当前位置: 首页 > 图文教程 > 网络安全 > 杀毒防毒 > 清除威胁 局域网病毒防杀一点通

杀毒防毒
病毒中心监测发现代理木马新变种
及时修补第三方应用程序漏洞 避免木马的温床
360发布临时补丁 严防微软DirectShow漏洞
专家支招防范微软DirectShow的严重漏洞 
婚介网遭挂马导致用户隐私可能集体被盗
VB100六月测试结果公布 - 金山毒霸连续第4次通过
教你如何删除卡巴斯基临时文件 释放更多空间
蠕虫创建多重替身 利用伪装术迷惑用户
卡巴技巧:禁止恶意程序修改IE7搜索框
赛门铁克:为中小企业定制SEP安全部署
如何恢复磁盘被非法修改的文件?
杀毒软件行不行?测了就知道
检查电脑是否被挂马的几个命令
教你防范IP欺骗
清除rundll2kxp.exe病毒跟我学
微软“Morro”免费杀毒软件-360的强大对手
让你的360升级加速器不再升级的方法
教你使用dos命令扫描开放端口
三种经典的LINUX防火墙
病毒的传播新途径-视频

杀毒防毒 中的 清除威胁 局域网病毒防杀一点通


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 47 ::
收藏到网摘: n/a

 

  近日,果冻发现局域网内有几台电脑感染病毒,并且有在内网不断蔓延的趋势。这些病毒不但感染内网中的机器,而且还会向外网(互联网)蔓延,感染互联网中的机器,同时网络带宽也会被这些病毒大量占用,导致局域网用户无法正常上网办公。由于短时间内清除这些病毒的难度比较大,因此最明智的做法是先将病毒控制在某个范围内(如某个网段内),不让它蔓延,然后再进行病毒清除工作。那么,怎样才能将病毒控制在某个范围内呢?利用ISA 2004就能轻松做到。
  果冻管理的局域网内的所有机器都是通过ISA 2004服务器来访问互联网的,并且这些机器都处于“192.168.1.X”这个网段内。一旦有机器感染病毒,网管可立即使用ISA 2004的访问规则,将这些病毒控制在“192.168.1.X”网段内,不再向外蔓延,最后在局域网内进行病毒查杀工作。这样一来就避免了病毒占用过多的网络带宽,影响其他机器正常上网。

  一、找出中毒机器

  要想把病毒控制在某个范围之内,先得找出感染病毒的机器的IP地址。如果局域网规模不大,而且采用手工方式分配IP地址(静态IP地址),网管能够很快找到被感染机器的IP地址。

  对于规模较大,采用DHCP服务器动态分配IP地址的办公室局域网来说,由于IP地址是可变的,想快速找出被感染机器的IP地址是不太容易的。果冻打算利用ISA 2004提供的日志查询功能,找到这些机器的IP。

  1.新建筛选器

  在ISA 2004控制台窗口中,点击左侧栏中的“监视”选项,接着在右侧的监视框体中点击“日志”,切换到日志标签页。在这里,果冻会根据病毒的特性,编辑筛选器,快速过滤出感染病毒的机器。

  果冻发现网内感染病毒的机器不断连接外网的其他机器的137和445端口,发送大量的数据包,占用了大量的网络带宽。现在,果冻就可新建目标端口为137和445的筛选器,过滤出这些病毒机器,找出IP地址。

  点击“日志”标签页中的“编辑筛选器”链接,弹出“编辑筛选器”对话框(如图),在“筛选依据”下拉列表中选择“目标端口”,在“条件”框中选择“等于”,在“值”栏中输入“137”,最后点击“添加到列表”按钮,完成目标端口为137的筛选器的新建。

清除威胁局域网病毒防杀一点通

  目标端口为445的筛选器的新建方法与此相同,只是在“值”栏中输入“445”即可。

  2.检索中毒机器


  完成两个筛选器的新建后,就可以开始过滤病毒机器了。在“日志”标签页中点击“开始检索”链接,稍等片刻,就会列出局域网内感染病毒的机器,快速找出它们的IP地址。果冻发现局域网内有192.168.1.12、192.168.1.15、192.168.1.45三台机器感染上了病毒,并不停的向本局域网或外网中的目标机器的137和445端口,发送大量的非法数据包。

  二、防止病毒蔓延

  找出了被感染机器的IP地址后,就可以使用访问规则,禁止它们访问外网,将病毒感染和传播的范围控制在本网段内,避免网络带宽被大量占用。

  1.新建计算机集

  在ISA 2004控制台窗口中,点击左侧栏中的“防火墙策略”选项,在右侧框体中切换到“网络对象”标签页,点击“新建→计算机集”,弹出“新建计算机集规则元素”对话框,在名称栏中输入“病毒机器”,然后添加计算机,将192.168.1.12、192.168.1.15、192.168.1.45三台机器逐一添加到列表框中,最后点击“确定”按钮,完成“病毒机器”计算机集的新建。

  2.修改访问规则

  右键点击右侧框体中的“ALL OPEN”访问规则,选择“属性”,进入属性对话框,切换到“从”标签页。点击“例外”框的“添加”按钮,然后将计算机集中的“病毒机器”项添加到“例外”列表框中,接着点击“确定”按钮。最后,在防火墙策略右侧框体中选中“ALL OPEN”规则,点击上方的“应用”按钮即可。现在,这些机器就被禁止访问互联网,通信范围局限于本网段内,病毒不能向外网蔓延,网络带宽也不会被大量占用。

  果冻提示 安装了ISA 2004后,默认是不允许网内机器访问外网的,必须创建一条允许内网用户访问外网的访问规则,这条规则就是 “ALL OPEN”访问规则。

  3.善后工作

  接下来,就可使用杀毒软件彻底查杀被感染机器中的病毒,清除完成后,可将“例外”框中的“病毒机器”计算机集删除,最后还要在防火墙策略右侧框体中选中“ALL OPEN”规则,点击上方的“应用”按钮。这样,在清除病毒后,这些机器又能正常上网了。

  三、打好网内的“病毒围歼战”

  果冻利用ISA 2004将病毒控制在办公室网络中,没有让它蔓延,接下来就要在大家的机器上查杀病毒。但草莓这帮家伙却因为没有访问外网的权限而无法在线升级杀毒软件的病毒库,病毒查杀工作因此受阻。这可难不倒果冻,他想出了一个好办法,让大家的杀毒软件通过局域网内的某台电脑进行病毒库的升级……

  首先,必须要有一台电