防病毒网关部署方案

1.病毒问题目前，恶意软件感染率大幅增高，以窃取公司敏感数据和破坏重要用户用户记录的恶意软件会给企业造成巨大的损失，企业必须选择正确的防御方式来阻止恶意软件感染。

针对现在的Internet，恶意软件研究人员发现了大量的恶意软件活动，并评估每天都有数以千计的恶意软件变种在发布并传播。

与之形成强烈对比的是，只是在几年前，研究人员每天只能发现少量新的恶意软件。

研究人员预计随着Internet中大量的新恶意继续恶化，这种情况仅是大流行的初期阶段。

同时黑客发布越来越复杂的恶意软件——一些被设计为偷渡式安装并通过一台曾经是信任的主机或假冒他人进行分发。

这篇文档针对在网关处检测数据的网关防病毒架构设计，描述、比较并提出了一份最好的实践指南。

这种架构被设计对识别并阻止恶意软件内容进行高速数据检查，如：键盘记录器、后门程序、间谍软件、rootkit等其它形态的恶意软件。

将两种主流架构进行比较。

第一种方式是Fortinet利用定制硬件来加速文件重组和应用识别的代理方式，可提供更全面的文件分析。

第二种是基于数据流方式，在对数据包进行逐个检测。

以下内容将描述基于流方式虽然可提供最大化的性能，但性能提高的代价是低检测率，增加用户因检测失败而感染恶意软件的高风险。

值得注意的是Fortinet向正规的第三方认证中心(ICSA实验室)提交了Fortinet架构以确保100%的WildList防御(WildList是一个Internet上最活跃病毒的数据库。

列表每月更新，由维护，Fortinet是其成员之一)。

每月的ICSA测试证明FortiGate设备可提供100%的WildList保护。

另外，Fortinet 对恶意软件防御相比WildList进行了扩充，使用启发式分析和文件还原引擎动态的检测多形态病毒及新的恶意软件变种。

通过对Web、FTP下载/上传、邮件信息及IM(即时消息)等应用的数据传输进行扫描，FortiGate设备可对最流行的恶意软件进行阻止。

互联网安全防护方案为确保我段互联网系统信息安全，降低系统和外界对内网数据的安全威胁，特制定此安全防护方案：1.网关处部署防火墙保证网关的安全,抵御黑客攻击。

2。

在网络主干链路上部署上网行为管理设备来控制内部计算机上网行为,规范P2P下载等一些上网行为。

3.按照一定的安全策略，利用记录、系统活动和用户活动等信息,检查、审查和检验操作事件的环境及活动。

4。

实行专机专用，不得“一机两网"，且对接入互联网的终端机实行绑定IP、MAC地址的措施，实现专机专用。

5。

针对防病毒危害性极大并且传播极为迅速，必须配备从服务器到单机的整套防病毒软件,防止病毒入侵主机并扩散到全网,实现全网的病毒安全防护.并且由于新病毒的出现比较快，所以要求防病毒系统的病毒代码库的更新周期必须比较短。

6。

严格执行互联网相关制度,严禁在访问互联网的计算机终端上存储、处理和传输国家秘密信息和工作秘密、商业秘密等内部敏感信息；严禁通过互联网电子邮箱、即时通信工具等办理涉密业务;互联网终端不得上网看电影、聊天、玩游戏等做与工作无关事情；互联网终端不得从事危害国家安全、泄露国家秘密、工作秘密和商业秘密的活动，不得侵犯国家、社会、集体的利益和公民的合法权益,不得从事违法犯罪活动如不遵守此规定上网，发生违法、违纪后果者责任自负，并考核科室相关负责人。

7.互联网机器必须安装杀毒软件，并定期升级杀毒软件，防止病毒扩散至局域网。

8。

需要使用互联网下载相关内容时，存至U盘后需对U 盘进行杀毒，防止病毒扩散至局域网。

9.全面细致实行上网行为管理、内容安全管理、带宽分配管理、网络应用管理、外发信息管理，有效解决互联网带来的管理、安全、效率、资源、法律等问题。

网关防病毒技术，斩断病毒传播在现今的网络时代，病毒的发展呈现出以下趋势：病毒与黑客程序相结合、蠕虫病毒更加泛滥、病毒破坏性更大、制作病毒的方法更简单、病毒传播速度更快，传播渠道更多、病毒感染对象越来越广。

因此，一个完善的安全体系应该包含了从桌面到服务器、从内部用户到网络边界的全面地解决方案，以抵御来自黑客和病毒的威胁。

近年来逐渐兴起的网关防病毒技术在安全体系中的应用“热”起来了。

网关防病毒技术的发展蠕虫病毒产生以前，计算机病毒主要是以移动存储介质传播的；自蠕虫病毒出现之后，网络则取代了移动存储介质的位置。

许多业内人士得出的结论是，只要斩断邮件自动转发这一主要传播途径，就可以有效控制计算机病毒的扩散，网关防毒则是斩断其传播途径的最为有效的手段之一。

在信息安全技术领域中，基于硬件开发的防毒网关已经推出一段时间，而具有相同功能的软件产品在市场上出现得更早。

从应用效果上看看，硬件产品以高性能高稳定性得到用户的青睐。

软件防毒墙最大的缺陷是软件在易用性、安全性等方面与硬件产品存在一定的差异。

由于软件防毒墙要安装到基于NT、Unix或者是Linux等开放式操作系统平台上才能使用。

而开放式系统往往存有安全漏洞，且这些安全漏洞在互联网上就可查到，若不及时打补丁，非法入侵者只需采用对开放系统进行攻击的方法就可突破网络防护。

这时网络安全产品不仅起不到安全防护作用，反而成为网络的安全隐患。

不仅如此，这类产品安装维护工作极其复杂，技术人员除了要熟悉相关软件的技术之外，还要熟练掌握多种操作系统以适应各种各样邮件服务器的维护需要。

同时软件防毒墙产品的性能和效率也会受到硬件环境的限制而无法达到最佳效果。

同防火墙产品发展的过程类似，防毒墙产品的发展也经历了由软件到硬件的发展过程，而且从应用到技术实现有许多类似之处。

首先，这两类产品在网络上处于相同位置，均在网关上起着十分重要的安全防护作用；其次，硬件防火墙和防毒墙都是基于工控机开发的，是独立于操作系统平台之外的产品。

防病毒网关手册安启华公司·杭州信息中心二〇一〇年五月十四日版本控制信息目录第一章操作手册 (4)1.设备面板标识 (4)1.1 面板结构 (4)1.2 状态灯判断 (4)2.运维部分功能 (4)2.1 系统登录 (4)2.2 系统运行状态监视 (5)2.3 管理 (6)2.4 更新 (8)2.5 更新查看 (10)2.6 策略管理 (11)2.7 备份和恢复 (15)2.8 日志和报表 (15)第二章应急手册 (20)1.概述 (20)1.1 防病毒网关部署 (20)2技术支持 (21)2.1 厂商技术支持人员 (21)2.2 400技术支持热线 (21)3.故障发现 (21)3.1 巡检设备 (21)3.2 设备自带系统监控 (22)4.现场分析与处理 (22)4.1 应急实例 (22)4.2 故障分析 (22)4.3 故障处理 (23)5. 二线分析与处理 (23)第三章防病毒配置手册 (23)第四章防病毒网关监控手册 (23)1．防病毒网关系统监控 (23)2．防病毒网关事件监控 (23)第一章操作手册1. 设备面板标识1.1 面板结构Anchiva的面板结构如下图：XXX公司使用的Anchiva 506具有6个10/100/1000Mbps电口。

其中前面两对口分别组成一对Bypass组。

因此Anchiva 506支持2对bypass。

此外，Anchiva 506前面板上还有一个DB-9的Console口。

1.2 状态灯判断Anchiva 506的LED灯状态比较简单：2. 运维部分功能2.1 系统登录Anchiva的登录方式分为WebUI方式和CLI方式。

WebUI界面：通过使用安全的HTTPS连接，管理员能够通过所支持的web浏览器来对安启华网关进行管理和配置。

Internet Explorer 6.0及6.0以上版本Firefox 1.50及1.50以上版本登录安启华网关的WebUI1 通过web浏览器，输入路径和地址。

防病毒网关部署方案目前网络拓扑图：一、防病毒网关的部署位置建议将防病毒网关部署在入侵防御和汇聚交换机之间，有以下2点原因：1、防火墙可以阻断非法用户访问网络资源，入侵防御可以在线攻击防御，将防病毒网关部署在IPS之后可以大大减轻防病毒网关的负载，提高了防病毒网关的工作效率。

2、防病毒网关部署在路由器或者防火墙后面都需要连接四根线，而防病毒网关只有两根进线，由于入侵防御的部署模式是两个两出，所以选择部署在入侵防御之后。

防毒墙部署后的拓扑图：二、防病毒网关查杀内容的选取为了充分发挥防病毒网关的性能，减少不必要的性能损耗，建议防病毒网关与防火墙协同工作，目前防火墙主要开放服务器的80端口，所以防病毒网关只需主要针对Http协议的报文进行扫描查杀等工作，其他Ftp、Smtp、Pop3等协议报文的查杀，根据实际应用的需要，再做相应的配置。

三、防病毒网关的查杀方式防病毒网关发现病毒后有四种处理方式：包括删除文件、隔离文件、清除病毒和记录日志。

如果在第一次策略处理失败的情况下，可以设置第二次策略正确的处理病毒。

经讨论，我们建议先采取清除病毒的方式，清除病毒失败后采取隔离文件的方式。

四、蠕虫的防护防病毒网关需开启蠕虫过滤功能，系统默认就会自动添加一些流行蠕虫的查杀规则，其他蠕虫的防护规则可以根据各应用系统的实际应用情况来设置阀值，其中阀值的设定需防病毒网关与各业务系统之间不断的磨合，才可以达到最佳防护效果。

防止系统漏洞类的蠕虫病毒，最好的办法是更新好操作系统补丁，因此蠕虫的防护需与服务器操作系统补丁更新配合实施。

五、网卡模式选取防病毒网关接线图：综合分析目前网络拓扑现状，我们建议选用网络分组模式，将ETH1接口和ETH2接口划分到Bridage0通道中，用于扫描访问电信线路1和移动线路的数据包，将管理口划分到Bridage1通道中，用于扫描访问电信线路2和广电线路的数据包。

需给Bridage0通道分配一个核心交换机1与汇聚交换机1互联网段的地址，用户防病毒网关的升级与日常管理维护。

防病毒网关部署方案目前网络拓扑图：一、防病毒网关的部署位置建议将防病毒网关部署在入侵防御和汇聚交换机之间，有以下2点原因：1、防火墙可以阻断非法用户访问网络资源，入侵防御可以在线攻击防御，将防病毒网关部署在IPS之后可以大大减轻防病毒网关的负载，提高了防病毒网关的工作效率。

2、防病毒网关部署在路由器或者防火墙后面都需要连接四根线，而防病毒网关只有两根进线，由于入侵防御的部署模式是两个两出，所以选择部署在入侵防御之后。

防毒墙部署后的拓扑图：二、防病毒网关查杀内容的选取为了充分发挥防病毒网关的性能，减少不必要的性能损耗，建议防病毒网关与防火墙协同工作，目前防火墙主要开放服务器的80端口，所以防病毒网关只需主要针对Http协议的报文进行扫描查杀等工作，其他Ftp、Smtp、Pop3等协议报文的查杀，根据实际应用的需要，再做相应的配置。

三、防病毒网关的查杀方式防病毒网关发现病毒后有四种处理方式：包括删除文件、隔离文件、清除病毒和记录日志。

如果在第一次策略处理失败的情况下，可以设置第二次策略正确的处理病毒。

经讨论，我们建议先采取清除病毒的方式，清除病毒失败后采取隔离文件的方式。

四、蠕虫的防护防病毒网关需开启蠕虫过滤功能，系统默认就会自动添加一些流行蠕虫的查杀规则，其他蠕虫的防护规则可以根据各应用系统的实际应用情况来设置阀值，其中阀值的设定需防病毒网关与各业务系统之间不断的磨合，才可以达到最佳防护效果。

防止系统漏洞类的蠕虫病毒，最好的办法是更新好操作系统补丁，因此蠕虫的防护需与服务器操作系统补丁更新配合实施。

五、网卡模式选取防病毒网关接线图：综合分析目前网络拓扑现状，我们建议选用网络分组模式，将ETH1接口和ETH2接口划分到Bridage0通道中，用于扫描访问电信线路1和移动线路的数据包，将管理口划分到Bridage1通道中，用于扫描访问电信线路2和广电线路的数据包。

需给Bridage0通道分配一个核心交换机1与汇聚交换机1互联网段的地址，用户防病毒网关的升级与日常管理维护。