網(wǎng)絡(luò)安全永遠(yuǎn)是大家最關(guān)注的問(wèn)題。震蕩波、沖擊波、MyDoom，把整個(gè)網(wǎng)絡(luò)搞得雞犬不寧。為了增強(qiáng)網(wǎng)絡(luò)的安全防御能力，很多管理員在局域網(wǎng)中部署了病毒服務(wù)器和軟件升級(jí)服務(wù)器（SUS）等，統(tǒng)一管理局域網(wǎng)內(nèi)客戶機(jī)的安全。俗話說(shuō)“智者千慮，必有一失”，即使采取了以上措施，稍有不慎，一臺(tái)機(jī)器感染病毒，還是會(huì)影響整個(gè)網(wǎng)絡(luò)的正常運(yùn)行，為何不給我們的網(wǎng)絡(luò)加個(gè)“雙保險(xiǎn)”呢？使用ISA 2004徹底阻斷它們的傳播通道，讓病毒走上“不歸路”。
ISA 2004提供了超強(qiáng)的安全防護(hù)功能，可以對(duì)網(wǎng)絡(luò)內(nèi)的任意網(wǎng)絡(luò)流量進(jìn)行嚴(yán)格控制。因此，只要合理定義訪問(wèn)規(guī)則，就能起到病毒控制、防御的效果，阻斷這些病毒在網(wǎng)絡(luò)中的滋生蔓延。下面筆者以大家比較關(guān)注的震蕩波、沖擊波、MyDoom病毒為例，介紹如何使用ISA 2004進(jìn)行防范。
一、 防范震蕩波（Sasser）病毒
要想定義合適的震蕩波病毒防范措施，首先必須了解它的傳播機(jī)理。震蕩波是使用TCP的445、5554、9996端口進(jìn)行傳播、感染和破壞活動(dòng)的，因此，必須阻斷局域網(wǎng)中這些端口的網(wǎng)絡(luò)通信。
1． 新建訪問(wèn)規(guī)則
在ISA 2004控制臺(tái)窗口中，展開(kāi)ISA Server服務(wù)器，右鍵點(diǎn)擊“防火墻策略”選項(xiàng)，在彈出的菜單中選擇“新建→訪問(wèn)規(guī)則”，彈出新建訪問(wèn)規(guī)則向?qū)?duì)話框，在“訪問(wèn)規(guī)則名稱”欄中為該規(guī)則起個(gè)名字，如防范震蕩波病毒，點(diǎn)擊“下一步”按鈕，在“規(guī)則操作”對(duì)話框中選中“拒絕”單選項(xiàng)，然后進(jìn)入到“協(xié)議”對(duì)話框，在“此規(guī)則應(yīng)用到”下拉列表中選擇“所選的協(xié)議”，接著點(diǎn)擊“添加”按鈕，彈出“添加”協(xié)議對(duì)話框。
接著點(diǎn)擊“新建→協(xié)議”，彈出“新建協(xié)議定義向?qū)А睂?duì)話框，在協(xié)議定義名稱欄中輸入“Sasser”，點(diǎn)擊“下一步”，進(jìn)入“首要連接信息”對(duì)話框，點(diǎn)擊“新建”按鈕，彈出“新建/編輯協(xié)議連接”對(duì)話框（如圖1），在“協(xié)議類型”中選擇“TCP”，方向?yàn)椤俺稣尽保丝诜秶O(shè)置為“從445到445”，然后點(diǎn)擊“確定”。按此操作，分別設(shè)置5554和9996的端口范圍設(shè)置。

圖1 建立一條訪問(wèn)規(guī)則

然后將新建的Sasser協(xié)議添加到協(xié)議對(duì)話框，點(diǎn)擊下一步后，指定訪問(wèn)規(guī)則源（如圖2），點(diǎn)擊“添加”按鈕，彈出“添加網(wǎng)絡(luò)實(shí)體”對(duì)話框，展開(kāi)“網(wǎng)絡(luò)集”目錄，選擇“所有受保護(hù)的網(wǎng)絡(luò)”選項(xiàng)，點(diǎn)擊“添加”，下一步后，設(shè)置訪問(wèn)規(guī)則目標(biāo)，點(diǎn)擊“添加”按鈕，在添加網(wǎng)絡(luò)實(shí)體對(duì)話框中展開(kāi)網(wǎng)絡(luò)目錄，選中“外部”選項(xiàng)，點(diǎn)擊添加，接著進(jìn)入“用戶集”設(shè)置對(duì)話框，選擇“所有用戶”，點(diǎn)擊“完成”按鈕。最后在防火墻策略窗口中選中該規(guī)則，點(diǎn)擊上方的“應(yīng)用”按鈕即可。

圖2 訪問(wèn)規(guī)則源

2． 定義防火墻客戶端設(shè)置
在ISA 2004控制臺(tái)窗口中，展開(kāi)“配置→常規(guī)”，在右側(cè)的ISA服務(wù)器管理框中點(diǎn)擊“定義防火墻客戶端設(shè)置”（如圖3），彈出設(shè)置對(duì)話框，切換到“應(yīng)用程序設(shè)置”標(biāo)簽頁(yè)。

圖3 定義防火墻客戶端設(shè)置

點(diǎn)擊“新建”按鈕，彈出“應(yīng)用程序項(xiàng)目”對(duì)話框，在應(yīng)用程序欄中輸入“Avserve”，接著在“鍵”下拉列表框中選擇“Disable”，在“值”欄中選擇“1”，點(diǎn)擊“確定”按鈕，最后在應(yīng)用程序設(shè)置標(biāo)簽頁(yè)中點(diǎn)擊“應(yīng)用”按鈕。接著重復(fù)以上步驟，在應(yīng)用程序項(xiàng)目對(duì)話框的應(yīng)用程序欄中輸入“Avserve2”，其它的設(shè)置同以上相同，最后點(diǎn)擊“應(yīng)用”。其中Avserve、Avserve2為震蕩波病毒的進(jìn)程名。
通過(guò)以上兩步配置，ISA 2004就能徹底阻斷震蕩波病毒在網(wǎng)絡(luò)中的通信，這樣就避免病毒在網(wǎng)絡(luò)中傳播和蔓延，危害其它機(jī)器。

二、 防范MyDoom病毒
MyDoom病毒感染機(jī)器后，要使用本機(jī)TCP的3127～3198間的端口進(jìn)行傳播和通信，因此要定義一條訪問(wèn)規(guī)則，用來(lái)禁用這些端口。此外，MyDoom是以Explorer、Shimgapi和Taskmon進(jìn)程名在機(jī)器中運(yùn)行，還要對(duì)防火墻客戶端進(jìn)行設(shè)置，阻斷這些進(jìn)程與外部的連接。
1． 新建訪問(wèn)規(guī)則
下面我們要新建一條訪問(wèn)規(guī)則，用來(lái)封堵客戶機(jī)TCP的3127～3198間的端口的通信量。在ISA 2004主窗口中，右鍵點(diǎn)擊“防火墻策略”選項(xiàng)，選擇“新建→訪問(wèn)規(guī)則”，彈出新建訪問(wèn)規(guī)則向?qū)?duì)話框，在“訪問(wèn)規(guī)則名稱”欄中輸入“防范MyDoom病毒”，單擊“下一步”后，在規(guī)則操作對(duì)話框中選擇“拒絕”單選項(xiàng)，接著進(jìn)入“協(xié)議”對(duì)話框，在“此規(guī)則應(yīng)用到”下拉列表中選擇“所選的協(xié)議”選項(xiàng)，點(diǎn)擊“添加”按鈕，為MyDoom新建一個(gè)協(xié)議。
在添加協(xié)議對(duì)話框中選擇“新建→協(xié)議”，接著在“協(xié)議定義名稱”欄中輸入“MyDoom”，下一步后，進(jìn)入首要連接信息對(duì)話框，點(diǎn)擊“新建”，彈出新建/編輯協(xié)議連接對(duì)話框，在協(xié)議類型中選擇“TCP”，方向欄中選擇“出站”，端口范圍欄中輸入“從3127到3198”，點(diǎn)擊“確定”按鈕。然后在首要連接信息對(duì)話框中點(diǎn)擊“下一步”按鈕，在“輔助連接”對(duì)話框中選擇“否”，最后點(diǎn)擊“完成”按鈕，完成MyDoom協(xié)議的定義。
接著在添加協(xié)議對(duì)話框中展開(kāi)“用戶定義”選項(xiàng)（如圖4），選中剛才新建的MyDoom，點(diǎn)擊“添加”按鈕，將該協(xié)議添加到訪問(wèn)規(guī)則的協(xié)議對(duì)話框中，下一步后，指定訪問(wèn)規(guī)則源，點(diǎn)擊“添加”，彈出“添加網(wǎng)絡(luò)實(shí)體”對(duì)話框，展開(kāi)“網(wǎng)絡(luò)集”目錄，選擇“所有網(wǎng)絡(luò)（和本地主機(jī)）”選項(xiàng)，點(diǎn)擊“添加”，下一步后，設(shè)置訪問(wèn)規(guī)則目標(biāo)，點(diǎn)擊“添加”按鈕，在網(wǎng)絡(luò)實(shí)體對(duì)話框中同樣選擇“所有網(wǎng)絡(luò)（和本地主機(jī)）”選項(xiàng)，點(diǎn)擊添加，接著進(jìn)入 “用戶集”設(shè)置對(duì)話框，選擇“所有用戶”，點(diǎn)擊“完成”按鈕。最后在防火墻策略窗口中選中該規(guī)則，點(diǎn)擊上方的“應(yīng)用”按鈕即可。

圖4 添加新訪問(wèn)規(guī)則

2． 定義防火墻客戶端設(shè)置
此外，還要進(jìn)行防火墻客戶端設(shè)置，用來(lái)阻止Explorer、Shimgapi和Taskmon進(jìn)程與外部網(wǎng)絡(luò)的連接。
在ISA服務(wù)器管理框中點(diǎn)擊“定義防火墻客戶端設(shè)置”，彈出設(shè)置對(duì)話框，切換到“應(yīng)用程序設(shè)置”標(biāo)簽頁(yè)。點(diǎn)擊“新建”按鈕，彈出“應(yīng)用程序項(xiàng)目”對(duì)話框，在應(yīng)用程序欄中輸入“Explorer”，在“鍵”下拉列表框中選擇“Disable”，在“值”欄中選擇“1”，點(diǎn)擊“確定”按鈕，最后在應(yīng)用程序設(shè)置標(biāo)簽頁(yè)中點(diǎn)擊“應(yīng)用”按鈕。接下來(lái)用同樣的方法，新建兩個(gè)應(yīng)用程序名分別為Shimgapi和Taskmon的項(xiàng)目，操作過(guò)程就不再贅述了。
沖擊波病毒的防范和以上兩種病毒防范基本相同，不同的是沖擊波病毒要使用TCP的135、3333端口，以及UDP的69、4444端口，我們新建一條訪問(wèn)規(guī)則禁用這些端口即可。此外，沖擊波病毒還以Msblast、Penis32和Teekids進(jìn)程運(yùn)行于受感染的機(jī)器中，我們將這些進(jìn)程名添加到“防火墻客戶端”對(duì)話框的“應(yīng)用程序設(shè)置”標(biāo)簽頁(yè)中即可，添加方法同上，這樣就阻斷了沖擊波與外部網(wǎng)絡(luò)的連接。
由于篇幅關(guān)系，ISA 2004對(duì)其它病毒的防范方法，就不再介紹了，其實(shí)每種病毒的防范原理都基本相同的，只要知道該病毒使用的端口號(hào)以及進(jìn)程名，就能很輕松地制定出合理的防范措施，斷絕病毒與外界的聯(lián)系，然后再配合病毒防范軟件和SUS服務(wù)器，將這些“罪惡之源”徹底斬殺，還你一片安定、祥和的網(wǎng)絡(luò)空間。
(責(zé)任編輯：zhaohb)