<div dir="ltr"><div>I have SquidClamAV implemented with the Smoothwall Express 3.1 firewall. It works well and fast with ssl-bump, although the majority of our users only have relatively small networks with smaller loads.<br><br></div>FYI, E2Guardian has replaced the DansGuardian project and is currently well maintained. E2Guardian can do content filtering for SSL but only in explicit mode, It currently does not support intercept (transparent) mode for SSLBump.<br></div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Aug 14, 2015 at 10:51 AM, Alex Rousskov <span dir="ltr"><<a href="mailto:rousskov@measurement-factory.com" target="_blank">rousskov@measurement-factory.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On 08/13/2015 10:31 PM, Amos Jeffries wrote:<br>
> AFAICS it<br>
> is the backend AV library only scanning disk objects that causes the<br>
> whole issue. Otherwise the eCAP could be much, much faster.<br>
<br>
</span>The situation is more nuanced: eCAP supports asynchronous adapters. It<br>
is possible to write a ClamAV adapter that writes messages to disk and<br>
analyses them without blocking Squid. Doing so should eliminate most<br>
overheads between Squid and ClamAV.<br>
<br>
Factory ClamAV adapter can run in asynchronous mode, but threads are<br>
only used for _analysis_ of written files. We have not optimized the<br>
file writing part (yet?). Hopefully, using a RAM-based file system can<br>
mitigate a large part of that performance damage (as well as address<br>
some of the security concerns related to disk storage?).<br>
<br>
A bigger performance problem, AFAICT, is that ClamAV does not support<br>
incremental analysis. It waits for the entire file to be downloaded<br>
first. This breaks the message delivery pipeline and increases<br>
user-perceived response time. This problem cannot be solved outside the<br>
ClamAV library.<br>
<br>
<br>
Cheers,<br>
<br>
Alex.<br>
<div class="HOEnZb"><div class="h5"><br>
_______________________________________________<br>
squid-users mailing list<br>
<a href="mailto:squid-users@lists.squid-cache.org">squid-users@lists.squid-cache.org</a><br>
<a href="http://lists.squid-cache.org/listinfo/squid-users" rel="noreferrer" target="_blank">http://lists.squid-cache.org/listinfo/squid-users</a><br>
</div></div></blockquote></div><br></div>