>Одним словом моё мнение - рано ещё такие связки ставить и вообще
>не придуман реальный механизм проверки не ставящий канал раком. Ну скажите,
>какой мне толк от того, что 300-400 Мб файл образа проверится
>и скажут - он заразный - если я его должен залить
>себе, проверить, израсходовать трафик? Короче пока такие поделки в сад.
>Для желающих - поставьте на рабочие станции Drweb-spider и пусть сканирует
>пользовательский трафик. Зачем так категорически, вы же сами определяете критерии для проверки. Приведу цифры за вчерашний день. Используется переписанный SquidClamAV 1.6.1.
Настройки: проверять файлы < 1Mb, след. типов .exe .zip .rar .ar .com .bzip .gz .js .class .jar .html .htm .wb .doc .xls .bat .dll .msi .vbs .vbe .jse .wsh .sct .hta .mp3, text/html text/plain text/css application/x-httpd-php application/x-httpd-php4 application/x-httpd-php3 application/x-java-archive application/x-java-vm application/x-javascript application/x-msi.
Количество клиентов 58, общий трафик за день 630Мб.
На вирусы проверено 69Мб (11975 объектов).
найдено 3 трояна.
В принципе это приемлемый вариант. Зачем проверять очень большие файлы? Пусть это делает антивирус на локальной машине.
А таймауты определяются по скорости доступа к этому файлу, рассмотрим
очень плохой вариант скорость 3кБайт/c - для скачивания 1Мб требуется
333с ~ 5 мин. Да браузер скорее всего отвалится, какой там у него таймаут, минуты 2 наверно. Если все так плохо можно размер уменьшить до 300к, большинство троянов я думаю меньше 300к. И тут мы уже впишемся в таймаут,
и все будет работать. Но это плохой вариант, а фактически все бегает значительно быстрее.
Конечно вводя ограничения мы снижаем процент обнаружения вирусов, но даже при проверке всего трафика нельзя быть уверереным в сто процентном обнаружении, т.к. новые вирусы не так быстро попадают в антивирусные базы.
Я считаю что это вполне рабочее решение, но пока не сильно обкатанное.
Из недостатков - иногда падают редиректоры, т.е. требуется более внимательно оттестировать приложение.
|
