邊界防禦第二道牆

用防毒閘道第一時間攔截病毒

為了解決防火牆和防毒軟體的不足，市場上開始出現以專屬伺服器防禦整個公司網路流量進出的防毒產品，我們稱之為閘道防毒設備，這種設備隨著廠商產品的命名，口語上也有人直接稱為「防毒牆」。

因應目前大部分病毒和蠕蟲利用網路擴散感染的特性，放置在閘道位置的防毒牆，可以在個人端防毒軟體之前增加一道關卡，先行過濾來自網際網路的各種病毒蠕蟲威脅和惡意程式入侵，一方面提升防禦縱深，一方面也減輕企業內部伺服器、網路頻寬與個人端的防毒處理負擔。已經建置防毒軟體，為什麼還需要閘道防毒？

也許你會問，已經有買了防毒產品，還需要閘道防毒設備嗎？如果從戰術的層面來看待資訊安全，「主動防禦」與「增加防禦縱深」正是最近許多資安專家、設備廠商與企業用戶都能夠認同的觀點。先前許多企業會在網路閘道建置不同品牌的雙層防火牆，以達到防禦多元化；同樣的，如果在個人端和閘道端建置相同品牌的防毒產品，由於採用相同的防毒引擎處理，雖然防禦層次增多，整體防禦效能提升有限。建置不同品牌的防毒產品，使用不同的掃描引擎，雖然會增加管理難度，卻能夠增加掃毒命中率與安全深度。

桓基科技技術諮詢部經理趙永華認為，如果能將閘道防毒當作個人端防毒的另一道守衛，同時搭配不同廠牌的防毒產品，能夠提早在入口處就攔截到病毒，而不是等到病毒深入最後一道防線，再由用戶端電腦防護，因為你永遠無法確定，每一個人是否都已經更新病毒碼。

即使所有的企業級防毒軟體都有提供集中控管的主控臺，但如果個人端的電腦數量過多，仍然不利管理，更何況，一旦企業決定採用和部署防毒產品，日後很難更換廠商和品牌，因為這需要花費數倍的時間與成本。如果，你不滿意目前使用的防毒軟體，選擇建置不同品牌的閘道防毒產品，可以省下重新部署個人端防毒的工作負擔。

管理閘道防毒時，MIS人員平時負責一部設備即可，只要即時更新病毒碼，通常可以阻擋大多數的病毒；如果是個人端防毒產品，必須確認每個使用者都已經更新到最新的病毒碼，否則還是很危險。

由於閘道防毒產品位處網路咽喉處，所以本身也具備網路設備的性質，因此，必須能夠處理企業常用的網路通訊協定（HTTP、SMTP、FTP、POP3）傳輸內容，加上現今病毒與垃圾郵件合流的趨勢，如果閘道防毒只處理檔案，卻無法辨識信件是否為垃圾信或蠕蟲的話，有些狀況是無法處理的，因此，為郵件伺服器提供防毒功能，也是閘道防毒必備的功能之一。閘道防毒－軟體 vs. 硬體

了解閘道防毒的必要性之後，我們又回到軟硬體之爭，企業該選軟體還是硬體呢？

硬體

賽門鐵克亞太區技術顧問林育民表示，對企業而言，硬體裝置可以降低管理和維護成本；對廠商而言，則能夠減少售後服務遭遇到的問題及問題排除的時間，不像軟體解決方案需要面對各種不同的作業系統、硬體設備及設定，管理維護成本較高，必須搭配合適的硬體、作業系統，還要經過安裝步驟，而且出問題時，時常搞不清楚是軟體相衝突或是硬體支援度的問題。

硬體閘道防毒裝置只要經過簡單的設定，就可以上線使用，管理和維護相當容易，加上設備由同一家廠商提供，售後服務同樣由單一廠商負責，不會發生互推責任的狀況。

翔詠國際協理李國政認為，建置軟體閘道防毒需要耗費更多的成本，包括伺服器硬體、作業系統授權及閘道病毒防護等功能，都是需要付費的，而且成本結構與責任歸屬複雜，不如直接買硬體閘道防毒設備。只是，如果企業目前無法負荷硬體閘道防毒產品的費用，應該考慮回歸到企業防毒軟體的層級，而不是在閘道處理防毒。

雖然硬體裝置能夠滿足大部分企業的需求，又是由單一廠商（經銷商和原廠）從頭到尾負責到底，概括承受產品（作業系統、硬體和應用程式）的所有問題，但要注意的是，在日常的維護上，因為硬體設備都是採取專屬系統，不見得容易維護。另外，硬體閘道也有效能瓶頸存在，以大型企業為例，網路流量可能會超過裝置所能負擔的極限，終究還是需要採購軟體解決方案。

軟體

軟體的優點在於彈性，不過在設定、管理和維護上，中小企業的MIS人員可能無力自行處理。

閘道防毒選擇軟體或硬體，和企業規模的大小也會有關。趙永華認為，大型企業的IT人員會想一併監控硬體閘道防毒設備的效能和負載狀況，將防毒系統整合到全公司的備分與回復系統，以便隨時掌握是否需要換機或升級硬體、加大儲存設備容量或記憶體等。而硬體閘道防毒產品並不能因應企業自行建構的系統備援計畫需求，假如設備不能運作，勢必無法利用公司本身的備分機制回復系統可用性，屆時只能請廠商換一部新的機器，停機時間反而會變多。

對小公司（員工人數在50人左右）來說，MIS人員可能由員工兼職，也很少制定相關的備分計畫，也許只是將伺服器的資料備分到其他個人電腦上，這種規模的企業就會傾向採用硬體解決方案，從安裝、建置、設定與維護，享有從頭包到尾的服務，有問題再透過電話聯繫廠商支援。

選購時應考量的因素

由於我們這次採購特集的定位是「硬體防毒閘道」，所以接下來我們將只會介紹硬體相關的採購指南。就讓我們進入主題，看看選購時該考量哪些因素？

效能︰採購防毒牆時，應優先考慮處理效能。代理Fortinet的逸盈科技產品行銷處經理顏嘉亨表示，由於硬體閘道防毒產品位於閘道端，如果效能不足，可能造成服務中斷，而且效能高低直接影響到價格，高效能往往也會伴隨著高價格。

李國政說，閘道防毒防護效能優劣，企業可以參考廠商提供的「SMTP郵件訊息處理量」和「HTTP處理流量」等2組效能值，我們也可從這些數值反推POP3和FTP的效能。李國政認為，如果原廠不願意公開實際效能數據，表示產品的專業度可能有問題。

除此之外，廠商應該讓企業了解設備在特定狀態、單一通訊協定，以及同時使用多種通訊協定的效能變化資訊。啟用多個通訊協定比起啟用單一通訊協定，效能會降低是正常且合理的現象，因為系統資源被瓜分掉了，表示設備確實有在處理流量，而非只是經過。有了上述的這些數字，企業就能夠評估該設備是否符合所需。

大部分閘道防毒產品都會強調防毒引擎與病毒碼資料庫，Fortinet卻不以為然，他們認為在閘道端只需攔截最新、最熱門的病毒即可，一些古董級的病毒早已絕跡，沒有加入的必要性，過多的病毒碼反而會降低效能。

預算︰以同一個品牌的產品線而言，效能高低直接影響到價格，效能越高的機種，價位也越高；整合多功能的設備與單純處理防毒的設備相比，如果只看防毒佔整體設備成本的比例，單純防毒的產品就顯得比較昂貴。

不過，McAfee和Panda都強調功用和效果「一分錢一分貨」，並且質疑多功能防毒牆的產品效益，認為這些廠商並沒有防毒引擎和技術應用上的主導權；但是，這個問題卻不適用於賽門鐵克與卡巴斯基的多功能硬體網路安全閘道，因為這兩家廠商同樣擁有自行研發的防毒引擎。

如果只是單純為了防毒牆，最後卻選擇多功能機種，可能會提高防毒牆的整體投入成本，因為企業並不需要其他的附屬功能。現在企業的網路大都已經建置防火牆，除非用戶是新建的網路區域或分公司，否則可能就造成重複投資的狀況。

穩定度與備援能力：個人端防毒軟體無法運作，只是影響個別使用者，但擺在閘道端的設備停機，可能導致公司整個網路中斷，所以應儘可能維持系統運作的穩定性。因此，採購硬體防毒設備應考慮產品的備援能力，最基本的一定要有高可用度（High Avaliability）設計，具備容錯與負載平衡機制，或提供Bypass功能。要注意的是，防毒處理負載平衡和網路設備的頻寬負載平衡不能混為一談，而且有些產品的防毒負載平衡不一定同時支援負載分享（Load Sharing），端賴企業對閘道可用性的要求程度。

防護的通訊協定：硬體閘道防毒設備通常會支援HTTP、FTP、SMTP、POP3等通訊協定的過濾，有的還能控管到IMAP4、NNTP、NetBIOS，企業可以根據本身的網路架構，與曾經發生過的資安問題，選擇適合的設備。

售後服務：選擇服務好的經銷商，甚至比選功能好的產品更重要。假如公司剛好落在無產品經銷商的三不管地帶，產品服務與支援對廠商和企業都是很大的考驗，因此選擇硬體閘道防毒設備，必須同時考量公司或分駐點能夠忍受的停機與斷線時間，最好選擇能夠就近支援的經銷商。產品常出問題，也會增加經銷商往返送修的成本，依循熟悉的設備採購通路選擇產品或詢問相關意見，會比較有保障，因為這些經銷商會希望做更長久的生意。

授權方式：我們接觸到的產品，除了賽門鐵克的Symantec Gateway Security需購買使用授權數，其他產品全部都不限制使用人數，不過，防毒引擎的授權依照慣例，一年之後要另行購買授權。為了因應這種情勢，也有廠商推出商業版防毒，並且搭配開放原始碼的防毒引擎Clam，如果企業一年後覺得不合用或無力負擔授權費，可以繼續使用Clam防護企業網路。

有了閘道防毒產品之後，也不可因此輕忽個人端防毒軟體，因為沒有一家廠商敢100%保證，裝了防毒閘道器之後，企業內部就不用安裝防毒軟體。防毒閘道器和個人端防毒軟體防禦的面向不同，兩者必須互相搭配，才能達到最好的效果。案例報導

標案引導使用，公家單位更換防毒品牌機會多

探採研究所是中油內的研究單位，單位必須處理在石油地質、地球物理、鑽採和石油化學方面的專業軟體應用，由於這些專屬用途系統的網路與一般作業用的電腦網路隔離，加上這些應用程式建置在Unix和Solaris系統上，所以中毒的機率不大；而線上作業相關的ERP、現金作業、固定資產等用來日常作業的電腦環境較容易中毒。

中國石油探採研究所資訊工程師李成榮說，過去病毒疫情還不嚴重時，個人端電腦只依靠趨勢的PC-Cillin防毒，目前都已經換成Panda防毒軟體，後續探採研究所也建置了中央控管防毒的軟體與IDS。他認為防毒軟體的使用上往往是「用一家、怨一家」，在更換不同廠商的防毒產品時，也會發生移除不乾淨、功能相衝突的狀況。

因為公家單位可以經過一年一次統購，所以有機會從用戶端到閘道防毒，全面換成Panda防毒。經過公開招標、比較相關規格，最後由Panda得標。而McAfee產品在第二年才進入標案，所以尚無緣試用。

李成榮認為Panda Gate Defender的病毒攔截率算是還不錯，需要過濾的網路通訊協定都涵蓋在內，即使啟用6種通訊協定過濾，對效能也不會有很大的影響；缺點則是設定介面沒有中文化，而且記錄檔缺乏報表功能，如果未來產品中文化之後，就比較容易由其他人員協助管理系統。

從垃圾郵件需求，亦可切入閘道防毒應用

一般企業使用防毒軟體的情形相當普遍，有些公司為了方便統一管理企業的基礎架構，會導入特定防毒品牌的所有解決方案。雖然防禦縱深的觀念開始興起，習於這種全權委託單一品牌的企業仍不為所動，不過廠商的產品線再怎麼完整也是有局限性，這時候其他防毒廠商可以找到切入點，企業用戶也有機會使用其他品牌的防毒技術。

矽統科技行政支援處資訊科技部經理彭康楨說，以往公司的整體防毒策略完全以趨勢科技的防毒為主，深入郵件伺服器、各伺服器與個人端。然而垃圾郵件困擾企業的問題日益嚴重，矽統開始尋求處理垃圾郵件的解決方案。經過試用、評估和功能驗證後，選擇了桓基的ViruSherlock。

彭康楨表示，當初選擇桓基，一方面因為產品裡面防毒核心是Sophos，不同於以往使用，更重要的是桓基是新竹當地的廠商，能夠就近支援，彈性配合要求，而產品價格也是考量的因素之一。

用了ViruSherlock後，矽統也想用桓基的Mailsherlock取代原先的郵件稽核系統，並且同時合併郵件稽核、垃圾郵件與防毒的防護機制，降低維護與管理系統的負擔。

ViruSherlock加上伺服器與個人端防毒，現在每封信件進出總共要經過4道防毒的關卡。導入桓基閘道防毒產品後，郵件伺服器的掃毒負載的確減少了，就像漏斗，先前已經過濾掉一部分，後續處理的病毒量也隨之減少。文⊙李宗翰