近日，果凍發(fā)現(xiàn)局域網(wǎng)內(nèi)有幾臺(tái)電腦感染病毒，并且有在內(nèi)網(wǎng)不斷蔓延的趨勢(shì)。這些病毒不但感染內(nèi)網(wǎng)中的機(jī)器，而且還會(huì)向外網(wǎng)(互聯(lián)網(wǎng))蔓延，感染互聯(lián)網(wǎng)中的機(jī)器，同時(shí)網(wǎng)絡(luò)帶寬也會(huì)被這些病毒大量占用，導(dǎo)致局域網(wǎng)用戶無(wú)法正常上網(wǎng)辦公。由于短時(shí)間內(nèi)清除這些病毒的難度比較大，因此最明智的做法是先將病毒控制在某個(gè)范圍內(nèi)(如某個(gè)網(wǎng)段內(nèi))，不讓它蔓延，然后再進(jìn)行病毒清除工作。那么，怎樣才能將病毒控制在某個(gè)范圍內(nèi)呢？利用ISA 2004就能輕松做到。 
　　果凍管理的局域網(wǎng)內(nèi)的所有機(jī)器都是通過(guò)ISA 2004服務(wù)器來(lái)訪問互聯(lián)網(wǎng)的，并且這些機(jī)器都處于“192.168.1.X”這個(gè)網(wǎng)段內(nèi)。一旦有機(jī)器感染病毒，網(wǎng)管可立即使用ISA 2004的訪問規(guī)則，將這些病毒控制在“192.168.1.X”網(wǎng)段內(nèi)，不再向外蔓延，最后在局域網(wǎng)內(nèi)進(jìn)行病毒查殺工作。這樣一來(lái)就避免了病毒占用過(guò)多的網(wǎng)絡(luò)帶寬，影響其他機(jī)器正常上網(wǎng)。

　　一、找出中毒機(jī)器

　　要想把病毒控制在某個(gè)范圍之內(nèi)，先得找出感染病毒的機(jī)器的IP地址。如果局域網(wǎng)規(guī)模不大，而且采用手工方式分配IP地址(靜態(tài)IP地址)，網(wǎng)管能夠很快找到被感染機(jī)器的IP地址。

　　對(duì)于規(guī)模較大，采用DHCP服務(wù)器動(dòng)態(tài)分配IP地址的辦公室局域網(wǎng)來(lái)說(shuō)，由于IP地址是可變的，想快速找出被感染機(jī)器的IP地址是不太容易的。果凍打算利用ISA 2004提供的日志查詢功能，找到這些機(jī)器的IP。

　　1.新建篩選器

　　在ISA 2004控制臺(tái)窗口中，點(diǎn)擊左側(cè)欄中的“監(jiān)視”選項(xiàng)，接著在右側(cè)的監(jiān)視框體中點(diǎn)擊“日志”，切換到日志標(biāo)簽頁(yè)。在這里，果凍會(huì)根據(jù)病毒的特性，編輯篩選器，快速過(guò)濾出感染病毒的機(jī)器。

　　果凍發(fā)現(xiàn)網(wǎng)內(nèi)感染病毒的機(jī)器不斷連接外網(wǎng)的其他機(jī)器的137和445端口，發(fā)送大量的數(shù)據(jù)包，占用了大量的網(wǎng)絡(luò)帶寬。現(xiàn)在，果凍就可新建目標(biāo)端口為137和445的篩選器，過(guò)濾出這些病毒機(jī)器，找出IP地址。

　　點(diǎn)擊“日志”標(biāo)簽頁(yè)中的“編輯篩選器”鏈接，彈出“編輯篩選器”對(duì)話框(如圖)，在“篩選依據(jù)”下拉列表中選擇“目標(biāo)端口”，在“條件”框中選擇“等于”，在“值”欄中輸入“137”，最后點(diǎn)擊“添加到列表”按鈕，完成目標(biāo)端口為137的篩選器的新建。

　目標(biāo)端口為445的篩選器的新建方法與此相同，只是在“值”欄中輸入“445”即可。
　2.檢索中毒機(jī)器

　　完成兩個(gè)篩選器的新建后，就可以開始過(guò)濾病毒機(jī)器了。在“日志”標(biāo)簽頁(yè)中點(diǎn)擊“開始檢索”鏈接，稍等片刻，就會(huì)列出局域網(wǎng)內(nèi)感染病毒的機(jī)器，快速找出它們的IP地址。果凍發(fā)現(xiàn)局域網(wǎng)內(nèi)有192.168.1.12、192.168.1.15、192.168.1.45三臺(tái)機(jī)器感染上了病毒，并不停的向本局域網(wǎng)或外網(wǎng)中的目標(biāo)機(jī)器的137和445端口，發(fā)送大量的非法數(shù)據(jù)包。