(拜託不要再找我烤肉了QQ，月餅也是，柚子送你)

如果每個人都好好辦公，只上公司內部的員工入口網站、ERP、薪資、SharePoint網站，那這一頁可以略過。

但是，我們知道這是不可能啊，上上班忙裡偷閒、開點購物網站搶一下、追據小確幸、股票今天空哪一隻、下載個小軟體來用用，網頁存取的目的地永遠突破你的想像，這個破口帶來的風險聰明的你一定都知道:

• 1.病毒、蠕蟲、木馬與惡意程式侵入:嗯...Internet上不乾淨的網站太多了，常見如瀏覽器綁架、側錄，或是內嵌惡意JAVA語法。
• 2.社交工程詐騙得逞個資外洩:USER從郵件信中連結或是上網過程中誤入偽冒網頁陷阱，成為入侵的開端。
• 3.流量爆棚:若尖峰時期都在狂下載、看影片、再大的對外頻寬也不夠用。
• 4.盜版軟體侵入:網路上綠色版的、免安裝的、論壇來的軟體(謝謝大大無私的分享)，keygen輸入一下就有了，等等BSA和保智大隊就來函抓盜版了喔，提不出有效的預防控制措施，會飛上天的。
• 5.生產力損失:大家都在上網追劇，就算是幸福企業的老闆也無法忍受，小心遷怒到IT身上:資訊都沒有在管制的嗎?

這部分要強化，真的需要一套可以自動化管制的工具:Web Gateway。以前的proxy代理伺服器也是個行之有年的設施，早年以上網加速為目的，現安全為主軸強化內容過濾/惡意網站防護等功能，除了基礎的URL filtering，還具備內容分類過濾、威脅情資整合、網頁信譽評級和TLS加解密過濾等過濾，對於企業的上網行為保護有相當的助益。
這類功能初期筆者建議採用NGFW中的UTM功能授權，例如FortiGate 中的4in1 UTM授權、或是Shophos中的Web Protection，讓你的防火牆多一份功能使用，UTM授權也包含了病毒防護、間諜軟體防護、垃圾郵件防護(SPAM)、流量控制等，自動化的控制web網站風險。若現況設備缺乏或無法具備相應功能，也可以採用ISP業者的服務，直接從機房端過濾。

(圖片引用自Hinet)

由於每間公司文化不同、自由度不同，這邊列出些常見的內容管制項目防範破口:

• 1.URL封鎖:色情類網站、賭博類網站、下載論壇、財經股票、聊天室(透漏年紀了XD)、直播、購物類網站、影音追劇
• 2.通訊封鎖: 即時通訊(LINE/微信/QQ)、個人信箱(gmail/yahoo/hibox...etc)、社交(FB/IG/推特...etc)

上述若有公務/業需需求則by特例申請才開放，並不定時抽查有無被濫用，搭配內部的人員管理機制(安全宣導、違規通報、資源控管)，多管齊下，收斂高風險上網行為。

整體來說，UTM的訴求在提供「多功」，因此先求有後續再精，其他更專精於web security的工具(
BlueCoat ProxySG、McAfee Web Gateway、Forcepoint WSS)等有更進階的資源與需求時作為可供導入的選項。

(圖片引用自達友科技)

參考資料:
防禦網路邊界多種威脅　UTM一機搞定