防病毒网关部署方案.doc

防病毒网关布署方案
现在网络拓扑图：
防病毒网关布署位置
提议将防病毒网关布署在入侵防御和汇聚交换机之间，有以下2点原因：
1、防火墙能够阻断非法用户访问网络资源，入侵防御能够在线攻击防御，将防病毒网关布署在IPS以后能够大大减轻防病毒网关负载，提升了防病毒网关工作效率。
2、防病毒网关布署在路由器或防火墙后面全部需要连接四根线，而防病毒网关只有两根进线，因为入侵防御布署模式是两个两出，所以选择布署在入侵防御以后。
防毒墙布署后拓扑图：
防病毒网关查杀内容选择
为了充足发挥防病毒网关性能，降低无须要性能损耗，提议防病毒网关和防火墙协同工作，现在防火墙关键开放服务器80端口，所以防病毒网关只需关键针对Http协议报文进行扫描查杀等工作，其它Ftp、Smtp、Pop3等协议报文查杀，依据实际应用需要，再做对应配置。
三、防病毒网关查杀方法
防病毒网关发觉病毒后有四种处理方法：包含删除文件、隔离文件、清除病毒和统计日志。假如在第一次策略处理失败情况下，能够设置第二次策略正确处理病毒。经讨论，我们提议先采取清除病毒方法，清除病毒失败后采取隔离文件方法。
四、蠕虫防护
防病毒网关需开启蠕虫过滤功效，系统默认就会自动添加部分流行蠕虫查杀规则，其它蠕虫防护规则能够依据各应用系统实际应用情况来设置阀值，其中阀值设定需防病毒网关和各业务系统之间不停磨合，才能够达成最好防护效果。
预防系统漏洞类蠕虫病毒，最好措施是更新好操作系统补丁，所以蠕虫防护需和服务器操作系统补丁更新配合实施。
五、网卡模式选择
防病毒网关接线图：
综合分析现在网络拓扑现实状况，我们提议选择网络分组模式，将ETH1接口和ETH2接口划分到Bridage0通道中，用于扫描访问电信线路1和移动线路数据包，将管理口划分到Bridage1通道中，用于扫描访问电信线路2和广电线路数据包。需给Bridage0通道分配一个关键交换机1和汇聚交换机1互联网段地址，用户防病毒网关升级和日常管理维护。
六、病毒库升级方法
病毒库升级模式分为三种：自动升级、手动升级和离线升级，