萬盛學電腦網

 萬盛學電腦網 >> 病毒防治 >> 清除威脅 局域網病毒防殺一點通

清除威脅 局域網病毒防殺一點通

  近日,果凍發現局域網內有幾台電腦感染病毒,並且有在內網不斷蔓延的趨勢。這些病毒不但感染內網中的機器,而且還會向外網(互聯網)蔓延,感染互聯網中的機器,同時網絡帶寬也會被這些病毒大量占用,導致局域網用戶無法正常上網辦公。由於短時間內清除這些病毒的難度比較大,因此最明智的做法是先將病毒控制在某個范圍內(如某個網段內),不讓它蔓延,然後再進行病毒清除工作。那麼,怎樣才能將病毒控制在某個范圍內呢?利用ISA 2004就能輕松做到。
  果凍管理的局域網內的所有機器都是通過ISA 2004服務器來訪問互聯網的,並且這些機器都處於“192.168.1.X”這個網段內。一旦有機器感染病毒,網管可立即使用ISA 2004的訪問規則,將這些病毒控制在“192.168.1.X”網段內,不再向外蔓延,最後在局域網內進行病毒查殺工作。這樣一來就避免了病毒占用過多的網絡帶寬,影響其他機器正常上網。

  一、找出中毒機器

  要想把病毒控制在某個范圍之內,先得找出感染病毒的機器的IP地址。如果局域網規模不大,而且采用手工方式分配IP地址(靜態IP地址),網管能夠很快找到被感染機器的IP地址。

  對於規模較大,采用DHCP服務器動態分配IP地址的辦公室局域網來說,由於IP地址是可變的,想快速找出被感染機器的IP地址是不太容易的。果凍打算利用ISA 2004提供的日志查詢功能,找到這些機器的IP。

  1.新建篩選器

  在ISA 2004控制台窗口中,點擊左側欄中的“監視”選項,接著在右側的監視框體中點擊“日志”,切換到日志標簽頁。在這裡,果凍會根據病毒的特性,編輯篩選器,快速過濾出感染病毒的機器。

  果凍發現網內感染病毒的機器不斷連接外網的其他機器的137和445端口,發送大量的數據包,占用了大量的網絡帶寬。現在,果凍就可新建目標端口為137和445的篩選器,過濾出這些病毒機器,找出IP地址。

  點擊“日志”標簽頁中的“編輯篩選器”鏈接,彈出“編輯篩選器”對話框(如圖),在“篩選依據”下拉列表中選擇“目標端口”,在“條件”框中選擇“等於”,在“值”欄中輸入“137”,最後點擊“添加到列表”按鈕,完成目標端口為137的篩選器的新建。

清除威脅局域網病毒防殺一點通

  目標端口為445的篩選器的新建方法與此相同,只是在“值”欄中輸入“445”即可。

  2.檢索中毒機器


  完成兩個篩選器的新建後,就可以開始過濾病毒機器了。在“日志”標簽頁中點擊“開始檢索”鏈接,稍等片刻,就會列出局域網內感染病毒的機器,快速找出它們的IP地址。果凍發現局域網內有192.168.1.12、192.168.1.15、192.168.1.45三台機器感染上了病毒,並不停的向本局域網或外網中的目標機器的137和445端口,發送大量的非法數據包。

  二、防止病毒蔓延

  找出了被感染機器的IP地址後,就可以使用訪問規則,禁止它們訪問外網,將病毒感染和傳播的范圍控制在本網段內,避免網絡帶寬被大量占用。

  1.新建計算機集

  在ISA 2004控制台窗口中,點擊左側欄中的“防火牆策略”選項,在右側框體中切換到“網絡對象”標簽頁,點擊“新建→計算機集”,彈出“新建計算機集規則元素”對話框,在名稱欄中輸入“病毒機器”,然後添加計算機,將192.168.1.12、192.168.1.15、192.168.1.45三台機器逐一添加到列表框中,最後點擊“確定”按鈕,完成“病毒機器”計算機集的新建。

  2.修改訪問規則

  右鍵點擊右側框體中的“ALL OPEN”訪問規則,選擇“屬性”,進入屬性對話框,切換到“從”標簽頁。點擊“例外”框的“添加”按鈕,然後將計算機集中的“病毒機器”項添加到“例外”列表框中,接著點擊“確定”按鈕。最後,在防火牆策略右側框體中選中“ALL OPEN”規則,點擊上方的“應用”按鈕即可。現在,這些機器就被禁止訪問互聯網,通信范圍局限於本網段內,病毒不能向外網蔓延,網絡帶寬也不會被大量占用。

  果凍提示 安裝了ISA 2004後,默認是不允許網內機器訪問外網的,必須創建一條允許內網用戶訪問外網的訪問規則,這條規則就是 “ALL OPEN”訪問規則。

  3.善後工作

  接下來,就可使用殺毒軟件徹底查殺被感染機器中的病毒,清除完成後,可將“例外”框中的“病毒機器”計算機集刪除,最後還要在防火牆策略右側框體中選中“ALL OPEN”規則,點擊上方的“應用”按鈕。這樣,在清除病毒後,這些機器又能正常上網了。

  三、打好網內的“病毒圍殲戰”

  果凍利用ISA 2004將病毒控制在辦公室網絡中,沒有讓它蔓延,接下來就要在大家的機器上查殺病毒。但草莓這幫家伙卻因為沒有訪問外網的權限而無法在線升級殺毒軟件的病毒庫,病毒查殺工作因此受阻。這可難不倒果凍,他想出了一個好辦法,讓大家的殺毒軟件通過局域網內的某台電腦進行病毒庫的升級……

  首先,必須要有一台電腦(可將它稱為“主機”)能夠訪問外網,及時更新病毒庫。病毒庫更新後,主機便可作為局域網內的病毒庫升級服務器(主機就是果凍的電腦)。當然,前提條件是所使用的殺毒軟件必須提供這項功能。

  為了讓大伙有更多的選擇余地,果凍選擇了幾款比較常見的而且都支持病毒庫局域網內升級的殺毒軟件。當然,軟件不同,設置也不相同,讓我們看看果凍是如何進行設置的。

  KV2004

  KV2004在局域網內升級是通過將包含了已更新的病毒庫信息的文件夾共享給其他客戶機的方式來進行的。更新信息包含在KV2004安裝目錄下的Update文件夾內(如“C:KV2004Update”),因此,首先就要將這個文件夾設置成為共享。

  接下來,在客戶機上運行KV2004,在菜單欄上依次點擊“工具→選項”,切換至“升級”選項卡,選中“局域網升級”選項,將升級的路徑指向主機上共享的Update文件夾。由於病毒庫經常需要更新,因此我們可以勾選“定時升級”選項,選擇一個恰當的升級頻率,最後單擊“確定”按鈕即可(圖1)。

清除威脅局域網病毒防殺一點通(2)
圖1

  現在,果凍只要在自己的電腦上進行了KV2004病毒庫的升級,客戶機就可在指定的時間連接果凍電腦上的已經完成更新的Update文件夾,自動進行病毒數據庫的更新工作。

  金山毒霸6


  金山毒霸在局域網內升級病毒庫的功能比較強大,為用戶考慮得也較為周全。它提供了兩種局域網內的升級方式。

  1.本地升級

  這種方法和KV2004類似,主要是通過選擇主機上的升級目錄來實現。首先將主機上的金山毒霸安裝目錄下的Update文件夾設置為共享,然後在客戶機上運行金山毒霸。點擊主界面上的“在線升級”按鈕,選擇升級方式為“從本地、局域網上升級”,點擊“下一步”按鈕,進入“選擇路徑”窗口。選擇主機上共享的Update文件夾後即可開始升級。

  2.網內同步升級

  如果采用了同步升級方式,那麼當果凍升級主機上的病毒庫後,客戶機會自動連接主機,接收主機發送出來的病毒庫數據,從而達到病毒庫同步升級的目的。

  在金山毒霸主界面菜單欄上依次點擊“工具→綜合設置”,打開“綜合設置”對話框。在對話框的左側選擇“系統設置→局域網同步升級”,然後在右側窗口中勾選“開啟局域網同步升級功能”選項,並選擇“允許本機作為升級數據的接收和發送方”,這樣本機不僅可以接收從主機上發來的病毒庫數據,還可以同時將自己升級完成的病毒庫數據提供給其他的機器進行升級。單擊“確定”按鈕即可完成設置。

  Symantec AntiVirus 8.1企業版

  該殺毒軟件分為服務器和客戶端兩個版本。要實現局域網內病毒庫更新的功能,首先要在果凍那台能夠訪問外網的電腦上安裝服務器版本。服務器版本的升級按照正常的方式進行。保持服務器端軟件的運行狀態,便可以開始進行客戶端的設置了。

  在其他無法訪問外網的電腦上安裝Symantec AntiVirus 8.1企業版的客戶端程序,當安裝進行到“網絡安裝類型”向導窗口時,應當選擇“接受管理”,這樣安裝了客戶端程序的電腦便會接受服務器端程序的管理,並進行病毒庫的自動升級。點擊“下一步”按鈕,在“選擇服務器”窗口內單擊“浏覽”按鈕,進入選擇服務器對話框。如果你並不清楚殺毒軟件的服務器版安裝在網內的哪台電腦上,可以點擊“查找計算機”按鈕讓客戶端自動進行搜索。如果服務器端正在運行,客戶端會自動獲得對方的計算機名稱。

  設定完成後,服務器將會自動接過客戶端的管理權,並且對客戶機的配置進行自動設置,通過和客戶端共享病毒庫使客戶端能夠自動進行病毒庫的升級,而這一切都不再需要用戶手動干預。

  卡巴斯基

  卡巴斯基是最近比較“火”的一款殺毒軟件,果凍試用了一下,感覺也還不錯,尤其是它也支持病毒庫在局域網內的升級,因此果凍把它推薦給草莓等人作為備選軟件。

  首先,在卡巴斯基官方網站http://www.kaspersky.com.cn/KL-Downloads/AVDatabaseUpdates.htm頁面下載最新的病毒數據庫(壓縮文件格式),然後解壓到主機的某個文件夾內(如“D:down”),並將該文件夾設為共享。

  在卡巴斯基主窗口切換到“設置”選項卡,在該選項卡左側單擊“配置更新”鏈接,打開“更新設置”對話框。卡巴斯基為用戶提供了三種更新方式,我們需要通過局域網進行更新,因此應該選擇“從本地文件夾”,然後選擇主機上的病毒庫文件所在的共享文件夾(如“jamesdown”)即可。

  如果你想讓客戶端自動更新病毒庫,則可以勾選“啟用

copyright © 萬盛學電腦網 all rights reserved