教你怎樣用安全網關消滅蠕蟲病毒

　　自1988年出現第一個蠕蟲病毒以來，計算機蠕蟲病毒以其快速、多樣化的傳播方式不斷給網絡世界帶來災害。特別是網絡的迅速發展令蠕蟲造成的危害日益嚴重，造成一個談毒色變的的網絡世界。

　　不同於一般的病毒，蠕蟲病毒以計算機為載體，復制自身在互聯網環境下進行傳播，蠕蟲病毒的傳染目標是網絡上所有計算機――局域網條件下的共享文件夾、電子郵件E-mail、網絡中的惡意網頁、大量存在著漏洞的服務器等都成為蠕蟲傳播的良好途徑。

　　首先，掃描：由蠕蟲的掃描功能模塊負責探測存在漏洞的主機。隨機選取某一段IP地址，然後對這一地址段上的主機掃描，掃描程序可能會不斷重復上面這一過程。這樣，隨著蠕蟲的傳播，新感染的主機也開始進行這種掃描，這些掃描程序不知道哪些地址已經被掃描過，它只是簡單的隨機掃描互聯網。於是蠕蟲傳播的越廣，網絡上的掃描包就越多。即使掃描程序發出的探測包很小，積少成多，大量蠕蟲程序的掃描引起的網絡擁塞就非常嚴重了。

　　其次，攻擊：當蠕蟲掃描到網絡中存在的主機後，就開始利用自身的破壞功能獲取主機的管理員權限。 最後，利用原主機和新主機的交互將蠕蟲程序復制到新主機並啟動。由此可見，蠕蟲的危害有兩個方面：

　　一、蠕蟲大量而快速的復制使得網絡上的掃描包迅速增多，造成網絡擁塞，占用大量帶寬，從而使得網絡癱瘓。

　　二、網絡上存在漏洞的主機被掃描到以後，會被迅速感染，使得管理員權限被竊取。方便黑客的攻擊。

　　魔高一尺，道高一丈，隨著蠕蟲的快速演變，解毒的的高手也不斷湧現，Tamin盛世網安安全網關就以簡單的“檢測――屏蔽”兩個步驟解決了以上“蟲毒”問題。

　　首先，使用Tamin盛世網安進行網絡檢測：這一步驟需要手工來操作。由於網絡中的蠕蟲病毒不斷向外界計算機發出掃描包，這些掃描包是有顯而易見的特點的。例如，被感染的計算機中的蠕蟲病毒會向網絡中的某段IP地址發送掃描包，這時蠕蟲病毒需要對外建立大量的會話連接數，所以可以從主機對外建立的會話數來判斷感染蠕蟲病毒的主機。Tamin盛世網安安全網關對於網絡所來往發送接收的包都會進行動態檢測與記錄，通過Tamin盛世網安安全網關的WEB管理界面進入防火牆->會話列表，可察看到當前盛世網安安全網關所記錄下來的當前前十名會話數，即當前會話數最多的前10台主機。

　　主機正常狀態下的平均會話數一般不超出100左右水平，但在受到蠕蟲病毒攻擊時則會數量猛增，Tamin盛世網安安全網關即時地偵測到了這一反常網絡特征---被感染的主機的NAT會話數陡然大量增加，由此判定該主機已經被蠕蟲病毒感染。如下圖的19.168.1.50，很可能就是已經被感染蠕蟲病毒。因為P2P軟件下載時產生的特征很類似，網管員需要查看該機器是否在用P2P軟件進行下載，如果沒有任何的P2P軟件下載則就是感染了蠕蟲病毒或者類似蠕蟲的病毒。

　　這種情況下，就要進入第二步，對網絡中的主機實施屏蔽。屏蔽的方法是：利用Tamin盛世網安安全網關的訪問規則功能，建立相應的策略，關閉病毒向外發包的端口。如下圖,進入Tamin OS管理界面->防火牆->訪問規則->新增，增加規則對主機19.168.1.50實行屏蔽。屏蔽主機之後，采取殺毒措施或者安裝相應的補丁程序。這樣，就輕松消滅了蠕蟲病毒。