硬體閘道防毒設備採購特輯─如何部署與測試硬體防毒閘道器

為了簡化安裝複雜度，因此硬體閘道防毒設備因應而生，部署起來很容易

由於硬體防毒閘道經過套裝化和標準化，因此在安裝上能夠符合大多數企業的網路環境需求。透通橋接模式（Transparent Bridge Mode）是一般企業網路環境最常使用的設備安裝方式，企業本身不需要更動網路架構，只要配置給設備一個IP位址，就可以上線了。

許多廠商會建議企業在測試時，直接將設備放置在網路閘道上實際使用，這樣可以真實呈現閘道控管與病毒攔截的效果。這樣的舉動有其風險性，所以一般企業大都僅止於測試功能是否符合需求、效能是否足夠；不過，大專院校則會直接要求上線測試，以便檢視效能與產品可靠度，這也算是另類壓力測試。也有廠商認為直接將設備放到閘道，能夠協助企業了解目前的病毒狀態。

規畫

首先，企業要先了解「本身需求」與「設備建置目標」，評估硬體閘道防毒能為企業帶來哪些益處。如果希望提升整體防毒能力，建議選擇與桌面防毒軟體不同品牌的防毒產品；但如果希望加強集中控管能力，還是可以選擇同品牌的閘道防毒設備。

其次，則要考慮企業的「網路體質」。閘道防毒設備建置後，MIS應考慮設備加入後對既有網路頻寬與架構的衝擊。

最後是「未來擴充性」，因為未來的網路流量一定會成長、增大，但是硬體閘道的承受能力有限，最好先評估何時會發生這類問題，是否需要更高階的設備，以免造成重覆投資，不過，我們也不建議一開始就選擇很高階的機種，畢竟ROI也是一大關鍵。

另外，穩定性和可靠度也是很重要的，是否需要高可用性、Bypass和系統容錯等功能，都是應該考慮的因素。建置

閘道型防毒設備可以放置在網際網路出入口、伺服器群前、單一功能的伺服器前或部門間的區段。通常企業會選擇放置在網際網路出入口，大型企業會將防毒閘道建置在部門或分公司之間；有些無法安裝防毒軟體，或是無法進行更新的伺服器環境，也有可能直接建置防火牆或防毒牆。

決定位置後，企業要注意效能的影響程度。企業可以依據整體網路頻寬或透過MRTG分析網路流量，再參考連網的電腦數量（包含機房的伺服器），測出平均流量與高峰值。初步分析網路流量之後，由於閘道防毒往往會針對使用率頻繁的標準服務過濾，如HTTP和SMTP，因此也要評估各種服務佔用網路流量的狀態，以便決定該採用何種特定型號的設備。舉例來說，只掃描單一通訊協定的流量，也許選購中型產品即可，如要同時掃描多種通訊協定的流量，可能要選購更高階產品。

評估防毒設備廠商時，企業最好能夠根據本身用戶曾經大量感染過的病毒來考量，歸納出希望解決的部分，如果特別想針對網路型病毒防治，最好能夠結合入侵偵測系統一起使用。雖然新形態的病毒手法難以預料，李淳熙認為，舊病毒重複感染企業電腦的情況仍在持續發生，即使部署了防毒軟體，無法落實資安政策仍是企業的痛，既然要建置閘道防毒，理應考慮重複感染的問題。安裝

硬體防毒閘道訴求安裝簡易與管理方便，因此有不少設備提供安裝精靈的導引式網頁，例如McAfee Webshield提供8個步驟，CP Secure CSG系列更只需要5個安裝步驟。以設定難易度來說，單純防毒的硬體閘道產品比較簡單，設定一目了然，多功能整合式閘道設備，雖然可以利用政策的方式定義特定網路區域的內容過濾規則，還是比較複雜。

設備支援的建置模式也會影響到安裝速度。能夠選擇的方式不超出路由模式、橋接模式和Proxy等模式，建議企業選擇影響網路架構最少的方式。測試

為了維持網路暢通，企業最好先建置模擬環境，測試網路連線是否正常，電子郵件是否能夠正常進出，以及設備能否偵測病毒郵件。值得注意的是，能夠偵測得出病毒信，不代表能夠解毒，然後也要針對設備進行流量壓力測試。

由於模擬環境和企業真實環境仍有差異，所以企業最好事先規畫標準的上線流程，例如防火牆、DNS等設備的備分與還原、災難復原的時間點，即使上線失敗，還是能回復到原先的環境，不會影響到隔天的工作。

硬體閘道防毒的效能測試，在臺灣目前並沒有一套讓各個廠商心服口服的機制，在功能測試方面，國外有些網站提供的免費服務，倒是可以讓企業MIS安全又快速的驗證硬體防毒閘道是否發揮作用。有需要的使用者可瀏覽EICAR（www.eicar.org）、DeClude（www.declude.com）及GFI Email Security Testing Zone（www.gfi.com/emailsecuritytest）等測試機構。文⊙李宗翰降低郵件伺服器負擔，解決使用者病毒信困擾

現在的病毒信經常集中火力寄給同一個對象，即使個人端安裝了防毒軟體，病毒信還是必須要逐封確認與刪除，造成使用者許多困擾。站在使用者的立場，如果有一種設備，能夠在網路閘道口就把「病毒信」問題給解決掉，相信會令他們比較舒服。透過多層次的處理，防毒閘道器可以減少使用者一次收取數百封病毒信的因擾，不過目前這種設備的單價較高，一般人仍傾向在個人端安裝防毒軟體。

國立清華大學計算機與通訊中心網路系統組副組長賴守全表示，其實想了解這樣的解決方案是否能夠正常運作，就像之前建置的防火牆雖然有優點，但也還是有不足之處。

病毒信的發作有季節性，也許平時郵件伺服器可以承載，若是遭受病毒攻擊，可能造成內部網路數倍的流量連結。以清華大學為例，每天大約有10幾萬封的電子郵件，曾遭遇過每天100~200萬封郵件的攻擊，賴守全希望防毒閘道器可以解決，同時也等待下一波攻擊的驗證。不過，即使已經建置防毒閘道器，仍然無法阻止隨身碟的攜出入與檔案交換，這些過程都有可能會造成病毒的傳染，所以必須搭配個人端的防毒解決方案。

清華大學的網路是屬於Class B，大約有1萬部電腦供師生使用。雖然使用免費的Clam AntiVirus也能拼湊出一臺防毒閘道器，由於每位資訊人員都身兼數項工作，因此計算機與通訊中心希望利用設備簡化問題，讓MIS有餘力處理其他問題。

清華採購的多功能整合型設備，建置在郵件伺服器之前，而非位於整個校園網路的閘道口，他們開啟全部的功能，除了防毒，也包括防火牆、IPS、防垃圾郵件等。

賴守全表示，在選購時，最擔心的問題是「效能」。依據先前採購防火牆的經驗，產品效能通常不如規格所述，所以大概都會推估3~10倍的容量，也就是說，採購開出的規格與實際使用的規格有一段差異，經過計算機與通訊中心人員測試沒問題後，再慢慢導入其他類型的流量。

透通模式是另一個考量因素。由於資訊人員可能將機器移到不同的網段測試不同功能，有了透通模式能夠不影響到其他網路設定，降低管理人員的負擔。功能方面，賴守全希望產品提供直接刪除病毒信或病毒檔案，不必再經過一連串的傳送，甚至回覆給寄件者。

為了驗證防毒牆的防護率，計算機與通訊中心也將請全校師生將閘道漏掉的病毒信轉寄回來，藉以驗證個人端和閘道端的防毒系統防護。

企業可以明定安全政策，但學校的電算中心以服務師生為原則，屬於開放式網路，除非有特殊理由，否則不會刻意阻擋，甚至有些教師會研究資訊安全，如果濾除這些訊息，就無法觀測到這些行為。未來，清華預計將學校網路區分成行政網路、教學研究網路及宿網，就讓我們拭目以待吧！文⊙陳世煌