国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

　　Webwasher如何通過(guò)掃描器，防止惡意軟件利用HTTPS通信。它還可以防止用戶通過(guò)流行的CGI代理繞過(guò)傳統(tǒng)的Web內(nèi)容過(guò)濾器。這對(duì)于阻止敏感數(shù)據(jù)離開(kāi)公司網(wǎng)絡(luò)是很重要的。除了其SSL掃描器，Webwasher還提供了其它幾個(gè)模塊，如URL過(guò)濾、反惡意軟件、傳統(tǒng)的反、反、內(nèi)容報(bào)告器、IM過(guò)濾器等，你可以根據(jù)需要選擇。

　　我們將討論惡意軟件(和用戶)如何利用SSL繞過(guò)你的其它控制，以及Webwasher如何解決這個(gè)問(wèn)題。

　　公司存在著哪些SSL問(wèn)題?

　　Web加密對(duì)于今天的來(lái)講是非常重要的，不過(guò)對(duì)于上開(kāi)放著端口443(HTTPS通道)的企業(yè)來(lái)說(shuō)，在其網(wǎng)絡(luò)中存在著一個(gè)嚴(yán)重的安全漏洞。傳統(tǒng)的防火墻和反病毒并不能掃描加密的通信，因此也就不能控制哪些內(nèi)容通過(guò)HTTPS進(jìn)入和流出企業(yè)網(wǎng)絡(luò)。這向企業(yè)提出了一種風(fēng)險(xiǎn)，企業(yè)可能并沒(méi)有認(rèn)識(shí)到，它們不能依靠其HTTP過(guò)濾器來(lái)保護(hù)HTTPS的加密通信。

　　風(fēng)險(xiǎn)還存在于規(guī)章制度的一致性上。如果一個(gè)組織允許開(kāi)放SSL通道(它包含規(guī)章制度極力控制的機(jī)密信息)，它還能保持一致性嗎?此外，們和惡意的雇員等都知道通過(guò)HTTPS通道進(jìn)行的通信完全開(kāi)放并未加保護(hù)，因此他們就會(huì)繼續(xù)利用HTTPS協(xié)議來(lái)繞過(guò)內(nèi)容過(guò)濾機(jī)制，用以傳播潛在的惡意內(nèi)容。

　　如今，有很多URL過(guò)濾避繞代理可以利用HTTPS連接。當(dāng)前，沒(méi)有一個(gè)已確定的防火墻或Web網(wǎng)關(guān)反病毒解決方案能夠進(jìn)入其中查看這種通信。此外，我們看到一些流行的廣告軟件和間諜軟件從IRC和HTTP轉(zhuǎn)換到了HTTPS協(xié)議，其目的是避開(kāi)已確立的網(wǎng)關(guān)過(guò)濾器。

　　Webwasher如何解決這個(gè)問(wèn)題

　　我們認(rèn)為唯一可行的方案是臨時(shí)對(duì)SSL通信解密，掃描，然后再重新加密。

　　這種方法與現(xiàn)在流行的代理防火墻的做法不同。后者僅是解密(換句話說(shuō)，即“終止”)，運(yùn)用病毒掃描，然后轉(zhuǎn)發(fā)到終端用戶或Web應(yīng)用程序。這種安全措施不能用于今天的Web環(huán)境，因?yàn)樗鼤?huì)使端到端的加密需求無(wú)效，并會(huì)使產(chǎn)生混亂。

　　SSL安全代理，如Webwasher就如同一個(gè)“黑盒子”一樣動(dòng)作。SSL的加密通信進(jìn)入，然后SSL的加密通信流出。任何人都不能加密的部分或在網(wǎng)絡(luò)上嗅探它，這完全是在內(nèi)存中處理的?，F(xiàn)在有幾個(gè)方案能夠在一個(gè)單獨(dú)的機(jī)器上提供SSL解密，將解密的通信轉(zhuǎn)發(fā)到一個(gè)掃描器，掃描器將此通信返回到SSL方案，SSL方案對(duì)其重新加密。此外，典型情況下，你需要調(diào)整策略，例如，允許上層管理人員執(zhí)行在線業(yè)務(wù)而無(wú)需掃描，但要對(duì)其他任何人的通信都要掃描。在多數(shù)情況下，這會(huì)要求雙倍的管理成本，不過(guò)用Webwasher實(shí)現(xiàn)則輕松得多。

　　Webwasher SSL掃描器如何精確地工作?

　　基本說(shuō)來(lái)，我們要做的是要將瀏覽器與服務(wù)器之間的一個(gè)SSL連接分為兩個(gè)獨(dú)立的SSL連接。對(duì)于瀏覽器連接到加密的Web站點(diǎn)的請(qǐng)求，Webwasher SSL掃描器實(shí)際上為瀏覽器執(zhí)行此操作。這樣的一個(gè)好處是具備了執(zhí)行SSL證書(shū)檢查的能力，而不是將它留給終端用戶。我們都清楚這種彈出窗口,它問(wèn)我們說(shuō)，我們啟動(dòng)了一個(gè)與加密Web站點(diǎn)的會(huì)話，你是否想接受證書(shū)?我們看到，許多情況下，90%的或更多的終端用戶只是單擊“接受”，并不關(guān)心證書(shū)的合法性，是否自簽名，是否到期等。一旦Webwasher確認(rèn)了證書(shū)的合法性，我們就啟動(dòng)了一個(gè)SSL會(huì)話，然后終止之。

　　對(duì)于來(lái)說(shuō)，Webwasher充當(dāng)著一個(gè)正常的瀏覽器。這樣我們擁有了加密的通信，而且能夠運(yùn)用內(nèi)容安全、反病毒、反惡意軟件和轉(zhuǎn)出的內(nèi)容過(guò)濾器等機(jī)制。記住，所有的這一切者都是在同樣的機(jī)器上和內(nèi)存中進(jìn)行的，因此這里并不存在什么私密問(wèn)題。一旦我們搞定了過(guò)濾問(wèn)題，我們就充當(dāng)了真實(shí)終端用戶的一個(gè)Web服務(wù)器。Webwasher用客戶公司證書(shū)或一個(gè)擁有Web服務(wù)器名字的自簽名證書(shū)重新加密通信。如果你連接到了自己的服務(wù)器賬戶上，授權(quán)證書(shū)還會(huì)描述其它內(nèi)容?？蛻粜枰龅氖钦故酒渥陨淼恼阶C書(shū)或自簽名證書(shū)，終端用戶將不會(huì)再收到授權(quán)證書(shū)的消息彈出窗口。

　　IT部門(mén)需要維持證書(shū)的優(yōu)良者名單嗎?用戶們是否會(huì)抱怨?

　　我們能夠使管理成本接近于零。Webwasher部件或軟件在日常的活動(dòng)基礎(chǔ)上檢查已撤消的證書(shū)，因此你總能保持最新。Webwasher還采用了一種培訓(xùn)模式。因此，用戶可以啟動(dòng)Webwasher SSL的掃描器，基本上它會(huì)接受提供的所有證書(shū)，并加以。在培訓(xùn)結(jié)束之后，管理人員就可以進(jìn)入并查看有請(qǐng)求了哪些證書(shū)，并放棄那些不正常的證書(shū)。Webwasher提供了一套工具，借此管理人員并不需要成為一個(gè)事件專家。一旦這個(gè)培訓(xùn)階段結(jié)束，管理成本就微乎其微了。

　　Webwasher如何防止用戶利用SSL代理服務(wù)器避開(kāi)Web內(nèi)容過(guò)濾器?

　　如前所述，現(xiàn)在有大量的用戶上網(wǎng)沖浪是依靠SSL的加密通信的。典型情況下，URL的過(guò)濾器廠商會(huì)將應(yīng)用程序試圖連接的服務(wù)器列入黑名單，設(shè)法阻止其訪問(wèn)。不過(guò)，這是一場(chǎng)沒(méi)有結(jié)束的戰(zhàn)斗，總會(huì)有一個(gè)廠商建立一個(gè)新的服務(wù)器而你沒(méi)有對(duì)其阻止。而且還涉及到數(shù)據(jù)丟失問(wèn)題。我們可以看到典型的間諜軟件和廣告軟件從IRC和HTTP后端通道轉(zhuǎn)向了HTTPS后端通道，因?yàn)楹诳蛡円呀?jīng)斷定這個(gè)通道并沒(méi)有阻止或加以控制。這方面的兩個(gè)流行的例子即是Gator和 Cool WebSearch。

　　舉例來(lái)說(shuō)，可以對(duì)Webwasher進(jìn)行配置，只允許某些合法的信用卡號(hào)碼，以及屬于于銀行和購(gòu)物站點(diǎn)種類的已知站點(diǎn)。即使你用一個(gè)特洛伊試圖竊取PC機(jī)上的一個(gè)信用卡號(hào)碼，它也不可能將這個(gè)信息返回;更不用說(shuō)通過(guò)HTTPS進(jìn)行了。用戶還可以采用針對(duì)即時(shí)通信和點(diǎn)對(duì)點(diǎn)的方案，只是這些方案不在同一臺(tái)機(jī)器上而已。