Webwasher如何通過SSL掃描器模塊，防止惡意軟件利用HTTPS通信。它還可以防止用戶通過流行的CGI代理繞過傳統的Web內容過濾器。這對于阻止敏感數據離開公司網絡是很重要的。除了其SSL掃描器，Webwasher還提供了其它幾個模塊，如URL過濾、反惡意軟件、傳統的反病毒、反垃圾郵件、內容報告器、IM過濾器等，你可以根據需要選擇。

我們將討論惡意軟件(和用戶)如何利用SSL繞過你的其它控制，以及Webwasher如何解決這個問題。

公司存在著哪些SSL問題?

Web加密對于今天的企業來講是非常重要的，不過對于防火墻上開放著端口443(HTTPS通道)的企業來說，在其網絡中存在著一個嚴重的安全漏洞。傳統的防火墻和網關反病毒方案并不能掃描加密的通信，因此也就不能控制哪些內容通過HTTPS進入和流出企業網絡。這向企業提出了一種風險，企業可能并沒有認識到，它們不能依靠其HTTP過濾器來保護HTTPS的加密通信。

風險還存在于規章制度的一致性上。如果一個組織允許開放SSL通道(它包含規章制度極力控制的機密信息)，它還能保持一致性嗎?此外，黑客們和惡意的雇員等都知道通過HTTPS通道進行的通信完全開放并未加保護，因此他們就會繼續利用HTTPS協議來繞過內容過濾機制，用以傳播潛在的惡意內容。

如今，有很多URL過濾避繞代理可以利用HTTPS連接。當前，沒有一個已確定的防火墻或Web網關反病毒解決方案能夠進入其中查看這種通信。此外，我們看到一些流行的廣告軟件和間諜軟件從IRC和HTTP轉換到了HTTPS協議，其目的是避開已確立的網關過濾器。

Webwasher如何解決這個問題

我們認為唯一可行的方案是臨時對SSL通信解密，掃描，然后再重新加密。

這種方法與現在流行的代理服務器防火墻的做法不同。后者僅是解密(換句話說，即“終止”)，運用病毒掃描，然后轉發到終端用戶或Web應用程序。這種安全措施不能用于今天的Web環境，因為它會使端到端的加密需求無效，并會使瀏覽器產生混亂。

SSL安全代理，如Webwasher就如同一個“黑盒子”一樣動作。SSL的加密通信進入，然后SSL的加密通信流出。任何人都不能加密的部分或在網絡上嗅探它，這完全是在內存中處理的。現在有幾個方案能夠在一個單獨的機器上提供SSL解密，將解密的通信轉發到一個掃描器，掃描器將此通信返回到SSL方案，SSL方案對其重新加密。此外，典型情況下，你需要調整策略，例如，允許上層管理人員執行在線業務而無需掃描，但要對其他任何人的通信都要掃描。在多數情況下，這會要求雙倍的管理成本，不過用Webwasher實現則輕松得多。

Webwasher SSL掃描器如何精確地工作?

基本說來，我們要做的是要將瀏覽器與服務器之間的一個SSL連接分為兩個獨立的SSL連接。對于瀏覽器連接到加密的Web站點的請求，Webwasher SSL掃描器實際上為瀏覽器執行此操作。這樣的一個好處是具備了執行SSL證書檢查的能力，而不是將它留給終端用戶。我們都清楚這種彈出窗口,它問我們說，我們啟動了一個與加密Web站點的會話，你是否想接受證書?我們看到，許多情況下，90%的或更多的終端用戶只是單擊“接受”，并不關心證書的合法性，是否自簽名，是否到期等。一旦Webwasher確認了證書的合法性，我們就啟動了一個SSL會話，然后終止之。

對于Web服務器來說，Webwasher充當著一個正常的瀏覽器。這樣我們擁有了加密的通信，而且能夠運用內容安全、反病毒、反惡意軟件和轉出的內容過濾器等機制。記住，所有的這一切者都是在同樣的機器上和內存中進行的，因此這里并不存在什么私密問題。一旦我們搞定了過濾問題，我們就充當了真實終端用戶的一個Web服務器。Webwasher用客戶公司證書或一個擁有Web服務器名字的自簽名證書重新加密通信。如果你連接到了自己的服務器賬戶上，授權證書還會描述其它內容。客戶需要做的是展示其自身的正式證書或自簽名證書，終端用戶將不會再收到授權證書的消息彈出窗口。

IT部門需要維持證書的優良者名單嗎?用戶們是否會抱怨?

我們能夠使管理成本接近于零。Webwasher部件或軟件在日常的活動基礎上檢查已撤消的證書，因此你總能保持最新。Webwasher還采用了一種培訓模式。因此，用戶可以啟動Webwasher SSL的掃描器，基本上它會接受提供的所有證書，并加以存儲。在培訓結束之后，管理人員就可以進入并查看有請求了哪些證書，并放棄那些不正常的證書。Webwasher提供了一套工具，借此管理人員并不需要成為一個事件專家。一旦這個培訓階段結束，管理成本就微乎其微了。

Webwasher如何防止用戶利用SSL代理服務器避開Web內容過濾器?

如前所述，現在有大量的用戶上網沖浪是依靠SSL的加密通信的。典型情況下，URL的過濾器廠商會將應用程序試圖連接的服務器列入黑名單，設法阻止其訪問。不過，這是一場沒有結束的戰斗，總會有一個廠商建立一個新的服務器而你沒有對其阻止。而且還涉及到數據丟失問題。我們可以看到典型的間諜軟件和廣告軟件從IRC和HTTP后端通道轉向了HTTPS后端通道，因為黑客們已經斷定這個通道并沒有阻止或加以控制。這方面的兩個流行的例子即是Gator和 Cool WebSearch。

舉例來說，可以對Webwasher進行配置，只允許某些合法的信用卡號碼，以及屬于于銀行和購物站點種類的已知站點。即使你用一個特洛伊木馬試圖竊取PC機上的一個信用卡號碼，它也不可能將這個信息返回;更不用說通過HTTPS進行了。用戶還可以采用針對即時通信和點對點的方案，只是這些方案不在同一臺機器上而已。