|
  
- UID
- 2036233
- 威望
- 1 点
- 金钱
- 101953 金币
- 点卡
- 0 点
|
1#
发表于 2005-8-18 12:54
| 只看该作者
[原创]清除威胁 局域网病毒防杀一点通
[watermark]近日,果冻发现局域网内有几台电脑感染病毒,并且有在内网不断蔓延的趋势。这些病毒不但感染内网中的机器,而且还会向外网(互联网)蔓延,感染互联网中的机器,同时网络带宽也会被这些病毒大量占用,导致局域网用户无法正常上网办公。由于短时间内清除这些病毒的难度比较大,因此最明智的做法是先将病毒控制在某个范围内(如某个网段内),不让它蔓延,然后再进行病毒清除工作。那么,怎样才能将病毒控制在某个范围内呢?利用ISA 2004就能轻松做到。
果冻管理的局域网内的所有机器都是通过ISA 2004服务器来访问互联网的,并且这些机器都处于“192.168.1.X”这个网段内。一旦有机器感染病毒,网管可立即使用ISA 2004的访问规则,将这些病毒控制在“192.168.1.X”网段内,不再向外蔓延,最后在局域网内进行病毒查杀工作。这样一来就避免了病毒占用过多的网络带宽,影响其他机器正常上网。
一、找出中毒机器
要想把病毒控制在某个范围之内,先得找出感染病毒的机器的IP地址。如果局域网规模不大,而且采用手工方式分配IP地址(静态IP地址),网管能够很快找到被感染机器的IP地址。
对于规模较大,采用DHCP服务器动态分配IP地址的办公室局域网来说,由于IP地址是可变的,想快速找出被感染机器的IP地址是不太容易的。果冻打算利用ISA 2004提供的日志查询功能,找到这些机器的IP。
1.新建筛选器
在ISA 2004控制台窗口中,点击左侧栏中的“监视”选项,接着在右侧的监视框体中点击“日志”,切换到日志标签页。在这里,果冻会根据病毒的特性,编辑筛选器,快速过滤出感染病毒的机器。
果冻发现网内感染病毒的机器不断连接外网的其他机器的137和445端口,发送大量的数据包,占用了大量的网络带宽。现在,果冻就可新建目标端口为137和445的筛选器,过滤出这些病毒机器,找出IP地址。
点击“日志”标签页中的“编辑筛选器”链接,弹出“编辑筛选器”对话框(如图),在“筛选依据”下拉列表中选择“目标端口”,在“条件”框中选择“等于”,在“值”栏中输入“137”,最后点击“添加到列表”按钮,完成目标端口为137的筛选器的新建。
目标端口为445的筛选器的新建方法与此相同,只是在“值”栏中输入“445”即可。
2.检索中毒机器
完成两个筛选器的新建后,就可以开始过滤病毒机器了。在“日志”标签页中点击“开始检索”链接,稍等片刻,就会列出局域网内感染病毒的机器,快速找出它们的IP地址。果冻发现局域网内有192.168.1.12、192.168.1.15、192.168.1.45三台机器感染上了病毒,并不停的向本局域网或外网中的目标机器的137和445端口,发送大量的非法数据包。
二、防止病毒蔓延
找出了被感染机器的IP地址后,就可以使用访问规则,禁止它们访问外网,将病毒感染和传播的范围控制在本网段内,避免网络带宽被大量占用。
1.新建计算机集
在ISA 2004控制台窗口中,点击左侧栏中的“防火墙策略”选项,在右侧框体中切换到“网络对象”标签页,点击“新建→计算机集”,弹出“新建计算机集规则元素”对话框,在名称栏中输入“病毒机器”,然后添加计算机,将192.168.1.12、192.168.1.15、192.168.1.45三台机器逐一添加到列表框中,最后点击“确定”按钮,完成“病毒机器”计算机集的新建。
2.修改访问规则
右键点击右侧框体中的“ALL OPEN”访问规则,选择“属性”,进入属性对话框,切换到“从”标签页。点击“例外”框的“添加”按钮,然后将计算机集中的“病毒机器”项添加到“例外”列表框中,接着点击“确定”按钮。最后,在防火墙策略右侧框体中选中“ALL OPEN”规则,点击上方的“应用”按钮即可。现在,这些机器就被禁止访问互联网,通信范围局限于本网段内,病毒不能向外网蔓延,网络带宽也不会被大量占用。
果冻提示 安装了ISA 2004后,默认是不允许网内机器访问外网的,必须创建一条允许内网用户访问外网的访问规则,这条规则就是 “ALL OPEN”访问规则。
[/watermark] |
|
