Quando / por que usar um proxy / gateway da web?

10

No momento, temos cerca de uma rede de 25 a 30 PCs, conectada à Internet com um dispositivo SonicWall Firewall / Roteador comum. Não há muito filtro / bloqueio além do SMTP de saída (para vírus etc.). Lembro-me de ler que em algum momento uma rede / empresa atinge massa crítica e precisa enviar as coisas através de um proxy / gateway da Web ... mas não por que!

Meu palpite é talvez para filtragem de conteúdo (não visite sites pornográficos, etc.) e / ou vírus (para que eles não baixem arquivos infectados por vírus), mas precisamos de um dispositivo dedicado para isso? Por que coisas como os ASAs da Cisco não funcionam? Que outras razões teríamos para fazer isso? Como posso determinar se / quando precisamos mudar para um proxy da web?

Atualmente, não temos planos de monitorar / limitar o acesso à Web e cada área de trabalho possui antivírus instalado.

security  proxy  webfilter 
Matt Rogish
fonte

Respostas:

7

Um servidor proxy de saída pode fornecer mais de um benefício à sua rede:

  • Cache de conteúdo - em vez de 25 pessoas acessando sua conexão DSL com recargas de página slashdot e fark, o conteúdo pode ser armazenado em cache em um servidor interno. Isso agilizará o acesso a sites externos, especialmente quando as imagens são armazenadas em cache no proxy.
  • Monitoramento de conteúdo - você sempre pode voltar e ver os logs, se quiser.
  • Filtragem de conteúdo - verificação de vírus, etc.
  • Restrições de acesso - geralmente, navegar pornô nos computadores do caixa é um não-não.
  • Identificação do usuário - talvez você queira saber quem está navegando o dia todo

A resposta para a pergunta "quando precisamos mudar para um proxy da web" geralmente é respondida por "quando você precisa de uma das funções acima".

Você precisa do Cache de conteúdo ao enviar "muito" tráfego pela sua conexão com a Internet. Talvez a conexão seja lenta ou talvez você esteja recebendo cobranças excedentes que gostaria de evitar.

Quanto às outras funções, você precisa de um proxy quando deseja executar essa função. Geralmente, existem outras maneiras de realizar essas funções também, sim, mas um proxy geralmente é o "mais fácil".

MikeyB
fonte
3

Eu, instalei um proxy da Web para fornecer um cache local. Tínhamos uma configuração com cerca de 40 usuários. Eu usei um servidor Linux dedicado com um proxy Squid , então não posso falar do filtro da web Barracuda. Eu configurei nosso gateway para habilitar proxy transparente, para que ninguém veja a diferença. Com o tempo, foi adicionada uma filtragem limitada (alguns sites ruins conhecidos) e mudei nosso encaminhamento de DNS para o OpenDNS para reduzir o risco de pessoas terminarem em sites de pesca. Quanto a você, nunca consideramos limitar o acesso das pessoas à Internet.

Os benefícios que obtive ao adicionar um cache local foram:

  • Reduziu o uso da banda de conexão da Internet do escritório (a velocidade de download ficou um pouco mais rápida em gêneros).
  • Reduzido em quase 40% a quantidade total de dados baixados pela Internet.
  • Filtragem de conteúdo de sites conhecidos de pesca e exploração.

Meu entendimento é que, com o Barracuda Web Filter básico, existe realmente para impedir que as pessoas naveguem em conteúdo inadequado ou usem mensagens instantâneas. As versões maiores parecem incluir armazenamento em cache. Pela minha experiência, eu não configuraria um filtro da Web sem o cache, porque sentiria que não recebo nenhum tipo de retorno sobre o investimento apenas filtrando as conexões das pessoas.

Pierre-Luc Simard
fonte
2

Ouvi o mesmo número de vezes e, na minha experiência, não funciona. A educação dos usuários é o caminho.

Incluído em minhas funções está a manutenção de uma rede de escritório com ~ 50 computadores e não temos uma solução de proxy. No entanto, o que eu faço é proteger alguém imediatamente, se estiver causando problemas. Então vá conversar com eles e explique por que eu fiz isso.

Isso pode parecer um pouco duro, mas faz maravilhas, eles logo percebem o que podem e não podem fazer e, geralmente, os usuários não fazem a mesma coisa duas vezes.

Observe que provavelmente tenho 1 incidente por mês em que tenho que fazer o firewall de alguém e eles geralmente serão autorizados a voltar assim que terminar de falar com eles.

Nathan
fonte
Eu geralmente concordo com você. Eu estava discutindo isso com um amigo: quando as pessoas têm acesso a conteúdo não relacionado ao trabalho, você pode avisar os trabalhadores dos preguiçosos. Se você os bloquear, nunca saberá!
Spoulson
1

No meu trabalho atual, usamos um filtro como resultado de pessoas assistindo a vídeos transmitidos dentro e fora de seus intervalos de almoço. Temos um horário de almoço rotativo, assim como o grupo1 está fora para o almoço, o grupo2 ainda está funcionando. Isso estava matando nossa largura de banda para o mundo exterior, como resultado, adquirimos um filtro da Web Barracuda. Funciona bem, nossa necessidade era abrir uma largura de banda cara.

Também ajudou a limpar alguns spywares / porcarias gerais da Internet em toda a nossa rede, o que foi um ótimo bônus.

Controle de taxa
fonte
1

Talvez o documento que você estava lendo falava sobre um cache da Web em vez de apenas um proxy / gateway? Um cache é um proxy que armazena as páginas visitadas com frequência e as entrega aos seus clientes, em vez de fazer uma solicitação no seu link wan toda vez que alguém na sua rede solicita algo.

Em uma rede com cerca de 100 usuários, costumo ver que cerca de 25 a 30% das solicitações são atendidas a partir do cache, é claro que isso representa apenas uma economia de 8 a 12% na largura de banda, porque coisas frequentemente usado tende a ser arquivos menores.

Se você tiver um cache limitado de largura de banda, isso ajudará a acelerar um pouco as coisas.

Zoredache
fonte
0

Quando uma empresa atinge um determinado tamanho, seu departamento jurídico o força a começar a censurar o acesso à Web devido a riscos de assédio sexual. Um proxy facilita a implementação.

Basicamente, tudo o que uma mulher deseja é assédio sexual nos EUA. Com o costume de organizar escritórios para que todos possam ver o monitor de todos, isso cria um enorme risco.

Só porque obviamente não há nada de errado com isso ou nenhuma maneira de uma pessoa razoável ser ofendida não significa que não seja assédio sexual.

Qual o tamanho de uma empresa depende do setor, onde você está no mundo e quantas mulheres estão trabalhando lá. Normalmente, uma empresa pode suportar um incidente antes de uma repressão. O papel da empresa é mostrar que eles estão fazendo algo a respeito, não importa que seja impossível impedir.

Eu configuraria um proxy desde o primeiro dia, dessa forma, você pode restringir mais as pessoas que não são de TI do que as pessoas de TI e diminuir a probabilidade de a empresa forçar algo extremamente restritivo a todos.

E você PRECISA do log se estiver executando um negócio sério.

Carlito
fonte
Parece que alguém foi queimado por regras zelosas de assédio sexual! Um amigo meu foi preso pela polícia federal depois de sair de um voo doméstico porque o hostie se sentiu assediado sexualmente. Pena que eles prenderam o cara errado.
27430 Mark Henderson
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.