今兒是周五，正好吃飽喝足，老楊和你分享點技術(shù)。

網(wǎng)絡(luò)安全最近很火，我好友列表里許多小友都躍躍欲試，想要沖一波風(fēng)口，試試看自己的本事。

但其實很多時候，網(wǎng)絡(luò)工程師本職的工作里也會涉及到一些安全的內(nèi)容。思科和華為認(rèn)證的安全方向就證明了這一點——網(wǎng)絡(luò)工程師，依舊和安全脫不開關(guān)系。

舉個例子，咱們工作里常需要涉及到網(wǎng)關(guān)吧？關(guān)于網(wǎng)關(guān)的小白科普戳這里：網(wǎng)工必看！如何形象生動的解釋IP地址、子網(wǎng)掩碼和網(wǎng)關(guān)？

網(wǎng)關(guān)在網(wǎng)絡(luò)層以上實現(xiàn)網(wǎng)絡(luò)互連，是最復(fù)雜的網(wǎng)絡(luò)互連設(shè)備，僅用于兩個高層協(xié)議不同的網(wǎng)絡(luò)互連。

作為網(wǎng)絡(luò)工程師，常用網(wǎng)關(guān)對網(wǎng)絡(luò)進(jìn)行管理。

但是在工作了一段時間之后，你也會知道還有一種網(wǎng)關(guān)叫做“防病毒網(wǎng)關(guān)”。

它是一種在網(wǎng)關(guān)的基礎(chǔ)上，增加了保護(hù)網(wǎng)絡(luò)功能的一種全新網(wǎng)關(guān)。它不僅具有優(yōu)異的殺毒、攔截、過濾等功能，還有防火墻和路由分配等配置，是一種功能更佳豐富的網(wǎng)關(guān)。

防病毒網(wǎng)關(guān)實際上就是針對網(wǎng)絡(luò)安全所面臨的新挑戰(zhàn)應(yīng)運而生的。

它是一種對病毒等惡意軟件進(jìn)行防御的硬件網(wǎng)絡(luò)防護(hù)設(shè)備，可以協(xié)助企業(yè)防護(hù)各類病毒和惡意軟件，并進(jìn)行隔離和清除的操作。

當(dāng)企業(yè)在網(wǎng)絡(luò)的 Internet出口部署防病毒網(wǎng)關(guān)系統(tǒng)后，可大幅度降低因惡意軟件傳播帶來的安全威脅，及時發(fā)現(xiàn)并限制網(wǎng)絡(luò)病毒爆發(fā)疫情。

那么，一個防病毒的網(wǎng)關(guān)該咋部署？

老楊今天和你分享分享這個。

01 防病毒網(wǎng)關(guān)的部署位置

建議將防病毒網(wǎng)關(guān)部署在入侵防御和匯聚交換機(jī)之間，有以下2點原因：

（1）防火墻可以阻斷非法用戶訪問網(wǎng)絡(luò)資源，入侵防御可以在線攻擊防御，將防病毒網(wǎng)關(guān)部署在 IPS之后可以大大減輕防病毒網(wǎng)關(guān)的負(fù)載，提高了防病毒網(wǎng)關(guān)的工作效率。

（2）防病毒網(wǎng)關(guān)部署在路由器或者防火墻后面都需要連接四根線，而防病毒網(wǎng)關(guān)只有兩根進(jìn)線，由于入侵防御的部署模式是兩個兩出， 所以選擇部署在入侵防御之后。

防毒墻部署后的拓?fù)鋱D如下：

02 病毒網(wǎng)關(guān)查殺內(nèi)容的選取

為了充分發(fā)揮防病毒網(wǎng)關(guān)的性能，減少不必要的性能損耗，建議防病毒網(wǎng)關(guān)與防火墻協(xié)同工作。

目前，防火墻主要開放服務(wù)器的80端口，所以防病毒網(wǎng)關(guān)只需主要針對 Http協(xié)議的報文進(jìn)行掃描查殺等工作，其他Ftp、Smtp、Pop3等協(xié)議報文的查殺，根據(jù)實際應(yīng)用的需要，再做相應(yīng)的配置。

03 防病毒網(wǎng)關(guān)的查殺方式

防病毒網(wǎng)關(guān)發(fā)現(xiàn)病毒后有四種處理方式：

• 刪除文件

• 隔離文件

• 清除病毒

• 記錄日志

如果在第一次策略處理失敗的情況下，可以設(shè)置第二次策略正確的處理病毒。經(jīng)討論，我們建議先采取清除病毒的方式，清除病毒失敗后采取隔離文件的方式。

04 蠕蟲的防護(hù)

防病毒網(wǎng)關(guān)需開啟蠕蟲過濾功能，系統(tǒng)默認(rèn)就會自動添加一些流行蠕蟲的查殺規(guī)則，其他蠕蟲的防護(hù)規(guī)則可以根據(jù)各應(yīng)用系統(tǒng)的實際應(yīng)用情況來設(shè)置閥值，其中閥值的設(shè)定需防病毒網(wǎng)關(guān)與各業(yè)務(wù)系統(tǒng)之間不斷的磨合，才可以達(dá)到最佳防護(hù)效果。

防止系統(tǒng)漏洞類的蠕蟲病毒，最好的辦法是更新好操作系統(tǒng)補(bǔ)丁，因此蠕蟲的防護(hù)需與服務(wù)器操作系統(tǒng)補(bǔ)丁更新配合實施。

05 網(wǎng)卡模式選取

防病毒網(wǎng)關(guān)接線圖如下：

綜合分析目前網(wǎng)絡(luò)拓?fù)洮F(xiàn)狀，我們建議選用網(wǎng)絡(luò)分組模式，將ETH1接口和ETH2接口劃分到Bridage0通道中，用于掃描訪問電信線路1和移動線路的數(shù)據(jù)包。

將管理口劃分到 Bridage1通道中，用于掃描訪問電信線路2和廣電線路的數(shù)據(jù)包。需給Bridage0通道分配一個核心交換機(jī)1與匯聚交換機(jī)1互聯(lián)網(wǎng)段的地址，用戶防病毒網(wǎng)關(guān)的升級與日常管理維護(hù)。

06 病毒庫的升級方式

病毒庫的升級模式分為三種：

• 自動升級

• 手動升級

• 離線升級

考慮到網(wǎng)絡(luò)上的病毒每天每時都有新的、 變種的病毒，我們建議選用自動升級的方法，因為手動升級和離線升級無法做到病毒庫升級的及時性，可能會造成漏殺的狀況對系統(tǒng)造成不良影響。

出于安全考慮，在防火墻配置訪問控制策略，阻斷所有的服務(wù)器主動發(fā)動訪問外網(wǎng)，僅限于個別業(yè)務(wù)系統(tǒng)有特別需求的， 可以訪問指定的域名或地址，我們建議在防火墻上開放 URL過濾策略，僅允許防病毒網(wǎng)關(guān)訪問病毒庫的升級地址。

部署方案說完了，覺得干貨的小友記得多多贊同哈。

最后，老楊還想說一點：

其實啊，傳統(tǒng)的防病毒網(wǎng)關(guān)基于X86或者單一的ASIC、NP架構(gòu)的，這種單處理器的模式?jīng)]有辦法一起處理n個任務(wù)流。

這就會導(dǎo)致無法進(jìn)行并行處理，網(wǎng)關(guān)性能只能依托于CPU主頻，性能提升空間有限。

加之隨著病毒數(shù)量的與日俱增，病毒庫日益臃腫，以及傳統(tǒng)的防病毒網(wǎng)關(guān)在目前的應(yīng)用Web化趨勢下，越來越顯出其性能的相對不足……點滴缺陷，積少成多，都在反映一個問題：

在當(dāng)前形勢下的網(wǎng)絡(luò)安全需求是無法被傳統(tǒng)配置所滿足的。網(wǎng)關(guān)尚且面臨諸多挑戰(zhàn)，改良空間甚大。何況咱們網(wǎng)絡(luò)工程師呢？

切記不要故步自封，學(xué)會眼光放得長遠(yuǎn)一些。學(xué)習(xí)，是IT行業(yè)永恒的主旋律。

也是網(wǎng)絡(luò)工程師職業(yè)生涯的主旋律。

整理：老楊丨8年資深網(wǎng)絡(luò)工程師，更多網(wǎng)工提升干貨，請關(guān)注公眾號：網(wǎng)絡(luò)工程師俱樂部

總結(jié)

以上是生活随笔為你收集整理的这样部署防病毒网关才妙啊！2000字详解奉上的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。