很多企业都会利用防火墙限制员工可联机的网站，但其实现在已经有很多可以自动和代理服务器联机的软件，只要安装就能轻易穿透企业防火墙的控管，使得防火墙等于形同虚设。这除了造成企业数据外泄的风险，实际上许多代理服务器本身就是恶意程序的来源。企业必须建立起一套管理的制度，要管到多严？目的是为了什么？这些都是必须在搭配各种配套的工具时，事先想好的重点。 在有了这样前提的体认之后，我们就介绍怎么利用上述不同的工具，达到防堵此类代理软件的效果。

　　方法1： 网络存取控制(NAC)

　　目前有许多厂商都已推出NAC(Network Access Control)机制，事实上，NAC并不能算是单一的产品，而是企业内整体网络架构协防的机制，透过不同的软件与交换器等硬设备的互相沟通，NAC机制能让企业掌握终端计算机(End Point)连上网络的权限，且为了确保终端计算机的健康，多数NAC方案都能检查诸如防毒软件更新、操作系统更新等终端计算机的健康状态。

　　多数的NAC方案都能支持终端计算机健康状态检测的功能，并且能够依照企业的规范，以一台完全符合规定的计算机做为模范，强制要求企业内其它的计算机符合其规定的需求，否则将无法与内网连结。而此一功能就能够防止企业内部的使用者，安装类似自由门、无界等代理软件，进而以不明的代理服务器为跳板，达到绕过防火墙规范的目的。

　　此外，由于NAC方案一般来说都有能力辨识使用者的身分，且能够依据终端计算机的健康状况与使用者的身分，依照事先设定好的政策，决定该台终端计算机能否连上企业内网，并且能自动判断使用者的权限，能够有效的替企业内不同使用者设立不同的政策，达到分类管理的效果。

　　Juniper(瞻博)先进科技资深技术经理林佶骏认为，如果要更有效果，NAC机制可以进一步整合符合802.1x规范的交换器，终端计算机的NAC终端软件(Agent)，一侦测到有异，或是为了规避检查而没有安装NAC终端软件，使用者将会直接从交换器端被阻断联机，这代表要在企业内部使用网络，就必定要安装NAC终端软件，并且符合健康的模板。这样一来，使用者如果想透过代理软件打穿企业的防火墙，将会立刻被阻断网络联机。微软全球技术支持中心项目经理林宏嘉也有类似看法，他认为采用微软的NAC机制NAP，在这类问题上，能有一定效果。

　　虽然NAC是一个解决使用者利用软件由内部打穿防火墙的方法，但是NAC机制需要牵扯的网络架构与终端软件数量庞大，实际在企业的网络环境上部署时，会有太多不同的困难必须克服。原有环境的包袱，往往会让企业实际在导入NAC时，难以完全贯彻。举例来说，上述的防范方法，企业的信息人员首先要面对的难题就是怎么在数量庞大的终端计算机上安装NAC的终端软件，如果选择不安装终端软件的方案，可能又无法达到前述的检查效果。此外，如果想要做到更好，企业内部网络的交换器是不是全都支持802.1x，也会成为一个问题，因为这将会牵涉内部网络硬件的大规模变更。

　　方法2： 利用网关器设备过滤

　　从网关器下手，也是避免员工利用软件规避由内穿透企业防火墙的方法之一，但是此类方法由于并没有直接控管到企业内部使用者的终端计算机，控管上还是无法非常有效，仅能减轻一定程度的风险。 但是相对来说，使用网关器的设备过滤的方法，对于企业使用者的影响最小，成本也较低。

　　IPS就是此类设备的选择之一，其实部分IPS已有防范代理软件的能力，但因为代理软件种类众多，版本更新迅速，IPS的特征判断往往只能针对旧版本的代理软件有效果，使用者要是使用更新版本，IPS通常就无法发现，进而阻断。

　　还有一类网关器设备是员工上网行为管理设备(Employee Internet Management，EIM)，此类设备也能减轻一定程度的风险，也是比较多人目前有在使用的做法。达友科技信息安全顾问林皇兴表示，目前台湾约半数的金融业都装有Websense的EIM设备。以下就将以较多人使用的Websense为例，剖析此类产品防堵员工由内穿透防火墙的能力。

　　林皇兴指出，目前Websense的产品能够侦测出包括Hopster、GhostSurf、Tor、Google Web Accelerator、RealTunnel、JAP、Toonel、Your Freedom、SocksOnline、通通通等10种不同的代理软件，防止企业内部员工透过此类代理软件连结到代理服务器，然后以之为跳板，规避企业的管理规范。

　　其侦测的做法是透过封包特征，当使用者使用上述的软件时，Websense的产品能够透过分析交换器或网关器设备镜射(Mirror)的流量，判断出封包的特征，进而与已知的特征比对，如果发现是上述的代理软件，就会自动将其联机阻断。

　　至于那些没有办法透过特征发现的代理服务器联机，林皇兴表示，可以透过Websense的EIM设备的“继续”模式达到阻挡的效果。该模式是指 Websense的EIM设备除了支持阻断与开放外，还支持一种介于两者之间的“继续”功能，对于无法分类或是企业设定规则的联机类别，会自动在浏览器页面跳出一个继续的按钮，使用者必须按下继续的按钮，才能浏览网页。而当内部使用者透过代理软件试图与代理服务器连接时，由于代理软件虽然伪装成HTTP联机，但是在与代理服务器进行连结时，本身并不会开启浏览器页面，自然也不会自动按下页面中的继续按钮，如此一来便无法与代理服务器建立连结，使用者也就无法以代理服务器为跳板，穿透防火墙，规避公司管理。

　　不过，正如前面谈到，此种以网关器过滤的方法，都有一个共通的不足之处，那就是这些网关器设备都必须透过特征来判断连结的流量是否有异，但是偏偏自由门、Tor等代理软件，种类过多，又更新快速，这使得网关器产品在防堵内部员工使用此类软件穿透防火墙时，总是有未逮之处，例如如果封包内容加密，或是新版本的代理软件出现，都很有可能无法侦测出。

　　而EIM产品虽然能够控管员工的上网行为，设立政策分类管理，并且有效的阻断联机，但当员工使用代理软件试图穿透其防范时，此类产品也会有特征更新的问题。举例来说，如果使用自由门，现在的Websense EIM设备可能就无法侦测出。此外，上述提到的继续模式，虽然能够阻挡代理软件联机，但这必须在企业联机政策涵盖范围很广的状况下，才有用。如果企业为了减少对使用者上网的冲击，而没有对所有人都采用继续模式的政策，那么防堵的效果还是有限。不过类似此种EIM产品还是可以留下容易调阅联机的记录，如果搭配企业内部自己架设的代理服务器，还能针对内容做过滤与检查，让信息人员在真正发生资安事件时仍有证据与记录可以提出。

　　整体来说，使用此类产品来防范员工穿透防火墙，还是有一定的减轻效果，但无法像从终端着手来得全面，不过也由于设备建置在网络端，对于使用者的影响较小，受到的反弹较低。