采用虛擬設備來部署網(wǎng)頁安全閘道的好處，是保留了傳統(tǒng)實體設備的所有功能，又能運用虛擬化平臺的優(yōu)勢——加速部署，同時使用多臺網(wǎng)頁安全閘道變得更加容易。

　　說到許多人最害怕的事情之一，莫過于會把檔案加密的勒索軟體。使用者很可能在收到來路不明的電子郵件，點選裡面的連結(jié)之后，便啟動了這類惡意攻擊，或是被帶到具有這類軟體的惡意網(wǎng)站，過一段時間之后，就發(fā)現(xiàn)電腦里面的檔案遭到加密了。

　　即使有些使用者具有比較良好的資安意識，知道避免點選電子郵件里的這類連結(jié)，也很有可能在上網(wǎng)的時候，遭受到類似的攻擊。如果企業(yè)只倚賴端點電腦的防毒軟體，由于大多數(shù)的惡意程式解析都在使用者這端，相當耗費個人電腦的運算效能，甚至可能會影響到使用者的生產(chǎn)力。

　　而若是透過網(wǎng)頁安全閘道提供多一道防護，事先阻擋可能有問題的網(wǎng)址、惡意攻擊行為，對于提升企業(yè)的安全性幫助相當大。雖然UTM也有網(wǎng)頁安全防護功能，但實際上要做好使用者上網(wǎng)的把關，對于設備的負擔相當大，因此採用專屬的網(wǎng)頁安全閘道設備有其必要性，在考量人力與金錢等成本，又不想要在機房多擺放一臺機器，採用云端服務或是虛擬版本的網(wǎng)頁安全閘道，就能符合這樣的需求。

　　能簡易符合資料保護法規(guī)要求

　　在企業(yè)中，具有敏感性的隱私資料，必須因應特定的法律規(guī)範要求，以McAfee Web Gateway為例，就提供這種快速設定的政策選項，管理人員只要依據(jù)公司需要遵循的法規(guī)，勾選套用有關選項即可。

　　采用虛擬版本部署，可享有快速建置并保有硬體擴充的彈性

　　以往網(wǎng)頁安全閘道產(chǎn)品，大多都以硬體設備型式，或是將網(wǎng)頁安全閘道軟體安裝在企業(yè)自備的伺服器中。但無論是採用硬體設備還是軟體部署，都擺脫不了事先必須評估，需要配置那種等級的硬體效能，才能負荷所有使用者上網(wǎng)的流量掃描?會不會選擇太高階的硬體設備，而造成采購上負擔?

　　而隨著虛擬化技術的成熟，這些廠商陸續(xù)推出針對虛擬化設計的版本和云端服務，我們之前在一月份的時候就介紹了云端服務版的網(wǎng)頁安全閘道，卻也發(fā)現(xiàn)這類產(chǎn)品，大多雖然能夠線上申請就立即開通，但是功能上比起企業(yè)內(nèi)部建置的硬體設備或是軟體來說，就較為精簡，例如同樣是基于Forcepoint的產(chǎn)品技術，AP-WEB Cloud的資料防護措施上，只提供監(jiān)控的功能，而不像在企業(yè)內(nèi)建置的AP-WEB能夠選用功能較為豐富的AP-DATA模組，針對指定國家與需要遵循的法規(guī)，提供相關的阻擋功能。

　　而同樣的情況，也在McAfee的云端服務SaaS Web Protection中出現(xiàn)，它所提供的網(wǎng)路狀態(tài)資訊就不像在企業(yè)內(nèi)部署的McAfee Web Gateway(MWG)那么豐富，也不像MWG擁有進階設定模式，可以設定政策的內(nèi)容執(zhí)行順序。此外，政策設定只能由MWG套用到云端服務，而無法反向同步。

　　不過，也有兩種版本的功能各有特點的做法，像Sophos推出的云端服務Cloud Web Gateway，就整合企業(yè)內(nèi)部架設的Web Appliance所沒有的Sophos實驗室網(wǎng)路安全情報，但企業(yè)內(nèi)部架設的版本則能在儀表板中，隨時得知當下的網(wǎng)路負載情形。

　　因此，采用虛擬版本的網(wǎng)頁安全閘道，就能在功能毋須精簡，保有與硬體設備和軟體建置相同的防護能力之下，具備接近像云端服務能夠快速導入或是建置的特性。

　　管理介面采用的網(wǎng)頁技術應趕上時代潮流

　　在我們這次測試的產(chǎn)品裡面，基本上只要在網(wǎng)頁安全閘道中，設定好IP位址等初始設定之后，接下來只要透過瀏覽器連線到管理主控臺，就能進行相關的管理。但這次也有像MWG，管理者電腦必須安裝JRE(Java Runtime Environment)軟體，才能執(zhí)行管理主控臺。

　　以往採用JRE的應用程式，或是由瀏覽器搭配Java外掛程式，可以提供較為豐富的操作介面，并且能夠提供跨平臺的一致性操作體驗。然而現(xiàn)在，我們不時聽聞這個軟體的安全性漏洞，甚至主流瀏覽器已經(jīng)開始封殺這樣的技術：像Google Chrome完全停止支援，而Firefox則是預設不會啟用外掛功能，在這種態(tài)勢之下，Java從改善操作介面互動性的推手，變成人人喊打的過街老鼠。

　　這種情形普遍出現(xiàn)在各類系統(tǒng)的管理介面上，但網(wǎng)頁安全閘道的賣點，偏偏就是防護企業(yè)的上網(wǎng)安全，當年為了改善管理者的使用體驗，廠商采用了這樣的技術，很難想到現(xiàn)在會演變成讓買家覺得產(chǎn)品落伍的象征。

　　但這也不代表廠商沒有應用較新技術框架，像趨勢的IWSVA停留在靜態(tài)網(wǎng)頁技術就是好事。尤其現(xiàn)在使用者都操作過各式各樣的動態(tài)圖表，甚至是我們之前介紹過、可申請馬上使用的云端服務版本，普遍來說，它們的主控臺介面設計質(zhì)感，都比企業(yè)內(nèi)部建置版本要來得好，也幾乎不需要額外外掛程式。

　　我們并非認為管理介面一定要相當?shù)娜A麗、酷炫，只是在網(wǎng)頁趨勢已經(jīng)大幅轉(zhuǎn)變的情況下，廠商也應該適時跟上這股潮流。

　　各家部署虛擬設備的作法并未統(tǒng)一

　　每一家廠商對于網(wǎng)頁安全閘道虛擬化的定義可能有所不同，對于導入的IT人員來說，可能最希望取得的，是在虛擬化平臺能夠直接導入的OVF或是VHD等虛擬機器檔案，而這是其他提供虛擬化的網(wǎng)路設備產(chǎn)品中，已經(jīng)相當普遍的部署型式。

　　我們這次的產(chǎn)品測試，主要希望以虛擬設備來建置網(wǎng)頁安全閘道，不過，McAfee Web Gateway仍以安裝光碟提供。

　　雖然這種部署方式，對我們而言，與能夠直接導入的虛擬機器期待有所落差，不過以實際建置的過程來說，由于採用廠商自行修改的Linux作業(yè)系統(tǒng)為基礎，安裝的過程需要的額外設定并不多，因此，不論是使用ISO映像檔安裝，或是直接導入虛擬機器檔案，在網(wǎng)頁安全閘道上都需要完成基本的網(wǎng)路設定，之后再透過瀏覽器連線到管理主控臺，執(zhí)行相關的政策管理或是狀態(tài)監(jiān)看。因此採用安裝的方式，在建置的便利性上，與直接進入采用OVF和VHD檔案的差異不大。

　　然而，我們測試時，還遇到一個混合使用的例子，像Forcepoint在產(chǎn)品設計架構(gòu)的不同，它的管理主控臺服務器必須獨立于網(wǎng)頁安全閘道之外，因此對于IT人員就必須以2臺虛擬機器建置。但麻煩的地方在于，因為管理主控臺受限于指定的Windows Server作業(yè)系統(tǒng)與資料庫環(huán)境，在建置時必須先準備1個這類作業(yè)系統(tǒng)的VM，再執(zhí)行管理軟體的安裝。而我們在實際架設測試環(huán)境時，也花費較多的時間在配置這套主控臺服務器上。

　　雖然，之后若要再建置第2臺網(wǎng)頁安全閘道時，由于不需再重新架設管理主控臺服務器，就能與運用虛擬設備的特性，快速建置。但是這樣的部署經(jīng)驗，在這套網(wǎng)頁安全閘道上，并沒有充分發(fā)揮虛擬設備部署的便利性，若是后續(xù)版本的管理主控臺也能提供快速建置的OVF或VHD檔案，對于想要部署這套產(chǎn)品的IT人員來說，將會輕松許多。

　　這也突顯了認知上的差異。廠商對于提供虛擬設備版本的網(wǎng)頁安全閘道產(chǎn)品，理

本文鏈接：http://m.51huadong.com/cloundnews/11000585.html