防病毒网关部署方案，建议收藏！

一、防病毒网关的部署位置

建议将防病毒网关部署在入侵防御和汇聚交换机之间，有以下 2点原因：

1、防火墙可以阻断非法用户访问网络资源，入侵防御可以在线攻击防御，将防病毒网关部署在 IPS之后可以大大减轻防病毒网关的负载，提高了防病毒网关的工作效率。

2、防病毒网关部署在路由器或者防火墙后面都需要连接四根线，而防病毒网关只有两根进线，由于入侵防御的部署模式是两个两出， 所以选择部署在入侵防御之后。

二、防病毒网关查杀内容的选取

为了充分发挥防病毒网关的性能， 减少不必要的性能损耗，建议防病毒网关与防火墙协同工作，目前防火墙主要开放服务器的 80端口，所以防病毒网关只需主要针对 Http协议的报文进行扫描查杀等工作，其他Ftp、Smtp、Pop3等协议报文的查杀，根据实际应用的需要，再做相应的配置。

三、防病毒网关的查杀方式

防病毒网关发现病毒后有四种处理方式：

• 删除文件
• 隔离文件
• 清除病毒
• 记录日志

如果在第一次策略处理失败的情况下，可以设置第二次策略正确的处理病毒。 经讨论，我们建议先采取清除病毒的方式，清除病毒失败后采取隔离文件的方式。

四、蠕虫的防护

防病毒网关需开启蠕虫过滤功能，系统默认就会自动添加一些流行蠕虫的查杀规则，其他蠕虫的防护规则可以根据各应用系统的实际应用情况来设置阀值，其中阀值的设定需防病毒网关与各业务系统之间不断的磨合，才可以达到最佳防护效果。

防止系统漏洞类的蠕虫病毒，最好的办法是更新好操作系统补丁，因此蠕虫的防护需与服务器操作系统补丁更新配合实施。

五、网卡模式选取

综合分析目前网络拓扑现状，我们建议选用网络分组模式，将ETH1接口和ETH2接口划分到Bridage0通道中，用于扫描访问电信线路1和移动线路的数据包，将管理口划分到 Bridage1通道中，用于扫描访问电信线路2和广电线路的数据包。需给Bridage0通道分配一个核心交换机1与汇聚交换机1互联网段的地址，用户防病毒网关的升级与日常管理维护。

六、病毒库的升级方式

病毒库的升级模式分为三种：

• 自动升级
• 手动升级
• 离线升级

考虑到网络上的病毒每天每时都有新的、 变种的病毒，我们建议选用自动升级的方法，因为手动升级和离线升级无法做到病毒库升级的及时性，可能会造成漏杀的状况对系统造成不良影响。

出于安全考虑，在防火墙配置访问控制策略，阻断所有的服务器主动发动访问外网，仅限于个别业务系统有特别需求的， 可以访问指定的域名或地址，我们建议在防火墙上开放 URL过滤策略，仅允许防病毒网关访问病毒库的升级地址。