防病毒网关部署方案.pdfVIP

精品文档 防病毒网关部署方案 目前网络拓扑图： 一、 防病毒网关的部署位置 建议将防病毒网关部署在入侵防御和汇聚交换机之间，有以下 2 点原因： 1、防火墙可以阻断非法用户访问网络资源，入侵防御可以在线攻击 防御，将防病毒网关部署在 IPS 之后可以大大减轻防病毒网关的负 载，提高了防病毒网关的工作效率。 2、防病毒网关部署在路由器或者防火墙后面都需要连接四根线，而 防病毒网关只有两根进线， 由于入侵防御的部署模式是两个两出， 所 以选择部署在入侵防御之后。 防毒墙部署后的拓扑图： 。 1欢迎下载 精品文档 二、 防病毒网关查杀内容的选取 为了充分发挥防病毒网关的性能， 减少不必要的性能损耗， 建议 防病毒网关与防火墙协同工作，目前防火墙主要开放服务器的 80 端 口，所以防病毒网关只需主要针对 Http 协议的报文进行扫描查杀等 工作，其他 Ftp 、Smtp、Pop3等协议报文的查杀，根据实际应用的需 要，再做相应的配置。 三、防病毒网关的查杀方式 防病毒网关发现病毒后有四种处理方式： 包括删除文件、 隔离文 件、清除病毒和记录日志。 如果在第一次策略处理失败的情况下，可 以设置第二次策略正确的处理病毒。 经讨论， 我们建议先采取清除病 毒的方式，清除病毒失败后采取隔离文件的方式。 四、蠕虫的防护 防病毒网关需开启蠕虫过滤功能， 系统默认就会自动添加一些流 行蠕虫的查杀规则， 其他蠕虫的防护规则可以根据各应用系统的实际 应用情况来设置阀值， 其中阀值的设定需防病毒网关与各业务系统之 间不断的磨合，才可以达到最佳防护效果。 。 2欢迎下载 精品文档 防止系统漏洞类的蠕虫病毒，最好的办法是更新好操作系统补 丁，因此蠕虫的防护需与服务器操作系统补丁更新配合实施。 五、网卡模式选取 防病毒网关接线图： 综合分析目前网络拓扑现状，我们建议选用网络分组模式，将 ETH1接口和 ETH2接口划分到 Bridage0 通道中，用于扫描访问电信 线路 1 和移动线路的数据包，将管理口划分到 Bridage1 通道中，用 于扫描访问电信线路 2 和广电线路的数据包。需给 Bridage0 通道分 配一个核心交换机 1 与汇聚交换机 1 互联网段的地址， 用户防病毒网 关的升级与日常管理维护。 六、病毒库的升级方式 病毒库的升级模式分为三种：自动升级、手动升级和离线升级， 考虑到网络上的病毒每天每时都有新的、 变种的病毒， 我们建议选用 自动升级的方法， 因为手动升级和离线升级无法做到病毒库升级的及 时性，可能会造成漏杀的状况对系统造成不良影响。 出于安全考虑， 在防火墙配置访问控制策略， 阻断所有的服务器