概述:

通过下一代防火墙实现内网终端上网安全，避免pc机上网访问网站时意外下载到恶意病毒导致无法进行正常的工作，在防火墙上开启杀毒策略，将病毒遏制在网络外部。

        计算机病毒具有繁殖性、破坏性、传染性、潜伏性及可触发性等核心特征，分为引导型、文件型和复合型病毒，按破坏程度可分为良性与恶性两类。其传播途径包括存储介质与网络传输，常通过文件附着或系统漏洞实现扩散。

        病毒防护主要依赖杀毒软件实时监控、系统补丁更新及可疑端口关闭等技术措施。防范手段包含安全模式查杀、U盘免疫目录创建等操作，同时需避免访问高风险网络资源。部分病毒会利用触发机制在特定条件下激活，因此定期维护与多重防护结合是有效应对策略。

----百度百科

实验实例： 

 我们将网络结构简化为PC机--防火墙--公网

 

为主机配置ip地址为192.168.10.1/24        默认网关为192.168.10.254        DNS为114.114.114.114

打开山石下一代防火墙，并通过分配的ip地址进入防火墙的可视化操作界面

login：
password：
SG-6000# conf
SG-6000(config)# interface e0/0
SG-6000(config-if-eth0/0)# manage https
SG-6000(config-if-eth0/0)# show interface

 

为病毒过滤特征库进行升级

 

为防火墙的入接口和出接口进行配置，出接口设置为非信任区，入接口设置为信任区，并配置静态ip地址为服务器的默认网关  

配置源nat策略，实现内网上公网的需求

 

 配置安全策略（默认是拒绝区域间的访问），使内网网段能够访问公网，即e 0/1的信任区truste能够访问0/0 的非信任untrust区

测试主机并发现能够上网

 

现在防火墙中配置网关杀毒功能，保护内网的终端安全

 配置病毒过滤模板后添加进相关的安全策略中

 病毒防护完成后我们在内网主机中进行测试，尝试进入相关非安全网站

 在该网站中测试下载相关病毒文件

可以发现产生了报错信息，即防火墙的病毒防护功能发挥了作用

 

接下来我们去防火墙的日志中查看相关信息，可以清楚的发现整个过程

 tips：如果需要支持对https访问进行安全防护功能，则需要开启ssl代理

SSL代理（Secure Sockets Layer Proxy）是一种网络中间人技术，通过在客户端和目标服务器之间建立加密通道，实现对HTTPS流量的拦截、解密、检查及重新加密，以增强安全管控能力。

 

同样的，在编辑完模板后需要在安全策略中进行添加。 

总结：

通过下一代防火墙，保护计算机系统或网络免受相关恶意软件的感染，保证其能够正常的工作运行