kim-aa
firewall-ы поддердивают обработку пакетов другой программой (перенаправление) и перенаправлеие трафика. что, в принципе дает возможность отправить что угодно куда угодно для обработки.
nurislam
обработка
всего трафика на-лету обозначает, что firewall должен успеть все проходящие через него пакеты собрать по кучкам в то целое, для чего они предназначены, проверить и разобрать по-новой, успев при сборке-разборке проверить контроль четности, порядок и т.д. (чтобы собственно грамотно собрать-разобрать). В "домашних" условиях такое явно невозможно, это должно требовать специального железа.
Поэтому в мелких сетях используются обычно следующие схемы:
1) Сервер с firewall-ом, который просто рубит трафик, идущий откуда не надо и куда не следует. (Это не антивирусная защита, а защита от атак и их последствия)
2) Почтовые отправления - проверка на сервере с подключением антивируса и, возможно, спам-защиты. (Эти задержки никого вообще не напрягают, так как никем не замечаются
. Возможна интеграция с практически любым из распространенных почтовиков. Ресурсы, пожалуй, можно не обсуждать т.к. см. выше ).
3) Прозрачный прокси (т.е. принудительный заворот всего http-трафика на прокси-сервер незаметно для пользователя) с чем-нибудь вроде squid-guard-а (мешает любителям порнухи и, как это не смешно - mail.ru, который там сидит в черном списке, если ничего не изменилось
)
4) Подключение антивируса к proxy (а вот это уже начинает подтормаживать работу).
5) файловый сервер с антивирусом (вот тут можно выпендриться - поставить *nix с samba, которым будет наплевать на те зараженные файлы, которые на них попадут и запускать там антивирусник для проверки этих самых файлов по приходе.
6) Обязательно - антивирусы на win-машинах для проверки всего и вся с централизованным принудительным обновлением (можно через свой сервер, куда складировать обновления, - все зависит от конкретного антивируса)
Обратите внимание, что
- пункт 2 частично спасает от вирусов, приходящих по почте на корпоративный адрес, но никак не влияют на те почтовые вирусы, которые подхватят Ваши клиенты со своих адресов, находлящихся на других серверах
- антивирусная защита *nix больше нужна для защиты не *nix, а для защиты win-клиентов. Причем (если не фильтровать все, что, повторяю, в наших условиях физически нереально), она не является обсолютной и должна сочетаться с защитой на самих клиентах
- чем выше требования к безопасности организации, тем жестче могут быть правила (скажем запрет на почту с некорпоративного сервера, - делается средствами firewall-а,- и т.д.)
Дополнительные средства защиты (особенно если безопасность важна, а вирусы надоели):
- Как промежуточный вариант, - оставить win (если без него нельзя), но максимально уйти от потенциально опасных продуктов (использовать Opera/FireFox вместо IE, OpenOffice вместо MSOffice, Thunderbird (кстати, замечательно фильтрующий оставшийся спам) в качестве почтовика.
- Как окончательный вариант, - подумать о том, какое ПО должно использоваться в Вашей отрганизации и нет ли в связи с этим возможности пересадить пользователей, скажем, на suse (чтобы разницу не слишком заметили)
