Zone Labs Integrity 5.0

以個人防火牆的優勢，進軍企業市場

在企業內部需要安裝個人防火牆嗎？打個簡單的比喻，每個人的家裡有大門，甚至是鐵門、鐵窗，但在每個房間還是都要有一扇門，它的作用除了維護個人隱私，在火災、小偷等危難發生時，還可以保護個人安全。相同的，幾乎所有的企業都有防火牆（大門）和防毒（鐵窗）等安全裝置，但這並不足以防範所有威脅，因為許多蠕蟲、木馬和惡意程式都是從內部發動攻擊。

我們無法預期作業系統會出現何種漏洞，內部網路何時會被蠕蟲感染，防火牆何時會故障，即使已經在企業邊緣建置各種安全裝置，仍需要在工作站和個人電腦上加強安全措施。

Zone Labs以Zone Alarm個人防火牆為基礎，研發企業用的Zone Labs Integrity個人防火牆，產品除了提供非常彈性的部署與集中化控管，並具備應用程式控管和即時傳訊防護等功能。3種使用者安裝模式

與其他個人防火牆相同，Integrity使用狀態檢視（Stateful Inspection）技術，但不同的是，它提供Agent、Flex及Desktop等三種使用者安裝模式。Desktop模式讓使用者擁有最完整的主控權，可以自訂專屬的安全政策；Agent模式則由Integrity伺服器完全掌控，使用者只能查看概要及安全政策；Flex模式則適合筆記型電腦使用，當電腦能夠連上Integrity伺服器時，就使用企業的安全政策，當在外部網路時，就使用個人所制定的安全政策。大部分的個人防火牆都只有一種安裝模式，Integrity則可以混合使用這3種模式，相當的方便實用。

隨著即時傳訊的盛行，Integrity提供IM防護模組，能夠監控即時傳訊的檔案傳送、語音交談及SPIM（IM SPAM，垃圾簡訊）等功能。IM防護模組支援4種常見的即時通訊軟體，包括AIM、ICQ、MSN及Yahoo。為了防止使用者傳送機密資料，管理者可禁止傳送某些檔案類型，系統目前支援BAT、EXE、URL、PIF……等多種檔案格式。另外，如果即時通訊的雙方都有安裝Integrity，還可以加密傳送的訊息與資料。

應用程式控管是另一個不錯的功能。網路上充斥著各種木馬、後門、惡意程式及間諜程式，使用者一不小心就會被感染，這個功能可以讓管理者決定放行或阻擋哪些應用程式。主機安全性檢查，統一安全標準

除了基本的防護功能，Integrity也有一些獨特的技術，例如Patented Smart Check及Port Stealthing。Patented Smart Check會偵測系統是否有異常狀態，例如IE瀏覽器有許多元件，如果系統無故新增或變更這些元件，那麼很可能是感染蠕蟲，系統就會阻擋該連線；Port Stealthing可以防止系統遭到駭客掃描，例如192.168.1.0是信任區域，系統會回應此區電腦所發出的Ping指令（Port Scan），但若是由210.x.x.x所發出的，則不會回應。

在使用者在登入系統時，系統會檢查主機的病毒碼是否更新、是否遵循安全政策，如果病毒碼未更新或不符合安全政策，系統會將該電腦導到隔離區，限制使用者只能存取特定網站（更新病毒碼、Windows Update），執行更新後才能正常進出網路。集中化管理平臺，8種政策樣本

在建置方面，產品內建的資料庫最高可支援1000個使用者，如果人數超過這個數目，就必須搭配SQL Server或Oracle資料庫，一臺Integrity伺服器主機最高可支援2萬名使用者。

當系統建置完成後，Integrity伺服器能夠預先包裝（Pre-packaged）個人端安裝程式，大小約5MB，有英、德、法、日等四種語言，但要注意的是，目前只支援Windows平臺，未來還會開發Mac OS、Linux及Unix等版本。

既然是針對企業所設計，集中式管理平臺自然是不能少，管理者可以透過Web管理介面，依使用者、群組及IP位址設定管理政策，產品支援Windows NT Domain、LDAP及RADIUS等使用者認證。Policy Studio（政策工作室）能讓管理者很容易就制定合適的安全政策，系統內建8種政策樣本，每一種都有不同的防護等級，例如Suspicious提供最高防護，Discover則是用來監控。

管理者可以自行修改每一種安全政策，包括防火牆規則、安全區域、即時通訊及防毒軟體等，其中的安全區域可以設定主機、IP位址、URL、IP區段及子網域等內容。我們一開始可以用Discover模式收集資料，再依據所得的資料決定合適的政策。

當Check Point收購Zone Labs後，Integrity 5.0已經整合Check Point VPN-1，產品並支援802.1x連線驗證，可與Cisco、Enterasys、Funk、Aruba及微軟等公司的產品整合，以驗證使用者是否設定正確。

大部分的個人端防護產品都是由防毒廠商所開發，防毒也就成為主要功能，防火牆和入侵偵測只能算是附屬功能，但Integrity剛好相反，它是以防火牆為主軸，並具備部署彈性化、政策簡單化及功能多樣化等特色。文⊙陳世煌