У нас есть корпоративная сеть MPLS, размещенная у крупного интернет-провайдера. У каждого сайта есть собственный выделенный путь в Интернет, поэтому нет единой точки доступа в Интернет для размещения устройства фильтрации. Мы почти решили развернуть решение на основе прокси от Websense, но мне нужны рекомендации от других профессионалов. Вот настройка сети:
8 сайтов с подключениями T1 в сети MPLS
6 сайтов с AT&T DSL создают туннели IPSEC к сети MPLS
1 штаб-квартира с 4 связанными подключениями T1 к сети MPLS
Каждый сайт имеет собственный выход / вход в Интернет.
~ 100 пользователей между всеми локациями
~ 25 пользователей, которым не нужна фильтрация
Все должно быть интегрировано в AD
Что вы все предлагаете?
Один из моих клиентов имеет очень похожую топологию, хотя и с несколькими меньшими площадками на MPLS. Мы посмотрели на Websense, но в конце концов они выбрали устройства фильтрации Barracuda на каждом сайте. Стоимость для устройств Barracuda была немного меньше для их ситуации, и им немного больше понравился пользовательский интерфейс. Если вы не смотрели на них, возможно, вы захотите. Следует привести аргумент, поскольку они являются аппаратными устройствами, относительно совокупной стоимости владения решения по сравнению с Websense, работающим на традиционных серверах.
Я бы сказал, что Websense - ваш лучший выбор, если только вы не катаетесь самостоятельно. (Я также администрирую установку Websense на одном сайте клиента. Я заранее выражаю вам свои соболезнования за то, что вам пришлось иметь дело с их поврежденным мозгом пользовательским интерфейсом администратора и, казалось бы, случайной необходимостью часто перестраивать сервер. приятно, но лежащая в основе технология кажется клеем и лентой.)
Вероятно, использовал бы блок фильтрации в каждой точке входа / выхода, а затем реплицировал бы все необходимые политики. 100 пользователей - это не так много с точки зрения веб-фильтра - будьте осторожны, чтобы кто-то, кого вы покупаете, был «добрым» в отношении «большого количества мелких установок» - вы не хотите, чтобы вас ужалили на лицензирование программного обеспечения, а также на дополнительные оборудование.
В Websense у вас есть, возможно, один из лучших продуктов на рынке, но он также является лучшим по цене. Как упоминал другой плакат, вы найдете менее дорогие альтернативы.
Я предвзят - я работаю в SmoothWall - но я все равно рекомендую вам взглянуть на наш сайт, если вы думаете о том, куда вы собираетесь с точки зрения бюджета :) http://www.smoothwall.net
Я очень доволен реализацией Squid + SquidGuard в CentOS. Это практическое решение, но работать с ним не так уж сложно. Вы всегда можете добавить что-то вроде webmin, чтобы обеспечить управление через Интернет. Настройте winbind для работы с Active Directory, и вы получите бесшовную аутентификацию. Используйте sarge для создания отчетов об использовании. Squid имеет интеллектуальные настройки пиринга, при которых прокси на одном сайте может проверять другие, чтобы узнать, есть ли у него контент (возможно, не слишком ценно, если в каждом месте есть Интернет).
Создайте свой собственный, загрузите готовое устройство из VMware, множество опций.
Следует отметить, что вы не можете использовать аутентификацию в squid, если хотите, чтобы она была «прозрачной» - это означает, что вам нужно убедиться, что у каждого пользователя есть настройки прокси-сервера браузера (политика AD и т. Д.).
Простое и недорогое решение - использовать OpenDNS.