防病毒网关部署方案

安全网关部署方案随着企业网络的普及和网络开放性，共享性，互连程度的扩大，网络的信息安全问题也越来越引起人们的重视。

一个安全的计算机局域网络应该具有可靠性、可用性、完整性、保密性和真实性等特点。

计算机局域网络不仅要保护计算机网络设备安全和计算机网络系统安全，还要保护数据安全。

这样，局域网络信息安全问题就成为危害网络发展的核心问题，与外界的因特网连接使信息受侵害的问题尤其严重。

目前局域网信息的不安全因素来自病毒、黑客、木马、垃圾邮件等几个方面。

另外域网内部的信息安全更是不容忽视的。

网络内部各节点之间通过网络共享网络资源，就可能因无意中把重要的涉密信息或个人隐私信息存放在共享目录下，因此造成信息泄漏；甚至存在内部人员编写程序通过网络进行传播，或者利用黑客程序入侵他人主机的现象。

因此，网络安全不仅要防范外部网，同时更防范内部网安全。

因此，企业采取统一的安全网关策略来保证网络的安全是十分需要的。

一个完整的安全技术和产品包括：身份认证、访问控制、流量监测、网络加密技术、防火墙、入侵检测、防病毒、漏洞扫描等；而造成安全事件的原因则包括技术因素、管理因素以及安全架构设计上的疏漏等问题。

安全网关是各种技术有机融合，具有重要且独特的保护作用，其范围从协议级过滤到十分复杂的应用级过滤，对保护计算机局域网起着关键性的作用。

安全网关部署拓扑图：（图1）上图为安全网关部署示意图，包含了组建局域网网的基本要素。

下面对其各个部分进行讲解。

一、安全网关接入网络。

安全网关一般具有2个W AN口以及4个LAN口。

如上图所示，外网IP为221.2.197.149，连接网线到W AN口上。

LAN的口IP地址是可以自由设置的，图中设定的2个LAN口的IP为192.168.0.1（局域网用户）以及10.0.0.1（服务器用网段）。

另外安全网关具有了无线网络功能，分配IP地址为192.168.10.1。

下面对上述接入方式进行详细说明。

1.路由NET部署图一所示接入方式即为路由NET部署拓扑图。

网关防病毒技术，斩断病毒传播在现今的网络时代，病毒的发展呈现出以下趋势：病毒与黑客程序相结合、蠕虫病毒更加泛滥、病毒破坏性更大、制作病毒的方法更简单、病毒传播速度更快，传播渠道更多、病毒感染对象越来越广。

因此，一个完善的安全体系应该包含了从桌面到服务器、从内部用户到网络边界的全面地解决方案，以抵御来自黑客和病毒的威胁。

近年来逐渐兴起的网关防病毒技术在安全体系中的应用“热”起来了。

网关防病毒技术的发展蠕虫病毒产生以前，计算机病毒主要是以移动存储介质传播的；自蠕虫病毒出现之后，网络则取代了移动存储介质的位置。

许多业内人士得出的结论是，只要斩断邮件自动转发这一主要传播途径，就可以有效控制计算机病毒的扩散，网关防毒则是斩断其传播途径的最为有效的手段之一。

在信息安全技术领域中，基于硬件开发的防毒网关已经推出一段时间，而具有相同功能的软件产品在市场上出现得更早。

从应用效果上看看，硬件产品以高性能高稳定性得到用户的青睐。

软件防毒墙最大的缺陷是软件在易用性、安全性等方面与硬件产品存在一定的差异。

由于软件防毒墙要安装到基于NT、Unix或者是Linux等开放式操作系统平台上才能使用。

而开放式系统往往存有安全漏洞，且这些安全漏洞在互联网上就可查到，若不及时打补丁，非法入侵者只需采用对开放系统进行攻击的方法就可突破网络防护。

这时网络安全产品不仅起不到安全防护作用，反而成为网络的安全隐患。

不仅如此，这类产品安装维护工作极其复杂，技术人员除了要熟悉相关软件的技术之外，还要熟练掌握多种操作系统以适应各种各样邮件服务器的维护需要。

同时软件防毒墙产品的性能和效率也会受到硬件环境的限制而无法达到最佳效果。

同防火墙产品发展的过程类似，防毒墙产品的发展也经历了由软件到硬件的发展过程，而且从应用到技术实现有许多类似之处。

首先，这两类产品在网络上处于相同位置，均在网关上起着十分重要的安全防护作用；其次，硬件防火墙和防毒墙都是基于工控机开发的，是独立于操作系统平台之外的产品。

防病毒网关手册安启华公司·杭州信息中心二〇一〇年五月十四日版本控制信息目录第一章操作手册 (4)1.设备面板标识 (4)1.1 面板结构 (4)1.2 状态灯判断 (4)2.运维部分功能 (4)2.1 系统登录 (4)2.2 系统运行状态监视 (5)2.3 管理 (6)2.4 更新 (8)2.5 更新查看 (10)2.6 策略管理 (11)2.7 备份和恢复 (15)2.8 日志和报表 (15)第二章应急手册 (20)1.概述 (20)1.1 防病毒网关部署 (20)2技术支持 (21)2.1 厂商技术支持人员 (21)2.2 400技术支持热线 (21)3.故障发现 (21)3.1 巡检设备 (21)3.2 设备自带系统监控 (22)4.现场分析与处理 (22)4.1 应急实例 (22)4.2 故障分析 (22)4.3 故障处理 (23)5. 二线分析与处理 (23)第三章防病毒配置手册 (23)第四章防病毒网关监控手册 (23)1．防病毒网关系统监控 (23)2．防病毒网关事件监控 (23)第一章操作手册1. 设备面板标识1.1 面板结构Anchiva的面板结构如下图：XXX公司使用的Anchiva 506具有6个10/100/1000Mbps电口。

其中前面两对口分别组成一对Bypass组。

因此Anchiva 506支持2对bypass。

此外，Anchiva 506前面板上还有一个DB-9的Console口。

1.2 状态灯判断Anchiva 506的LED灯状态比较简单：2. 运维部分功能2.1 系统登录Anchiva的登录方式分为WebUI方式和CLI方式。

WebUI界面：通过使用安全的HTTPS连接，管理员能够通过所支持的web浏览器来对安启华网关进行管理和配置。

Internet Explorer 6.0及6.0以上版本Firefox 1.50及1.50以上版本登录安启华网关的WebUI1 通过web浏览器，输入路径和地址。

安全网关部署方案随着企业网络的普及和网络开放性，共享性，互连程度的扩大，网络的信息安全问题也越来越引起人们的重视。

一个安全的计算机局域网络应该具有可靠性、可用性、完整性、保密性和真实性等特点。

计算机局域网络不仅要保护计算机网络设备安全和计算机网络系统安全，还要保护数据安全。

这样，局域网络信息安全问题就成为危害网络发展的核心问题，与外界的因特网连接使信息受侵害的问题尤其严重。

目前局域网信息的不安全因素来自病毒、黑客、木马、垃圾邮件等几个方面。

另外域网内部的信息安全更是不容忽视的。

网络内部各节点之间通过网络共享网络资源，就可能因无意中把重要的涉密信息或个人隐私信息存放在共享目录下，因此造成信息泄漏；甚至存在内部人员编写程序通过网络进行传播，或者利用黑客程序入侵他人主机的现象。

因此，网络安全不仅要防范外部网，同时更防范内部网安全。

因此，企业采取统一的安全网关策略来保证网络的安全是十分需要的。

一个完整的安全技术和产品包括：身份认证、访问控制、流量监测、网络加密技术、防火墙、入侵检测、防病毒、漏洞扫描等；而造成安全事件的原因则包括技术因素、管理因素以及安全架构设计上的疏漏等问题。

安全网关是各种技术有机融合，具有重要且独特的保护作用，其范围从协议级过滤到十分复杂的应用级过滤，对保护计算机局域网起着关键性的作用。

安全网关部署拓扑图：（图1）上图为安全网关部署示意图，包含了组建局域网网的基本要素。

下面对其各个部分进行讲解。

一、安全网关接入网络。

安全网关一般具有2个W AN口以及4个LAN口。

如上图所示，外网IP为221.2.197.149，连接网线到W AN口上。

LAN的口IP地址是可以自由设置的，图中设定的2个LAN口的IP为192.168.0.1（局域网用户）以及10.0.0.1（服务器用网段）。

另外安全网关具有了无线网络功能，分配IP地址为192.168.10.1。

下面对上述接入方式进行详细说明。

1.路由NET部署图一所示接入方式即为路由NET部署拓扑图。

防病毒网关部署方案目前网络拓扑图：一、防病毒网关的部署位置建议将防病毒网关部署在入侵防御和汇聚交换机之间，有以下2点原因：1、防火墙可以阻断非法用户访问网络资源，入侵防御可以在线攻击防御，将防病毒网关部署在IPS之后可以大大减轻防病毒网关的负载，提高了防病毒网关的工作效率。

2、防病毒网关部署在路由器或者防火墙后面都需要连接四根线，而防病毒网关只有两根进线，由于入侵防御的部署模式是两个两出，所以选择部署在入侵防御之后。

防毒墙部署后的拓扑图：二、防病毒网关查杀内容的选取为了充分发挥防病毒网关的性能，减少不必要的性能损耗，建议防病毒网关与防火墙协同工作，目前防火墙主要开放服务器的80端口，所以防病毒网关只需主要针对Http协议的报文进行扫描查杀等工作，其他Ftp、Smtp、Pop3等协议报文的查杀，根据实际应用的需要，再做相应的配置。

三、防病毒网关的查杀方式防病毒网关发现病毒后有四种处理方式：包括删除文件、隔离文件、清除病毒和记录日志。

如果在第一次策略处理失败的情况下，可以设置第二次策略正确的处理病毒。

经讨论，我们建议先采取清除病毒的方式，清除病毒失败后采取隔离文件的方式。

四、蠕虫的防护防病毒网关需开启蠕虫过滤功能，系统默认就会自动添加一些流行蠕虫的查杀规则，其他蠕虫的防护规则可以根据各应用系统的实际应用情况来设置阀值，其中阀值的设定需防病毒网关与各业务系统之间不断的磨合，才可以达到最佳防护效果。

防止系统漏洞类的蠕虫病毒，最好的办法是更新好操作系统补丁，因此蠕虫的防护需与服务器操作系统补丁更新配合实施。

五、网卡模式选取防病毒网关接线图：综合分析目前网络拓扑现状，我们建议选用网络分组模式，将ETH1接口和ETH2接口划分到Bridage0通道中，用于扫描访问电信线路1和移动线路的数据包，将管理口划分到Bridage1通道中，用于扫描访问电信线路2和广电线路的数据包。

需给Bridage0通道分配一个核心交换机1与汇聚交换机1互联网段的地址，用户防病毒网关的升级与日常管理维护。

防病毒网关部署方案目前网络拓扑图：一、防病毒网关的部署位置建议将防病毒网关部署在入侵防御和汇聚交换机之间，有以下2点原因：1、防火墙可以阻断非法用户访问网络资源，入侵防御可以在线攻击防御，将防病毒网关部署在IPS之后可以大大减轻防病毒网关的负载，提高了防病毒网关的工作效率。

2、防病毒网关部署在路由器或者防火墙后面都需要连接四根线，而防病毒网关只有两根进线，由于入侵防御的部署模式是两个两出，所以选择部署在入侵防御之后。

防毒墙部署后的拓扑图：二、防病毒网关查杀内容的选取为了充分发挥防病毒网关的性能，减少不必要的性能损耗，建议防病毒网关与防火墙协同工作，目前防火墙主要开放服务器的80端口，所以防病毒网关只需主要针对Http协议的报文进行扫描查杀等工作，其他Ftp、Smtp、Pop3等协议报文的查杀，根据实际应用的需要，再做相应的配置。

三、防病毒网关的查杀方式防病毒网关发现病毒后有四种处理方式：包括删除文件、隔离文件、清除病毒和记录日志。

如果在第一次策略处理失败的情况下，可以设置第二次策略正确的处理病毒。

经讨论，我们建议先采取清除病毒的方式，清除病毒失败后采取隔离文件的方式。

四、蠕虫的防护防病毒网关需开启蠕虫过滤功能，系统默认就会自动添加一些流行蠕虫的查杀规则，其他蠕虫的防护规则可以根据各应用系统的实际应用情况来设置阀值，其中阀值的设定需防病毒网关与各业务系统之间不断的磨合，才可以达到最佳防护效果。

防止系统漏洞类的蠕虫病毒，最好的办法是更新好操作系统补丁，因此蠕虫的防护需与服务器操作系统补丁更新配合实施。

五、网卡模式选取防病毒网关接线图：综合分析目前网络拓扑现状，我们建议选用网络分组模式，将ETH1接口和ETH2接口划分到Bridage0通道中，用于扫描访问电信线路1和移动线路的数据包，将管理口划分到Bridage1通道中，用于扫描访问电信线路2和广电线路的数据包。

需给Bridage0通道分配一个核心交换机1与汇聚交换机1互联网段的地址，用户防病毒网关的升级与日常管理维护。

防病毒网关、防火墙与防病毒软件功能及部署对比一、防病毒网关防病毒网关就是针对网络安全所面临的新挑战应运而生的。

对病毒等恶意软件进行防御的硬件网络防护设备，可以协助企业防护各类病毒和恶意软件，对其进行隔离和清除。

当企业在网络的Internet出口部署防病毒网关系统后，可大幅度降低因恶意软件传播带来的安全威胁，及时发现并限制网络病毒爆发疫情，同时它还集成了完备的防火墙，为用户构建立体的网络安全保护机制提供了完善的技术手段。

广泛适用于政府、公安、军队、金融、证券、保险等多个领域。

部署位置：网络的网关处，也可以说是网络的出口。

如图1所示：图1防病毒网关应具有以下特性：❖强劲的恶意软件防护功能，Web应用高效防护防病毒网关产品应该采用独特的虚拟并行系统检测技术，在对网络数据进行网络病毒等恶意软件扫描的同时，会实时同步传送数据。

这一技术的在系统中的应用，从根本上解决了以往对Web数据进行扫描操作时，普遍存在的性能瓶颈，在实际使用效果上远远超出了“存储-扫描-转发”的传统技术模式。

由于采用了虚拟并行系统技术，在保证不放过任何一个可能的恶意软件同时，大大减小了网络应用的请求响应时间，改善了用户体验效果。

用户在使用防病毒网关对网络数据流量进行检测时，基本感觉不到数据扫描操作所带来的响应延迟，更不用担心错过精彩的网络实况播报❖适应于复杂的核心网络防病毒网关系统吸收了业界多年来在防火墙领域的设计经验和先进技术，支持众多网络协议和应用协议，如802.1Q VLAN、PPPoE、802.1Q、Spanning tree等协议，适用的范围更广泛，确保了用户的网络的“无缝部署”、“无缝防护”、“无缝升级”。

当防病毒网关设备处于透明工作模式时，相当于一台二层交换机。

这种特性使防病毒网关产品具有了极佳的环境适应能力，用户无需改变网络拓扑，就可以零操作、零配置的升级到更全面的网络安全解决方案，同时也降低了因新增网络设备而导致的部署、维护和管理开销。

互联网安全防护方案为确保我段互联网系统信息安全，降低系统和外界对内网数据的安全威胁，特制定此安全防护方案：1.网关处部署防火墙保证网关的安全,抵御黑客攻击。

2。

在网络主干链路上部署上网行为管理设备来控制内部计算机上网行为,规范P2P下载等一些上网行为。

3.按照一定的安全策略，利用记录、系统活动和用户活动等信息,检查、审查和检验操作事件的环境及活动。

4。

实行专机专用，不得“一机两网"，且对接入互联网的终端机实行绑定IP、MAC地址的措施，实现专机专用。

5。

针对防病毒危害性极大并且传播极为迅速，必须配备从服务器到单机的整套防病毒软件,防止病毒入侵主机并扩散到全网,实现全网的病毒安全防护.并且由于新病毒的出现比较快，所以要求防病毒系统的病毒代码库的更新周期必须比较短。

6。

严格执行互联网相关制度,严禁在访问互联网的计算机终端上存储、处理和传输国家秘密信息和工作秘密、商业秘密等内部敏感信息；严禁通过互联网电子邮箱、即时通信工具等办理涉密业务;互联网终端不得上网看电影、聊天、玩游戏等做与工作无关事情；互联网终端不得从事危害国家安全、泄露国家秘密、工作秘密和商业秘密的活动，不得侵犯国家、社会、集体的利益和公民的合法权益,不得从事违法犯罪活动如不遵守此规定上网，发生违法、违纪后果者责任自负，并考核科室相关负责人。

7.互联网机器必须安装杀毒软件，并定期升级杀毒软件，防止病毒扩散至局域网。

8。

需要使用互联网下载相关内容时，存至U盘后需对U 盘进行杀毒，防止病毒扩散至局域网。

9.全面细致实行上网行为管理、内容安全管理、带宽分配管理、网络应用管理、外发信息管理，有效解决互联网带来的管理、安全、效率、资源、法律等问题。

网络卫士过滤网关（防病毒网关百兆系列）技术指标产品型号：T opFilter 7000（TF-7304-Virus）数量：一套性能要求：1U主机标准机架式硬件,标配4个10/100BASE-TX端口，100%检测率，多种应用协议，11万种病毒过滤，增强型防蠕虫攻击/500用户以上/内部存贮介质为40G硬盘，处理器类型及频率为Intel Pentium M 1.6GHz，所采用的固化工艺为贴片式。

功能要求：1、构建在高性能的硬件平台上，采用高效的流扫描算法，最大限度地提高过滤效率与处理性能。

2、＊过滤网关对于发现的病毒文件提供清除病毒，删除文件，隔离病毒文件和记录四种策略，客户可以根据自己的需要灵活的制定相应的策略组合。

3、根据用户的需要，制定只扫描哪几种类型的文件，或者不允许哪几种类型的文件通过4、＊可以根据用户的需要，匹配关键字来拦截符合条件的数据流通过过滤网关5、＊提供拒绝访问某些特定的URL，支持FTP的断点序传功能。

6、＊实时病毒过滤：过滤网关对通过网关设备的数据流进行实时检测，过滤数据流中的病毒、蠕虫和垃圾邮件等，阻止它们进入网络。

7、＊即插即用的透明接入方式：过滤网关采用即插即用的思路设计，以透明网桥方式部署在网络中，无需改变内部的网络配置，从而使安装工作变得非常简单。

8、＊全面的协议保护：过滤网关能够对SMTP、POP3、IMAP、HTTP和FTP等应用协议进行病毒扫描和过滤。

9、＊内嵌的内容过滤功能：过滤网关支持对数据内容进行检查，可以采用关键字过滤，URL 过滤等方式来阻止非法数据进入网络，同时支持对Java等小程序进行过滤等，防止可能的恶意代码进入网络。

10、＊防垃圾邮件功能：过滤网关采用业界领先的黑/白名单技术实时检测垃圾邮件并阻止其进入内部网络。

可以从反垃圾邮件联盟时时更新黑名单，实施相应的垃圾邮件的拦截防蠕虫攻击：可以实时检测到日益泛滥的蠕虫攻击，并对其进行实时阻断。

同时可以看到网络内被阻断的机器。

单元指导——防病毒网关产品配置与应用自计算机病毒出现以来，人们与计算机病毒的战斗就一直在持续，并将一直持续下去。

目前，计算机病毒的防治有两种方法：一是使用硬件防病毒网关；二是采用防病毒软件。

硬件产品通常是IDC数据中心的常备硬件，而普通用户通常使用防病毒软件。

随着技术的发展进步，硬件防病毒网关越来越趋向于集成化，作为UTM综合网关一个模块或者作为防火墙上的一个功能部件，以降低用户硬件投入成本，提高综合防范能力。

软件防病毒趋向于实现“安全云”，由安全技术厂商利用自己庞大的云服务器集群、强劲云计算能力远程协助查杀新型病毒。

表1 根据核心工作任务构建单元内容
学生应积级主动进行实践锻炼，真实设备配置能迅速强化知识理解。

要学会自助学习方法，课内、课外相结合，书本、网络、现场相结合，充分利用本课程提供的海量资源，丰富知识，提升能力，强化素质。

培养正确的人生观，价值观，遵守纪律，重视劳动，加强职业体验，完成由学生到职业人的过渡。

KILL严防网络边界护卫华能安全-隔离网关解决方案中国华能集团公司是经国务院批准建立的国有企业，主要从事电力的开发与管理，在全国25个省、市、自治区拥有各种电厂96个，其网络信息化系统覆盖集团总部和27个分公司，由信息内网、信息外网、中间层三大部分组成，网络承载着公司的计划、财务报表、人事、文档管理等绝大部分信息和关键业务数据的交换与传输，在信息高效流动并进而提高工作效率的同时，也给病毒的快速传播打开了方便之门。

根据中国华能集团公司的运维数据和经验分析，网络病毒一直是中国华能集团公司网络内发生频率最高、影响最广泛的安全威胁。

尽管华能集团网络系统中已经部署了企业版杀毒软件，但由于操作系统漏洞不断出现、病毒变种不断升级以及终端用户防范意识不强等原因，各种病毒、木马、蠕虫还是会不断侵入内部网络系统，使用户终端系统不能正常工作、数据丢失或损坏，一些病毒甚至会侵占网络资源，造成网络拥堵甚至瘫痪。

接连不断的病毒事件给企业正常的业务工作带来了很多安全风险，所以，中国华能集团公司的网络迫切需要更加高效、便捷的病毒防护措施，以保障系统的正常运行与维护。

冠群金辰公司依据“从引入威胁的最薄弱环节进行控制”的原则，打破传统的病毒防范手段，利用全方位的病毒检测机制、多层次的病毒防御策略，为华能集团建立了统一控管和快速响应机制，对病毒防御体系进行了合理有效地规划。

同时对华能集团公司网络防病毒系统的建设提出了以下的建议：从边界入手，切断网络病毒传播途径，在边界位置部署网关过滤设备，在需要重点保护的网段之前，或者两个安全等级不同的网段之间进行边界过滤，阻断病毒、蠕虫等网络威胁的进一步传播，防止造成更大的破坏。

依托自身的先进技术与多年的企业安全管理和防护经验，冠群金辰认为：网络边界处部署防病毒网关，如：KILL防病毒网关（KSG-V），将网关连接在公司网络出口处或者内网网段之间，对网络进出的流量进行病毒监控，可将网络威胁隔绝在网络边界，阻止病毒传播到上一级系统，或者传入其他分公司的网络中。