网络产品-OAA之ASM防毒墙组网应用方案

1.解决方案及拓扑结构图
基于MSR路由器防毒墙的典型组网
华为3C0M公司推出的基于路由器的防病毒墙产品来满足上述需求应用的，它通过网络设备来防范和隔离病毒，因此很好地解决了防毒软件上述的两个弱点，大大提高了网络防毒墙的可用性和可部署的能力。

网络防毒墙从完整意义上
解决了企业网络防护和网络边缘杀毒：
（1）集成了强大的网络防杀病毒机制，网络层状态包过滤、敏感信息的加密传输和详尽灵活的日志审计等多种安全技术于一身的硬件平台。

（2）适用于各种复杂的网络拓扑环境，能够提供针对HTTR FTP SMTF和POP3协议内容检查，清除病毒的能力，同时通过实施安全策略可以在网络环境中的内外网之间
建立一道功能强大的防火墙体系，不但可以保护内部资源不受外部网络的侵犯，同时可以阻止内部用户对外部不良资源的滥用。

华为3COM公司的多业务集成开发路由器MSR集成了网络防毒墙的功能，它是结合了MSR路由器开放式业务平台和业界防毒领域最强厂商的网络防毒产品的集成解决方案，即将基于通用操作系统（如Linux）的软件防毒墙产品集成到MSR路由器的OAP莫块中来提供网络防毒墙强的功能。

MSR勺开放式业务平台OAP 模块具有强大的处理能力并依托MSR 路由器强势的网络通信功能来提供业界独特灵活的业务集成能力，而国内瑞星公司目前是全球防毒领域获得前三的厂家之一,其防毒产品当然是业界功能和性能是首屈一指的，因此基于MSR各由器的这
个防毒墙解决方案应该说是一个强强联合的产品和结晶，不论是从产品的品牌还是功能和性能方面都具有很强的优势。

带防毒墙的MSR路由器部署在网络的出口处，根据配置策略可以对基于HTTP FTP POP3 SMTP四种协议的数据流进行查毒和杀毒的功能。

通过上述的防毒墙网络部署，可以有效地控制和防范病毒在网络上的泛滥和传播。

该组网方案主要是具有如下优势：
A通过MSR路由器上来部署防毒墙产品实现了在网络的关键路径上隔离病毒的功能，避免了病毒从外网到内网及内网向外网的传播和蔓延；
B防毒卡是专门的硬件平台，其杀毒引擎不占用路由器的硬件资源，即不会对路由器的性能的影响，保证了路由器设备的正常工作和数据转发。

相反，防毒卡集成到了MSR各由器里面，通过路由器来进行管理和配置，方便了用户的使用。

C MSR路由器的安全功能非常强，不仅有丰富的3层防火墙功能，还具备强大的4-7
层的业务识别能力，能够抵御各种网络攻击和非法入侵。

在这种组网方案中，将路由器的防火墙功能和防毒墙的查杀病毒的功能结合起来，相得益彰，大大加强了网络的安全应用。

2.特性优势及简要规格
2.1特性优势
MSR各由器防毒墙具有如下几个优势条件:
A MSI路由器利用开放式OAP业务平台来集成防毒墙的方式在业界独一无二, 具有组
网部署、成本及维护等方面的绝对优势，这种解决方案将会引导一种新的应用潮流。

B瑞星防毒墙产品也是业绩领先突出的一款产品，在性能和功能上具有较强的竞争力，能够较好地保证产品的质量。

2.2简要规格
1、防毒卡硬件规格
2、防毒卡软件查杀的协议类型
目前支持HTTR FTP POP3 SMTF四种协议。

3.适用领域和应用情况
3.1适应领域
该应用主要是适应于企业网的各个领域。

3.2应用情况说明
该防毒墙产品的稳定性和功能特性主要取决于瑞星防毒墙软件产品，这个产品又是一个成熟的产品，并且有很多的实际应用。

4.配置举例和说明
4.1路由器侧配置
#为了使用acfp和acsei功能对路由器进行如下配置:
£.击直杂粗条
□ 序导如A口岀口韓左提口目値务摄凰药环运孕？吾花玉，.总t这:见*&加
增加一条杀毒的规则：以ftp为例
[RouterMSR]acfp en able
[RouterMSR]acsei server en able
[RouterMSR]s nmp-age nt com mun ity read public
[RouterMSR]snmp-agent community write private
[RouterMSR]s nmp-age nt sys-i nfo versi on all
[RouterMSR]s nmp-age nt group v3 gr1 read-view internet write-view in ternet
[RouterMSR]snmp-agent mib-view included admin iso
[RouterMSR]s nmp-age nt mib-view in cluded internet in ternet
[RouterMSR]s nmp-age nt usm-user v3 test gr1 authe nticatio n-m ode md5 test123456 privacy-mode des56 test123456
#在路由器上配置关联ip 地址
[RouterMSR] in terface GigabitEthernet 5/0
[RouterMSR-GigabitEthernet5/0]ip address 192.168.1.2 24
4.2防毒卡侧配置
防毒卡侧的接口配置
防毒卡规则的配置:
|LB2 UBBL2. 1 更5 255.0
甘烧IPi 也吐
£.击直杂粗条
□ 序导 如 A 口 岀口 韓左提口 目値务 摄凰
药环运孕？吾花玉，.总t 这:见*&加
增加一条杀毒的规则：以ftp 为例
点击增加后，点击应用:
E 置
入口
出口 转发接口 顋地址 目的地址 服务 o Gi^ibitZ thi rne 10/0 Gi iEth.trnfetO/1 Gi £ab i tZ th t5/0
110. 1.1.2 no.i. l.z
F21 J M 设划启用）1址设左停用）（令増加〕（=删除）[$血用_]
防毒卡查杀配置：
以查杀.EXE 类型文件为例, 4.3测试结果 以FTP 为例
C:\Docume nts and Setti ngs\gO4421.H3C>ftp 120.1.1.2
Conn ected to 120.1.12
220 h3c-4673c78dead Microsoft FTP Service (Versio n 5.0).
User (120.1.12(none)): ftp
331 Anonymo usaccess allowed, send ide ntity (e-mail n ame) as password.
Password:
230 Anonym ous user logged in.
ftp> ls
200 PORT comma nd successful.
150 Opening ASCII mode data connection for file list.
1.exe
226 Tran sfer complete.
ftp: 收到7 字节，用时0.00Seconds 7000.00Kbytes/sec.
ftp> get 1.exe
200 PORT comma nd successful.
150-Starti ng Tran sfer
150-There'll be a delay while we sca n for viruses
150-Sca nning file for viruses
150 Starti ng Tran sfer
226 Transfer Complete
ftp>
如果该文件有病毒，可以通过安全审计- ＞事件日志，设置FTP为查询条件, 来进行查询。

0笠昌日记京鰭果O■署蜒计蜡黒
0笠昌日记京鰭果O■署蜒计蜡黒。