打赢局域网病毒歼灭战

申请免费试用、咨询电话：400-8352-114

　　相信任何一个网管都知道，病毒并不可怕，可怕的是局域网内病毒的传播。这些病毒不但感染内网中的机器，而且还会向外网(互联网)蔓延，感染互联网中的机器，同时网络带宽也会被这些病毒大量占用，导致局域网用户无法正常上网办公。由于短时间内清除这些病毒的难度比较大，因此最明智的做法是先将病毒控制在某个范围内(如某个网段内)，不让它蔓延，然后再进行病毒清除工作。那么，怎样才能将病毒控制在某个范围内呢？实际上利用ISA 2004（ISA防火墙）就能轻松做到。

　　笔者所管理的局域网内的所有机器都是通过ISA 2004服务器来访问互联网的，并且这些机器都处于“192.168.1.X”这个网段内。一旦有机器感染病毒，网管可立即使用ISA 2004的访问规则，将这些病毒控制在“192.168.1.X”网段内，不再向外蔓延，最后在局域网内进行病毒查杀工作。这样一来就避免了病毒占用过多的网络带宽，影响其他机器正常上网。

　　一、找出中毒机器

　　要想把病毒控制在某个范围之内，先得找出感染病毒的机器的IP地址。如果局域网规模不大，而且采用手工方式分配IP地址(静态IP地址)，网管能够很快找到被感染机器的IP地址。

　　对于规模较大，采用DHCP服务器动态分配IP地址的办公室局域网来说，由于IP地址是可变的，想快速找出被感染机器的IP地址是不太容易的。所以需要利用ISA 2004提供的日志查询功能，找到这些机器的IP。

　　1.新建筛选器
　　在ISA 2004控制台窗口中，点击左侧栏中的“监视”选项，接着在右侧的监视框体中点击“日志”，切换到日志标签页。在这里，网管会根据病毒的特性，编辑筛选器，快速过滤出感染病毒的机器。
　　笔者发现网内感染病毒的机器不断连接外网的其他机器的137和445端口，发送大量的数据包，占用了大量的网络带宽。笔者通过分析，就可新建目标端口为137和445的筛选器，过滤出这些病毒机器，找出IP地址。
　　点击“日志”标签页中的“编辑筛选器”链接，弹出“编辑筛选器”对话框，在“筛选依据”下拉列表中选择“目标端口”，在“条件”框中选择“等于”，在“值”栏中输入“137”，最后点击“添加到列表”按钮，完成目标端口为137的筛选器的新建。（图1）
　　目标端口为445的筛选器的新建方法与此相同，只是在“值”栏中输入“445”即可。

　　2.检索中毒机器
　　完成两个筛选器的新建后，就可以开始过滤病毒机器了。在“日志”标签页中点击“开始检索”链接，稍等片刻，就会列出局域网内感染病毒的机器，快速找出它们的IP地址。果冻发现局域网内有192.168.1.23、192.168.1.30、192.168.1.45三台机器感染上了病毒，并不停的向本局域网或外网中的目标机器的137和445端口，发送大量的非法数据包。

　　二、防止病毒蔓延

　　找出了被感染机器的IP地址后，就可以使用访问规则，禁止它们访问外网，将病毒感染和传播的范围控制在本网段内，避免网络带宽被大量占用。

　　1.新建计算机集
　　在ISA 2004控制台窗口中，点击左侧栏中的“防火墙策略”选项，在右侧框体中切换到“网络对象”标签页，点击“新建→计算机集”，弹出“新建计算机集规则元素”对话框，在名称栏中输入“病毒机器”，然后添加计算机，将192.168.1.23、192.168.1.30、192.168.1.45三台机器逐一添加到列表框中，最后点击“确定”按钮，完成“病毒机器”计算机集的新建。

　　2.修改访问规则
　　右键点击右侧框体中的“ALL OPEN”访问规则，选择“属性”，进入属性对话框，切换到“从”标签页。点击“例外”框的“添加”按钮，然后将计算机集中的“病毒机器”项添加到“例外”列表框中，接着点击“确定”按钮。最后，在防火墙策略右侧框体中选中“ALL OPEN”规则，点击上方的“应用”按钮即可。现在，这些机器就被禁止访问互联网，通信范围局限于本网段内，病毒不能向外网蔓延，网络带宽也不会被大量占用。在这里，笔者也要提示，安装了ISA 2004后，默认选项是不允许网内机器访问外网的，所以先要创建一条允许内网用户访问外网的访问规则，这条规则就是 “ALL OPEN”访问规则。

　　3.善后工作
　　接下来，就可使用杀毒软件彻底查杀被感染机器中的病毒，清除完成后，可将“例外”框中的“病毒机器”计算机集删除，最后还要在防火墙策略右侧框体中选中“ALL OPEN”规则，点击上方的“应用”按钮。这样，在清除病毒后，这些机器又能正常上网了。

三、升级病毒库

　　笔者利用ISA 2004将病毒控制在办公室网络中，没有让它蔓延，接下来就要在大家的机器上查杀病毒。但局域网内不太专业的同事们却因为没有访问外网的权限而无法在线升级杀毒软件的病毒库，病毒查杀工作因此受阻。看来要想“歼灭”病毒，还需要让大家的杀毒软件通过局域网内的某台电脑进行病毒库的升级……

　　首先，必须要有一台电脑(可将它称为“主机”)能够访问外网，及时更新病毒库。病毒库更新后，主机便可作为局域网内的病毒库升级服务器(主机就是笔者的电脑)。当然，前提条件是所使用的杀毒软件必须提供这项功能。

　　虽然现在支持病毒库局域网内升级的杀毒软件很多，但很难一一举例，在这里，就以最近很火的卡巴斯基为例，说说操作过程。确定卡巴斯基是支持病毒库在局域网内升级的，然后笔者要在卡巴斯基官方网站页面下载最新的病毒数据库(压缩文件格式)，解压到主机的某个文件夹内(如“D:down”)，并将该文件夹设为共享。

　　在卡巴斯基主窗口切换到“设置”选项卡，在该选项卡左侧单击“配置更新”链接，打开“更新设置”对话框。卡巴斯基为用户提供了三种更新方式，需要通过局域网进行更新，应该选择“从本地文件夹”，然后选择主机上的病毒库文件所在的共享文件夹(如“\jamesdown”)。如果想让客户端自动更新病毒库，则可以勾选“启用自动更新”选项，并设定好更新的频率即可。最后，单击“确定”按钮便完成了客户端的设置。

　　最后，笔者要提示的是，局域网内的同事最好选择的是同一种杀毒软件，这样更容易管理和升级。(CBI)