采用虛擬設(shè)備來部署網(wǎng)頁安全閘道的好處，是保留了傳統(tǒng)實(shí)體設(shè)備的所有功能，又能運(yùn)用虛擬化平臺(tái)的優(yōu)勢——加速部署，同時(shí)使用多臺(tái)網(wǎng)頁安全閘道變得更加容易。

　　說到許多人最害怕的事情之一，莫過于會(huì)把檔案加密的勒索軟體。使用者很可能在收到來路不明的電子郵件，點(diǎn)選裡面的連結(jié)之后，便啟動(dòng)了這類惡意攻擊，或是被帶到具有這類軟體的惡意網(wǎng)站，過一段時(shí)間之后，就發(fā)現(xiàn)電腦里面的檔案遭到加密了。

　　即使有些使用者具有比較良好的資安意識(shí)，知道避免點(diǎn)選電子郵件里的這類連結(jié)，也很有可能在上網(wǎng)的時(shí)候，遭受到類似的攻擊。如果企業(yè)只倚賴端點(diǎn)電腦的防毒軟體，由于大多數(shù)的惡意程式解析都在使用者這端，相當(dāng)耗費(fèi)個(gè)人電腦的運(yùn)算效能，甚至可能會(huì)影響到使用者的生產(chǎn)力。

　　而若是透過網(wǎng)頁安全閘道提供多一道防護(hù)，事先阻擋可能有問題的網(wǎng)址、惡意攻擊行為，對(duì)于提升企業(yè)的安全性幫助相當(dāng)大。雖然UTM也有網(wǎng)頁安全防護(hù)功能，但實(shí)際上要做好使用者上網(wǎng)的把關(guān)，對(duì)于設(shè)備的負(fù)擔(dān)相當(dāng)大，因此採用專屬的網(wǎng)頁安全閘道設(shè)備有其必要性，在考量人力與金錢等成本，又不想要在機(jī)房多擺放一臺(tái)機(jī)器，採用云端服務(wù)或是虛擬版本的網(wǎng)頁安全閘道，就能符合這樣的需求。

　　能簡易符合資料保護(hù)法規(guī)要求

　　在企業(yè)中，具有敏感性的隱私資料，必須因應(yīng)特定的法律規(guī)範(fàn)要求，以McAfee Web Gateway為例，就提供這種快速設(shè)定的政策選項(xiàng)，管理人員只要依據(jù)公司需要遵循的法規(guī)，勾選套用有關(guān)選項(xiàng)即可。

　　采用虛擬版本部署，可享有快速建置并保有硬體擴(kuò)充的彈性

　　以往網(wǎng)頁安全閘道產(chǎn)品，大多都以硬體設(shè)備型式，或是將網(wǎng)頁安全閘道軟體安裝在企業(yè)自備的伺服器中。但無論是採用硬體設(shè)備還是軟體部署，都擺脫不了事先必須評(píng)估，需要配置那種等級(jí)的硬體效能，才能負(fù)荷所有使用者上網(wǎng)的流量掃描?會(huì)不會(huì)選擇太高階的硬體設(shè)備，而造成采購上負(fù)擔(dān)?

　　而隨著虛擬化技術(shù)的成熟，這些廠商陸續(xù)推出針對(duì)虛擬化設(shè)計(jì)的版本和云端服務(wù)，我們之前在一月份的時(shí)候就介紹了云端服務(wù)版的網(wǎng)頁安全閘道，卻也發(fā)現(xiàn)這類產(chǎn)品，大多雖然能夠線上申請就立即開通，但是功能上比起企業(yè)內(nèi)部建置的硬體設(shè)備或是軟體來說，就較為精簡，例如同樣是基于Forcepoint的產(chǎn)品技術(shù)，AP-WEB Cloud的資料防護(hù)措施上，只提供監(jiān)控的功能，而不像在企業(yè)內(nèi)建置的AP-WEB能夠選用功能較為豐富的AP-DATA模組，針對(duì)指定國家與需要遵循的法規(guī)，提供相關(guān)的阻擋功能。

　　而同樣的情況，也在McAfee的云端服務(wù)SaaS Web Protection中出現(xiàn)，它所提供的網(wǎng)路狀態(tài)資訊就不像在企業(yè)內(nèi)部署的McAfee Web Gateway(MWG)那么豐富，也不像MWG擁有進(jìn)階設(shè)定模式，可以設(shè)定政策的內(nèi)容執(zhí)行順序。此外，政策設(shè)定只能由MWG套用到云端服務(wù)，而無法反向同步。

　　不過，也有兩種版本的功能各有特點(diǎn)的做法，像Sophos推出的云端服務(wù)Cloud Web Gateway，就整合企業(yè)內(nèi)部架設(shè)的Web Appliance所沒有的Sophos實(shí)驗(yàn)室網(wǎng)路安全情報(bào)，但企業(yè)內(nèi)部架設(shè)的版本則能在儀表板中，隨時(shí)得知當(dāng)下的網(wǎng)路負(fù)載情形。

　　因此，采用虛擬版本的網(wǎng)頁安全閘道，就能在功能毋須精簡，保有與硬體設(shè)備和軟體建置相同的防護(hù)能力之下，具備接近像云端服務(wù)能夠快速導(dǎo)入或是建置的特性。

　　管理介面采用的網(wǎng)頁技術(shù)應(yīng)趕上時(shí)代潮流

　　在我們這次測試的產(chǎn)品裡面，基本上只要在網(wǎng)頁安全閘道中，設(shè)定好IP位址等初始設(shè)定之后，接下來只要透過瀏覽器連線到管理主控臺(tái)，就能進(jìn)行相關(guān)的管理。但這次也有像MWG，管理者電腦必須安裝JRE(Java Runtime Environment)軟體，才能執(zhí)行管理主控臺(tái)。

　　以往採用JRE的應(yīng)用程式，或是由瀏覽器搭配Java外掛程式，可以提供較為豐富的操作介面，并且能夠提供跨平臺(tái)的一致性操作體驗(yàn)。然而現(xiàn)在，我們不時(shí)聽聞這個(gè)軟體的安全性漏洞，甚至主流瀏覽器已經(jīng)開始封殺這樣的技術(shù)：像Google Chrome完全停止支援，而Firefox則是預(yù)設(shè)不會(huì)啟用外掛功能，在這種態(tài)勢之下，Java從改善操作介面互動(dòng)性的推手，變成人人喊打的過街老鼠。

　　這種情形普遍出現(xiàn)在各類系統(tǒng)的管理介面上，但網(wǎng)頁安全閘道的賣點(diǎn)，偏偏就是防護(hù)企業(yè)的上網(wǎng)安全，當(dāng)年為了改善管理者的使用體驗(yàn)，廠商采用了這樣的技術(shù)，很難想到現(xiàn)在會(huì)演變成讓買家覺得產(chǎn)品落伍的象征。

　　但這也不代表廠商沒有應(yīng)用較新技術(shù)框架，像趨勢的IWSVA停留在靜態(tài)網(wǎng)頁技術(shù)就是好事。尤其現(xiàn)在使用者都操作過各式各樣的動(dòng)態(tài)圖表，甚至是我們之前介紹過、可申請馬上使用的云端服務(wù)版本，普遍來說，它們的主控臺(tái)介面設(shè)計(jì)質(zhì)感，都比企業(yè)內(nèi)部建置版本要來得好，也幾乎不需要額外外掛程式。

　　我們并非認(rèn)為管理介面一定要相當(dāng)?shù)娜A麗、酷炫，只是在網(wǎng)頁趨勢已經(jīng)大幅轉(zhuǎn)變的情況下，廠商也應(yīng)該適時(shí)跟上這股潮流。

　　各家部署虛擬設(shè)備的作法并未統(tǒng)一

　　每一家廠商對(duì)于網(wǎng)頁安全閘道虛擬化的定義可能有所不同，對(duì)于導(dǎo)入的IT人員來說，可能最希望取得的，是在虛擬化平臺(tái)能夠直接導(dǎo)入的OVF或是VHD等虛擬機(jī)器檔案，而這是其他提供虛擬化的網(wǎng)路設(shè)備產(chǎn)品中，已經(jīng)相當(dāng)普遍的部署型式。

　　我們這次的產(chǎn)品測試，主要希望以虛擬設(shè)備來建置網(wǎng)頁安全閘道，不過，McAfee Web Gateway仍以安裝光碟提供。

　　雖然這種部署方式，對(duì)我們而言，與能夠直接導(dǎo)入的虛擬機(jī)器期待有所落差，不過以實(shí)際建置的過程來說，由于採用廠商自行修改的Linux作業(yè)系統(tǒng)為基礎(chǔ)，安裝的過程需要的額外設(shè)定并不多，因此，不論是使用ISO映像檔安裝，或是直接導(dǎo)入虛擬機(jī)器檔案，在網(wǎng)頁安全閘道上都需要完成基本的網(wǎng)路設(shè)定，之后再透過瀏覽器連線到管理主控臺(tái)，執(zhí)行相關(guān)的政策管理或是狀態(tài)監(jiān)看。因此採用安裝的方式，在建置的便利性上，與直接進(jìn)入采用OVF和VHD檔案的差異不大。

　　然而，我們測試時(shí)，還遇到一個(gè)混合使用的例子，像Forcepoint在產(chǎn)品設(shè)計(jì)架構(gòu)的不同，它的管理主控臺(tái)服務(wù)器必須獨(dú)立于網(wǎng)頁安全閘道之外，因此對(duì)于IT人員就必須以2臺(tái)虛擬機(jī)器建置。但麻煩的地方在于，因?yàn)楣芾碇骺嘏_(tái)受限于指定的Windows Server作業(yè)系統(tǒng)與資料庫環(huán)境，在建置時(shí)必須先準(zhǔn)備1個(gè)這類作業(yè)系統(tǒng)的VM，再執(zhí)行管理軟體的安裝。而我們在實(shí)際架設(shè)測試環(huán)境時(shí)，也花費(fèi)較多的時(shí)間在配置這套主控臺(tái)服務(wù)器上。

　　雖然，之后若要再建置第2臺(tái)網(wǎng)頁安全閘道時(shí)，由于不需再重新架設(shè)管理主控臺(tái)服務(wù)器，就能與運(yùn)用虛擬設(shè)備的特性，快速建置。但是這樣的部署經(jīng)驗(yàn)，在這套網(wǎng)頁安全閘道上，并沒有充分發(fā)揮虛擬設(shè)備部署的便利性，若是后續(xù)版本的管理主控臺(tái)也能提供快速建置的OVF或VHD檔案，對(duì)于想要部署這套產(chǎn)品的IT人員來說，將會(huì)輕松許多。

　　這也突顯了認(rèn)知上的差異。廠商對(duì)于提供虛擬設(shè)備版本的網(wǎng)頁安全閘道產(chǎn)品，理

本文鏈接：http://m.51huadong.com/cloundnews/11000585.html