Sophos首款網頁安全產品

網頁過濾（Web Filter）已是閘道端網路設備（如防火牆、UTM）的基本功能之一，除了禁止使用者存取不當內容的網站，也能封鎖特定副檔名的檔案自HTTP連結下載，避免病毒、木馬等惡意程式透過瀏覽器寫入個人端作業系統。

關鍵字是網頁過濾主要的比對方式，一般來說，最普遍的做法是由管理者以手動方式在Web介面下自行新增，但由於同一類型的網站不見得會使用含有相同關鍵字的網址，因此實際過濾的效果不免會出現百密一疏的缺漏，所以有廠商改以自家開發，或者第3方廠商的網址資料庫來提供這項功能，由於資料量較大（至少都在百萬筆以上），加上可以透過網路不定期線上更新，因此效果會比關鍵字過濾來得好，若非必要，通常也少有手動更改設定的機會。

以網頁過濾為主要功能的專屬設備
Sophos的WS1000（Web Security）是以網頁過濾為主要功能的安全防護設備，適合電腦數量1,000臺以下的企業環境使用，WS1000整合Sophos自家的網址資料庫（Sophos Site List）與掃毒引擎，所以在網頁過濾之外，也能同時偵測網站內容是否夾帶有惡意程式。網址資料庫五月之後還會再加入SurfControl資料庫做為選購模組。

由於是單一功能設備，因此在網頁過濾功能的設計上，自然要比防火牆、UTM等多合一產品要來得更加出色，除了具備網址資料庫之外，WS1000最特別之處在於互動式的交談介面，一旦使用者想要連接的網站遭到設備封鎖，可以點選警告畫面下方的連結，向管理者提出請求，開放該網站的瀏覽權限。

可自行設定電腦權限
有別於多數設備僅是一味限制使用者瀏覽網站的權限，對於企業網路裡頭的所有電腦，WS1000在管理上賦予三種角色：Exempt Users是指免控管的使用者，Feedback Users是指互動使用者，可線上請求管理者開放權限的使用者，最後一種則是指不在前兩者定義之內的電腦主機。

如果以垃圾郵件過濾當中的黑／白／灰名單來詮釋以上三種角色，那麼Exempt Users便是白名單，無論WS1000的設定為何，使用者都可以暢行無阻地瀏覽所有網站；Feedback Users可以看做是灰名單，如同一開始所提過的，當想要連接的網站遭到設備封鎖，使用者可以點選警告畫面下方的連結，向管理者提出請求，決定是否開放該網站的瀏覽權限；最後，不在前兩者定義之內的電腦主機，則被歸類在黑名單，只能遵循管理者在WS1000上所做的任何設定，決定那些網站可以被瀏覽。

由於所有電腦在一開始均被定義為黑名單，所以必須由管理者手動修改個人端電腦的角色，方得列入Exempt Users或Feedback Users清單，WS1000提供兩種設定方式，和AD相整合是最常用的，直接匯入AD的群組清單，在加入網域之前，我們必須注意WS1000的系統時間是否與AD一致，若系統時間相差五分鐘以上，則無法成功加入，此外，管理者在WS1000所設定第一組DNS伺服器必須為AD所在的DNS伺服器，否則也無法成功加入。除了AD之外，當然管理者也可以使用手動輸入IP的方式，將電腦手動加入到Exempt Users或Feedback Users清單。

採用多種分類方式
除了Sophos所提供的Sophos Site List資料庫之外，管理者也能在WS1000的Web介面下的Local Site List自行新增、設定網站清單，除此之外，當管理者於Search分頁下開啟授權之後，這些網頁也會列進Local Site List，成為其中的一部份。值得注意的是，一旦兩者的設定彼此互相抵觸，則設備會以管理者在Local Site List所做的設定為優先。

無論是Sophos Site List，或者是Local Site List，總之所有記錄在WS1000當中的網址均會依照下列兩種方式做分類，一是Security Filter，另一種則是Category Filter。

其中Security Filter是依據高度、中度、低度三種風險，以及信任、未定義共五種等級進行分類。而在這裡，我們同樣以黑、白、灰名單來定義上述的幾種分類，高度風險的網址是黑名單，則相對應的動作應採取永遠封鎖，中度風險與低度風險可一同看做是灰名單，其中前者可依企業需求，由管理者決定是否要全部封鎖，或者僅做病毒掃描，後者所採取的動作則是病毒掃描。受到設備所信任的網站理論上是安全無虞，且未包含任何不當內容，因此允許其連線通過。至於不在資料庫記錄內的網站，則是採取和低度風險網站相同的處理方式，也就是僅做病毒掃描，不過這部份可依照管理者需求改為中、高度風險網站的設定方式。

Category Filter則是依照網站屬性，區分為娛樂、社群、媒體、搜尋，以及可疑網站等五個類別，由於Category Filter的連線預設採無條件允許通過，與實際使用的情況不符（例如筆者以www.playboy.com測試連線，即被WS1000封鎖），所以從這裡我們可以知道兩種分類當中，WS1000會以Security Filter為主，然後才會參照Category Filter的設定做第二次過濾。

提供六種設置模式
WS1000能夠依照不同的企業網路環境，提供多達六種不同的連接方式，其中以完整模式（Proxy）、透通，以及橋接（Bridge）三種方式最為常用。值得注意的是，只有完整模式能夠同時支援HTTP以及HTTPS兩種協定的網頁過濾，至於透通和橋接模式則僅支援HTTP。

此次我們WS1000設置於iThome內部的區域網路，並依照說明書上的建議給予192.168.123.46的固定IP，以完整模式設置，而加入測試的個人端電腦，必須將瀏覽器的Proxy設定成WS1000的IP Address位址，連接埠的部份則是修改成8080。

實際測試時，來自HTTP與HTTPS的網址皆能正常辨別，比對資料庫之後，依照相對應的規則做處理。不過當筆者使用Eicar病毒測試WS1000的掃毒能力，卻發現僅有來自80埠的病毒可以正常被過濾，HTTPS的443埠則不行，關於這部份，據Sophos原廠表示，由於SSL屬於加密的連線類型，基於設備效能的考量，因此不對封包內容進行解析，故放置於443 Port連結的檔案會不經過濾，便允許使用者直接下載。

報表具備兩種呈現方式
WS1000的報表功能與PostgreSQL相整合，提供兩種不同樣式的報表，一是儀表板（Dashboard），登入Web介面之後即可看到，項目以當日所發生的事件記錄為主，包括網路流量，威脅數量，以及病毒定義檔的摘要。其次可以設定時間範圍搜尋資料，於線上產生圖形報表，這種報表以線上瀏覽為主，若要輸出成單一檔案，僅有CSV一種格式可以選擇，其內容不包含圖形，以純文字型態的數據資料為主。文⊙楊啟倫