Dotaz: Vyber firewallu se sitovym "antivirem" a filtrem webovych stranek.

Ahoj, jiz nejakou dobu se snazim udelat nazor na vhodnou distribuci s fitrovanim sitoveho provozu.Jako sitovy firewall nejspis zustane aktualni virtualizovany mikrotik, jez bych rad doplnil o filtrovani na vyssich vrstvach. Ocekavam zejmena mene mallware na pocitacich klientu a moznost zakazu urcitych kategorii webovych stranek, napr. pristupu na porno, FB, a urcite kategorie provozu P2P, tor.

Pozadavky: -alespon free antivirus clamav, vyhodou volitelne komercni -aplikacni filtr -napr zakaz pruchodu tor,p2p siti, atd. Tak aby kdyz zakazu nejake webove stranky tak mi to neobehli TORem ci VPN -filtr webovych stranek - napr. vylouceni pristupu do kategorie porno -email antivirus

Dotazy: -mate nekdo realnou zkusenost s kvalitou detekce free antiviru clamav oproti komercnim sitovym antivirum? Ja mohu jen posoudit, ze po nasazeni untagle jsem resil podstatne mene viru na stanicich

-kvalita free seznamu kategorii webu oproti komercnim, mam jen starsi spatnou zkusenost s placenymi kategoriemi na zywally jez nemel skoro vubec zakategorizovane ceske porno stranky tj. byl pro nase prostredni nepozuitelny, na druhou stranu mam dobropu aktualni zkusenost s opendns.com

-nejake zkusenosti s moznosti nastaveni fitrace spravcem konkretni site , tzn lokalni admin si muze navolit zda se bude filtrovat porno, pripadne jake stranky jeste zakaze/povoli mimo globalni konfiguraci, fortinet to pry resi radiusem a nejakymi predvollenymi profily

-jakekoliv zkusenosti z provozu s podobnym resenim typu provozujem v pohode, mel jsem tenhle prpduk ale nefungovalo korektne tohle ale tohle nam bezi OK, urcite to bude zajimat cim dal vice adminu a mne to snad ukaze spravnou cestu

Vyhodou: -virtualni aplience , kdyz navysim pocet uzivatelu nechci kupovat novou krabici -otevreny kod ci moznost zakladni konfigurace povolenych websites,protokolu pro urcitou sit "lokalnim adminem" co vim bezne se resi pres radius -zakladni funkcionalita zdarma, rozsirena komercni antivirus apodobne s dobrym pomerem ceny na uzivatele, pokud to bude delat co ma tak uzivatelu budou stovky

Aktualni hraci o trun: -untangle.com kdysi jsem uspesne nasadil a bez starosti provozoval ve firmne o cca 70 uzivatelich a minimalne sitovy freeantivirus /clamav/ delal co ma a firewall na aplikacni urovni take, moznost dokupovani komercnich variant k jednotlivym free alternativam -clearos.com prijde mi zajimavy i komunitni projekt s free i komercnimi moduly, ale kdyz bych chtel komercni aplikace musim jiz mit komercni verzi placenou na mesicni bazi dle pictu uzivatelu, ale prijde mi ze projekt docela zije je komplexni a ma plno zajimavych funkcionalit -endian.com, rovnez free a placene moduly, prsi se ze pouzivaji i velke nadnarodni firmy -fortinet.com , ryze komercni produkt, chlubi se 60 techniky primo v Cr, zmaknutou spolupraci s radiusem, ale i virtualku clovek zaplati

My jedeme tak, že máme odchozí provoz kompletně blokován a je povolena jen proxy, kde filtrujeme obsah (zakázání stahování různých přípon apod.). Navíc uživatelé vědí, že se vše loguje, takže si dávají bacha a nezlobí.
Nejvíce bordelu chodilo přes emaily, což se vyřešilo tak, že se blokuje nějaký seznam přípon příloh + ten stejný seznam se kontroluje v archivech + je zakázán archiv v archivu (začaly chodit exe sračky, co byly zip v zipu).
Tím jsme se zbavili jakýchkoli problémů.
Jinak teď je v plánu migrace stanic do AD a následně bych chtěl i nasadit politiky, aby uživatel mohl spustit jen definovaný sw, nic víc. Kdyby se tedy do pc nějakou cestou dostalo něco škodlivého, tak by to nemělo jít spustit. Uvidíme, jak to půjde.
Zdar Max