Quando / por que usar um proxy / gateway da web?

10

Neste momento, temos cerca de 25 a 30 PCs conectados à Internet com um dispositivo SonicWall Firewall / Router. Não há muito filtragem / bloqueio além do SMTP de saída (para vírus, etc.). Lembro-me de ler que em algum momento uma rede / empresa atinge massa crítica e precisa enviar coisas através de um proxy / gateway web ... mas não por quê!

Meu palpite é talvez para filtragem de conteúdo (não visite sites pornográficos, etc.) e / ou material de vírus (para que eles não baixem arquivos infectados por vírus), mas precisamos de um dispositivo dedicado para isso? Por que coisas como Cisco ASAs não funcionam? Que outras razões nós teríamos para fazer isso? Como posso determinar se / quando precisamos mudar para um proxy da web?

Atualmente, não temos planos de monitorar / limitar o acesso à web e cada área de trabalho tem antivírus instalado.

    
por Matt Rogish 06.05.2009 / 22:33

6 respostas

7

Um servidor proxy de saída pode fornecer mais de um benefício à sua rede:

  • Cache de conteúdo - em vez de 25 pessoas acessarem sua conexão DSL com o slashdot & página fark recarrega o conteúdo pode ser armazenado em cache em um servidor interno. Isso acelerará o acesso a sites externos, especialmente quando as imagens são armazenadas em cache no proxy.
  • Monitoramento de conteúdo - você sempre pode voltar e ver os registros, se quiser.
  • Filtragem de conteúdo - verificação de vírus, etc.
  • Restrições de acesso - geralmente, navegar em pornografia nos computadores do caixa do banco é um não-não.
  • Identificação do usuário - talvez você gostaria de saber quem está navegando durante todo o dia

A resposta para a pergunta "quando precisamos mudar para um proxy da web" geralmente é respondida por "quando você precisa de uma das funções acima".

Você precisa de Cache de Conteúdo quando estiver enviando "muito" tráfego por meio de sua conexão à Internet. Talvez a conexão seja lenta, ou talvez você esteja recebendo cobranças adicionais que gostaria de evitar.

Quanto às outras funções, você precisa de um proxy quando quiser executar essa função. Geralmente, há outras maneiras de realizar essas funções, sim, mas um proxy geralmente é o mais "fácil".

    
por 06.05.2009 / 22:52
3

Eu mesmo instalei um Web Proxy para fornecer um cache local. Nós tivemos uma configuração com cerca de 40 usuários. Eu usei um servidor Linux dedicado com um proxy Squid nele, então não posso falar sobre o Filtro Web Barracuda. Configurei nosso gateway para ativar o proxy transparente para que ninguém visse a diferença. Com o tempo, alguns filtros limitados foram adicionados (alguns sites ruins conhecidos) e eu mudei o encaminhamento de DNS para OpenDNS para reduzir o risco de pessoas terminarem em locais de pesca. Quanto a você, nunca olhamos para limitar o acesso das pessoas à Internet.

Os benefícios que obtive ao adicionar um cache local foram:

  • Reduziu o uso da banda de conexão com a internet do escritório (a velocidade de download ficou um pouco mais rápida nos gêneros).
  • Reduziu em quase 40% a quantidade total de dados baixados pela internet.
  • Filtragem de conteúdo de sites de pesca e exploração conhecidos.

Meu entendimento é que com o Barracuda Web Filter básico está realmente lá para evitar pessoas de surfar conteúdos impróprios ou usar mensagens instantâneas. As versões maiores parecem incluir o armazenamento em cache. Pela minha experiência, eu não configuraria um filtro da Web sem o cache porque eu sentiria que não obtém nenhum tipo de retorno do investimento apenas filtrando as conexões das pessoas.

    
por 06.05.2009 / 22:58
2

Eu ouvi muitas vezes semelhantes e, na minha experiência, isso não funciona. A educação dos usuários é o caminho.

Incluído em minhas tarefas está a manutenção de uma rede de escritório de ~ 50 computadores e não temos uma solução de proxy no lugar. O que eu faço é firewallizar alguém imediatamente se eles estiverem causando problemas. Então vá e fale com eles e explique porque eu fiz isso.

Isso pode parecer um pouco duro, mas faz maravilhas, eles logo percebem o que podem ou não fazer e geralmente os usuários não fazem a mesma coisa duas vezes.

Note que eu provavelmente tenho um incidente por mês no qual eu preciso bloquear alguém e eles geralmente terão permissão de volta assim que eu terminar de falar com eles.

    
por 06.05.2009 / 22:55
1

No meu emprego atual, usamos um filtro como resultado de pessoas assistindo a streaming de vídeo dentro e fora de seus intervalos para o almoço. Temos um horário de almoço rotativo, assim como o grupo 1 está desligado para o almoço, o grupo 2 ainda está funcionando. Isso estava matando nossa largura de banda para o mundo exterior, como resultado, compramos um filtro Web Barracuda. Funciona muito bem, nossa necessidade era abrir uma largura de banda cara.

Ele também ajudou a limpar algumas porcarias de spyware / internet em toda a nossa rede, o que foi um ótimo bônus.

    
por 06.05.2009 / 22:42
1

Talvez o documento em que você estava lendo estivesse falando sobre um cache da web em vez de apenas um proxy / gateway? Um cache é um proxy que armazena páginas visitadas com frequência e as entrega aos seus clientes, em vez de fazer uma solicitação em seu wan link toda vez que alguém em sua rede solicita algo.

Em redes com cerca de ~ 100 usuários, eu vejo que cerca de 25-30% das solicitações são atendidas pelo cache, o que equivale a uma economia de 8 a 12% em largura de banda, porque freqüentemente reutilizados tende a ser arquivos menores.

Se você tiver um cache de largura de banda limitado, isso ajuda a acelerar um pouco as coisas.

    
por 06.05.2009 / 22:53
0

Quando uma empresa atinge um determinado tamanho, seu departamento jurídico forçará você a começar a censurar o acesso à Web devido a riscos de assédio sexual. Um proxy torna isso mais fácil de implementar.

Basicamente tudo o que uma mulher quer que seja é o assédio sexual nos EUA. Com o costume de organizar escritórios para que todos possam ver o monitor de todo mundo, isso cria um risco enorme.

Só porque obviamente não há nada de errado com isso ou que uma pessoa razoável não pode ser ofendida, isso não significa que não seja assédio sexual.

Qual é o tamanho de uma empresa depende da indústria, onde você está no mundo e quantas mulheres estão trabalhando lá. Normalmente, uma empresa pode suportar um incidente antes de uma repressão. O papel da empresa é mostrar que eles estão fazendo algo sobre isso, não importa que seja impossível evitar.

Eu criaria um proxy desde o primeiro dia, dessa forma você pode restringir mais as pessoas que não são de TI do que as pessoas de TI e diminuir a probabilidade de que a empresa force algo extremamente restritivo para todos.

E você PRECISA do registro se estiver executando um negócio sério.

    
por 30.08.2009 / 22:17