近日，果凍發(fā)現(xiàn)局域網(wǎng)內(nèi)有幾臺電腦感染病毒，并且有在內(nèi)網(wǎng)不斷蔓延的趨勢。這些病毒不但感染內(nèi)網(wǎng)中的機器，而且還會向外網(wǎng)(互聯(lián)網(wǎng))蔓延，感染互聯(lián)網(wǎng)中的機器，同時網(wǎng)絡(luò)帶寬也會被這些病毒大量占用，導(dǎo)致局域網(wǎng)用戶無法正常上網(wǎng)辦公。由于短時間內(nèi)清除這些病毒的難度比較大，因此最明智的做法是先將病毒控制在某個范圍內(nèi)(如某個網(wǎng)段內(nèi))，不讓它蔓延，然后再進行病毒清除工作。那么，怎樣才能將病毒控制在某個范圍內(nèi)呢？利用ISA 2004就能輕松做到。 
　　果凍管理的局域網(wǎng)內(nèi)的所有機器都是通過ISA 2004服務(wù)器來訪問互聯(lián)網(wǎng)的，并且這些機器都處于“192.168.1.X”這個網(wǎng)段內(nèi)。一旦有機器感染病毒，網(wǎng)管可立即使用ISA 2004的訪問規(guī)則，將這些病毒控制在“192.168.1.X”網(wǎng)段內(nèi)，不再向外蔓延，最后在局域網(wǎng)內(nèi)進行病毒查殺工作。這樣一來就避免了病毒占用過多的網(wǎng)絡(luò)帶寬，影響其他機器正常上網(wǎng)。

　　一、找出中毒機器

　　要想把病毒控制在某個范圍之內(nèi)，先得找出感染病毒的機器的IP地址。如果局域網(wǎng)規(guī)模不大，而且采用手工方式分配IP地址(靜態(tài)IP地址)，網(wǎng)管能夠很快找到被感染機器的IP地址。

　　對于規(guī)模較大，采用DHCP服務(wù)器動態(tài)分配IP地址的辦公室局域網(wǎng)來說，由于IP地址是可變的，想快速找出被感染機器的IP地址是不太容易的。果凍打算利用ISA 2004提供的日志查詢功能，找到這些機器的IP。

　　1.新建篩選器

　　在ISA 2004控制臺窗口中，點擊左側(cè)欄中的“監(jiān)視”選項，接著在右側(cè)的監(jiān)視框體中點擊“日志”，切換到日志標(biāo)簽頁。在這里，果凍會根據(jù)病毒的特性，編輯篩選器，快速過濾出感染病毒的機器。

　　果凍發(fā)現(xiàn)網(wǎng)內(nèi)感染病毒的機器不斷連接外網(wǎng)的其他機器的137和445端口，發(fā)送大量的數(shù)據(jù)包，占用了大量的網(wǎng)絡(luò)帶寬。現(xiàn)在，果凍就可新建目標(biāo)端口為137和445的篩選器，過濾出這些病毒機器，找出IP地址。

　　點擊“日志”標(biāo)簽頁中的“編輯篩選器”鏈接，彈出“編輯篩選器”對話框(如圖)，在“篩選依據(jù)”下拉列表中選擇“目標(biāo)端口”，在“條件”框中選擇“等于”，在“值”欄中輸入“137”，最后點擊“添加到列表”按鈕，完成目標(biāo)端口為137的篩選器的新建。

　目標(biāo)端口為445的篩選器的新建方法與此相同，只是在“值”欄中輸入“445”即可。
　2.檢索中毒機器

　　完成兩個篩選器的新建后，就可以開始過濾病毒機器了。在“日志”標(biāo)簽頁中點擊“開始檢索”鏈接，稍等片刻，就會列出局域網(wǎng)內(nèi)感染病毒的機器，快速找出它們的IP地址。果凍發(fā)現(xiàn)局域網(wǎng)內(nèi)有192.168.1.12、192.168.1.15、192.168.1.45三臺機器感染上了病毒，并不停的向本局域網(wǎng)或外網(wǎng)中的目標(biāo)機器的137和445端口，發(fā)送大量的非法數(shù)據(jù)包。

　　二、防止病毒蔓延

　　找出了被感染機器的IP地址后，就可以使用訪問規(guī)則，禁止它們訪問外網(wǎng)，將病毒感染和傳播的范圍控制在本網(wǎng)段內(nèi)，避免網(wǎng)絡(luò)帶寬被大量占用。

　　1.新建計算機集

　　在ISA 2004控制臺窗口中，點擊左側(cè)欄中的“防火墻策略”選項，在右側(cè)框體中切換到“網(wǎng)絡(luò)對象”標(biāo)簽頁，點擊“新建→計算機集”，彈出“新建計算機集規(guī)則元素”對話框，在名稱欄中輸入“病毒機器”，然后添加計算機，將192.168.1.12、192.168.1.15、192.168.1.45三臺機器逐一添加到列表框中，最后點擊“確定”按鈕，完成“病毒機器”計算機集的新建。

　　2.修改訪問規(guī)則

　　右鍵點擊右側(cè)框體中的“ALL OPEN”訪問規(guī)則，選擇“屬性”，進入屬性對話框，切換到“從”標(biāo)簽頁。點擊“例外”框的“添加”按鈕，然后將計算機集中的“病毒機器”項添加到“例外”列表框中，接著點擊“確定”按鈕。最后，在防火墻策略右側(cè)框體中選中“ALL OPEN”規(guī)則，點擊上方的“應(yīng)用”按鈕即可。現(xiàn)在，這些機器就被禁止訪問互聯(lián)網(wǎng)，通信范圍局限于本網(wǎng)段內(nèi)，病毒不能向外網(wǎng)蔓延，網(wǎng)絡(luò)帶寬也不會被大量占用。

　　果凍提示 安裝了ISA 2004后，默認(rèn)是不允許網(wǎng)內(nèi)機器訪問外網(wǎng)的，必須創(chuàng)建一條允許內(nèi)網(wǎng)用戶訪問外網(wǎng)的訪問規(guī)則，這條規(guī)則就是 “ALL OPEN”訪問規(guī)則。

　　3.善后工作

　　接下來，就可使用殺毒軟件徹底查殺被感染機器中的病毒，清除完成后，可將“例外”框中的“病毒機器”計算機集刪除，最后還要在防火墻策略右側(cè)框體中選中“ALL OPEN”規(guī)則，點擊上方的“應(yīng)用”按鈕。這樣，在清除病毒后，這些機器又能正常上網(wǎng)了。

　　三、打好網(wǎng)內(nèi)的“病毒圍殲戰(zhàn)”

　　果凍利用ISA 2004將病毒控制在辦公室網(wǎng)絡(luò)中，沒有讓它蔓延，接下來就要在大家的機器上查殺病毒。但草莓這幫家伙卻因為沒有訪問外網(wǎng)的權(quán)限而無法在線升級殺毒軟件的病毒庫，病毒查殺工作因此受阻。這可難不倒果凍，他想出了一個好辦法，讓大家的殺毒軟件通過局域網(wǎng)內(nèi)的某臺電腦進行病毒庫的升級……

　　首先，必須要有一臺電腦(可將它稱為“主機”)能夠訪問外網(wǎng)，及時更新病毒庫。病毒庫更新后，主機便可作為局域網(wǎng)內(nèi)的病毒庫升級服務(wù)器(主機就是果凍的電腦)。當(dāng)然，前提條件是所使用的殺毒軟件必須提供這項功能。

　　為了讓大伙有更多的選擇余地，果凍選擇了幾款比較常見的而且都支持病毒庫局域網(wǎng)內(nèi)升級的殺毒軟件。當(dāng)然，軟件不同，設(shè)置也不相同，讓我們看看果凍是如何進行設(shè)置的。

　　KV2004

　　KV2004在局域網(wǎng)內(nèi)升級是通過將包含了已更新的病毒庫信息的文件夾共享給其他客戶機的方式來進行的。更新信息包含在KV2004安裝目錄下的Update文件夾內(nèi)(如“C:/KV2004/Update”)，因此，首先就要將這個文件夾設(shè)置成為共享。

　　接下來，在客戶機上運行KV2004，在菜單欄上依次點擊“工具→選項”，切換至“升級”選項卡，選中“局域網(wǎng)升級”選項，將升級的路徑指向主機上共享的Update文件夾。由于病毒庫經(jīng)常需要更新，因此我們可以勾選“定時升級”選項，選擇一個恰當(dāng)?shù)纳夘l率，最后單擊“確定”按鈕即可(圖1)。

　現(xiàn)在，果凍只要在自己的電腦上進行了KV2004病毒庫的升級，客戶機就可在指定的時間連接果凍電腦上的已經(jīng)完成更新的Update文件夾，自動進行病毒數(shù)據(jù)庫的更新工作.
　　金山毒霸6

　　金山毒霸在局域網(wǎng)內(nèi)升級病毒庫的功能比較強大，為用戶考慮得也較為周全。它提供了兩種局域網(wǎng)內(nèi)的升級方式。

　　1.本地升級

　　這種方法和KV2004類似，主要是通過選擇主機上的升級目錄來實現(xiàn)。首先將主機上的金山毒霸安裝目錄下的Update文件夾設(shè)置為共享，然后在客戶機上運行金山毒霸。點擊主界面上的“在線升級”按鈕，選擇升級方式為“從本地、局域網(wǎng)上升級”，點擊“下一步”按鈕，進入“選擇路徑”窗口。選擇主機上共享的Update文件夾后即可開始升級。

　　2.網(wǎng)內(nèi)同步升級

　　如果采用了同步升級方式，那么當(dāng)果凍升級主機上的病毒庫后，客戶機會自動連接主機，接收主機發(fā)送出來的病毒庫數(shù)據(jù)，從而達到病毒庫同步升級的目的。

　　在金山毒霸主界面菜單欄上依次點擊“工具→綜合設(shè)置”，打開“綜合設(shè)置”對話框。在對話框的左側(cè)選擇“系統(tǒng)設(shè)置→局域網(wǎng)同步升級”，然后在右側(cè)窗口中勾選“開啟局域網(wǎng)同步升級功能”選項，并選擇“允許本機作為升級數(shù)據(jù)的接收和發(fā)送方”，這樣本機不僅可以接收從主機上發(fā)來的病毒庫數(shù)據(jù)，還可以同時將自己升級完成的病毒庫數(shù)據(jù)提供給其他的機器進行升級。單擊“確定”按鈕即可完成設(shè)置。

　　Symantec AntiVirus 8.1企業(yè)版

　　該殺毒軟件分為服務(wù)器和客戶端兩個版本。要實現(xiàn)局域網(wǎng)內(nèi)病毒庫更新的功能，首先要在果凍那臺能夠訪問外網(wǎng)的電腦上安裝服務(wù)器版本。服務(wù)器版本的升級按照正常的方式進行。保持服務(wù)器端軟件的運行狀態(tài)，便可以開始進行客戶端的設(shè)置了。

　　在其他無法訪問外網(wǎng)的電腦上安裝Symantec AntiVirus 8.1企業(yè)版的客戶端程序，當(dāng)安裝進行到“網(wǎng)絡(luò)安裝類型”向?qū)Т翱跁r，應(yīng)當(dāng)選擇“接受管理”，這樣安裝了客戶端程序的電腦便會接受服務(wù)器端程序的管理，并進行病毒庫的自動升級。點擊“下一步”按鈕，在“選擇服務(wù)器”窗口內(nèi)單擊“瀏覽”按鈕，進入選擇服務(wù)器對話框。如果你并不清楚殺毒軟件的服務(wù)器版安裝在網(wǎng)內(nèi)的哪臺電腦上，可以點擊“查找計算機”按鈕讓客戶端自動進行搜索。如果服務(wù)器端正在運行，客戶端會自動獲得對方的計算機名稱。

　　設(shè)定完成后，服務(wù)器將會自動接過客戶端的管理權(quán)，并且對客戶機的配置進行自動設(shè)置，通過和客戶端共享病毒庫使客戶端能夠自動進行病毒庫的升級，而這一切都不再需要用戶手動干預(yù)。

　　卡巴斯基

　　卡巴斯基是最近比較“火”的一款殺毒軟件，果凍試用了一下，感覺也還不錯，尤其是它也支持病毒庫在局域網(wǎng)內(nèi)的升級，因此果凍把它推薦給草莓等人作為備選軟件。

　　首先，在卡巴斯基官方網(wǎng)http://www.kaspersky.com.cn/KL-Downloads/AVDatabaseUpdates.htm頁面下載最新的病毒數(shù)據(jù)庫(壓縮文件格式)，然后解壓到主機的某個文件夾內(nèi)(如“D:/down”)，并將該文件夾設(shè)為共享。

　　在卡巴斯基主窗口切換到“設(shè)置”選項卡，在該選項卡左側(cè)單擊“配置更新”鏈接，打開“更新設(shè)置”對話框。卡巴斯基為用戶提供了三種更新方式，我們需要通過局域網(wǎng)進行更新，因此應(yīng)該選擇“從本地文件夾”，然后選擇主機上的病毒庫文件所在的共享文件夾(如“//james/down”)即可。

　　如果你想讓客戶端自動更新病毒庫，則可以勾選“啟用自動更新”選項，并設(shè)定好更新的頻率即可(圖2)。最后，單擊“確定”按鈕便完成了客戶端的設(shè)置。

圖2

　　瑞星2004網(wǎng)絡(luò)版

　　瑞星為局域網(wǎng)內(nèi)的用戶提供了網(wǎng)絡(luò)版本，該版本分為服務(wù)器端和客戶端，主機上安裝服務(wù)器端程序，其他客戶機就安裝客戶端程序。主機上的病毒庫進行升級后，服務(wù)器端程序會向各個客戶端程序發(fā)出升級“要求”，客戶機便會自動進行升級，中間不需要用戶進行干預(yù)。

　　一口氣講解完這么多種殺毒軟件的內(nèi)網(wǎng)升級方法后，果凍就要等待草莓這幫菜鳥進行選擇了。雖說“青菜蘿卜各有所愛”，不過果凍可不允許他們每人選擇一種殺毒軟件，否則果凍這臺“主機”為了能讓他們進行升級，那可就成了殺毒軟件的“集中營”了……