1、防病毒网关部署方案目前网络拓扑图:一、 防病毒网关的部署位置建议将防病毒网关部署在入侵防御和汇聚交换机之间,有以下2 点原因:1、防火墙可以阻断非法用户访问网络资源,入侵防御可以在线攻击防御,将防病毒网关部署在 IPS 之后可以大大减轻防病毒网关的负载,提高了防病毒网关的工作效率。2、防病毒网关部署在路由器或者防火墙后面都需要连接四根线,而防病毒网关只有两根进线,由于入侵防御的部署模式是两个两出,所以选择部署在入侵防御之后。防毒墙部署后的拓扑图:二、 防病毒网关查杀内容的选取 为了充分发挥防病毒网关的性能,减少不必要的性能损耗,建议防病毒网关与防火墙协同工作,目前防火墙主要开放服务器的 80端
2、口,所以防病毒网关只需主要针对 Http 协议的报文进行扫描查杀等工作,其他 Ftp、Smtp 、Pop3 等协议报文的查杀,根据实际应用的需要,再做相应的配置。 三、防病毒网关的查杀方式防病毒网关发现病毒后有四种处理方式:包括删除文件、隔离文件、清除病毒和记录日志。如果在第一次策略处理失败的情况下,可以设置第二次策略正确的处理病毒。经讨论,我们建议先采取清除病毒的方式,清除病毒失败后采取隔离文件的方式。四、蠕虫的防护防病毒网关需开启蠕虫过滤功能,系统默认就会自动添加一些流行蠕虫的查杀规则,其他蠕虫的防护规则可以根据各应用系统的实际应用情况来设置阀值,其中阀值的设定需防病毒网关与各业务系统之间
3、不断的磨合,才可以达到最佳防护效果。防止系统漏洞类的蠕虫病毒,最好的办法是更新好操作系统补丁,因此蠕虫的防护需与服务器操作系统补丁更新配合实施。五、网卡模式选取防病毒网关接线图:综合分析目前网络拓扑现状,我们建议选用网络分组模式,将ETH1 接口和 ETH2 接口划分到 Bridage0 通道中,用于扫描访问电信线路 1 和移动线路的数据包,将管理口划分到 Bridage1 通道中,用于扫描访问电信线路 2 和广电线路的数据包。需给 Bridage0 通道分配一个核心交换机 1 与汇聚交换机 1 互联网段的地址,用户防病毒网关的升级与日常管理维护。六、病毒库的升级方式病毒库的升级模式分为三种:
4、自动升级、手动升级和离线升级,考虑到网络上的病毒每天每时都有新的、变种的病毒,我们建议选用自动升级的方法,因为手动升级和离线升级无法做到病毒库升级的及时性,可能会造成漏杀的状况对系统造成不良影响。出于安全考虑,在防火墙配置访问控制策略,阻断所有的服务器主动发动访问外网,仅限于个别业务系统有特别需求的,可以访问指定的域名或地址,我们建议在防火墙上开放 URL 过滤策略,仅允许防病毒网关访问病毒库的升级地址。七、实施要点1、实施人员常州市房产信息中心机房管理人员、江苏同步技术有限公司工程师和天融信工程师2、项目实施时间遵循最小影响原则,选取工作日的晚上 9 点以后,将对业务系统的正常运行产生的影响降低到最低。3、 网络检测对所有正在运行的业务系统进行全方位测试,如果出现异常,立即查明原因并解决。4、应急回退当割接不成功时,移除防病毒网关,按照原有线路连接入侵防御和汇聚交换机,再查找失败原因。
