防病毒网关要怎么部署？

网络安全最近很火，我好友列表里许多小友都跃跃欲试，想要冲一波风口，试试看自己的本事。但其实很多时候，网络工程师本职的工作里也会涉及到一些安全的内容。思科和华为认证的安全方向就证明了这一点——网络工程师，依旧和安全脱不开关系。举个例子，咱们工作里常需要涉及到网关吧？

无线路由器-网关-dtu 这样部署防病毒网关才妙啊！2000字详解奉上

网关在网络层以上实现网络互连，是最复杂的网络互连设备，仅用于两个高层协议不同的网络互连。作为网络工程师，常用网关对网络进行管理。但是在工作了一段时间之后，你也会知道还有一种网关叫做“防病毒网关”。

防病毒网关要怎么部署？

它是一种在网关的基础上，增加了保护网络功能的一种全新网关。它不仅具有优异的杀毒、拦截、过滤等功能，还有防火墙和路由分配等配置，是一种功能更佳丰富的网关。防病毒网关实际上就是针对网络安全所面临的新挑战应运而生的。

它是一种对病毒等恶意软件进行防御的硬件网络防护设备，可以协助企业防护各类病毒和恶意软件，并进行隔离和清除的操作。

当企业在网络的 Internet出口部署防病毒网关系统后，可大幅度降低因恶意软件传播带来的安全威胁，及时发现并限制网络病毒爆发疫情。那么，一个防病毒的网关该咋部署？老杨今天和你分享分享这个。

无线路由器-网关-dtu 这样部署防病毒网关才妙啊！2000字详解奉上01 防病毒网关的部署位置

建议将防病毒网关部署在入侵防御和汇聚交换机之间，有以下2点原因：

（1）防火墙可以阻断非法用户访问网络资源，入侵防御可以在线攻击防御，将防病毒网关部署在 IPS之后可以大大减轻防病毒网关的负载，提高了防病毒网关的工作效率。

（2）防病毒网关部署在路由器或者防火墙后面都需要连接四根线，而防病毒网关只有两根进线，由于入侵防御的部署模式是两个两出，所以选择部署在入侵防御之后。防毒墙部署后的拓扑图如下：无线路由器-网关-dtu 这样部署防病毒网关才妙啊！2000字详解奉上02 病毒网关查杀内容的选取

为了充分发挥防病毒网关的性能，减少不必要的性能损耗，建议防病毒网关与防火墙协同工作。目前，防火墙主要开放服务器的80端口，所以防病毒网关只需主要针对 Http协议的报文进行扫描查杀等工作，其他Ftp、Smtp、Pop3等协议报文的查杀，根据实际应用的需要，再做相应的配置。03 防病毒网关的查杀方式防病毒网关发现病毒后有四种处理方式：

删除文件
隔离文件
清除病毒
记录日志

如果在第一次策略处理失败的情况下，可以设置第二次策略正确的处理病毒。经讨论，我们建议先采取清除病毒的方式，清除病毒失败后采取隔离文件的方式。

04 蠕虫的防护

防病毒网关需开启蠕虫过滤功能，系统默认就会自动添加一些流行蠕虫的查杀规则，其他蠕虫的防护规则可以根据各应用系统的实际应用情况来设置阀值，其中阀值的设定需防病毒网关与各业务系统之间不断的磨合，才可以达到最佳防护效果。防止系统漏洞类的蠕虫病毒，最好的办法是更新好操作系统补丁，因此蠕虫的防护需与服务器操作系统补丁更新配合实施。

05 网卡模式选取

防病毒网关接线图如下：无线路由器-网关-dtu 这样部署防病毒网关才妙啊！2000字详解奉上综合分析目前网络拓扑现状，我们建议选用网络分组模式，将ETH1接口和ETH2接口划分到Bridage0通道中，用于扫描访问电信线路1和移动线路的数据包。将管理口划分到 Bridage1通道中，用于扫描访问电信线路2和广电线路的数据包。需给Bridage0通道分配一个核心交换机1与汇聚交换机1互联网段的地址，用户防病毒网关的升级与日常管理维护。06 病毒库的升级方式病毒库的升级模式分为三种：

自动升级
手动升级
离线升级

考虑到网络上的病毒每天每时都有新的、变种的病毒，我们建议选用自动升级的方法，因为手动升级和离线升级无法做到病毒库升级的及时性，可能会造成漏杀的状况对系统造成不良影响。

出于安全考虑，在防火墙配置访问控制策略，阻断所有的服务器主动发动访问外网，仅限于个别业务系统有特别需求的，可以访问指定的域名或地址，我们建议在防火墙上开放 URL过滤策略，仅允许防病毒网关访问病毒库的升级地址。部署方案说完了，觉得干货的小友记得多多赞同哈。无线路由器-网关-dtu 这样部署防病毒网关才妙啊！2000字详解奉上最后，老杨还想说一点：其实啊，传统的防病毒网关基于X86或者单一的ASIC、NP架构的，这种单处理器的模式没有办法一起处理n个任务流。