Wann / warum sollte ein Webproxy / Gateway verwendet werden?

10

Derzeit verfügen wir über ein 25 bis 30-köpfiges PC-Netzwerk, das mit einem herkömmlichen SonicWall-Firewall- / Router-Gerät mit dem Internet verbunden ist. Es gibt nicht viel Filterung / Blockierung außer ausgehendem SMTP (für Viren usw.). Ich erinnere mich, dass ich gelesen habe, dass ein Netzwerk / Unternehmen irgendwann eine kritische Masse erreicht und Dinge über einen Web-Proxy / ein Gateway senden muss ... aber nicht warum!

Meine Vermutung ist vielleicht für das Filtern von Inhalten (besuchen Sie keine Pornoseiten usw.) und / oder Viren (damit sie keine mit Viren infizierten Dateien herunterladen), aber brauchen wir dafür ein dediziertes Gerät? Warum machen Dinge wie Cisco ASAs den Job nicht? Welche anderen Gründe hätten wir dafür? Wie kann ich feststellen, ob / wann wir zu einem Webproxy wechseln müssen?

Derzeit haben wir keine Pläne zur Überwachung / Einschränkung des Webzugriffs und auf jedem Desktop ist Antivirus installiert.

security proxy webfilter Matt Rogish
quelle

Antworten:

7

Ein ausgehender Proxyserver kann Ihrem Netzwerk mehr als einen Vorteil bieten:

  • Zwischenspeichern von Inhalten - Anstatt dass 25 Personen Ihre DSL-Verbindung mit Slashdot & Fark-Seiten neu laden, kann der Inhalt auf einem internen Server zwischengespeichert werden. Dies beschleunigt den Zugriff auf externe Sites, insbesondere wenn die Bilder auf dem Proxy zwischengespeichert werden.
  • Inhaltsüberwachung - Sie können jederzeit zurückgehen und die Protokolle anzeigen, wenn Sie möchten.
  • Inhaltsfilterung - Virenscanning usw.
  • Zugriffsbeschränkungen - Im Allgemeinen ist das Surfen von Pornos auf den Bankkassencomputern ein Nein-Nein.
  • Benutzeridentifikation - vielleicht möchten Sie wissen, wer den ganzen Tag surft

Die Antwort auf die Frage "Wann müssen wir zu einem Webproxy wechseln?" Wird im Allgemeinen mit "Wenn Sie eine der oben genannten Funktionen benötigen" beantwortet.

Sie benötigen Content Caching, wenn Sie "viel" Verkehr über Ihre Internetverbindung senden. Möglicherweise ist die Verbindung langsam, oder Sie erhalten Überkosten, die Sie vermeiden möchten.

Für die anderen Funktionen benötigen Sie einen Proxy, wenn Sie diese Funktion ausführen möchten. Es gibt im Allgemeinen auch andere Möglichkeiten, diese Funktionen auszuführen, ja, aber ein Proxy ist normalerweise die "einfachste".

MikeyB
quelle
3

Ich selbst habe einen Webproxy installiert, um einen lokalen Cache bereitzustellen. Wir hatten ein Setup mit ungefähr 40 Benutzern. Ich habe einen dedizierten Linux-Server mit einem Squid-Proxy verwendet , sodass ich nicht über den Barracuda- Webfilter sprechen kann. Ich habe unser Gateway so eingerichtet, dass transparentes Proxying möglich ist, damit niemand den Unterschied sieht. Mit der Zeit wurde eine begrenzte Filterung hinzugefügt (einige bekannte fehlerhafte Websites), und ich habe unsere DNS-Weiterleitung auf OpenDNS verschoben , um das Risiko zu verringern, dass Personen auf Angelstellen landen. Sie haben nie daran gedacht, den Zugang der Menschen zum Internet einzuschränken.

Die Vorteile, die ich durch das Hinzufügen eines lokalen Caches erhielt, waren:

  • Die Bandbreitennutzung der Internetverbindung im Büro wurde reduziert (die Download-Geschwindigkeit wurde in den Gattungen etwas schneller).
  • Die Gesamtmenge der über das Internet heruntergeladenen Daten wurde um fast 40% gesenkt.
  • Inhaltsfilterung bekannter Fischerei- und Exploit-Sites.

Mein Verständnis ist, dass mit dem grundlegenden Barracuda Web Filter wirklich da ist, um zu verhindern, dass Leute in unangemessenen Inhalten surfen oder IM verwenden. Die größeren Versionen scheinen Caching zu enthalten. Aus meiner Erfahrung heraus würde ich keinen Webfilter ohne Caching einrichten, da ich das Gefühl hätte, dass ich keinen Return on Investment bekomme, wenn ich nur die Verbindungen der Leute filtere.

Pierre-Luc Simard
quelle
2

Ich habe einige Male ähnlich gehört und meiner Erfahrung nach funktioniert es nicht. Aufklärung der Benutzer ist der Weg.

Zu meinen Aufgaben gehört die Aufrechterhaltung eines Büronetzwerks mit ca. 50 Computern, und wir haben keine Proxy-Lösung. Was ich jedoch tue, ist, jemanden sofort auszuschalten, wenn er Probleme verursacht. Dann geh und sprich mit ihnen und erkläre, warum ich es getan habe.

Dies mag etwas hart erscheinen, aber es wirkt Wunder. Sie erkennen schnell, was sie können und was nicht, und im Allgemeinen tun Benutzer nicht zweimal dasselbe.

Beachten Sie, dass ich wahrscheinlich einen Vorfall pro Monat habe, bei dem ich jemanden aus der Firewall entfernen muss, und er wird im Allgemeinen wieder eingeschaltet, sobald ich mit ihm gesprochen habe.

Nathan
quelle
Ich stimme Ihnen im Allgemeinen zu. Ich habe das gerade mit einem Freund besprochen: Wenn Leute Zugang zu nicht arbeitsbezogenen Inhalten haben, können Sie die Arbeiter von den Faulenzern unterscheiden. Wenn Sie sie blockieren, werden Sie nie wissen!
Spoulson
1

Bei meinem derzeitigen Job verwenden wir einen Filter, weil Leute in ihren Mittagspausen Streaming-Videos ansehen. Wir haben einen rotierenden Zeitplan für das Mittagessen, da Gruppe 1 zum Mittagessen ausgeschaltet ist und Gruppe 2 noch arbeitet. Dies hat unsere Bandbreite nach außen gekostet, daher haben wir einen Barracuda Web-Filter gekauft. Es funktioniert einwandfrei, wir mussten teure Bandbreite erschließen.

Es hat auch geholfen, Spyware / allgemeinen Internet-Mist in unserem Netzwerk zu beseitigen, was ein schöner Bonus war.

RateControl
quelle
1

Vielleicht sprach das Dokument, in dem Sie gelesen haben, von einem Web-Cache anstatt nur von einem Proxy / Gateway? Ein Cache ist ein Proxy, der häufig besuchte Seiten speichert und an Ihre Kunden weiterleitet, anstatt jedes Mal eine Anfrage über Ihren WAN-Link zu stellen, wenn jemand in Ihrem Netzwerk etwas anfordert.

In einem Netzwerk mit ungefähr 100 Benutzern sehe ich, dass ungefähr 25-30% der Anfragen aus dem Cache bedient werden. Dies entspricht natürlich nur einer Einsparung von ungefähr 8-12% an Bandbreite, da Dinge, die häufig wiederholt werden verwendet werden in der Regel kleinere Dateien.

Wenn Sie nur über eine begrenzte Bandbreite verfügen, beschleunigt das Caching die Arbeit ein wenig.

Zoredache
quelle
0

Wenn ein Unternehmen eine bestimmte Größe erreicht, werden Sie von Ihrer Rechtsabteilung aufgrund sexueller Belästigungsrisiken gezwungen, den Webzugriff zu zensieren. Ein Proxy erleichtert die Implementierung.

Grundsätzlich ist alles, was eine Frau möchte, sexuelle Belästigung in den USA. Mit dem Brauch, Büros so auszurichten, dass jeder den Monitor aller anderen sehen kann, entsteht ein großes Risiko.

Nur weil offensichtlich nichts falsch daran ist oder eine vernünftige Person nicht beleidigt werden kann, heißt das nicht, dass es keine sexuelle Belästigung ist.

Wie groß ein Unternehmen ist, hängt von der Branche ab, wo auf der Welt Sie sich befinden und wie viele Frauen dort arbeiten. Normalerweise kann ein Unternehmen einem Vorfall vor einem Durchgreifen standhalten. Die Rolle des Unternehmens besteht darin, zu zeigen, dass sie etwas dagegen unternehmen. Es spielt keine Rolle, dass dies nicht zu verhindern ist.

Ich würde vom ersten Tag an einen Proxy einrichten. Auf diese Weise können Sie Nicht-IT-Mitarbeiter stärker einschränken als IT-Mitarbeiter, und es weniger wahrscheinlich machen, dass das Unternehmen jedem etwas extrem Restriktives aufzwingt.

Und Sie brauchen die Protokollierung, wenn Sie ein ernstes Geschäft betreiben.

Carlito
quelle
Klingt so, als ob jemand von den Regeln der sexuellen Belästigung verbrannt wurde! Ein Freund von mir wurde tatsächlich von der Bundespolizei festgenommen, nachdem er von einem Inlandsflug abgehüpft war, weil sich der Hostie sexuell belästigt fühlte. Schade, dass sie den Falschen verhaftet haben.
Mark Henderson