всем доброго времени суток.
вопрос такой, антивирус под *никс системы только борется с вирями для этих же систем, или же он проверяет все вирусы, включая виндовые оси?
если последнее действительно, то все ли *никс авири так работают, или тока некоторые?
возможно ли настроить систему таким образом, чтоб весь проходящий траф от шлюза потом проходил через антивирусный сервер? или возможно настроить систему таким макаром, чтоб шлюзовый сервак еще и на заразность проверял?
всем откликнувшимся заранее благодарен.

зы: извините, если не в той рубрике разместил, в этом случае прошу модераторов перенести куда надо ... :)

антивирус под *никс системы только борется с вирями для этих же систем, или же он проверяет все вирусы, включая виндовые оси?
по-разному. Зависит от ПО и настройки
если последнее действительно, то все ли *никс авири так работают, или тока некоторые?
см. выше
возможно ли настроить систему таким образом, чтоб весь проходящий траф от шлюза потом проходил через антивирусный сервер?
Можно даже весь трафик проверять. Только надо понимать, что сервер должен быть очень мощным, чтобы минимально тормозить.
или возможно настроить систему таким макаром, чтоб шлюзовый сервак еще и на заразность проверял?
вот тут не понятоно - кого и как он должен проверять? Все и вся в комнате, включая грипп и птичий грипп? :)

спасибо mar, а можно подробнее по поводу по-разному. Зависит от ПО и настройки ?

nurislam
да, естественно. То есть можно установить антивирус, кторый бы просто проверял саму машину (как клиентскую win машину). По понятным причинам это очень мало кто делает :). А можно установить серверное ПО, например, антивирусник, работающий в паре с почтовым серверем, антивирусник, работающий в паре со squid. Теоретически можно вообще проверять аесь трафик, но, естественно, это можно себе позволить толлько на очень мощном железе (да и то, подозреваю, что тормоза все равно неизбежны)

mar ого как ... а какая минимальная конфигурация железа должна быть, чтоб антивирь проверял траф и почту и не сильно тормозил?

... А 12 шапок, из одной шкуры, сшить можешь? И 12 могу ..

mar ого как ... а какая минимальная конфигурация железа должна быть, чтоб антивирь проверял траф и почту и не сильно тормозил?
А сколька трафика?
Как он в соотносится по типам? (http, https, ftp, smtp, pop3, imap4 .....)
А сколько "не сильно тормозил" для Вас?
А сколько почтовых отправлений обрабатывет в минуту почтовик?
А проверять будем любой чих или только файловые операции (типа get, put?)
А прокси, Firewall, почта не на одной ли машине стоят?

И это только начало вопросов ;)

nurislam
Зачастую это пишут в минимальных системных требованиях ПО.
kim-aa
Не стоит строить из себя самого знающего человека на Земле. Если nurislam хочет разобраться досканально, то почему бы вам ему не помочь?

kim-aa
А сколька трафика?
сеточка маааленькая, 6-7 компов
Как он в соотносится по типам? (http, https, ftp, smtp, pop3, imap4 .....)
хттп, фтп, поп3+смтп ... и все, стандартный набор короче, у наших почты с имап-ом вроде нет (а это все играет роль?)
А сколько "не сильно тормозил" для Вас?
ну как обчно, чтоб не идти и пить чай/кофе, а вполне сносно работала
А сколько почтовых отправлений обрабатывет в минуту почтовик?
своего почтовика нет, пока нет :)
А проверять будем любой чих или только файловые операции (типа get, put?)
хотелось бы любой :)
А прокси, Firewall, почта не на одной ли машине стоят?
пока еще ничего не стоит (это то я и собираюсь ставить), а в планах именно на одной машине
И это только начало вопросов
спасибо за начало, думаю ответы Вам помогут помочь мне (каламбур типа :) )

[mzd] спасибо за поддержку ...

Упрощенная структура сетевого противодействия (супер-пупер заумь типа детекторов вторжения и анализаторов сигнатур известных атак опустим, ибо нафиг не надо, ибо дюже дорого и сложно). Вобще без разницы как Вы будете реализовывать, на Unix или Win
1) Первая фильтрация на firewall'e.
Могут фильтроваться/анализироваться все опрерации, по крайней мере как заявляют производители.
Заявление чесно-говоря сомнительное, т.к. реально вирус в систему можно занести только как файл с последующим запущанием.
Представителем племени является Firewall 1. Стоят сумасшедшие деньги. Жрут не менее сумасшедшие ресурсы, но реально скорость низка.
Грубо говоря, при допущении что памяти системы достаточно для разового "вмещания" всех данных анализируемой операции (не сбрасываем ни чего на диск) 2ГГц машина не выдаст более 512kbps в среднем, трафик будет весьма "рванным" - полоса пропускания (bandwith), все время плавает, потоковые приложения типа Skype будут чувствовать себя плохо (заикаться).
Вроде бы какое то упоминание об антивирусе было в Kerio (c 6й версии), но это нужно уточнить, я давно с ним не работал - могут быть всплеки маразма :).

Другая часть firewall'ов анализируют операции скачки/закачки файлов (что мне лично считается более реальным), причем проверяют не сами, а отсылают на сервер проверки.
- файлом по ftp (GuardianPro 5.0x) - антивирус любой посути дела, т.к. проверка осуществляется именно файла. Быстродействие определяется скоростью канала и сервероп проверки.
- Отсылается сигнатура закачиваемого файла на центральный сервер проверки производителя (Сheck point - аппаратная коробочка) - дорого для Вас (1500$).

2) Вторая фильтрация
На почтовых серверах, proxy Серверах. В больших почтовиках ,типа M-Daemon - уже встроен (AVP32)
Из бесплатных - ClamAV.
Из платных - drWeb.
Не ресурсоемки, т.к. проверяют по факту. P3 1000 хватало на 50 пользователей.
ClamAV сейчас живет на SendMail, Sun v100, Sparc 550MHz, Solaris 10 - Обслуживает человек так 200.

3) Ну и ессно непосредственно на рабочих станциях, антивирусы общего назначения.
==================================================================================================== =================

kim-aa спасибо за очччень содержательный ответ ... тока из всего сказанного понял пункты 2 и 3. :)
а м-демон под *никс тоже есть?

а м-демон под *никс тоже есть?
Очень давно уже нет.
А смысл? Он на рынке Unix особо не конкурентен, т.е. его возможности конечно огромны для единого пакета, но Unix их возможно повторить совмещением нескольких пакетов.
-----------------------------------------------------
Забыл упомянуть по 1му пункту, что я не встречал free firewall под UNIX, который поддерживает подключение антивируса для проверки на лету
(по крайней мере это верно для IPFW, IPfilter, PF firewall)

kim-aa
firewall-ы поддердивают обработку пакетов другой программой (перенаправление) и перенаправлеие трафика. что, в принципе дает возможность отправить что угодно куда угодно для обработки.

nurislam
обработка всего трафика на-лету обозначает, что firewall должен успеть все проходящие через него пакеты собрать по кучкам в то целое, для чего они предназначены, проверить и разобрать по-новой, успев при сборке-разборке проверить контроль четности, порядок и т.д. (чтобы собственно грамотно собрать-разобрать). В "домашних" условиях такое явно невозможно, это должно требовать специального железа.
Поэтому в мелких сетях используются обычно следующие схемы:
1) Сервер с firewall-ом, который просто рубит трафик, идущий откуда не надо и куда не следует. (Это не антивирусная защита, а защита от атак и их последствия)
2) Почтовые отправления - проверка на сервере с подключением антивируса и, возможно, спам-защиты. (Эти задержки никого вообще не напрягают, так как никем не замечаются :). Возможна интеграция с практически любым из распространенных почтовиков. Ресурсы, пожалуй, можно не обсуждать т.к. см. выше ).
3) Прозрачный прокси (т.е. принудительный заворот всего http-трафика на прокси-сервер незаметно для пользователя) с чем-нибудь вроде squid-guard-а (мешает любителям порнухи и, как это не смешно - mail.ru, который там сидит в черном списке, если ничего не изменилось :))
4) Подключение антивируса к proxy (а вот это уже начинает подтормаживать работу).
5) файловый сервер с антивирусом (вот тут можно выпендриться - поставить *nix с samba, которым будет наплевать на те зараженные файлы, которые на них попадут и запускать там антивирусник для проверки этих самых файлов по приходе.
6) Обязательно - антивирусы на win-машинах для проверки всего и вся с централизованным принудительным обновлением (можно через свой сервер, куда складировать обновления, - все зависит от конкретного антивируса)
Обратите внимание, что
- пункт 2 частично спасает от вирусов, приходящих по почте на корпоративный адрес, но никак не влияют на те почтовые вирусы, которые подхватят Ваши клиенты со своих адресов, находлящихся на других серверах
- антивирусная защита *nix больше нужна для защиты не *nix, а для защиты win-клиентов. Причем (если не фильтровать все, что, повторяю, в наших условиях физически нереально), она не является обсолютной и должна сочетаться с защитой на самих клиентах
- чем выше требования к безопасности организации, тем жестче могут быть правила (скажем запрет на почту с некорпоративного сервера, - делается средствами firewall-а,- и т.д.)
Дополнительные средства защиты (особенно если безопасность важна, а вирусы надоели):
- Как промежуточный вариант, - оставить win (если без него нельзя), но максимально уйти от потенциально опасных продуктов (использовать Opera/FireFox вместо IE, OpenOffice вместо MSOffice, Thunderbird (кстати, замечательно фильтрующий оставшийся спам) в качестве почтовика.
- Как окончательный вариант, - подумать о том, какое ПО должно использоваться в Вашей отрганизации и нет ли в связи с этим возможности пересадить пользователей, скажем, на suse (чтобы разницу не слишком заметили)

mar спасибо за содержательный ответ :)