>Одним словом моё мнение - рано ещё такие связки ставить и вообще >не придуман реальный механизм проверки не ставящий канал раком. Ну скажите, >какой мне толк от того, что 300-400 Мб файл образа проверится >и скажут - он заразный - если я его должен залить >себе, проверить, израсходовать трафик? Короче пока такие поделки в сад. >Для желающих - поставьте на рабочие станции Drweb-spider и пусть сканирует >пользовательский трафик. Зачем так категорически, вы же сами определяете критерии для проверки. Приведу цифры за вчерашний день. Используется переписанный SquidClamAV 1.6.1. Настройки: проверять файлы < 1Mb, след. типов .exe .zip .rar .ar .com .bzip .gz .js .class .jar .html .htm .wb .doc .xls .bat .dll .msi .vbs .vbe .jse .wsh .sct .hta .mp3, text/html text/plain text/css application/x-httpd-php application/x-httpd-php4 application/x-httpd-php3 application/x-java-archive application/x-java-vm application/x-javascript application/x-msi. Количество клиентов 58, общий трафик за день 630Мб. На вирусы проверено 69Мб (11975 объектов). найдено 3 трояна. В принципе это приемлемый вариант. Зачем проверять очень большие файлы? Пусть это делает антивирус на локальной машине. А таймауты определяются по скорости доступа к этому файлу, рассмотрим очень плохой вариант скорость 3кБайт/c - для скачивания 1Мб требуется 333с ~ 5 мин. Да браузер скорее всего отвалится, какой там у него таймаут, минуты 2 наверно. Если все так плохо можно размер уменьшить до 300к, большинство троянов я думаю меньше 300к. И тут мы уже впишемся в таймаут, и все будет работать. Но это плохой вариант, а фактически все бегает значительно быстрее. Конечно вводя ограничения мы снижаем процент обнаружения вирусов, но даже при проверке всего трафика нельзя быть уверереным в сто процентном обнаружении, т.к. новые вирусы не так быстро попадают в антивирусные базы. Я считаю что это вполне рабочее решение, но пока не сильно обкатанное. Из недостатков - иногда падают редиректоры, т.е. требуется более внимательно оттестировать приложение.
|