作者 主題: Proxy Server 的普遍率高嗎?  (閱讀 26771 次)

0 會員 與 1 訪客 正在閱讀本文。

threeseconds

  • 俺是博士!
  • *****
  • 文章數: 1368
    • 檢視個人資料
    • http://www.3sec.tw
Proxy Server 的普遍率高嗎?
« 於: 2006-05-23 14:15 »
我公司的 Linux Firewall 運作了三個月,前陣子我家主管決定換成 Netscreen 50,
其實我並不反對換成硬體防火牆,但花了10幾萬卻比 Linux 少了一大堆功能,再怎麼想我都很難接受,
原先的 Linux Firewall 上面除了 iptables 防火牆以外,
還有 DNS Server, Transparent Proxy, SARG, MRTG, NTOP.....等服務,
現在說聲換就換,我已經用盡一切理由說服他仍然無效,他反對的理由之一倒讓我有很大的疑問,
這台 Netscreen 50 是我們的 ISP TTN 工程師向我們推薦的,我曾質疑過為何不支援 Transparent Proxy,
他的回答是:"現在幾乎沒有公司在內部架設 Proxy Server,一般說來沒有這個必要。"
後來這句話也成為我主管反對的理由,他認為沒有架設 Proxy server 的必要,
但這台 Linux Firewall (+Proxy Server) 運作了三個月,無論節省頻寬或做控管的效能都比我預期的更好,
我唯一懷疑的就是,像我們超過 200PC 以上的環境,真的很少有公司在架設 Proxy Server 嗎?
可否請各位前輩談談您的經驗與實際的狀況?
我希望能反駁我主管和 TTN 工程師的論點,但希望有點具體的資料給他們看,

謝謝各位的指教。
本文作者為天線寶寶,長期關注兒童智力發展狀態。

u8526425

  • 俺是博士!
  • *****
  • 文章數: 1135
  • 性別: 男
    • 檢視個人資料
Proxy Server 的普遍率高嗎?
« 回覆 #1 於: 2006-05-23 14:34 »
我們以MS ISA server做防火牆兼Proxy
150人以下環境
約能節省25%的WAN頻寬

不過不建議與上面硬槓
依哪每宋
丟嗯栽A最出瞎米代誌
多見者博,多聞者智,拒諫者塞,專己者孤

JackYang78

  • 榮譽博士
  • 俺是博士!
  • *****
  • 文章數: 2672
    • 檢視個人資料
Proxy Server 的普遍率高嗎?
« 回覆 #2 於: 2006-05-23 14:40 »
端看你老闆的心態.......

1. Linux Server 是只有你會,還是還有其它工程師會 ?
2. TTN 當然想要賺您的錢(頻寬).. 不過也請您衡量自己到底需要多少頻寬才夠!!
3. Proxy Server 另一個好處是可以導出(上網的記錄),改用硬體式的 Firwall 不見得可以了解上網行為 ?
4. 換一個網路環境來玩玩不也是很好!!
Networking & Communication Security SE

jjx

  • 懷疑的國中生
  • **
  • 文章數: 71
    • 檢視個人資料
Proxy Server 的普遍率高嗎?
« 回覆 #3 於: 2006-05-23 16:08 »
freebsd + squid proxy,
150 人環境, 管制設定都很方便,

公司有多線對外的線路時, 每線都放上一台的話,
使用flashget/nettransport抓檔時,可以用最多頻寬抓檔 ^^

threeseconds

  • 俺是博士!
  • *****
  • 文章數: 1368
    • 檢視個人資料
    • http://www.3sec.tw
Proxy Server 的普遍率高嗎?
« 回覆 #4 於: 2006-05-23 16:41 »
To u8526425:
感謝您的建議,這是小問題,我本來就有計劃將 Firewall 和 Proxy Server 分開,只不過現在出現變卦了....
如果這個困難能解決的話,剩下的都不是難事。

To JackYang78:
公司內只有我會 Linux,我也不知道主管是不是擔心被我綁住技術,這個問題應該不大...
主管說廠商賣防火牆有送 trainng,會送我去上課,當然能多學東西是很好,
但我著眼的是未來這台防火牆到底能節省我們更多的頻寬(時間、效能...,etc)
還是增加更多的管理困難?恐怕是後者....
當然廠商為了賺錢會不擇手段,賣防火牆讓你無法節省頻寬,這樣他可以賣更多頻寬,何樂而不為?
(其實我個人認為 TTN 是個不錯的 ISP,但是這種陰謀論的說辭也不是我願意的呀...)

換一個網路環境也不錯,但是我一想到未來肯定會發生的問題我就一整個 Orz...
主管說我固執,但是眼前看著這個肯定會出包的決策,我能不固執嗎?
本文作者為天線寶寶,長期關注兒童智力發展狀態。

JackYang78

  • 榮譽博士
  • 俺是博士!
  • *****
  • 文章數: 2672
    • 檢視個人資料
Proxy Server 的普遍率高嗎?
« 回覆 #5 於: 2006-05-23 16:57 »
其實你還是可以把 Linux Proxy Server 放在 NetScreen 後面,繼續使用Proxy Server 的架構呀!!

管理困難應該不至於,且 Proxy Server 在 Firewall 後面也不錯喔..
Networking & Communication Security SE

threeseconds

  • 俺是博士!
  • *****
  • 文章數: 1368
    • 檢視個人資料
    • http://www.3sec.tw
Proxy Server 的普遍率高嗎?
« 回覆 #6 於: 2006-05-23 17:08 »
沒錯,TTN 工程師也提過相同的建議,但是還有兩個問題:

1. 主管的想法不只是要換成 Netscreen,而且還要撤掉這台 Linux Proxy Server,
理由是:主機能減少就減少,盡量減少管理困難。
問題是公司業務持續擴張,電腦數和使用者人數都在逐年增加,
各種 Service 只會愈來愈多,除非外包出去,不然怎麼可能減少?
(本來我還打算今年再增加三台 Server 來分攤各種 Service,但現在...算了,先解決眼前的問題再說)

2. Proxy 放在 Firewall 後面也可以,但我的想法還是要做 Transparent Proxy,
所以要再用一條 iptables 把所有 port80 出去的封包都抓進 port3128,
另外再加上 SARG、MRTG 之類的東西,整體而言跟原本的差異並不大,
簡而言之:既然用免費的 Linux 就能做得到更多的事,為什麼我要花錢去買功能更少的東西來取代?

所以問題還是回到原點,若不是換成 Netscreen 撤掉 Linux,不然就是維持原樣,
目前主管仍然堅持他的想法....我還在想該怎麼說服他.....
本文作者為天線寶寶,長期關注兒童智力發展狀態。

JackYang78

  • 榮譽博士
  • 俺是博士!
  • *****
  • 文章數: 2672
    • 檢視個人資料
Proxy Server 的普遍率高嗎?
« 回覆 #7 於: 2006-05-23 17:14 »
敢問貴公司 200 人... 使用多少頻寬 ?! 可以區分 User 上網 or Other Services 嘛 ?!

因為頻寬真的很便宜,也因如此,大多的 IT 主管敢花錢的話,這不是問題 !!
問題是,敢花多少錢,這是重點 ?!
Networking & Communication Security SE

threeseconds

  • 俺是博士!
  • *****
  • 文章數: 1368
    • 檢視個人資料
    • http://www.3sec.tw
Proxy Server 的普遍率高嗎?
« 回覆 #8 於: 2006-05-23 17:57 »
這 200 是 PC 數量,實際人數遠超過這個數目......200 台都是有上網的。
我的想法是,花錢增加頻寬當然也是個辦法,但是如果不對白目 user 管制頻寬,
就算花錢買再多的頻寬也一樣輕輕鬆鬆就可以吃乾淨,
所以即使要花錢增加頻寬,該管制的還是該管制,該節省的還是要節省。
本文作者為天線寶寶,長期關注兒童智力發展狀態。

allnewlinux

  • 俺是博士!
  • *****
  • 文章數: 1455
    • 檢視個人資料
Proxy Server 的普遍率高嗎?
« 回覆 #9 於: 2006-05-23 18:16 »
引述: "threeseconds"
這 200 是 PC 數量,實際人數遠超過這個數目......200 台都是有上網的。
我的想法是,花錢增加頻寬當然也是個辦法,但是如果不對白目 user 管制頻寬,
就算花錢買再多的頻寬也一樣輕輕鬆鬆就可以吃乾淨,
所以即使要花錢增加頻寬,該管制的還是該管制,該節省的還是要節省。


以現在的NetScreen或Fortigate都可以在policy上設定頻寬和優先順序的..

只是..policy很多條的話..挺累的.. :roll:

JackYang78

  • 榮譽博士
  • 俺是博士!
  • *****
  • 文章數: 2672
    • 檢視個人資料
Proxy Server 的普遍率高嗎?
« 回覆 #10 於: 2006-05-24 07:51 »
引述: "threeseconds"
這 200 是 PC 數量,實際人數遠超過這個數目......200 台都是有上網的。
我的想法是,花錢增加頻寬當然也是個辦法,但是如果不對白目 user 管制頻寬,
就算花錢買再多的頻寬也一樣輕輕鬆鬆就可以吃乾淨,
所以即使要花錢增加頻寬,該管制的還是該管制,該節省的還是要節省。


的確如此,不過你的老闆是一個問題 !!

再給你一個數據參考....

上線人數: 約 1200 人, 使用 Proxy Server x 3 台 ( P4 主機 )

Incoming 部份頻寬約使用 6 M ~ 8M 當然這一部份有管制
Outgoing 部份頻寬約使用 2 M 左右

人數還在增加中, 利用 Porxy Server 做上網行為模式分析,是一個很好的說辭!!

Proxy Server + Firewall 若可以配合使用,會是很好的 Solution !!
因為不是每一個 Services 都可以由 Proxy 來代理,除非你可以找到代理程式,
這一段由 Firewall 來取代應該是不錯的 Solution !!
Networking & Communication Security SE

allnewlinux

  • 俺是博士!
  • *****
  • 文章數: 1455
    • 檢視個人資料
Proxy Server 的普遍率高嗎?
« 回覆 #11 於: 2006-05-24 12:12 »
引述: "JackYang78"
引述: "threeseconds"
這 200 是 PC 數量,實際人數遠超過這個數目......200 台都是有上網的。
我的想法是,花錢增加頻寬當然也是個辦法,但是如果不對白目 user 管制頻寬,
就算花錢買再多的頻寬也一樣輕輕鬆鬆就可以吃乾淨,
所以即使要花錢增加頻寬,該管制的還是該管制,該節省的還是要節省。


的確如此,不過你的老闆是一個問題 !!

再給你一個數據參考....

上線人數: 約 1200 人, 使用 Proxy Server x 3 台 ( P4 主機 )

Incoming 部份頻寬約使用 6 M ~ 8M 當然這一部份有管制
Outgoing 部份頻寬約使用 2 M 左右

人數還在增加中, 利用 Porxy Server 做上網行為模式分析,是一個很好的說辭!!

Proxy Server + Firewall 若可以配合使用,會是很好的 Solution !!
因為不是每一個 Services 都可以由 Proxy 來代理,除非你可以找到代理程式,
這一段由 Firewall 來取代應該是不錯的 Solution !!


Proxy Server還有個好處..以我公司來說..當主要上網線路斷線或塞車..我就用webmin連上改server的gateway到另外1條線路的firewall... c c c c

JackYang78

  • 榮譽博士
  • 俺是博士!
  • *****
  • 文章數: 2672
    • 檢視個人資料
Proxy Server 的普遍率高嗎?
« 回覆 #12 於: 2006-05-24 12:29 »
引述: "allnewlinux"
引述: "JackYang78"
引述: "threeseconds"
這 200 是 PC 數量,實際人數遠超過這個數目......200 台都是有上網的。
我的想法是,花錢增加頻寬當然也是個辦法,但是如果不對白目 user 管制頻寬,
就算花錢買再多的頻寬也一樣輕輕鬆鬆就可以吃乾淨,
所以即使要花錢增加頻寬,該管制的還是該管制,該節省的還是要節省。


的確如此,不過你的老闆是一個問題 !!

再給你一個數據參考....

上線人數: 約 1200 人, 使用 Proxy Server x 3 台 ( P4 主機 )

Incoming 部份頻寬約使用 6 M ~ 8M 當然這一部份有管制
Outgoing 部份頻寬約使用 2 M 左右

人數還在增加中, 利用 Porxy Server 做上網行為模式分析,是一個很好的說辭!!

Proxy Server + Firewall 若可以配合使用,會是很好的 Solution !!
因為不是每一個 Services 都可以由 Proxy 來代理,除非你可以找到代理程式,
這一段由 Firewall 來取代應該是不錯的 Solution !!


Proxy Server還有個好處..以我公司來說..當主要上網線路斷線或塞車..我就用webmin連上改server的gateway到另外1條線路的firewall... c c c c


好麻煩喔... 前端加一台 簡易型的頻寬管理器就好了... 搞定 !!
自動斷線備援 !!
Networking & Communication Security SE

allnewlinux

  • 俺是博士!
  • *****
  • 文章數: 1455
    • 檢視個人資料
Proxy Server 的普遍率高嗎?
« 回覆 #13 於: 2006-05-24 12:36 »
引述: "JackYang78"
引述: "allnewlinux"
引述: "JackYang78"
引述: "threeseconds"
這 200 是 PC 數量,實際人數遠超過這個數目......200 台都是有上網的。
我的想法是,花錢增加頻寬當然也是個辦法,但是如果不對白目 user 管制頻寬,
就算花錢買再多的頻寬也一樣輕輕鬆鬆就可以吃乾淨,
所以即使要花錢增加頻寬,該管制的還是該管制,該節省的還是要節省。


的確如此,不過你的老闆是一個問題 !!

再給你一個數據參考....

上線人數: 約 1200 人, 使用 Proxy Server x 3 台 ( P4 主機 )

Incoming 部份頻寬約使用 6 M ~ 8M 當然這一部份有管制
Outgoing 部份頻寬約使用 2 M 左右

人數還在增加中, 利用 Porxy Server 做上網行為模式分析,是一個很好的說辭!!

Proxy Server + Firewall 若可以配合使用,會是很好的 Solution !!
因為不是每一個 Services 都可以由 Proxy 來代理,除非你可以找到代理程式,
這一段由 Firewall 來取代應該是不錯的 Solution !!


Proxy Server還有個好處..以我公司來說..當主要上網線路斷線或塞車..我就用webmin連上改server的gateway到另外1條線路的firewall... c c c c


好麻煩喔... 前端加一台 簡易型的頻寬管理器就好了... 搞定 !!
自動斷線備援 !!


....幾乎不太會發生要切換的事...所以沒有買..

yousee

  • 訪客
Proxy Server 的普遍率高嗎?
« 回覆 #14 於: 2006-05-24 15:21 »
大家都離題了!
本篇是問"Proxy Server 的普遍率高嗎?"
說真的它是有週期的
在撥接時代 proxy 剛出來時很流行
到adsl 開始時就退流行
因為頻寬變便宜了
而現在因為 "瞭解上網行為" 盛行
它有開始流行了
但它和"頻寬控制"是同等效果
所以就分兩個陣營
各有愛好者
我想貴主管應該是"頻寬控制"陣營"

OK!
題外話
您主管考量:
1. Netscreen 有頻寬管理, 可以省頻寬, 所以 PROXY 不需要
2. Netscreen WEB 管理介面, 比 linux 好管理
3. Netscreen 有問題, reboot 快馬上就好
4. Netscreen 可以將設定備份下來, 如需 RESET, RESET完後設定可以回覆
5. Netscreen 手冊比 LINUX 手冊 頁數少很多, 他可以很快學會
6. 很多大公司用 Netscreen這牌"專屬"防火牆
7. 只有您會 LINUX, 他學不會

kaychiou

  • 可愛的小學生
  • *
  • 文章數: 9
    • 檢視個人資料
Re: Proxy Server 的普遍率高嗎?
« 回覆 #15 於: 2006-05-25 10:07 »
引述: "threeseconds"
我公司的 Linux Firewall 運作了三個月,前陣子我家主管決定換成 Netscreen 50,
其實我並不反對換成硬體防火牆,但花了10幾萬卻比 Linux 少了一大堆功能,再怎麼想我都很難接受,
原先的 Linux Firewall 上面除了 iptables 防火牆以外,
還有 DNS Server, Transparent Proxy, SARG, MRTG, NTOP.....等服務,
現在說聲換就換,我已經用盡一切理由說服他仍然無效,他反對的理由之一倒讓我有很大的疑問,
這台 Netscreen 50 是我們的 ISP TTN 工程師向我們推薦的,我曾質疑過為何不支援 Transparent Proxy,
他的回答是:"現在幾乎沒有公司在內部架設 Proxy Server,一般說來沒有這個必要。"
後來這句話也成為我主管反對的理由,他認為沒有架設 Proxy server 的必要,
但這台 Linux Firewall (+Proxy Server) 運作了三個月,無論節省頻寬或做控管的效能都比我預期的更好,
我唯一懷疑的就是,像我們超過 200PC 以上的環境,真的很少有公司在架設 Proxy Server 嗎?
可否請各位前輩談談您的經驗與實際的狀況?
我希望能反駁我主管和 TTN 工程師的論點,但希望有點具體的資料給他們看,

謝謝各位的指教。


這位同學有注意到軟體以及硬體防火牆的差別!
除了管理上的差別和分別是軟硬體上還有什麼差別呢?
這位同學可以好好去思考這件事喔!

allnewlinux

  • 俺是博士!
  • *****
  • 文章數: 1455
    • 檢視個人資料
Proxy Server 的普遍率高嗎?
« 回覆 #16 於: 2006-05-25 10:55 »
軟體硬體各有千秋..

差別是..樓主在 Firewall上多了DNS和Proxy Server的功能..我們分公司的MIS也是這樣子做..是用SuSe Linux..後來我叫那邊的MIS把Firewall換成Fortigate-100型..

我這邊是總公司..原本是軟體防火牆 Sun的主機(SunOS)+CheckPoint..在疾風病毒事件後...就換成Fortigate-400了...

其實硬體式也挺多好處..沒有硬碟..比較沒有硬碟掛掉不能運作的問題..程式都是在memory裡..怎麼跑都比程式在硬碟的軟體防火牆快..要重開..直接Power off和Power on就好了...(NS真討厭..Fortigate可以從web管理介面去重開說..)

我這邊主力是NetScreen-25/5 + Fortigate-400/300/100/50 等硬體式防火牆..

弄硬體式還有好處..我主管和我的下屬..我教的時候..吸收快..當我請假或出差時..發生問題..我用電話遙控也很容易處理..

另外硬體式還可以搭配一些管理軟體弄出漂亮的統計圖表..

因為以上的理由..我的主管是蠻支持我..所以才通通都用硬體式..而且..這樣以後遇到升遷或職務調整的時候..才不會找不到人接我的工作 :lol: 總不能通通只有我懂吧~

JackYang78

  • 榮譽博士
  • 俺是博士!
  • *****
  • 文章數: 2672
    • 檢視個人資料
Proxy Server 的普遍率高嗎?
« 回覆 #17 於: 2006-05-25 11:21 »
引述: "allnewlinux"


而且..這樣以後遇到升遷或職務調整的時候..才不會找不到人接我的工作 :lol: 總不能通通只有我懂吧~


嘿嘿... 這個我最認同....
Networking & Communication Security SE

Overcertified

  • 鑽研的研究生
  • *****
  • 文章數: 555
    • 檢視個人資料
    • http://www.itpro.tw
Re: Proxy Server 的普遍率高嗎?
« 回覆 #18 於: 2006-05-25 12:41 »
引述: "threeseconds"
我公司的 Linux Firewall 運作了三個月,前陣子我家主管決定換成 Netscreen 50,
其實我並不反對換成硬體防火牆,但花了10幾萬卻比 Linux 少了一大堆功能,再怎麼想我都很難接受,
原先的 Linux Firewall 上面除了 iptables 防火牆以外,
還有 DNS Server, Transparent Proxy, SARG, MRTG, NTOP.....等服務,
現在說聲換就換,我已經用盡一切理由說服他仍然無效,他反對的理由之一倒讓我有很大的疑問,
這台 Netscreen 50 是我們的 ISP TTN 工程師向我們推薦的,我曾質疑過為何不支援 Transparent Proxy,
他的回答是:"現在幾乎沒有公司在內部架設 Proxy Server,一般說來沒有這個必要。"
後來這句話也成為我主管反對的理由,他認為沒有架設 Proxy server 的必要,
但這台 Linux Firewall (+Proxy Server) 運作了三個月,無論節省頻寬或做控管的效能都比我預期的更好,
我唯一懷疑的就是,像我們超過 200PC 以上的環境,真的很少有公司在架設 Proxy Server 嗎?
可否請各位前輩談談您的經驗與實際的狀況?
我希望能反駁我主管和 TTN 工程師的論點,但希望有點具體的資料給他們看,

謝謝各位的指教。


Hi~我的想法比較偏向於你的主管,我覺得換成Netscreen會比較好,我的想法其實很簡單,有某些情況下該用網路設備就該用網路設備,例如公司有多個網段的時候你可以買 L3 Switch來做Routing的動作,當然你也可以用一台Linux上面裝很多片網卡來處理,雖然就技術來說一樣可以做到,但實務上我們會盡量不這麼做,而且我也不建議你在 FW 後面在擺一台 Linux 當 Proxy ,因為我覺得沒有必要這樣做,如果是是因為公司頻寬不足的話,你應該要做的是寫一份良好的建議書給你的主管,請他花錢升級公司頻寬,或是重新選購一台支援Proxy的FW,而不是企圖用一些技術來控制這個問題,另外那台Linux我覺得可以將它擺在機房其他地方當作備品,不用上線,以上是我的想法啦給你參考 8)
我的學習筆記 http://www.itpro.tw/blog
EveryBody Splunk ~~ ^_^

ZMAN

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 6247
  • 性別: 男
    • 檢視個人資料
    • 魔力門部落格
Proxy Server 的普遍率高嗎?
« 回覆 #19 於: 2006-05-25 15:00 »
我有點看不懂NETSCREEN和PROXY有啥關聯
雞可不可以替代鴨的問題很難理解

至於"Netscreen 有頻寬管理, 可以省頻寬, 所以 PROXY 不需要"
這更是讓我呆若木雞
這完全是不懂的人在硬凹說詞吧

NETSCREEN目前的氣勢應該遠遠落後FORTIGATE

不看了 來去玩GAME收收驚
佈線深似海!
網路高如天!

allnewlinux

  • 俺是博士!
  • *****
  • 文章數: 1455
    • 檢視個人資料
Proxy Server 的普遍率高嗎?
« 回覆 #20 於: 2006-05-25 15:08 »
引述: "ZMAN"
我有點看不懂NETSCREEN和PROXY有啥關聯
雞可不可以替代鴨的問題很難理解

至於"Netscreen 有頻寬管理, 可以省頻寬, 所以 PROXY 不需要"
這更是讓我呆若木雞
這完全是不懂的人在硬凹說詞吧

NETSCREEN目前的氣勢應該遠遠落後FORTIGATE

不看了 來去玩GAME收收驚


玩 GAME  :o  CSCZ嗎 :o

最近NetScreen好像有拿下Hinet大單..

我這裡有台NS-25..和NS-50基本上是一樣..連外型都1樣..只是可以承受更重的loading.. 至於用NS系列做頻寬管理..我想那功能應該不算完整的頻寬管理吧..只是每一條進或出的Policy可以設定保障頻寬和優先權而已...這個我都沒在用..麻煩..

PS:今天用MSN傳給老Joy 一堆圖片檔和3個影片檔 8)

harrier

  • 榮譽博士
  • 俺是博士!
  • *****
  • 文章數: 1856
  • 性別: 男
    • 檢視個人資料
    • 國屬武裝兵
Re: Proxy Server 的普遍率高嗎?
« 回覆 #21 於: 2006-05-25 17:15 »
首先,真不錯,你的 linux 是我當初很想裝的夢幻組合~當初我還想加上防毒、psad 和即時的 ntop...

其次,proxy server 確實可以節省不少頻寬,甚至可以簡單的整合資源,例如兩條線路各自有 proxy,兩個 squid 間做資料交互查詢~

不過,主管願意出錢,就買吧,起碼是業界有口碑的 netscreen..不是 symantec SGS <~~完全的 linux,但是卻比自己拼裝的 linux 爛上百倍..要價數十萬..

netscreen 基本上非常簡單好用,你會 linux 不可能不會 netscreen,所以上課可有可無~

身為部屬,個人是覺得:

『你把該報告的、會受到影響的』,都儘量一一用中立的角度呈報給他,可以『加註個人的觀點』,語氣用詞平穩即可。

然後,『決策就交給他了』,畢竟是主管,講通俗點:

出錢是老大
拿人錢財、為人消災 <~~而不是變成他的困擾

基本上,如果網路使用管制嚴格,不用 proxy 甚至頻寬也不用太大,沒有管理的話用上光纖網路也不夠。

proxy 很好用,單就我以前使用的經驗來說,應該也很多人用,包括 ISP-東森 大量偷偷採用節省頻寬,不過就這個 case,就讓他決定吧。
...90Net(90:1200/1203),GameNET(99:700/707),ALLNet(92:9200/3111),InfoNet(30:100/103)..MaximusCBCS(浮懷),AirNet,TenderNet,StormNet,FidoNet...
<<- www.nas.vg ->>

JackYang78

  • 榮譽博士
  • 俺是博士!
  • *****
  • 文章數: 2672
    • 檢視個人資料
Re: Proxy Server 的普遍率高嗎?
« 回覆 #22 於: 2006-05-25 17:20 »
引述: "harrier"

基本上,如果網路使用管制嚴格,不用 proxy 甚至頻寬也不用太大,沒有管理的話用上光纖網路也不夠。



上面這句話,我也最欣賞....

目前咱家碰到最大的問題是.. 網路管理的問題,不是網路技術的問題....
Networking & Communication Security SE

threeseconds

  • 俺是博士!
  • *****
  • 文章數: 1368
    • 檢視個人資料
    • http://www.3sec.tw
Proxy Server 的普遍率高嗎?
« 回覆 #23 於: 2006-05-30 14:28 »
引述: "ZMAN"
我有點看不懂NETSCREEN和PROXY有啥關聯
雞可不可以替代鴨的問題很難理解
至於"Netscreen 有頻寬管理, 可以省頻寬, 所以 PROXY 不需要"
這更是讓我呆若木雞
這完全是不懂的人在硬凹說詞吧
NETSCREEN目前的氣勢應該遠遠落後FORTIGATE
不看了 來去玩GAME收收驚


呃......簡單重述一下好了.....
原先的配置是把防火牆和 Proxy 都做在同一台 Linux 主機上面,
主管想把防火牆換成 Netscreen,Proxy 撤掉,也就是不再使用 Linux,
我的想法是不反對硬體防火牆,但我希望用 Linux 去補足硬體防火牆缺少的功能,
主要是 Proxy 和頻寬管理....因為 Netscreen 50 沒有 QoS......

至於使用 Proxy 的主要目的,節省頻寬是其次,最主要是可以做使用者上網的控管,
過濾色情網站,甚至搭配 ClamAV 做防毒牆之類的......

不知道這樣 ZMAN 前輩了解嗎?
本文作者為天線寶寶,長期關注兒童智力發展狀態。

ZMAN

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 6247
  • 性別: 男
    • 檢視個人資料
    • 魔力門部落格
Proxy Server 的普遍率高嗎?
« 回覆 #24 於: 2006-05-30 15:08 »
咦 真是手賤沒事亂回文
最近忙著在別的站大筆戰 有點累了

不要叫我前輩
我了不了解也沒關係啦
真正接觸到實際環境的管理者才能決定適合的作法

給你幾個建議
1.先靜下心來花點時間了解這台機器究竟能做什麼
    不要有先入為主的觀念
2.把你的PROXY改接到CORE SWITCH
   可以玩TRANSPARENT PROXY 架構和效能也比較好
    當然你的CORE必須是L4支援WEB CACHE REDIRECT
3.不要把資安作為和頻寬管理混在一起看
佈線深似海!
網路高如天!

damon

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 4227
    • 檢視個人資料
    • http://blog.damon.tw/
Proxy Server 的普遍率高嗎?
« 回覆 #25 於: 2006-05-30 15:48 »
從上面看到最後一篇,我只有一個感覺就是,你就直接叫廠商把設備拿來裝上去測試,然後照你主管的想法來用,有什麼優點跟缺點自然一清二楚,跟現有的解決方案差別在哪都很容易看出來,很多優缺點,沒有實際試過用過是感受不出來的,不只是設備符不符合需求還包含廠商是不是只會嘴巴說說就想賣設備騙騙錢...買設備,廠商後續的服務跟技術能力也是很重要的

huckly

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 3420
    • 檢視個人資料
    • http://blog.huckly.net
Proxy Server 的普遍率高嗎?
« 回覆 #26 於: 2006-05-30 15:51 »
為何一直要從反對主管決策來思考
你應該是以輔助主管的方向來走

我看到你有幾個盲點:
第一  自認為替公司省錢,but are you soure?
第二  你不斷堅持推薦用 linux solution ,可是你忘記你是 MIS ,不是 sales,你的表現跟TTN工程師有何不同
第三  你已經看到用netscreen的盲點,譬如 頻寬管理,防毒 gateway,web filter等等,可是你除了 linux solution外,沒有別的方案嗎

所以給你的建議
1 開放任何可能性,不要拘泥在linux世界裡面
2 如果你無法左右主管決策,那就好好幫他完成他的想法。
3
IT doesn't matter

u8526425

  • 俺是博士!
  • *****
  • 文章數: 1135
  • 性別: 男
    • 檢視個人資料
Proxy Server 的普遍率高嗎?
« 回覆 #27 於: 2006-05-30 16:08 »
嗯~~~
做人做事的道理
多見者博,多聞者智,拒諫者塞,專己者孤

threeseconds

  • 俺是博士!
  • *****
  • 文章數: 1368
    • 檢視個人資料
    • http://www.3sec.tw
Proxy Server 的普遍率高嗎?
« 回覆 #28 於: 2006-05-30 16:21 »
To damon:
謝謝,當然沒有試用過就不能全盤了解,所以這台機器已經試用一個多月了....
(從 4/18 開始用,到我貼第一篇文章為止...)
當然相關的優缺點也都已經整理出來了。

To huckly:
其實我並沒有反對任何的可能性,也不是堅持Linux不用....
(雖然我個人只會 Linux....叫我用 ISA Server 2004 我會去跳樓吧....Orz)
我的目的很簡單,除了防火牆以外,還要頻寬管理、內容管制....這些東西,
上面列出的只是目的,至於過程與方法我是無所謂,花錢或者不花錢我都沒關係,
(當然上百萬的 L7 Filter 就不用考慮了,咱家大老闆不可能批的....)
總之還是感謝您的指點。

To 大家:
上禮拜我做了一張優缺點的分析比較給我家主管看,硬著頭皮再跟他盧一次,
我強調的只是我需要哪些功能,至於用什麼 solution 能達到這些功能,我並不 care,
我也不否認使用硬體防火牆的便利性與其他優點。
最後我主管也算是讓了一步,他說他並不是非得 Netscreen 50 不可,
如果這台確實不符合我們的需求,可以由我再去 survey 其他機型,
所以接下來我大概會再找其他廠商來給我們試用吧.....

總之暫時算是解決了,如果還有後續的發展,再上來跟各位報告,
謝謝收看:)
本文作者為天線寶寶,長期關注兒童智力發展狀態。

LPI

  • 憂鬱的高中生
  • ***
  • 文章數: 103
    • 檢視個人資料
Proxy Server 的普遍率高嗎?
« 回覆 #29 於: 2006-06-02 20:05 »
這個主題有一個關鍵處值得探討:
Transparent Proxy 到底能不能安裝在閘道端以外的地方

Transparent Proxy (透明 Porxy)
也就是不管客戶端瀏覽器怎麼設定,它一定得過這台 proxy
甚至客戶端可能都不曉得自己已經被監控上網了

就個人所知,Transparent Proxy  只能安裝在閘道器端
因為它是在封包轉向上動手腳
把 port 80 出去的封包,強制轉向到本機 3128 埠

如果說 proxy 主機是放在硬體防火牆後面
即使硬體防火牆能將 port 80、3128、8080 出去的封包
轉向到內部 proxy 主機的 3128 埠
但是這樣會有一個問題:proxy 主機出去的封包也是 port 80 啊!
換言之,會形成無窮迴圈,封包根本出不去....

估計這就是為什麼 Transparent Proxy 只能安裝在閘道器端的原因

只是不知道現在是否有新型的硬體防火牆,能克服這個問題?


proxy 的效用是無庸置疑的
假設有一個影片,大約 10MB
某日,A員工看到這個影片,覺得很有趣
把它介紹給 B員工,B員工又介紹給C 員工.........

在有 proxy 的情況下 (物件上限設超過 10MB)
當 proxy 快取到這個影片後
不管幾個人去下載,總共花費的流量就是只有 10MB

但如果沒有 proxy
A員工下載 10MB,B員工下載 10MB...
十個人下載,100MB
100個人下載,1GB!
愈多人去下載這個影片,浪費的頻寬愈驚人

當然影片只是舉例啦
像 yahoo 拍賣,pchome 購物的,或是色情網站的
圖片量都超多,員工上班多多少少都會偷看吧
這些圖片,一張算 100 K 好了,下個 100 張就要 10MB
在沒有 proxy 的情況下
每個人、每天,都下 10MB以上的圖片
員工數十人還可以
如果員工上百上千人,這樣還得了.....就是申請 10M 光纖專線也不夠用!


不過 Transparent Proxy 配合 SARG
是一種侵犯隱私的作法
將心比心,如果你是主管
知道你的下屬在監控你的上網行為
隨時準備報告給上級,你大概也會不爽.....


樓主除了資訊方面的考量
建議也可以去分析主管心理面到底是在想甚麼?

是因為知道被監控不爽嗎?
那麼要擬定一個策略,例如主管級以上的電腦,不進行監控

是因為收了廠商的回扣、紅包、贈品、好處嗎?
一台數十萬的機器,硬體根本不值那個錢
利潤這麼高,其實想也知道,成本不可能單單只是產品本身
更多的成本,可能是給業務去交際應酬和給回扣
假設真是這樣,那就沒轍啦.....只好睜一隻眼,閉一隻眼
你可能是為公司設想,但主管只為自己荷包著想
所以不管你說甚麼,都是沒用的
他們不是聽不懂,只是不能違背自己的利益
這個可能性也是有的
 :lol: