果冻发现局域网内有几台电脑感染病毒,并且有在内网不断蔓延的趋势,
局域网病毒防杀
。这些病毒不但感染内网中的机器,而且还会向外网(互联网)蔓延,感染互联网中的机器,同时网络带宽也会被这些病毒大量占用,导致局域网用户无法正常上网办公。由于短时间内清除这些病毒的难度比较大,因此最明智的做法是先将病毒控制在某个范围内(如某个网段内),不让它蔓延,然后再进行病毒清除工作。那么,怎样才能将病毒控制在某个范围内呢?利用ISA 2004就能轻松做到。果冻管理的局域网内的所有机器都是通过ISA 2004服务器来访问互联网的,并且这些机器都处于192.168.1.X这个网段内。一旦有机器感染病毒,网管可立即使用ISA 2004的访问规则,将这些病毒控制在192.168.1.X网段内,不再向外蔓延,最后在局域网内进行病毒查杀工作。这样一来就避免了病毒占用过多的网络带宽,影响其他机器正常上网。
一、找出中毒机器
要想把病毒控制在某个范围之内,先得找出感染病毒的机器的IP地址。如果局域网规模不大,而且采用手工方式分配IP地址(静态IP地址),网管能够很快找到被感染机器的IP地址。
对于规模较大,采用DHCP服务器动态分配IP地址的办公室局域网来说,由于IP地址是可变的,想快速找出被感染机器的IP地址是不太容易的。果冻打算利用ISA 2004提供的日志查询功能,找到这些机器的IP。
1.新建筛选器
在ISA 2004控制台窗口中,点击左侧栏中的监视选项,接着在右侧的监视框体中点击日志,切换到日志标签页。在这里,果冻会根据病毒的特性,编辑筛选器,快速过滤出感染病毒的机器。
果冻发现网内感染病毒的机器不断连接外网的其他机器的137和445端口,发送大量的数据包,占用了大量的网络带宽。现在,果冻就可新建目标端口为137和445的筛选器,过滤出这些病毒机器,找出IP地址,
电脑资料
《局域网病毒防杀》(https://www.unjs.com)。点击日志标签页中的编辑筛选器链接,弹出编辑筛选器对话框(如图),在筛选依据下拉列表中选择目标端口,在条件框中选择等于,在值栏中输入137,最后点击添加到列表按钮,完成目标端口为137的筛选器的新建。
目标端口为445的筛选器的新建方法与此相同,只是在值栏中输入445即可。
2.检索中毒机器
完成两个筛选器的新建后,就可以开始过滤病毒机器了。在日志标签页中点击开始检索链接,稍等片刻,就会列出局域网内感染病毒的机器,快速找出它们的IP地址。果冻发现局域网内有192.168.1.12、192.168.1.15、192.168.1.45三台机器感染上了病毒,并不停的向本局域网或外网中的目标机器的137和445端口,发送大量的非法数据包。
二、防止病毒蔓延
找出了被感染机器的IP地址后,就可以使用访问规则,禁止它们访问外网,将病毒感染和传播的范围控制在本网段内,避免网络带宽被大量占用。
1.新建计算机集
在ISA 2004控制台窗口中,点击左侧栏中的防火墙策略选项,在右侧框体中切换到网络对象标签页,点击新建计算机集,弹出新建计算机集规则元素对话框,在名称栏中输入病毒机器,然后添加计算机,将192.168.1.12、192.168.1.15、192.168.1.45三台机器逐一添加到列表框中,最后点击确定按钮,完成病毒机器计算机集的新建。
2.修改访问规则
右键点击右侧框体中的ALL OPEN访问规则,选择属性,进入属性对话框,切换到从标签页。点击例外框的添加按钮,然后将计算机集中的病毒机器项添加到例外列表框中,接着点击确定按钮。最后,在防火墙策略右侧框体中选中ALL OPEN规则,点击上方的应用按钮即可。现在,这些机器就被禁止访问互联网,通信范围局限于本网段内,病毒不能向外网蔓延,网络带宽也不会被大量占用。
果冻提示 安装了ISA 2004后,默认是不允许网内机器访问外网的,必须创建一条允许内网用户访问外网的访问规则,这条规则就是 ALL OPEN访问规则。