2017年5月，勒索病毒“永恒之蓝”爆发，对大量企业及学校造成重大损失，局域网内的病毒防护工作成为了重中之重。为了完成这项工作，我们可以通过部署防病毒接入网关，将局域网内的病毒阻断，从而阻止其传播，完成局域网内的病毒防护工作。

防病毒接入网关由防病毒接入交换机（下面简称交换机）和防病毒设备组成。下面重点讲解该方案的组网验证思路和测试方法。

本次防病毒接入网关方案有三个重点：

1. 如何在尽量不改变交换机原有使用环境的情况下，通过简单地更改配置使流量走防病毒设备进行过滤。这样既能够减少不必要的风险，同时也能够得到用户更多的认可。

2. 流量走到防病毒设备上之后，如何对病毒进行过滤。

3. 加上防病毒设备后，性能是否可以满足，对正常流量是否有影响。

简单组网如下

图1. 防病毒接入网关组网图

如图1所示，交换机和防病毒设备内部各有两对物理上直连的接口（简称内联口，图中红色线条）。为了不改变交换机原有使用环境，这里使用了流量重定向的方法。同vlan的主机1和主机2互相访问时，流量走向如图中蓝色线条，主机1的流量发送到交换机下行口，将流量重定向到交换机的内联口上，然后通过物理链路使流量走到防病毒设备，再经过防病毒设备过滤后，返回给交换机，最后发送给主机2；不同vlan的主机1和主机3互相访问时，流量走向为图中绿色线条部分

为了验证此种组网的可行性，可以使用ping方式进行测试。将主机1和主机2接入交换机，模拟两个内网用户，在交换机同一vlan内，然后清除交换机和防病毒设备上内联口的接口统计信息，并开启防病毒设备的调试信息。最后在主机1上ping 主机2的地址，查看交换机和内联口上的接口信息，如果能够正常ping通，且接口统计信息正确，防病毒设备上调试信息正确，说明流量经过防病毒设备过滤了，且能正确转发。

在防病毒设备上，配置DPI（Deep Packet Inspection，深度报文检测）模块中的AV（Anti-Virus，防病毒）功能，能够检测出流量中的病毒威胁并阻断该报文,如图2所示。

图2. DPI模块中的AV功能配置

测试时，有两种方法：

一是使用的是BPS（BreakingPoint Systems）测试仪模拟病毒攻击。使用测试仪的两个端口分别模拟主机1和主机2，在network neighborhood中配置二三层的接口和IP信息，然后使用component的Security模板，该模板中有测试仪自带的病毒样本Strike List: Canned Malware ，如下图。

图3. BPS病毒攻击配置

在防病毒设备上升级最新的AV特征库，使能AV功能后，从测试仪打入流量，防病毒设备能够正确阻断病毒流量，并打印相应日志。

二是使用真实环境模拟。将主机1和设备B（充当Server的防火墙）接在交换机，模拟两个内网用户，在交换机同一vlan内，在设备 B上开启ftp server服务，然后将病毒样本放置在设备B上。在防病毒设备上升级最新的AV特征库，使能AV功能后，使用PC A ftp登陆设备B，获取设备B上的病毒文件，防病毒设备能够正确阻断该病毒流量，并打印相应日志。

性能方面，在交换机正常流量业务的情况下，防病毒设备和其上的DPI功能不能够成为性能瓶颈。即在交换机业务性能达到极值的情况下，防病毒设备上配置防病毒功能，对交换机业务本身没有影响。这里可以采用BPS测试仪中的application simulator模板配置混合流量场景来作为模拟现实环境的应用层性能测试场景，测试防病毒设备会话的新建速率、并发数和吞吐量，通过与交换机性能取交集，得出整套方案中的性能指标。

结束语

在本次防病毒接入网关防病毒方案验证中，重点是如何在尽量不改变用户原有组网的情况下，通过简单地更改配置使流量走防病毒设备进行过滤。这样既能够减少不必要的风险，同时也能够得到用户更多的认可。难点在于权衡各种方案的利弊，选择最优的解决方法，最后选择了使用端口重定向的方式来实现引流。这样既能做到检测局域网病毒的功能，又能够保证防病毒设备的性能能够达到理想值。