防病毒网关部署方案.docx

防病毒网关部署方案
目前网络拓扑图：
；匚霰M瞿粒］
一、防病毒网关的部署位置
建议将防病毒网关部署在入侵防御和汇聚交换机之间，有以下 2
点原因：
1、 防火墙可以阻断非法用户访问网络资源，入侵防御可以在线攻击 防御，将防病毒网关部署在IPS之后可以大大减轻防病毒网关的负载， 提高了防病毒网关的工作效率。
2、 防病毒网关部署在路由器或者防火墙后面都需要连接四根线，而 防病毒网关只有两根进线，由于入侵防御的部署模式是两个两出， 所 以选择部署在入侵防御之后。
防毒墙部署后的拓扑图：
茫起Hl■戟：
二、防病毒网关查杀内容的选取
为了充分发挥防病毒网关的性能，减少不必要的性能损耗，建议 防病毒网关与防火墙协同工作，目前防火墙主要开放服务器的 80端
口，所以防病毒网关只需主要针对 Http协议的报文进行扫描查杀等 工作，其他、Pop3等协议报文的查杀，根据实际应用的需要，再做 相应的配置。
三、 防病毒网关的查杀方式
防病毒网关发现病毒后有四种处理方式： 包括删除文件、隔离文 件、清除病毒和记录日志。如果在第一次策略处理失败的情况下，可 以设置第二次策略正确的处理病毒。 经讨论，我们建议先采取清除病 毒的方式，清除病毒失败后采取隔离文件的方式。
四、 蠕虫的防护
防病毒网关需开启蠕虫过滤功能，系统默认就会自动添加一些流 行蠕虫的查杀规则，其他蠕虫的防护规则可以根据各应用系统的实际 应用情况来设置阀值，其中阀值的设定需防病毒网关与各业务系统之 间不断的磨合，才可以达到最佳防护效果。
防止系统漏洞类的蠕虫病毒，最好的办法是更新好操作系统补 丁，因此蠕虫的防护需与服务器操作系统补丁更新配合实施。
五、网卡模式选取
防病毒网关接线图:
BridageO 通道
峪:二
入侵防御
ETH1
管理口 ■丁 防病毒网关
ETH2
HA 口
汇聚交换机1
BridageliS 道
汇聚交换机戈
综合分析目前网络拓扑现状，我们建议选用网络分组模式，将
ETH1接口和ETH2接口划分到BridageO通道中，用于扫描访问电信线 路1和移动线路的数据包，将管理口划分到Bridagel通道中，用于扫 描访问电信线路2和广电线路的数据包。需给BridageO通道分配一个 核心交换机1与汇聚交换机1互联网段的地址，用户防病毒网关的升 级与日常管理维护。
六、病毒库的升级方式
病毒库的升级模式分