清除威胁 局域网病毒防杀一点通

近日 , 果冻发现局域网内有几台电脑感染病毒 , 并且有在内网不断蔓延的趋势 。这些病毒不但感染内网中的机器 , 而且还会向外网(互联网)蔓延 , 感染互联网中的机器 , 同时网络带宽也会被这些病毒大量占用 , 导致局域网用户无法正常上网办公 。由于短时间内清除这些病毒的难度比较大 , 因此最明智的做法是先将病毒控制在某个范围内(如某个网段内) , 不让它蔓延 , 然后再进行病毒清除工作 。那么 , 怎样才能将病毒控制在某个范围内呢?利用ISA 2004就能轻松做到 。
果冻管理的局域网内的所有机器都是通过ISA 2004服务器来访问互联网的 , 并且这些机器都处于“192.168.1.X”这个网段内 。一旦有机器感染病毒 , 网管可立即使用ISA 2004的访问规则 , 将这些病毒控制在“192.168.1.X”网段内 , 不再向外蔓延 , 最后在局域网内进行病毒查杀工作 。这样一来就避免了病毒占用过多的网络带宽 , 影响其他机器正常上网 。
一、找出中毒机器
要想把病毒控制在某个范围之内 , 先得找出感染病毒的机器的IP地址 。如果局域网规模不大 , 而且采用手工方式分配IP地址(静态IP地址) , 网管能够很快找到被感染机器的IP地址 。
对于规模较大 , 采用DHCP服务器动态分配IP地址的办公室局域网来说 , 由于IP地址是可变的 , 想快速找出被感染机器的IP地址是不太容易的 。果冻打算利用ISA 2004提供的日志查询功能 , 找到这些机器的IP 。
1.新建筛选器
在ISA 2004控制台窗口中 , 点击左侧栏中的“监视”选项 , 接着在右侧的监视框体中点击“日志” , 切换到日志标签页 。在这里 , 果冻会根据病毒的特性 , 编辑筛选器 , 快速过滤出感染病毒的机器 。
果冻发现网内感染病毒的机器不断连接外网的其他机器的137和445端口 , 发送大量的数据包 , 占用了大量的网络带宽 。现在 , 果冻就可新建目标端口为137和445的筛选器 , 过滤出这些病毒机器 , 找出IP地址 。
点击“日志”标签页中的“编辑筛选器”链接 , 弹出“编辑筛选器”对话框(如图) , 在“筛选依据”下拉列表中选择“目标端口” , 在“条件”框中选择“等于” , 在“值”栏中输入“137” , 最后点击“添加到列表”按钮 , 完成目标端口为137的筛选器的新建 。
目标端口为445的筛选器的新建方法与此相同 , 只是在“值”栏中输入“445”即可 。
2.检索中毒机器

完成两个筛选器的新建后 , 就可以开始过滤病毒机器了 。在“日志”标签页中点击“开始检索”链接 , 稍等片刻 , 就会列出局域网内感染病毒的机器 , 快速找出它们的IP地址 。果冻发现局域网内有192.168.1.12、192.168.1.15、192.168.1.45三台机器感染上了病毒 , 并不停的向本局域网或外网中的目标机器的137和445端口 , 发送大量的非法数据包 。
二、防止病毒蔓延
找出了被感染机器的IP地址后 , 就可以使用访问规则 , 禁止它们访问外网 , 将病毒感染和传播的范围控制在本网段内 , 避免网络带宽被大量占用 。
1.新建计算机集
在ISA 2004控制台窗口中 , 点击左侧栏中的“防火墙策略”选项 , 在右侧框体中切换到“网络对象”标签页 , 点击“新建→计算机集” , 弹出“新建计算机集规则元素”对话框 , 在名称栏中输入“病毒机器” , 然后添加计算机 , 将192.168.1.12、192.168.1.15、192.168.1.45三台机器逐一添加到列表框中 , 最后点击“确定”按钮 , 完成“病毒机器”计算机集的新建 。
2.修改访问规则
右键点击右侧框体中的“ALL OPEN”访问规则 , 选择“属性” , 进入属性对话框 , 切换到“从”标签页 。点击“例外”框的“添加”按钮 , 然后将计算机集中的“病毒机器”项添加到“例外”列表框中 , 接着点击“确定”按钮 。最后 , 在防火墙策略右侧框体中选中“ALL OPEN”规则 , 点击上方的“应用”按钮即可 。现在 , 这些机器就被禁止访问互联网 , 通信范围局限于本网段内 , 病毒不能向外网蔓延 , 网络带宽也不会被大量占用 。

推荐阅读