我们有一个由大型 ISP 托管的公司 MPLS 网络。每个站点都有自己的 Internet 专用路径,因此没有单一的 Internet 访问点来放置过滤设备。我们几乎都决定部署 Websense 的基于代理的解决方案,但我希望得到其他专业人士的建议。这是网络设置:
8 个站点在 MPLS 网络上具有 T1 连接
6 个具有 AT&T DSL 的站点通过 IPSEC 隧道连接到 MPLS 网络
1 个总部与 MPLS 网络的 4 个绑定 T1 连接
每个站点都有自己的 Internet 出口/入口
~所有位置之间有 100 个用户
~ 25 个不需要过滤的用户
一切都需要集成 AD
大家有什么建议?
我的一个客户有一个非常相似的拓扑结构,尽管 MPLS 上的站点少了几个。我们查看了 Websense,但最终他们在每个站点都选择了梭子鱼过滤设备。梭子鱼设备的成本相对于他们的情况来说要少一些,而且他们更喜欢用户界面。如果你还没有看过它们,你可能想要。有一个论点,因为它们是硬件设备,re: 与在传统服务器上运行的 Websense 相比,解决方案的 TCO。
除非您自己动手,否则我会说 Websense 可能是您最好的选择。(我也在一个客户站点上管理 Websense 安装。我提前向您表示哀悼,因为他们不得不处理他们脑部受损的管理用户界面,并且似乎随机需要经常重建服务器。应用程序的作用是不错,但底层技术看起来像胶水和胶带。)
我对 CentOS 上的 Squid+SquidGuard 实现非常满意。这是一个“动手”的解决方案,但使用起来并不太难。您总是可以堆叠类似 webmin 的东西来为您提供基于 Web 的管理。设置 winbind 以使用 Active Directory,您将获得无缝身份验证。使用 sarge 生成利用率报告。Squid 具有智能对等设置,其中一个站点的代理可以检查其他站点是否已经有内容(如果每个位置都有 Internet,则可能不太有价值)。
构建自己的,从 vmware 下载预构建的设备,有很多选择。
一个注意事项是,如果你希望它是“透明的”,你不能在 squid 中使用身份验证——这意味着你必须确保每个用户都有他们的浏览器代理设置(AD 策略等)
可能会在每个入口/出口点使用过滤单元,然后复制任何必要的策略。100 个用户在 Web 过滤器方面并不算多 - 请注意,您购买的任何人在“大量小安装”方面都是“善良”的 - 您不想被软件许可以及额外的许可所困扰硬件。
在 Websense 中,您拥有可以说是市场上顶级产品之一的产品 - 但它的价格也是最高的。正如另一张海报所提到的,您会发现更便宜的替代品。
我有偏见-我为 SmoothWall 工作-但如果您正在考虑预算明智的去向,我建议您还是看看我们的网站 :) http://www.smoothwall.net
一个简单且廉价的解决方案是使用OpenDNS。