即時通訊/P2P管理設備－利基InstantScan IS-100

InstantScan IS系列是即時通訊/P2P的管理設備，可針對MSN Messenger、Yahoo! Messenger、ICQ、AOL四套即時通訊軟體做控管，除此也外也能透過內建的應用層防火牆管理P2P等應用程式，IS-100適合規模150人以下的中小型企業；其實在IS-100之外，整個InstantScan系列產品依使用者需求的不同，還有IS-10、IS-1000與IS-5000三款產品，分別供60、300以及1,000人以上規模的企業使用。

隨設備所提供的管理伺服器軟體，裡頭包含有Apache、PHP、MySQL、Sun Java Virtual Machine（JVM）與自行開發的Log Server套件，安裝在任何一臺使用Windows XP以上作業系統的電腦之後，即可成為管理伺服器的角色；由於產品本身沒有內置硬碟，因此IS-100記錄下來的資料必須透過網路，從設備上的管理埠傳送至管理伺服器的MySQL資料庫儲存，Apache網站伺服器則提供英文、正中和簡中三種語系的管理介面，預設值為英文，管理者可以在登入時做切換。

此外值得一提的是在技術支援的部份，管理伺服器軟體具備遠端協助的功能，此時只要啟動內含在軟體裡的VNC Server，並設定好本機IP和連接埠，接著和利基原廠的技術支援中心SSH伺服器建立連線，技術人員就可以從遠端網路連接進來，協助IS-100的管理者完成手邊機器的所有設定。

多樣化的即時通訊控管能力
我們在公司的區域網路下以透通模式設置IS-100，WAN埠連接上層的網路骨幹，LAN埠和管理埠則是必須連接到同一臺交換器上，如此所有通過IS-100的網路封包都會受到監聽，所以在管理畫面下的流量監控頁面裡，可以看到所有內部電腦的網路活動，和應用程式目前在IS-100所建立的連線數，最高可同時承受200,000條連線。

就和大多數的企業級產品一樣，IS-100也可以和既有的AD、LDAP目錄服務做整合，或者直接上傳檔案，把需要管理的即時通訊帳號匯入到使用者清單裡，省去逐一新增的麻煩。之後可以依照群組原則做帳號權限的設定，舉例來說可以決定群組內的所有使用者是否可以使用何種類型的即時通訊，並同時決定是否側錄文字交談記錄（不含語音）與檔案傳輸的內容。

其實目前已經有少部份的個人端網路產品從第四層防火牆著手，也就是以連接埠做為依據，提供簡單的即時通訊流量封鎖，與前者相較之下，定位在企業端使用的IS-100提供了更高的管理彈性，也就是可以針對前述幾種常用即時通訊軟體的個別功能，如語音、視訊和傳檔等功能著手限制，以符合實際的使用需求。

關鍵字與檔案類別的過濾是IS-100內容控管的主要功能，啟動關鍵字過濾之後，無論相似程度高低，只要是傳送出去的字串包含有關鍵字，就會被設備擋住，並且同時收到一則IS-100所發出的警告訊息，即便是以目前很多人在用的SimpLite、MSNShell即時通訊外掛軟體加密傳送出去的訊息，依舊會受到IS-100的過濾；Web MSN雖然是唯一的破解方式，不過管理者可以從IS-100的應用層防火牆做封鎖；副檔名是IS-100檔案過濾的依據，副檔名列在限制清單裡的檔案無法透過前述的幾套即時通訊軟體傳送出去，但經過我們測試可以利用修改副檔名的手動方式迴避這項限制。

防毒與反蠕蟲的功能主要是結合了Clam AV引擎，可以對即時性的風險進行偵測，然而檔案掃描有2MB的大小限制，過大的檔案雖然可以傳送，但會失去Clam AV的防護。我們利用壓縮兩次過後的EICAR病毒分別從外部網路的其它電腦以及連接在下層網路的筆電透過即時通訊傳檔測試Clam AV的靈敏度和是否具備雙向掃毒的能力，最後的結果是EICAR病毒仍然可以被發現、攔截，當然IS-100也會送出警告訊息給使用者。

應用層防火牆形成第二道防線，結合頻寬管理能力
應用層防火牆可以對多數的常用網路應用程式做管理，其中P2P軟體的部份在eMule、BitTorrent之外，也納入了PPStream、TVant等使用P2P技術的網路電視應用程式，另外SoftEther、VNN和SSH一類的地道程式也在防火牆的管理規則之列；即時通訊控管的部份在MSN Messenger、Yahoo! Messenger、ICQ、AOL之外，使用加密技術的Skype、騰訊QQ，以及多種即時通訊協定合一Miranda，都可以由應用層防火牆進行封鎖，不過無法就單一即時通訊軟體的不同版本做更精細的管理。據原廠表示Skype的部份未來也會隨著新版韌體的釋出，一併新增到IS-100的管控清單內，而不僅止於目前的應用層防火牆封鎖。

開啟頻寬管理功能的同時，IS-100會一併打開應用層防火牆，由於應用層防火牆有網路第七層封包特徵的分析能力，使得頻寬管理政策的實施可以落實得更徹底，同時IS-100也能限制單一IP所能開啟的連線數最大值，這項功能必須從RS232埠的終端畫面下以指令方式設定，IS-100的預設值是200個連線，管理者可以視需要做調整。這項功能的主要目的，在於可以避免區域網路下的多臺電腦同時執行P2P軟體，有效阻止頻寬管理政策的崩潰。

提供多種不同格式報表
完整的報表功能也是IS-100的特色，我們可以在管理介面下可以就政策面、管理面多種角度，看到即時發生的防火牆事件、網路流量、病毒攻擊排行、蠕蟲攻擊排行以及即時通訊的事件列表等項目。

為了便於瀏覽查閱，3D圖表是主要的呈現方式，而在稽核員的分頁裡可以看到側錄下來的對話記錄，這部份不會自動即時更新，如果想要瀏覽最近的內容得手動按一下位於頁面中間的重新載入鍵；對話內容的部份，IS-100會以日期為單位做切割，並匯出成HTML、PDF及Excel檔，格式相當多樣化，管理者可以透過電子郵件、FTP等方式自動收取彙整完成的報表，省去手動登入管理介面的麻煩。

備援模式支援Active-Active
除了最低階的IS-10，所有的InstantScan產品皆提供HA（高可用性），2.2.02版之後的韌體，管理者只要在管理介面將機器設定成同一群組就可完成HA，這部份目前只有Active-Active（AA）一種模式，Active-Standby（AS）是未來會有的功能。

設定成AA模式時，兩臺IS-100的HA埠不須以網路線對接，而這裡值得注意的是，當兩臺的LAN埠接到同一顆交換器時，此時流量會固定從第一臺，也就是主要設備通過，由於IS-100具備硬體旁路（Bypass）功能，所以當筆者關掉主要設備時，所有的流量還是會從原先的那臺出去，而在拔掉主要設備LAN埠的網路線，形成真正的斷路後，才會開始由備援設備接手；但如果是兩臺的LAN埠各自接到不同的交換器，在管理介面上就可以看到兩臺IS-100同時有流量通過，也就是各自地運作，方能形成真正的Active-Active。文⊙楊啟倫