企業防火牆─臺華科技

臺華科技將旗下所有的軟硬體防火牆產品，架構成「區域聯防」的態勢，提供企業閘道型、主機型與個人電腦端三種層級的安全防護。WebGuard屬於閘道型網路防禦，負責企業對外部網際網路第一道過濾，ServerGuard則是安裝在內部網路或DMZ區的主機網路存取控管，PCGuard是用戶端個人電腦最後一道安全防線，預防這些數量龐大的電腦被植入後門程式，癱瘓企業內外部網路，這些由外而內的網路安全部署，目前缺乏中央控管的機制，之後將推出整體安全控管、企業內部更新與遠端部署工具。區域聯防，各司其職

區域聯防的系統內，其中ServerGuard安裝在單機伺服器上，與WebGuard相近；而PCGuard安裝在一般員工的個人電腦上，PCGuard 2003是最新的版本。區域聯防對於外部網路安全，又提出虛擬非軍事區（Virtual DMZ）的架構，主機直接以本身的ServerGuard防火牆防禦，以超越效能瓶頸；企業也可以聯合不同的主機代管或資料中心（IDC），在代管的伺服器上安裝ServerGuard，建立屬於外部網路的虛擬非軍事區。

WebGuard目前最新的版本是4.2，系統由三種類型的主機組成：硬體防火牆主機，提供3至6張網路卡的設計；設定暨監控的電腦架構在Windows環境，提供WebGuard管理工具組，搭配安全認證，在外部網路也能控管防火牆系統；日誌資料庫伺服器，硬體防火牆內建Linux 平臺的PostgreSQL資料庫，管理者也可以改用Access、SQL Server或其他支援ODBC資料存取介面的資料庫，日誌資料庫最好還是與防火牆位於同一個區域網路內，降低內外網路流量。WebGuard的警告訊息也提供SNMP Trap，只要是網路管理系統支援SNMP協定，也能夠收到WebGuard的警告事件。E320具備所有的功能；C180不支援多條WAN連線，僅提供網路設定與網路存取控管，使用者認證、網頁淨化和防毒都是選購配備；C320比C180多了VPN功能，選購配備多了負載平衡和雙機備援。

WebGuard具有封包過濾和服務代理（Application Proxy）兩項功能。WebGuard可以管制封包的來源與目的地IP位址與出入埠，使用者認證提供對談式（User Authentication）、主機式（Client Authentication）和代理式的認證（Session Authentication）。

WebGuard會比對內部網路的所有電腦，持續監控每一片網路卡的MAC address和它們被分配到的IP，檢查IP表頭上的資料和連續封包的關連性，偵測出假冒IP的封包予以攔截。WebGuard本身也提供色情網站過濾和防毒偵測的功能，色情過濾透過Anti-X的網頁淨化功能，針對淨化與非淨化網站主機位址及關鍵字比對，區分網頁內容的性質，WebGuard會定期從臺華科技建置的網頁淨化資料伺服器上，取得更新資料；防毒的功能須額外購買建置趨勢科技的Interscan Virus Wall，提供HTTP、FTP與SMTP的病毒防治。管理工具組協助彙整監控資訊

WebGuard提供網頁和Windows應用程式兩種管理介面。網頁管理介面僅能處理初階的設定工作，以及單純的備分與回存系統設定資料、升級、更改管理者密碼以及設定內部網路用戶端的IP範圍等工作，進階的設定，需要透過WebGuard管理工具組，這套軟體必須額外安裝在管理者電腦中，系統設定工具是用來訂定管制規則，狀態監控器可以顯示即時封包過濾資訊和防火牆系統狀態，監控記錄分析工具則是用作統計分析記錄檔。WebGuard產品光碟，裡面還提供Linux、Windows和Solaris版本的代理模式認證工具（Session Agent），以及用ODBC傳遞監控記錄資料給外部資料庫的資料庫代理程式（DBAgent）。文⊙李宗翰