我们有一个由大型 ISP 托管的企业 MPLS 网络。每个站点都有自己的专用 Internet 路径,因此没有单一的 Internet 访问点来放置过滤设备。我们几乎决定部署 Websense 的基于代理的解决方案,但我希望得到其他专业人士的建议。以下是网络设置:
8 个站点在 MPLS 网络上具有 T1 连接
6 个站点使用 AT&T DSL 通过 IPSEC 隧道连接到 MPLS 网络
1 个总部具有 4 个绑定的 T1 连接到 MPLS 网络
每个站点都有自己的互联网出口/入口
所有位置之间约有 100 个用户
约有 25 个不需要过滤的用户
一切都需要与 AD 集成
大家有什么建议?
答案1
我的一位客户拥有非常相似的拓扑结构,尽管 MPLS 上的站点少了几个。我们考虑过 Websense,但最终他们选择在每个站点都使用 Barracuda 过滤设备。对于他们的情况来说,Barracuda 设备的成本略低一些,而且他们更喜欢它的用户界面。如果您还没有看过它们,您可能想看看。由于它们是硬件设备,因此有一个争论:与在传统服务器上运行的 Websense 相比,该解决方案的 TCO 更高。
除非您愿意自己动手,否则我会说 Websense 可能是您的最佳选择。(我也在一个客户站点管理 Websense 安装。我提前向您表示慰问,因为您必须处理他们脑残的管理员用户界面,并且似乎随机需要频繁重建服务器。该应用程序的功能很好,但底层技术似乎就像胶水和胶带一样。)
答案2
我对 CentOS 上的 Squid+SquidGuard 实施非常满意。这是一个“动手”解决方案,但使用起来并不太难。您可以随时堆叠类似 webmin 的东西来获得基于 Web 的管理。设置 winbind 与 Active Directory 配合使用,您将获得无缝身份验证。使用 sarge 生成使用率报告。Squid 具有智能对等设置,其中一个站点的代理可以检查其他站点以查看它是否已经拥有内容(如果每个位置都有互联网,则可能不太有价值)。
构建您自己的,从 vmware 下载预构建的设备,有很多选项。
需要注意的是,如果您希望它“透明”,则不能在 squid 中使用身份验证 - 这意味着您必须确保每个用户都有自己的浏览器代理设置(AD 策略等)
答案3
可能需要在每个入口/出口点安装一个过滤单元,然后复制任何必要的策略。从网络过滤器的角度来看,100 个用户并不算多 - 请小心,无论您从谁那里购买,都要对“大量小安装”持“友善”态度 - 您不想在软件许可以及额外的硬件上受到困扰。
Websense 可以说是市场上最顶级的产品之一,而且价格也是最高的。正如另一位发帖者所说,你会发现更便宜的替代品。
我有偏见 - 我在 SmoothWall 工作 - 但如果你在考虑预算方面该怎么做,我还是建议你看看我们的网站 :)http://www.smoothwall.net
答案4
一个简单而又便宜的解决方案是使用开放DNS。