近日����,果凍發(fā)現(xiàn)局域網(wǎng)內(nèi)有幾臺電腦感染病毒,并且有在內(nèi)網(wǎng)不斷蔓延的趨勢���。這些病毒不但感染內(nèi)網(wǎng)中的機器�,而且還會向外網(wǎng)(互聯(lián)網(wǎng))蔓延,感染互聯(lián)網(wǎng)中的機器����,同時網(wǎng)絡(luò)帶寬也會被這些病毒大量占用�,導(dǎo)致局域網(wǎng)用戶無法正常上網(wǎng)辦公�。由于短時間內(nèi)清除這些病毒的難度比較大,因此最明智的做法是先將病毒控制在某個范圍內(nèi)(如某個網(wǎng)段內(nèi))���,不讓它蔓延����,然后再進行病毒清除工作����。那么,怎樣才能將病毒控制在某個范圍內(nèi)呢�?利用ISA 2004就能輕松做到。
果凍管理的局域網(wǎng)內(nèi)的所有機器都是通過ISA 2004服務(wù)器來訪問互聯(lián)網(wǎng)的�,并且這些機器都處于“192.168.1.X”這個網(wǎng)段內(nèi)。一旦有機器感染病毒�,網(wǎng)管可立即使用ISA 2004的訪問規(guī)則,將這些病毒控制在“192.168.1.X”網(wǎng)段內(nèi)�����,不再向外蔓延,最后在局域網(wǎng)內(nèi)進行病毒查殺工作�����。這樣一來就避免了病毒占用過多的網(wǎng)絡(luò)帶寬�����,影響其他機器正常上網(wǎng)��。
一�、找出中毒機器
要想把病毒控制在某個范圍之內(nèi),先得找出感染病毒的機器的IP地址�����。如果局域網(wǎng)規(guī)模不大�,而且采用手工方式分配IP地址(靜態(tài)IP地址),網(wǎng)管能夠很快找到被感染機器的IP地址�。
對于規(guī)模較大,采用DHCP服務(wù)器動態(tài)分配IP地址的辦公室局域網(wǎng)來說�����,由于IP地址是可變的,想快速找出被感染機器的IP地址是不太容易的�。果凍打算利用ISA 2004提供的日志查詢功能,找到這些機器的IP����。
1.新建篩選器
在ISA 2004控制臺窗口中,點擊左側(cè)欄中的“監(jiān)視”選項�����,接著在右側(cè)的監(jiān)視框體中點擊“日志”�,切換到日志標簽頁�。在這里,果凍會根據(jù)病毒的特性����,編輯篩選器,快速過濾出感染病毒的機器�。
果凍發(fā)現(xiàn)網(wǎng)內(nèi)感染病毒的機器不斷連接外網(wǎng)的其他機器的137和445端口,發(fā)送大量的數(shù)據(jù)包�����,占用了大量的網(wǎng)絡(luò)帶寬?�,F(xiàn)在,果凍就可新建目標端口為137和445的篩選器�,過濾出這些病毒機器,找出IP地址��。
點擊“日志”標簽頁中的“編輯篩選器”鏈接�,彈出“編輯篩選器”對話框(如圖),在“篩選依據(jù)”下拉列表中選擇“目標端口”���,在“條件”框中選擇“等于”���,在“值”欄中輸入“137”,最后點擊“添加到列表”按鈕��,完成目標端口為137的篩選器的新建��。
目標端口為445的篩選器的新建方法與此相同���,只是在“值”欄中輸入“445”即可�。
2.檢索中毒機器
完成兩個篩選器的新建后�����,就可以開始過濾病毒機器了���。在“日志”標簽頁中點擊“開始檢索”鏈接���,稍等片刻�����,就會列出局域網(wǎng)內(nèi)感染病毒的機器���,快速找出它們的IP地址。果凍發(fā)現(xiàn)局域網(wǎng)內(nèi)有192.168.1.12���、192.168.1.15、192.168.1.45三臺機器感染上了病毒��,并不停的向本局域網(wǎng)或外網(wǎng)中的目標機器的137和445端口����,發(fā)送大量的非法數(shù)據(jù)包���。
