今天是星期五,正好吃得很饱,dddggx会和你分享技术。
网络安全最近很受欢迎,我的朋友名单上很多朋友都想抢风头,试试自己的能力。
但是,网络工程师的本职工作往往也包含安全内容。 思科和华为认证的安全方向证明,——网络工程师仍然无法切断与安全的关系。
举个例子,我们的工作总是需要网关吗? 关于网关鳗鱼溪流科普印章:网友必看! 如何生动地描述IP地址、子网掩码和网关?
网关在网络层以上实现网络互联,是最复杂的网络互联设备,两个上层协议仅用于不同的网络互联。
作为网络工程师,典型的网关管理网络。
但是,工作一段时间后,你会发现还有一个叫“防病毒网关”的网关。
这是一个新的网关,除了网关以外,还添加了保护网络的功能。 它不仅具有良好的防病毒、拦截、过滤等功能,还具有防火墙和路由等配置,是功能更加丰富的网关。
杀毒网关实际上是为了应对网络安全面临的新挑战而产生的。
防止病毒等恶意软件的硬件网络保护设备,有助于企业保护、隔离和消除各种病毒和恶意软件。
企业在互联网的互联网出口上部署反病毒网关系统,可以大大减少恶意软件感染带来的安全威胁,及时发现和限制网络病毒的大规模传播。
那么,杀毒网关该如何部署呢?
dddggx今天和你分享这个。
01防病毒网关部署位置
建议在入侵防御和收敛交换机之间部署防病毒网关有两个原因:
(1)防火墙可以阻断非法用户对网络资源的访问,入侵防御可以进行在线攻击防御,通过在IPS上部署防病毒网关可以大大减轻防病毒网关的负荷,防止病毒网关的工作效率
)2)防病毒网关必须连接四根电缆才能放在路由器或防火墙后面,但防病毒网关只有两根电线。 因为入侵防御的部署模式有两种,所以选择在入侵防御之后部署。
引入防毒墙后的拓扑图如下。
02选择病毒网关检查内容
为了充分发挥防病毒网关的性能,减少不必要的性能损失,建议将防病毒网关与防火墙配合使用。
目前,防火墙主要开放服务器的80个端口,所以防病毒网关主要只需要对Http协议的消息进行扫描检查等工作,其他的Ftp、Smtp、Pop3等协议消息
03如何检查防病毒网关
杀毒网关发现病毒后,有四种处理方法。
删除文件
隔离文件
清除病毒
记录日志
如果第一次策略处理失败,则可以设置第二次策略以正确处理病毒。 经过研究,建议先采用删除病毒的方式,删除病毒失败后再采用隔离文件的方式。
04蠕虫防护
防病毒网关必须打开蠕虫过滤功能,系统默认情况下会自动添加一些常见的蠕虫清除规则。 其他蠕虫保护规则可以根据每个APP应用程序系统的实际使用情况设置阈值。 此阈值设置需要在防病毒网关和每个业务系统之间不断进行协商,以获得最佳的保护效果。
防止具有系统漏洞的蠕虫的最佳方法是更新操作系统修补程序。 因此,蠕虫保护必须与服务器操作系统修补程序更新配合使用。
05网卡模式选择
防病毒网关的接线图如下。
综合分析当前网络拓扑的现状,建议将ETH1接口和ETH2接口划分为Bridage0通道,选择网络数据包模式扫描接入通信线路1和移动线路的数据包
将管理端口划分为Bridage1通道,用于扫描接入通信线路2和广电线路的数据包。 必须为Bridage0通道分配核心交换机1和精简交换机1的互联网段地址,以便对用户的防病毒网关进行升级和日常管理维护。
06如何升级病毒码
病毒库的升级模式分为三种。
自动升级
手动升级
脱机升级
考虑到网络病毒每天都有新变种的病毒,我们建议您采用自动升级的方法。 这是因为手动升级和脱机升级无法及时升级病毒码文件,处置情况可能会对系统产生负面影响。
出于安全考虑,在防火墙上设置访问控制策略,以防止所有服务器主动开始访问外部网。 只有在各个业务系统有特殊需求时,才能访问指定的域名或地址。 建议您在防火墙上释放URL过滤策略,以便只有防病毒网关可以访问病毒库的升级地址。
配置方案结束了,干货朋友记得很多赞同。
最后,dddggx还想说一句:
事实上,传统的防病毒网关基于X86或单个ASIC、NP体系结构。 该单处理器型号不能一起处理n个任务流。
其结果是,无法并行处理
,网关性能只能依托于CPU主频,性能提升空间有限。加之随着病毒数量的与日俱增,病毒库日益臃肿,以及传统的防病毒网关在目前的应用Web化趋势下,越来越显出其性能的相对不足……点滴缺陷,积少成多,都在反映一个问题:
在当前形势下的网络安全需求是无法被传统配置所满足的。网关尚且面临诸多挑战,改良空间甚大。何况咱们网络工程师呢?
切记不要故步自封,学会眼光放得长远一些。学习,是IT行业永恒的主旋律。
也是网络工程师职业生涯的主旋律。
整理:dddggx丨8年资深网络工程师,更多网工提升干货,请关注公众号:网络工程师俱乐部