用者利用代理软件绕过防火墙，AD的群组控管原则可以说是最有效的方法之一。如果还能够再搭配网关器端的设备，控管还可以更完善。

    Juniper（瞻博）先进技术资深经理林佶骏就指出，对于预算不够多的企业，他会建议信息部门人员先以AD的群组原则控管，再搭配防火墙阻文件部分已知的代理服务器联机地址。如果还有稍多的预算，还可以再搭配IPS，达到更好的效果。因为很多厂商的IPS，都可以辨识出较旧版本的代理软件联机特征，如此一来对于减少使用者透过此类方式绕过防火墙，形成资安风险的状况，也会有一定的帮助。

    至于类似Program Control此类针对终端计算机安装软件管控更强势的软件，搭配网关器的设备使用，将能提供比AD控管更好的管理接口。从第一银行的经验来看，这一点就可以得到验证。

若预算较充足，NAC也是解决方案之一

    由于NAC本身就需要网络交换器与终端软件的搭配，事实上使用NAC也能有效的杜绝内部使用者透过安装软件的方式试图规避公司的管理。

    军方某个单位，就以NAC的方式做到内网的控管，除此之外，还在终端计算机上安装Program Control类型的软件，以白名单的方式限制终端计算机能够安装的软件种类，达到控管内部使用者上网行为的效果。而在网关器端，该单位也以让防火墙以白名单的方式控管，让使用者仅能连结到特定的几个网站。

    由于军方特殊的属性，从其建置的方案可以看出，是属于非常严格的控管，不过对于该单位来说，由于不用担心使用者的反弹，此类坚壁清野式的管控方式，可以说是最有效果的。但对一般企业来说，要做到这样的程度，实属不易之事。

    整体来看，要阻绝使用者穿透防火墙的问题，网关器端和终端计算机两处一起着手，会是最好的方法。信息安全这种议题，没有人可以打包票能够建置一个完全不会有风险的环境，但是透过前述多种方法的共同搭配使用，还是能够有效的将风险降到最低，减少使用者透过类似代理软件等方法，穿透防火墙，而将恶意程序带进内网，或是外泄重要机密的可能性。

    而从第一银行和军方的经验来看，在这些并用的方法之中，对终端计算机的管制是十分重要的一环，从使用者安装软件的权限着手，能够带来一定的效果，然后再辅以网关器端的几种设备监测，以及允许联机地址的设定，达到降低使用者穿透防火墙管制的风险。无论如何，企业在着手进行此类控管时，最重要的还是要有政策的配套，如此一来才能将使用者的反弹降至最低。