防毒墙运行模式的选择
防毒墙有两种部署模式,即透明网桥和路由模式。透明网桥模式部署适用于当前网络环境已经部署成熟的拓扑。
优点:
- 防毒墙透明接入网关处,不需要修改网络拓扑,对用户网络改造影响小。
- 支持bypass,避免单点故障,提供高可用性。
- 不支持策略路由
- 不支持NAT
- 不支持VPN
优点:
- 支持策略路由,支持NAT,支持VPN等功能。
- 需要修改网络拓扑,需要变动网关处网络路由等参数。
- 不支持bypass。
防毒墙的部署位置的建议
建议将防毒墙部署在网络边界防火墙的内侧,网络数据在通过边界防火墙的各种规则及保护后进入防毒墙做杀毒过滤,以便达到最好性能。
不建议将防毒墙部署在内网交换机之间,或充当内网三层交换机,这样做将大大降低内网交换效率,造成网络瓶颈。
当基于透明网桥配置防毒墙网关时,需要注意以下问题
- 习惯上将E0,E1设置为网桥。
- 习惯上将E0配置为WAN,E1配置为LAN。
- 需要配置默认路由(默认网关),以保证系统正常运行,当默认路由配置不正确时会导致网络不通等情况发生。
- 配置正确的安全策略以保证网络联通性。
- 配置正确的内容过滤过则以保证杀毒有效。
- 测试杀毒生效可以采用www.eicar.org的公开测试样本。
当基于路由模式配置防毒墙网关时,需要注意以下问题
- 配置正确默认路由(默认网关),以保证网络正常联通。
- 配置正确的安全策略以保证网络联通性。
- 当存在多出口时,正确配置多出口以及策略路由,保证网络出口合理分配。
- 配置正确的内容过滤规则以保证杀毒有效。
- 测试杀毒生效可以采用www.eicar.org的公开测试样本。
