这是我的问题,希望这不是一个太笼统的问题。
我有一个网络,其中大约有 25 台 PC、3 台服务器和 25 个 IP 摄像头。我的网络上已经有一个防火墙,它可以满足我的需求,但我的客户问我是否有办法在网络上放置代理服务器,以监控他的员工上网时去往何处。他不想阻止他们(至少不想通过代理服务器),但他想确保他们不会访问会危害联网 PC 的网站。我查看了 TMG,它比我想要的更多。由于网络上目前有安全摄像头(IP 摄像头),我犹豫是否要为系统添加另一个防火墙。我只想在 AD 中设置一个策略,让某些用户(或计算机)使用代理服务器。
欢迎任何有关良好代理服务器的建议。
谢谢
我喜欢使用防火墙订阅或服务提供商的选项。他们处于域环境中,目前使用服务器的 IP 作为其 DNS 提供商……但如果可以使用其环境之外的代理服务器,那就太好了。我喜欢为我的一些客户使用 OPENDns,它们提供了一些很好的过滤功能。
我只是想让它尽可能简单。
我确实读到过,使用单网卡安装 TMG 会禁用 TMG 服务器的防火墙部分。这仍然可能是一个选择。
多谢你们!!
答案1
几乎任何网站都可能被颠覆并转变为可能危害访问者的威胁。广告网站是特别有吸引力的目标,任何托管嵌入式受感染广告的网站都可能是一种威胁。人们不太可能随意查看网站列表并准确判断它们是威胁还是真正安全。他们可能能够发现一些威胁,但远不止于此。
内容过滤是需要深入的知识、专业知识以及频繁的关注和管理努力才能正确进行的领域之一。
许多防火墙都集成了内容过滤订阅。您可能想检查一下您的防火墙设备是否可以利用该选项。如果不是,那么切换到具有此功能的防火墙可能更实用。
如果防火墙订阅不是一个选项,您可能需要使用服务提供商。您可以为 Web 浏览器使用的代理服务器指定组策略,该代理服务器实际上是在外部托管的,他们可以为您执行此操作。Symantec 和 Websense 是几个想到的内容过滤提供商,但还有很多其他提供商。
答案2
我想你会发现,判断什么是恶意的需要比你想象的更多时间。除非有某种东西可以对它们进行分类,否则这将变得不可行。
也许最简单的方法是使用类似 OpenDNS 的东西。 http://www.opendns.com/
根据您所在的位置,速度可能足够快。我甚至在新西兰使用过它,但它比我当地的 ISP 慢一点。如果你在美国,我认为它相当快。
其工作原理是,您用 OpenDNS 服务器替换 ISP 的 DNS 服务器。您设置一个 opendns 帐户,并决定您希望员工能够浏览哪些内容。来自 opendns 的 DNS 服务器将决定是否为网站提供正确的 IP,或者提供一个页面,告诉他们无法查看该材料,因为它不符合公司政策。
它本身并不能阻止人们浏览我的 IP 地址或用他们自己的本地 DNS 服务器覆盖 DNS 服务器。但是,您可以设置防火墙规则,以确保仅将 opendns 服务器用于 DNS 并阻止其他一切。
这是一个很好的解决方案,因为它不需要您配置任何硬件。您设置策略就行了。我敢肯定它有一些漏洞,它可能无法阻止您不想要的所有内容,但可能会阻止大多数内容。我认为您应该能够获得免费试用,这几乎不需要设置,也不需要资本支出。