清除威胁 网病毒防杀一点通.docVIP

近日，果冻发现局域网内有几台电脑感染病毒，并且有在内网不断蔓延的趋势。这些病毒不但感染内网中的机器，而且还会向外网(互联网)蔓延，感染互联网中的机器，同时网络带宽也会被这些病毒大量占用，导致局域网用户无法正常上网办公。由于短时间内清除这些病毒的难度比较大，因此最明智的做法是先将病毒控制在某个范围内(如某个网段内)，不让它蔓延，然后再进行病毒清除工作。那么，怎样才能将病毒控制在某个范围内呢？利用ISA 2004就能轻松做到。 　　果冻管理的局域网内的所有机器都是通过ISA 2004服务器来访问互联网的，并且这些机器都处于“192.168.1.X”这个网段内。一旦有机器感染病毒，网管可立即使用ISA 2004的访问规则，将这些病毒控制在“192.168.1.X”网段内，不再向外蔓延，最后在局域网内进行病毒查杀工作。这样一来就避免了病毒占用过多的网络带宽，影响其他机器正常上网。 　　一、找出中毒机器 　　要想把病毒控制在某个范围之内，先得找出感染病毒的机器的IP地址。如果局域网规模不大，而且采用手工方式分配IP地址(静态IP地址)，网管能够很快找到被感染机器的IP地址。 　　对于规模较大，采用DHCP服务器动态分配IP地址的办公室局域网来说，由于IP地址是可变的，想快速找出被感染机器的IP地址是不太容易的。果冻打算利用ISA 2004提供的日志查询功能，找到这些机器的IP。 　　1.新建筛选器 　　在ISA 2004控制台窗口中，点击左侧栏中的“监视”选项，接着在右侧的监视框体中点击“日志”，切换到日志标签页。在这里，果冻会根据病毒的特性，编辑筛选器，快速过滤出感染病毒的机器。 　　果冻发现网内感染病毒的机器不断连接外网的其他机器的137和445端口，发送大量的数据包，占用了大量的网络带宽。现在，果冻就可新建目标端口为137和445的筛选器，过滤出这些病毒机器，找出IP地址。 　　点击“日志”标签页中的“编辑筛选器”链接，弹出“编辑筛选器”对话框(如图)，在“筛选依据”下拉列表中选择“目标端口”，在“条件”框中选择“等于”，在“值”栏中输入“137”，最后点击“添加到列表”按钮，完成目标端口为137的筛选器的新建。 　　目标端口为445的筛选器的新建方法与此相同，只是在“值”栏中输入“445”即可。 　　2.检索中毒机器 完成两个筛选器的新建后，就可以开始过滤病毒机器了。在“日志”标签页中点击“开始检索”链接，稍等片刻，就会列出局域网内感染病毒的机器，快速找出它们的IP地址。果冻发现局域网内有2、5、5三台机器感染上了病毒，并不停的向本局域网或外网中的目标机器的137和445端口，发送大量的非法数据包。 　　二、防止病毒蔓延 　　找出了被感染机器的IP地址后，就可以使用访问规则，禁止它们访问外网，将病毒感染和传播的范围控制在本网段内，避免网络带宽被大量占用。 　　1.新建计算机集 　　在ISA 2004控制台窗口中，点击左侧栏中的“防火墙策略”选项，在右侧框体中切换到“网络对象”标签页，点击“新建→计算机集”，弹出“新建计算机集规则元素”对话框，在名称栏中输入“病毒机器”，然后添加计算机，将2、5、5三台机器逐一添加到列表框中，最后点击“确定”按钮，完成“病毒机器”计算机集的新建。 　　2.修改访问规则 　　右键点击右侧框体中的“ALL OPEN”访问规则，选择“属性”，进入属性对话框，切换到“从”标签页。点击“例外”框的“添加”按钮，然后将计算机集中的“病毒机器”项添加到“例外”列表框中，接着点击“确定”按钮。最后，在防火墙策略右侧框体中选中“ALL OPEN”规则，点击上方的“应用”按钮即可。现在，这些机器就被禁止访问互联网，通信范围局限于本网段内，病毒不能向外网蔓延，网络带宽也不会被大量占用。 　　果冻提示 安装了ISA 2004后，默认是不允许网内机器访问外网的，必须创建一条允许内网用户访问外网的访问规则，这条规则就是 “ALL OPEN”访问规则。 　　3.善后工作 　　接下来，就可使用杀毒软件彻底查杀被感染机器中的病毒，清除完成后，可将“例外”框中的“病毒机器”计算机集删除，最后还要在防火墙策略右侧框体中选中“ALL OPEN”规则，点击上方的“应用”按钮。这样，在清除病毒后，这些机器又能正常上网了。 　　三、打好网内的“病毒围歼战” 　　果冻利用ISA 2004将病毒控制在办公室网络中，没有让它蔓延，接下来就要在大家的机器上查杀病毒。但草莓这帮家伙却因为没有访问外网的权限而无法在线升级杀毒软件的病毒库，病毒查杀工作因此受阻。这可难不倒果冻，他想出了一个好办法，让大家的杀毒软件通过局域网内的某台电脑进行病毒库的升级…… 　　首先，必须要有一台电脑(可将它称为“主机”)能够访问外网，及时更新病毒库。病毒库更新后，主机便可