網威資訊-資安新聞



■ BlueCoat RA-510利用反向代理機制建構特殊的安全通道! 2006/11 利用反向代理機制建構安全通道綜觀所有產品線，可說是從基於網頁所需而開發的，從代理商伺服器到網頁過濾，整合防毒設備確保內容安全，到10月初發表了SSL VPN產品，更讓安全防禦範疇延伸至個人端。讓行動使用者能夠以便利安全的方式，取得內部網路上的資源，是企業導入SSL VPN最重要的原因。IPsec VPN可以提供加密保護，但是在使用上會遇到4種主要問題與威脅: 需要安裝VPN用戶端軟體、本機帳號權限不足、病毒與間碟軟體及資料洩漏等。因此 BlueCoat在設計RA系列時，就加入多種方式以解決上述問題。許多SSL VPN設備是採用URL rewriting 技術，讓使用者連入後端網路上的伺服器，但如果網頁應用服務禁止URL rewriting 功能，使用該技術反而會讓服務無法使用。RA 510則是使用反向代理技術，並且不是採用HTTP 協定，需是使用Socks機制，成為應用伺服器的替身，進而解決這些問題。此產品的使用方式與其他SSL VPN設備較不相同。一般的SSL VPN採閘道器方式運作，必須以In-Line方式建置，倘若對外頻寬不足或設備效能不彰，往往就會影響整體網路傳輸效能，在建置上會建議另外採用獨立的網路連線與IP網段，除了可以避免影響主要使用頻寬之外，也能夠降低安全風險。 RA 510後方具備2個網路連接埠，依據企業政策不同，可採In-Line或Off-Line建置，SSL VPN流量最大可達199Mbps，可支援100名使用者同時連線。設備的計價方式分為硬體與使用者人數等兩部分，企業可依據使用需求購買所需的使用人數授權。目前設備並無搭配SSL加解密晶片，會在下一個版本中增加，以提升SSL連線的處理速度。在實際安裝建置RA 510時，首先吸引我們的是管理畫面下方的狀態燈號列，在該工作列上顯示了反向代理、Socks代理、閘道器、上次修改政策時間、使用者名稱及權限等設備主要資訊。管理選單中有儀表板、政策、系統、記錄與維護等選項，其中最重要的是政策項目，在該選項中，可設定後方應用服務伺服器位址、高可用性、連線規則及個人端安全檢測。個人端檢查確保安全並杜絶外洩個人端安全檢測可分為主機完整性檢查與已執行應用程式等兩部分，使用者連上RA 510之後，只需要下載一個以Java 寫成的連接器 (Connector ) ，不需要額外安裝軟體。使用者不能隨意下載該Java套件，RA 510 會根據管理者所設定好的安全管控機制，檢查使用者目前所使用的電腦，通過一切規範才會允許使用者下載。管理者可規範的項目包括是否有安裝或執行非法程式、是否安裝防毒軟體以及防毒軟體的廠牌、版本、病毒碼版本等，管理者也可以自行定義必須具備或禁止的軟體，得以確保個人端安全。 RA 510的預設規範十分嚴謹，為了預防資訊外洩，各類監控鍵盤或滑鼠行為的程式，都會被認定是非法執行的程式，就連MSN Messenger之類會偵測使用者閒置狀態的即時通訊軟體，都在禁止之列。在我們的測試過程中，RA 510就會跳出警示，通知我們MSN會偵測鍵盤動作，如果不關閉就不能連接RA 510，直到關閉即時通訊軟體之後，才得以恢復下載。而當我們為了擷取螢幕畫面而開啟剪圖程式時，RA 510也馬上發出警告，通知有執行中的程式會造成資訊外洩，要求我們儘速處理，同時，所有透過RA 510連線存取的資料或軟體，該視窗畫面都變成BlueCoat的盾牌標誌，覆蓋住加密連線所得到的資料。不單是會偵測螢幕擷取軟體與熱鍵，就連PrintScreen鍵也一樣，有效確保資料不會外洩。使用與IPsec VPN 相仿 RA 510與其他SSL VPN有相當明顯的不同。其他產品會提供使用者一個入口網頁，依據管理者所定義的權限與應用服務，讓使用者僅需要點下連結就可以連接應用伺服器。但是RA 510在下載完連接器之後，連接器就會縮小至工作列中，使用類似虛擬網卡的方式，讓使用者連接各項預先設定好的應用服務。藉由這種作法，使用者不需要安裝網路延伸器 (Network Extender) 才能連接網路芳鄰，也不會因為使用者誤關入口網站就中斷SSL加密連線。假如使用者要連接應用服務，只需要點選工作列上的圖示，就能夠以選單的方式選取欲連線的應用服務，使用上相當便利。要辨識應用服務是否透過RA 510連線相當簡單，透過加密連線建立的網頁或網路芳鄰位址，都可以在視窗右上角看到加密連線的圖示，表示該視窗現在是透過RA 510連線，應用程式正受到安全保護。當連線完成要關掉連接器時，也不必擔心是否有視窗還沒關閉或連線電腦中有任何暫存檔，RA系列的連接器會在關閉時，同步關閉所有安全連線視窗，並且清除在連線過程中所有的session與cookie記錄，完全杜絶可能造成的機密外洩。功能多，安裝設定相對複雜由於RA 510的安全防護功能相當強大，在設定方面較為複雜。身分認證機制支援LDAP、RADIUS、SecurID、TACACS+、本機認證與表單認證等方式。管理者在登入畫面後的儀表板上，可以看到6種快速工作連結，可以新增各項設定，但是最終還是需要在政策項目設定連結器與登入基本規範，否則新增再多使用者帳號或服務類型都無法使用。此外，管理者也需要定義個人端規範，包含可使用的軟體、禁止使用的軟體、應安裝的防毒軟體與防火牆等，只要是不合乎這些規範，RA 510就會禁止使用者連線。因此在安裝設定之前，管理者應先通盤了解並規畫內部網路，包含所需使用的身分認證機制、可開放的應用服務以及個人端安全性，避免顧此失彼或設定錯誤，反而造成不必要的麻煩。

■ BlueCoat RA-510利用反向代理機制建構特殊的安全通道!

2006/11

利用反向代理機制建構安全通道

綜觀所有產品線，可說是從基於網頁所需而開發的，從代理商伺服器到網頁過濾，整合防毒設備確保內容安全，到10月初發表了SSL VPN產品，更讓安全防禦範疇延伸至個人端。

讓行動使用者能夠以便利安全的方式，取得內部網路上的資源，是企業導入SSL VPN最重要的原因。IPsec VPN可以提供加密保護，但是在使用上會遇到4種主要問題與威脅: 需要安裝VPN用戶端軟體、本機帳號權限不足、病毒與間碟軟體及資料洩漏等。因此 BlueCoat在設計RA系列時，就加入多種方式以解決上述問題。

許多SSL VPN設備是採用URL rewriting 技術，讓使用者連入後端網路上的伺服器，但如果網頁應用服務禁止URL rewriting 功能，使用該技術反而會讓服務無法使用。RA 510則是使用反向代理技術，並且不是採用HTTP 協定，需是使用Socks機制，成為應用伺服器的替身，進而解決這些問題。

此產品的使用方式與其他SSL VPN設備較不相同。一般的SSL VPN採閘道器方式運作，必須以In-Line方式建置，倘若對外頻寬不足或設備效能不彰，往往就會影響整體網路傳輸效能，在建置上會建議另外採用獨立的網路連線與IP網段，除了可以避免影響主要使用頻寬之外，也能夠降低安全風險。

RA 510後方具備2個網路連接埠，依據企業政策不同，可採In-Line或Off-Line建置，SSL VPN流量最大可達199Mbps，可支援100名使用者同時連線。設備的計價方式分為硬體與使用者人數等兩部分，企業可依據使用需求購買所需的使用人數授權。目前設備並無搭配SSL加解密晶片，會在下一個版本中增加，以提升SSL連線的處理速度。

在實際安裝建置RA 510時，首先吸引我們的是管理畫面下方的狀態燈號列，在該工作列上顯示了反向代理、Socks代理、閘道器、上次修改政策時間、使用者名稱及權限等設備主要資訊。管理選單中有儀表板、政策、系統、記錄與維護等選項，其中最重要的是政策項目，在該選項中，可設定後方應用服務伺服器位址、高可用性、連線規則及個人端安全檢測。

個人端檢查確保安全並杜絶外洩

個人端安全檢測可分為主機完整性檢查與已執行應用程式等兩部分，使用者連上RA 510之後，只需要下載一個以Java 寫成的連接器 (Connector ) ，不需要額外安裝軟體。使用者不能隨意下載該Java套件，RA 510 會根據管理者所設定好的安全管控機制，檢查使用者目前所使用的電腦，通過一切規範才會允許使用者下載。

管理者可規範的項目包括是否有安裝或執行非法程式、是否安裝防毒軟體以及防毒軟體的廠牌、版本、病毒碼版本等，管理者也可以自行定義必須具備或禁止的軟體，得以確保個人端安全。

RA 510的預設規範十分嚴謹，為了預防資訊外洩，各類監控鍵盤或滑鼠行為的程式，都會被認定是非法執行的程式，就連MSN Messenger之類會偵測使用者閒置狀態的即時通訊軟體，都在禁止之列。在我們的測試過程中，RA 510就會跳出警示，通知我們MSN會偵測鍵盤動作，如果不關閉就不能連接RA 510，直到關閉即時通訊軟體之後，才得以恢復下載。

而當我們為了擷取螢幕畫面而開啟剪圖程式時，RA 510也馬上發出警告，通知有執行中的程式會造成資訊外洩，要求我們儘速處理，同時，所有透過RA 510連線存取的資料或軟體，該視窗畫面都變成BlueCoat的盾牌標誌，覆蓋住加密連線所得到的資料。不單是會偵測螢幕擷取軟體與熱鍵，就連PrintScreen鍵也一樣，有效確保資料不會外洩。

使用與IPsec VPN 相仿

RA 510與其他SSL VPN有相當明顯的不同。其他產品會提供使用者一個入口網頁，依據管理者所定義的權限與應用服務，讓使用者僅需要點下連結就可以連接應用伺服器。

但是RA 510在下載完連接器之後，連接器就會縮小至工作列中，使用類似虛擬網卡的方式，讓使用者連接各項預先設定好的應用服務。藉由這種作法，使用者不需要安裝網路延伸器 (Network Extender) 才能連接網路芳鄰，也不會因為使用者誤關入口網站就中斷SSL加密連線。假如使用者要連接應用服務，只需要點選工作列上的圖示，就能夠以選單的方式選取欲連線的應用服務，使用上相當便利。

要辨識應用服務是否透過RA 510連線相當簡單，透過加密連線建立的網頁或網路芳鄰位址，都可以在視窗右上角看到加密連線的圖示，表示該視窗現在是透過RA 510連線，應用程式正受到安全保護。

當連線完成要關掉連接器時，也不必擔心是否有視窗還沒關閉或連線電腦中有任何暫存檔，RA系列的連接器會在關閉時，同步關閉所有安全連線視窗，並且清除在連線過程中所有的session與cookie記錄，完全杜絶可能造成的機密外洩。

功能多，安裝設定相對複雜

由於RA 510的安全防護功能相當強大，在設定方面較為複雜。身分認證機制支援LDAP、RADIUS、SecurID、TACACS+、本機認證與表單認證等方式。管理者在登入畫面後的儀表板上，可以看到6種快速工作連結，可以新增各項設定，但是最終還是需要在政策項目設定連結器與登入基本規範，否則新增再多使用者帳號或服務類型都無法使用。

此外，管理者也需要定義個人端規範，包含可使用的軟體、禁止使用的軟體、應安裝的防毒軟體與防火牆等，只要是不合乎這些規範，RA 510就會禁止使用者連線。

因此在安裝設定之前，管理者應先通盤了解並規畫內部網路，包含所需使用的身分認證機制、可開放的應用服務以及個人端安全性，避免顧此失彼或設定錯誤，反而造成不必要的麻煩。