完成两个筛选器的新建后,就可以开始过滤病毒机器了。在“日志”标签页中点击“开始检索”链接,稍等片刻,就会列出局域网内感染病毒的机器,快速找出它们的IP地址。果冻发现局域网内有192.168.1.12、192.168.1.15、192.168.1.45三台机器感染上了病毒,并不停的向本局域网或外网中的目标机器的137和445端口,发送大量的非法数据包。
二、防止病毒蔓延
找出了被感染机器的IP地址后,就可以使用访问规则,禁止它们访问外网,将病毒感染和传播的范围控制在本网段内,避免网络带宽被大量占用。
1.新建计算机集
在ISA 2004控制台窗口中,点击左侧栏中的“防火墙策略”选项,在右侧框体中切换到“网络对象”标签页,点击“新建→计算机集”,弹出“新建计算机集规则元素”对话框,在名称栏中输入“病毒机器”,然后添加计算机,将192.168.1.12、192.168.1.15、192.168.1.45三台机器逐一添加到列表框中,最后点击“确定”按钮,完成“病毒机器”计算机集的新建。
2.修改访问规则
右键点击右侧框体中的“ALL OPEN”访问规则,选择“属性”,进入属性对话框,切换到“从”标签页。点击“例外”框的“添加”按钮,然后将计算机集中的“病毒机器”项添加到“例外”列表框中,接着点击“确定”按钮。最后,在防火墙策略右侧框体中选中“ALL OPEN”规则,点击上方的“应用”按钮即可。现在,这些机器就被禁止访问互联网,通信范围局限于本网段内,病毒不能向外网蔓延,网络带宽也不会被大量占用。
果冻提示 安装了ISA 2004后,默认是不允许网内机器访问外网的,必须创建一条允许内网用户访问外网的访问规则,这条规则就是 “ALL OPEN”访问规则。
3.善后工作
接下来,就可使用杀毒软件彻底查杀被感染机器中的病毒,清除完成后,可将“例外”框中的“病毒机器”计算机集删除,最后还要在防火墙策略右侧框体中选中“ALL OPEN”规则,点击上方的“应用”按钮。这样,在清除病毒后,这些机器又能正常上网了。
三、打好网内的“病毒围歼战”
果冻利用ISA 2004将病毒控制在办公室网络中,没有让它蔓延,接下来就要在大家的机器上查杀病毒。但草莓这帮家伙却因为没有访问外网的权限而无法在线升级杀毒软件的病毒库,病毒查杀工作因此受阻。这可难不倒果冻,他想出了一个好办法,让大家的杀毒软件通过局域网内的某台电脑进行病毒库的升级……
首先,必须要有一台电脑(可将它称为“主机”)能够访问外网,及时更新病毒库。病毒库更新后,主机便可作为局域网内的病毒库升级服务器(主机就是果冻的电脑)。当然,前提条件是所使用的杀毒软件必须提供这项功能。
为了让大伙有更多的选择余地,果冻选择了几款比较常见的而且都支持病毒库局域网内升级的杀毒软件。当然,软件不同,设置也不相同,让我们看看果冻是如何进行设置的。
KV2004
KV2004在局域网内升级是通过将包含了已更新的病毒库信息的文件夹共享给其他客户机的方式来进行的。更新信息包含在KV2004安装目录下的Update文件夹内(如“C:\KV2004\Update”),因此,首先就要将这个文件夹设置成为共享。
接下来,在客户机上运行KV2004,在菜单栏上依次点击“工具→选项”,切换至“升级”选项卡,选中“局域网升级”选项,将升级的路径指向主机上共享的Update文件夹。由于病毒库经常需要更新,因此我们可以勾选“定时升级”选项,选择一个恰当的升级频率,最后单击“确定”按钮即可(图1)。
图1
本文来源:hackervip黑客/网络安全 作者:佚名