綜觀BlueCoat所有產品線,可說是從基於網頁所需而開發的,從代理伺服器到網頁過濾,整合防毒設備確保內容安全,到10月初發表了SSL VPN產品,更讓安全防禦範疇延伸至個人端。
讓行動使用者能夠以便利安全的方式,取得內部網路上的資源,是企業導入SSL VPN最重要的原因。IPsec VPN可以提供加密保護,但是在使用上會遇到4種主要問題與威脅:需要安裝VPN用戶端軟體、本機帳號權限不足、病毒與間諜軟體及資料洩漏等。因此BlueCoat在設計RA系列時,就加入多種方式以解決上述問題。
許多SSL VPN設備是採用URL rewriting技術,讓使用者連入後端網路上的伺服器,但如果網頁應用服務禁止URL rewriting功能,使用該技術反而會讓服務無法使用。RA 510則是使用反向代理技術,並且不是採用HTTP協定,而是使用Socks機制,成為應用伺服器的替身,進而解決這些問題。
此產品的使用方式與其他SSL VPN設備較不相同。一般的SSL VPN採閘道器方式運作,必須以In-Line方式建置,倘若對外頻寬不足或設備效能不彰,往往就會影響整體網路傳輸效能,在建置上會建議另外採用獨立的網路連線與IP網段,除了可以避免影響主要使用頻寬之外,也能夠降低安全風險。
RA 510後方具備2個網路連接埠,依據企業政策不同,可採In-Line或Off-Line建置,SSL VPN流量最大可達199Mbps,可支援100名使用者同時連線。設備的計價方式分為硬體與使用者人數等兩部分,企業可依據使用需求購買所需的使用人數授權。目前設備並無搭配SSL加解密晶片,會在下一個版本中增加,以提升SSL連線的處理速度。
在實際安裝建置RA 510時,首先吸引我們的是管理畫面下方的狀態燈號列,在該工作列上顯示了反向代理、Socks代理、閘道器、上次修改政策時間、使用者名稱及權限等設備主要資訊。管理選單中有儀表板、政策、系統、記錄與維護等選項,其中最重要的是政策項目,在該選項中,可設定後方應用服務伺服器位址、高可用性、連線規則及個人端安全檢測。
個人端檢查確保安全並杜絕外洩
個人端安全檢測可分為主機完整性檢查與已執行應用程式等兩個部分,使用者連上RA 510之後,只需要下載一個以Java寫成的連接器(Connector),不需要額外安裝軟體。使用者不能隨意下載該Java套件,RA 510會根據管理者所設定好的安全管控機制,檢查使用者目前所使用的電腦,通過一切規範才會允許使用者下載。
管理者可規範的項目包括是否有安裝或執行非法程式、是否安裝防毒軟體以及防毒軟體的廠牌、版本、病毒碼版本等,管理者也可以自行定義必須具備或禁止的軟體,得以確保個人端安全。
RA 510的預設規範十分嚴謹,為了預防資訊外洩,各類監控鍵盤或滑鼠行為的程式,都會被認定是非法執行的程式,就連MSN Messenger之類會偵測使用者閒置狀態的即時通訊軟體,都在禁止之列。
在我們的測試過程中,RA 510就會跳出警示,通知我們MSN會偵測鍵盤動作,如果不關閉就不能連接RA 510,直到關閉即時通訊軟體之後,才得以恢復下載。
而當我們為了擷取螢幕畫面而開啟剪圖程式時,RA 510也馬上發出警告,通知有執行中的程式會造成資訊外洩,要求我們儘速處理,同時,所有透過RA 510連線存取的資料或軟體,該視窗畫面都變成BlueCoat的盾牌標誌,覆蓋住加密連線所得到的資料。不單是會偵測螢幕擷取軟體與熱鍵,就連PrintScreen鍵也一樣,有效確保資料不會外洩。
使用與IPsec VPN相仿
RA 510與其他SSL VPN有相當明顯的不同。其他產品會提供使用者一個入口網頁,依據管理者所定義的權限與應用服務,讓使用者僅需要點下連結就可以連接應用伺服器。
但是RA 510在下載完連接器之後,連接器就會縮小至工作列中,使用類似虛擬網卡的方式,讓使用者連接各項預先設定好的應用服務。藉由這種作法,使用者不需要安裝網路延伸器(Network Extender)才能連接網路芳鄰,也不會因為使用者誤關入口網站就中斷SSL加密連線。假如使用者要連接應用服務,只需要點選工作列上的圖示,就能夠以選單的方式選取欲連線的應用服務,使用上相當便利。
要辨識該應用服務是否透過RA 510連線相當簡單,透過加密連線建立的網頁或網路芳鄰位址,都可以在視窗右上角看到加密連線的圖示,表示該視窗現在是透過RA 510連線,應用程式正受到安全保護。
當連線完成要關掉連接器時,也不必擔心是否有視窗還沒關閉或連線電腦中有任何暫存檔,RA系列的連接器會在關閉時,同步關閉所有安全連線視窗,並且清除在連線過程中所有的session與cookie記錄,完全杜絕可能造成的機密外洩。
功能多,安裝設定相對複雜
由於RA 510的安全防護功能相當強大,在設定方面較為複雜。身分認證機制支援LDAP、RADIUS、SecurID、TACACS+、本機認證與表單認證等方式。管理者在登入畫面後的儀表板上,可以看到6種快速工作連結,可以新增各項設定,但是最終還是需要在政策項目中設定連接器與登入基本規範,否則新增再多使用者帳號或服務類型都無法使用。
此外,管理者也需要定義個人端規範,包含可使用的軟體、禁止使用的軟體、應安裝的防毒軟體與防火牆等,只要是不合乎這些規範,RA 510就會禁止使用者連線。
因此在安裝設定之前,管理者應先通盤了解並規畫內部網路,包含所需使用的身分認證機制、可開放的應用服務以及個人端安全性,避免顧此失彼或設定錯誤,反而造成不必要的麻煩。文⊙羅健豪
|
何謂代理伺服器 |
| 代理伺服器(Proxy Server)是外界使用者與應用服務伺服器中間的轉接器,使用者向代理伺服器發出請求,然後由代理伺服器抓取應用服務伺服器上的內容。目前常使用代理伺服器的協定有HTTP/S、FTP、Gopher與Socks等。
代理伺服器分為正向代理(forward proxy)與反向代理(reverse proxy)兩種。正向代理是最常使用的工作方式,大部分企業都會在公司內部架設一臺正向代理伺服器,讓公司員工透過該伺服器抓取外部資訊。以網頁服務來說,時常讀取的網頁就可以利用伺服器上的快取機制,保留一份在伺服器上,其他員工要讀取時就不需要重新要求該網頁伺服器發送資訊,可以降低所需的連線頻寬,避免資源重複浪費。 反向代理的路徑正好相反,反向代理伺服器是保存後端伺服器上的資料,以供使用者存取。當網頁伺服器無法承擔現有流量時,就可以透過反向代理伺服器降低伺服器的負載量;或是後方有多個網頁伺服器,但共用同一個網域名稱,也可藉由反向代理的方式,依據不同網址導向到後方不同的伺服器上;為了保護後方伺服器,先藉由代理伺服器過濾有害位址或內容,也是常用的方式之一。目前來說,有部分保護網站的安全措施或設備,都以反向代理方式運作。例如Breach公司釋出的開放原始碼mod_security模組,就是採取反向代理伺服器的方式,安裝在Apache伺服器上,能過濾如SQL Injection、buffer overflow或cross-site script等有害的URL指令碼攻擊,以確保後方網頁伺服器。文⊙羅健豪 |
|
BlueCoat RA 510 |
|
| 建議售價:409,000元起
BlueCoat (02)2627-9118 |
|
| 授權方式 | 硬體與使用人數授權 |
| 處理器 | Pentium4 2.0GHz |
| 記憶體 | 1GB |
| 最大用戶數 | 100人 |
| 管理功能 | Cookie與Session管理、閒置偵測、 快取防制與清除、系統記錄與報表 |
| 認證功能 | LDAP、RADIUS、SecurID、 TACACS+、本機認證與表單認證 |
熱門新聞
2025-02-24
2025-02-23
2025-02-21
2025-02-21
2025-02-24