Webwasher如何通过SSL扫描器模块，防止恶意软件利用HTTPS通信。它还可以防止用户通过流行的CGI代理绕过传统的Web内容过滤器。这对于阻止敏感数据离开公司网络是很重要的。除了其SSL扫描器，Webwasher还提供了其它几个模块，如URL过滤、反恶意软件、传统的反病毒、反垃圾邮件、内容报告器、IM过滤器等，你可以根据需要选择。 

　　我们将讨论恶意软件(和用户)如何利用SSL绕过你的其它控制，以及Webwasher如何解决这个问题。
 
　　公司存在着哪些SSL问题?
　　Web加密对于今天的企业来讲是非常重要的，不过对于防火墙上开放着端口443(HTTPS通道)的企业来说，在其网络中存在着一个严重的安全漏洞。传统的防火墙和网关反病毒方案并不能扫描加密的通信，因此也就不能控制哪些内容通过HTTPS进入和流出企业网络。这向企业提出了一种风险，企业可能并没有认识到，它们不能依靠其HTTP过滤器来保护HTTPS的加密通信。

　　风险还存在于规章制度的一致性上。如果一个组织允许开放SSL通道(它包含规章制度极力控制的机密信息)，它还能保持一致性吗?此外，黑客们和恶意的雇员等都知道通过HTTPS通道进行的通信完全开放并未加保护，因此他们就会继续利用HTTPS协议来绕过内容过滤机制，用以传播潜在的恶意内容。

　　如今，有很多URL过滤避绕代理可以利用HTTPS连接。当前，没有一个已确定的防火墙或Web网关反病毒解决方案能够进入其中查看这种通信。此外，我们看到一些流行的广告软件和间谍软件从IRC和HTTP转换到了HTTPS协议，其目的是避开已确立的网关过滤器。

　　Webwasher如何解决这个问题
　　我们认为唯一可行的方案是临时对SSL通信解密，扫描之，然后再重新加密。
 
　　这种方法与现在流行的代理服务器防火墙的做法不同。后者仅是解密(换句话说，即“终止”)，运用病毒扫描，然后转发到终端用户或Web应用程序。这种安全措施不能用于今天的Web环境，因为它会使端到端的加密需求无效，并会使浏览器产生混乱。

　　SSL安全代理，如Webwasher就如同一个“黑盒子”一样动作。SSL的加密通信进入，然后SSL的加密通信流出。任何人都不能加密的部分或在网络上嗅探它，这完全是在内存中处理的。现在有几个方案能够在一个单独的机器上提供SSL解密，将解密的通信转发到一个扫描器，扫描器将此通信返回到SSL方案，SSL方案对其重新加密。此外，典型情况下，你需要调整策略，例如，允许上层管理人员执行在线业务而无需扫描，但要对其他任何人的通信都要扫描。在多数情况下，这会要求双倍的管理成本，不过用Webwasher实现则轻松得多。