各位先進大家好
我想請教一下目前業界,資訊在提供員工上網的方式是透PROXY SERVER(軟體式)還是透過防火牆(硬體式)比較多呢?優缺點各為何?因為主要想結合AD,管理同仁帳號給予不同權限,例如一般同仁無法上youtube、FACEBOOK、IG、web mail、免費網路空間google drive、onedrive…等,經過向資訊申請在AD上的權限OU加入同仁帳號才可以放行權限,目前考量之前待過的公司使用 ISA SERVER 當PROXY SERVER,很多特殊協定與權限都無法開放或設限,且ISA SERVER好像常有卡住當掉的問題,最近在survy 用squid proxy還是fortinet 201F 防火牆來做控管上網功能,有前輩有經驗可以分享一下嗎?謝謝大家!
已邀請的邦友 {{ invite_list.length }}/5
內容管理, 首推 Palo Alto 防火牆...(當然前提是: 軟體功能都要買齊, 不能只買硬體)
我記得你已經有問過相關問題了(您的SI不能直接回答嗎)
再次建議您SI的技術能力與服務態度遠比價格重要
事前詳實評估遠比事後補救為佳
同時FSSO並不是唯一可認證身分的方式
如果同事間有互通AD帳密的可能性就比較麻煩
建議搭配FGT設備辨識一起處理
因為不了解您的環境
所以不知道網路架構你公司的規劃想法
fortigate還有一種explicit web proxy
也是可以做到類似ISA當Proxy Server功能
PA也有類似架構
雲端的web proxy如forcepoint或zscaler,甚至可以做到更細微的控制,例如可以youtube但是不能留言、可以上linkedin但是不能發文等等。如果不需要做到這麼細,一般建議在防火牆有進階功能/授權,或者另外架設web proxy server,因為要解析https流量所以要考量整體環境架構。
iThome鐵人賽
看影片追技術