近日��,果凍發現局域網內有幾臺電腦感染病毒����,并且有在內網不斷蔓延的趨勢��。這些病毒不但感染內網中的機器����,而且還會向外網(互聯網)蔓延,感染互聯網中的機器�����,同時網絡帶寬也會被這些病毒大量占用����,導致局域網用戶無法正常上網辦公��。由于短時間內清除這些病毒的難度比較大,因此最明智的做法是先將病毒控制在某個范圍內(如某個網段內)�����,不讓它蔓延��,然后再進行病毒清除工作��。那么�����,怎樣才能將病毒控制在某個范圍內呢�����?利用ISA 2004就能輕松做到����。
果凍管理的局域網內的所有機器都是通過ISA 2004服務器來訪問互聯網的,并且這些機器都處于“192.168.1.X”這個網段內�����。一旦有機器感染病毒��,網管可立即使用ISA 2004的訪問規則,將這些病毒控制在“192.168.1.X”網段內�����,不再向外蔓延��,最后在局域網內進行病毒查殺工作��。這樣一來就避免了病毒占用過多的網絡帶寬����,影響其他機器正常上網。
一��、找出中毒機器
要想把病毒控制在某個范圍之內�����,先得找出感染病毒的機器的IP地址�����。如果局域網規模不大�����,而且采用手工方式分配IP地址(靜態IP地址)��,網管能夠很快找到被感染機器的IP地址�����。
對于規模較大�����,采用DHCP服務器動態分配IP地址的辦公室局域網來說����,由于IP地址是可變的,想快速找出被感染機器的IP地址是不太容易的�����。果凍打算利用ISA 2004提供的日志查詢功能����,找到這些機器的IP。
1.新建篩選器
在ISA 2004控制臺窗口中�����,點擊左側欄中的“監視”選項,接著在右側的監視框體中點擊“日志”����,切換到日志標簽頁。在這里��,果凍會根據病毒的特性����,編輯篩選器,快速過濾出感染病毒的機器����。
果凍發現網內感染病毒的機器不斷連接外網的其他機器的137和445端口,發送大量的數據包�����,占用了大量的網絡帶寬?����,F在����,果凍就可新建目標端口為137和445的篩選器,過濾出這些病毒機器��,找出IP地址����。
點擊“日志”標簽頁中的“編輯篩選器”鏈接,彈出“編輯篩選器”對話框(如圖)��,在“篩選依據”下拉列表中選擇“目標端口”����,在“條件”框中選擇“等于”,在“值”欄中輸入“137”��,最后點擊“添加到列表”按鈕����,完成目標端口為137的篩選器的新建。
目標端口為445的篩選器的新建方法與此相同�����,只是在“值”欄中輸入“445”即可����。
2.檢索中毒機器
完成兩個篩選器的新建后��,就可以開始過濾病毒機器了��。在“日志”標簽頁中點擊“開始檢索”鏈接��,稍等片刻����,就會列出局域網內感染病毒的機器����,快速找出它們的IP地址。果凍發現局域網內有192.168.1.12����、192.168.1.15、192.168.1.45三臺機器感染上了病毒����,并不停的向本局域網或外網中的目標機器的137和445端口,發送大量的非法數據包����。
