打贏局域網(wǎng)病毒殲滅戰(zhàn)

申請免費(fèi)試用、咨詢電話：400-8352-114

　　相信任何一個(gè)網(wǎng)管都知道，病毒并不可怕，可怕的是局域網(wǎng)內(nèi)病毒的傳播。這些病毒不但感染內(nèi)網(wǎng)中的機(jī)器，而且還會(huì)向外網(wǎng)(互聯(lián)網(wǎng))蔓延，感染互聯(lián)網(wǎng)中的機(jī)器，同時(shí)網(wǎng)絡(luò)帶寬也會(huì)被這些病毒大量占用，導(dǎo)致局域網(wǎng)用戶無法正常上網(wǎng)辦公。由于短時(shí)間內(nèi)清除這些病毒的難度比較大，因此最明智的做法是先將病毒控制在某個(gè)范圍內(nèi)(如某個(gè)網(wǎng)段內(nèi))，不讓它蔓延，然后再進(jìn)行病毒清除工作。那么，怎樣才能將病毒控制在某個(gè)范圍內(nèi)呢？實(shí)際上利用ISA 2004（ISA防火墻）就能輕松做到。

　　筆者所管理的局域網(wǎng)內(nèi)的所有機(jī)器都是通過ISA 2004服務(wù)器來訪問互聯(lián)網(wǎng)的，并且這些機(jī)器都處于“192.168.1.X”這個(gè)網(wǎng)段內(nèi)。一旦有機(jī)器感染病毒，網(wǎng)管可立即使用ISA 2004的訪問規(guī)則，將這些病毒控制在“192.168.1.X”網(wǎng)段內(nèi)，不再向外蔓延，最后在局域網(wǎng)內(nèi)進(jìn)行病毒查殺工作。這樣一來就避免了病毒占用過多的網(wǎng)絡(luò)帶寬，影響其他機(jī)器正常上網(wǎng)。

　　一、找出中毒機(jī)器

　　要想把病毒控制在某個(gè)范圍之內(nèi)，先得找出感染病毒的機(jī)器的IP地址。如果局域網(wǎng)規(guī)模不大，而且采用手工方式分配IP地址(靜態(tài)IP地址)，網(wǎng)管能夠很快找到被感染機(jī)器的IP地址。

　　對于規(guī)模較大，采用DHCP服務(wù)器動(dòng)態(tài)分配IP地址的辦公室局域網(wǎng)來說，由于IP地址是可變的，想快速找出被感染機(jī)器的IP地址是不太容易的。所以需要利用ISA 2004提供的日志查詢功能，找到這些機(jī)器的IP。

　　1.新建篩選器
　　在ISA 2004控制臺(tái)窗口中，點(diǎn)擊左側(cè)欄中的“監(jiān)視”選項(xiàng)，接著在右側(cè)的監(jiān)視框體中點(diǎn)擊“日志”，切換到日志標(biāo)簽頁。在這里，網(wǎng)管會(huì)根據(jù)病毒的特性，編輯篩選器，快速過濾出感染病毒的機(jī)器。
　　筆者發(fā)現(xiàn)網(wǎng)內(nèi)感染病毒的機(jī)器不斷連接外網(wǎng)的其他機(jī)器的137和445端口，發(fā)送大量的數(shù)據(jù)包，占用了大量的網(wǎng)絡(luò)帶寬。筆者通過分析，就可新建目標(biāo)端口為137和445的篩選器，過濾出這些病毒機(jī)器，找出IP地址。
　　點(diǎn)擊“日志”標(biāo)簽頁中的“編輯篩選器”鏈接，彈出“編輯篩選器”對話框，在“篩選依據(jù)”下拉列表中選擇“目標(biāo)端口”，在“條件”框中選擇“等于”，在“值”欄中輸入“137”，最后點(diǎn)擊“添加到列表”按鈕，完成目標(biāo)端口為137的篩選器的新建。（圖1）
　　目標(biāo)端口為445的篩選器的新建方法與此相同，只是在“值”欄中輸入“445”即可。

　　2.檢索中毒機(jī)器
　　完成兩個(gè)篩選器的新建后，就可以開始過濾病毒機(jī)器了。在“日志”標(biāo)簽頁中點(diǎn)擊“開始檢索”鏈接，稍等片刻，就會(huì)列出局域網(wǎng)內(nèi)感染病毒的機(jī)器，快速找出它們的IP地址。果凍發(fā)現(xiàn)局域網(wǎng)內(nèi)有192.168.1.23、192.168.1.30、192.168.1.45三臺(tái)機(jī)器感染上了病毒，并不停的向本局域網(wǎng)或外網(wǎng)中的目標(biāo)機(jī)器的137和445端口，發(fā)送大量的非法數(shù)據(jù)包。

　　二、防止病毒蔓延

　　找出了被感染機(jī)器的IP地址后，就可以使用訪問規(guī)則，禁止它們訪問外網(wǎng)，將病毒感染和傳播的范圍控制在本網(wǎng)段內(nèi)，避免網(wǎng)絡(luò)帶寬被大量占用。

　　1.新建計(jì)算機(jī)集
　　在ISA 2004控制臺(tái)窗口中，點(diǎn)擊左側(cè)欄中的“防火墻策略”選項(xiàng)，在右側(cè)框體中切換到“網(wǎng)絡(luò)對象”標(biāo)簽頁，點(diǎn)擊“新建→計(jì)算機(jī)集”，彈出“新建計(jì)算機(jī)集規(guī)則元素”對話框，在名稱欄中輸入“病毒機(jī)器”，然后添加計(jì)算機(jī)，將192.168.1.23、192.168.1.30、192.168.1.45三臺(tái)機(jī)器逐一添加到列表框中，最后點(diǎn)擊“確定”按鈕，完成“病毒機(jī)器”計(jì)算機(jī)集的新建。

　　2.修改訪問規(guī)則
　　右鍵點(diǎn)擊右側(cè)框體中的“ALL OPEN”訪問規(guī)則，選擇“屬性”，進(jìn)入屬性對話框，切換到“從”標(biāo)簽頁。點(diǎn)擊“例外”框的“添加”按鈕，然后將計(jì)算機(jī)集中的“病毒機(jī)器”項(xiàng)添加到“例外”列表框中，接著點(diǎn)擊“確定”按鈕。最后，在防火墻策略右側(cè)框體中選中“ALL OPEN”規(guī)則，點(diǎn)擊上方的“應(yīng)用”按鈕即可?，F(xiàn)在，這些機(jī)器就被禁止訪問互聯(lián)網(wǎng)，通信范圍局限于本網(wǎng)段內(nèi)，病毒不能向外網(wǎng)蔓延，網(wǎng)絡(luò)帶寬也不會(huì)被大量占用。在這里，筆者也要提示，安裝了ISA 2004后，默認(rèn)選項(xiàng)是不允許網(wǎng)內(nèi)機(jī)器訪問外網(wǎng)的，所以先要?jiǎng)?chuàng)建一條允許內(nèi)網(wǎng)用戶訪問外網(wǎng)的訪問規(guī)則，這條規(guī)則就是 “ALL OPEN”訪問規(guī)則。

　　3.善后工作
　　接下來，就可使用殺毒軟件徹底查殺被感染機(jī)器中的病毒，清除完成后，可將“例外”框中的“病毒機(jī)器”計(jì)算機(jī)集刪除，最后還要在防火墻策略右側(cè)框體中選中“ALL OPEN”規(guī)則，點(diǎn)擊上方的“應(yīng)用”按鈕。這樣，在清除病毒后，這些機(jī)器又能正常上網(wǎng)了。

三、升級病毒庫

　　筆者利用ISA 2004將病毒控制在辦公室網(wǎng)絡(luò)中，沒有讓它蔓延，接下來就要在大家的機(jī)器上查殺病毒。但局域網(wǎng)內(nèi)不太專業(yè)的同事們卻因?yàn)闆]有訪問外網(wǎng)的權(quán)限而無法在線升級殺毒軟件的病毒庫，病毒查殺工作因此受阻。看來要想“殲滅”病毒，還需要讓大家的殺毒軟件通過局域網(wǎng)內(nèi)的某臺(tái)電腦進(jìn)行病毒庫的升級……

　　首先，必須要有一臺(tái)電腦(可將它稱為“主機(jī)”)能夠訪問外網(wǎng)，及時(shí)更新病毒庫。病毒庫更新后，主機(jī)便可作為局域網(wǎng)內(nèi)的病毒庫升級服務(wù)器(主機(jī)就是筆者的電腦)。當(dāng)然，前提條件是所使用的殺毒軟件必須提供這項(xiàng)功能。

　　雖然現(xiàn)在支持病毒庫局域網(wǎng)內(nèi)升級的殺毒軟件很多，但很難一一舉例，在這里，就以最近很火的卡巴斯基為例，說說操作過程。確定卡巴斯基是支持病毒庫在局域網(wǎng)內(nèi)升級的，然后筆者要在卡巴斯基官方網(wǎng)站頁面下載最新的病毒數(shù)據(jù)庫(壓縮文件格式)，解壓到主機(jī)的某個(gè)文件夾內(nèi)(如“D:down”)，并將該文件夾設(shè)為共享。

　　在卡巴斯基主窗口切換到“設(shè)置”選項(xiàng)卡，在該選項(xiàng)卡左側(cè)單擊“配置更新”鏈接，打開“更新設(shè)置”對話框。卡巴斯基為用戶提供了三種更新方式，需要通過局域網(wǎng)進(jìn)行更新，應(yīng)該選擇“從本地文件夾”，然后選擇主機(jī)上的病毒庫文件所在的共享文件夾(如“\jamesdown”)。如果想讓客戶端自動(dòng)更新病毒庫，則可以勾選“啟用自動(dòng)更新”選項(xiàng)，并設(shè)定好更新的頻率即可。最后，單擊“確定”按鈕便完成了客戶端的設(shè)置。

　　最后，筆者要提示的是，局域網(wǎng)內(nèi)的同事最好選擇的是同一種殺毒軟件，這樣更容易管理和升級。(CBI)