今兒是周五，正好吃飽喝足，老楊和你分享點技術。

網絡安全最近很火，我好友列表里許多小友都躍躍欲試，想要沖一波風口，試試看自己的本事。

但其實很多時候，網絡工程師本職的工作里也會涉及到一些安全的內容。思科和華為認證的安全方向就證明了這一點——網絡工程師，依舊和安全脫不開關系。

舉個例子，咱們工作里常需要涉及到網關吧？關于網關的小白科普戳這里：網工必看！如何形象生動的解釋IP地址、子網掩碼和網關？

網關在網絡層以上實現網絡互連，是最復雜的網絡互連設備，僅用于兩個高層協議不同的網絡互連。

作為網絡工程師，常用網關對網絡進行管理。

但是在工作了一段時間之后，你也會知道還有一種網關叫做“防病毒網關”。

它是一種在網關的基礎上，增加了保護網絡功能的一種全新網關。它不僅具有優異的殺毒、攔截、過濾等功能，還有防火墻和路由分配等配置，是一種功能更佳豐富的網關。

防病毒網關實際上就是針對網絡安全所面臨的新挑戰應運而生的。

它是一種對病毒等惡意軟件進行防御的硬件網絡防護設備，可以協助企業防護各類病毒和惡意軟件，并進行隔離和清除的操作。

當企業在網絡的 Internet出口部署防病毒網關系統后，可大幅度降低因惡意軟件傳播帶來的安全威脅，及時發現并限制網絡病毒爆發疫情。

那么，一個防病毒的網關該咋部署？

老楊今天和你分享分享這個。

01 防病毒網關的部署位置

建議將防病毒網關部署在入侵防御和匯聚交換機之間，有以下2點原因：

（1）防火墻可以阻斷非法用戶訪問網絡資源，入侵防御可以在線攻擊防御，將防病毒網關部署在 IPS之后可以大大減輕防病毒網關的負載，提高了防病毒網關的工作效率。

（2）防病毒網關部署在路由器或者防火墻后面都需要連接四根線，而防病毒網關只有兩根進線，由于入侵防御的部署模式是兩個兩出， 所以選擇部署在入侵防御之后。

防毒墻部署后的拓撲圖如下：

02 病毒網關查殺內容的選取

為了充分發揮防病毒網關的性能，減少不必要的性能損耗，建議防病毒網關與防火墻協同工作。

目前，防火墻主要開放服務器的80端口，所以防病毒網關只需主要針對 Http協議的報文進行掃描查殺等工作，其他Ftp、Smtp、Pop3等協議報文的查殺，根據實際應用的需要，再做相應的配置。

03 防病毒網關的查殺方式

防病毒網關發現病毒后有四種處理方式：

• 刪除文件

• 隔離文件

• 清除病毒

• 記錄日志

如果在第一次策略處理失敗的情況下，可以設置第二次策略正確的處理病毒。經討論，我們建議先采取清除病毒的方式，清除病毒失敗后采取隔離文件的方式。

04 蠕蟲的防護

防病毒網關需開啟蠕蟲過濾功能，系統默認就會自動添加一些流行蠕蟲的查殺規則，其他蠕蟲的防護規則可以根據各應用系統的實際應用情況來設置閥值，其中閥值的設定需防病毒網關與各業務系統之間不斷的磨合，才可以達到最佳防護效果。

防止系統漏洞類的蠕蟲病毒，最好的辦法是更新好操作系統補丁，因此蠕蟲的防護需與服務器操作系統補丁更新配合實施。

05 網卡模式選取

防病毒網關接線圖如下：

綜合分析目前網絡拓撲現狀，我們建議選用網絡分組模式，將ETH1接口和ETH2接口劃分到Bridage0通道中，用于掃描訪問電信線路1和移動線路的數據包。

將管理口劃分到 Bridage1通道中，用于掃描訪問電信線路2和廣電線路的數據包。需給Bridage0通道分配一個核心交換機1與匯聚交換機1互聯網段的地址，用戶防病毒網關的升級與日常管理維護。

06 病毒庫的升級方式

病毒庫的升級模式分為三種：

• 自動升級

• 手動升級

• 離線升級

考慮到網絡上的病毒每天每時都有新的、 變種的病毒，我們建議選用自動升級的方法，因為手動升級和離線升級無法做到病毒庫升級的及時性，可能會造成漏殺的狀況對系統造成不良影響。

出于安全考慮，在防火墻配置訪問控制策略，阻斷所有的服務器主動發動訪問外網，僅限于個別業務系統有特別需求的， 可以訪問指定的域名或地址，我們建議在防火墻上開放 URL過濾策略，僅允許防病毒網關訪問病毒庫的升級地址。

部署方案說完了，覺得干貨的小友記得多多贊同哈。

最后，老楊還想說一點：

其實啊，傳統的防病毒網關基于X86或者單一的ASIC、NP架構的，這種單處理器的模式沒有辦法一起處理n個任務流。

這就會導致無法進行并行處理，網關性能只能依托于CPU主頻，性能提升空間有限。

加之隨著病毒數量的與日俱增，病毒庫日益臃腫，以及傳統的防病毒網關在目前的應用Web化趨勢下，越來越顯出其性能的相對不足……點滴缺陷，積少成多，都在反映一個問題：

在當前形勢下的網絡安全需求是無法被傳統配置所滿足的。網關尚且面臨諸多挑戰，改良空間甚大。何況咱們網絡工程師呢？

切記不要故步自封，學會眼光放得長遠一些。學習，是IT行業永恒的主旋律。

也是網絡工程師職業生涯的主旋律。

整理：老楊丨8年資深網絡工程師，更多網工提升干貨，請關注公眾號：網絡工程師俱樂部

總結

以上是生活随笔為你收集整理的这样部署防病毒网关才妙啊！2000字详解奉上的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。