Белое решение для проверки трафика на вирусы и возможные варианты реализации.
Очень хочется найти правильное и логически завершённое решение для организации антивирусной защиты масштаба предприятия, используя в качестве шлюза FreeBSD.
Понятно, что защищать будем
Логически проверку трафика можно организовать следующими способами:
Варианты, которые я нашел:
1. Через CVP (Content Vectoring Protocol) - CVP сейчас поддерживают многие производители антивирусов, и ведущие производители фаерволов – Firewall-1 и Gauntless. Всё хорошо, но уж больно дорогие фаерволлы, а бесплатных, поддерживающих CVP нет :(. Зато есть преимущества – проверять на вирусы может другая машина ,например под НТ – под неё написано МНОГО антивирусов - будет из чего выбрать.
2. Через ICAP (Internet Contents Adaption Protocol) – нечто похожее на CVP, только бесплатная версия. Уже существует патч к сквиду, который превращает сквид в icap клиента, а сервером для проверки на вирусы может служить Trend Micro VirusWall или Symantec Antivirus.
3. Через Squid. Тут возможны варианты:
a. Через редиректор (например Viralator). Недостаток - сначала
файл скачивается на сервер, а потом отдаётся юзеру - при наличии
больше 1к юзеров не думаю, что из этого выйдет что-то хоршее.
b. Патчами к сквиду (Openantirus) - смущает количество
вылавливаемых вирусов :)
c. Способ предложеный AVP - монитор натравленый на сквидовый
кеш. НЕ очень удачное решение, т.к. при попытке скачать
зараженный файл avp monitor его блокирует, и юзеру ничего не
отдаётся.
d. TrendMicro – есть только под линукс, на фре я его запустил, очень неплохо, по слегка коряво, а линукс ставить не хочется.
e. Всякие поделки на основе api антивирусов.
В общем, варианты есть. Хочется выбрать самый правильный.
Вариант для распечатки
OpenNET: Виртуальная конференция (Public)
on
18-Июл-02, 16:26 (MSK)
