網絡安全永遠是大家最關注的問題。震蕩波、沖擊波、MyDoom,把整個網絡搞得雞犬不寧。為了增強網絡的安全防御能力,很多管理員在局域網中部署了病毒服務器和軟件升級服務器(SUS)等,統一管理局域網內客戶機的安全。俗話說“智者千慮,必有一失”,即使采取了以上措施,稍有不慎,一臺機器感染病毒,還是會影響整個網絡的正常運行,為何不給我們的網絡加個“雙保險”呢?使用ISA 2004徹底阻斷它們的傳播通道,讓病毒走上“不歸路”。
ISA 2004提供了超強的安全防護功能,可以對網絡內的任意網絡流量進行嚴格控制。因此,只要合理定義訪問規則,就能起到病毒控制、防御的效果,阻斷這些病毒在網絡中的滋生蔓延。下面筆者以大家比較關注的震蕩波、沖擊波、MyDoom病毒為例,介紹如何使用ISA 2004進行防范。
一、 防范震蕩波(Sasser)病毒
要想定義合適的震蕩波病毒防范措施,首先必須了解它的傳播機理。震蕩波是使用TCP的445、5554、9996端口進行傳播、感染和破壞活動的,因此,必須阻斷局域網中這些端口的網絡通信。
1. 新建訪問規則
在ISA 2004控制臺窗口中,展開ISA Server服務器,右鍵點擊“防火墻策略”選項,在彈出的菜單中選擇“新建→訪問規則”,彈出新建訪問規則向導對話框,在“訪問規則名稱”欄中為該規則起個名字,如防范震蕩波病毒,點擊“下一步”按鈕,在“規則操作”對話框中選中“拒絕”單選項,然后進入到“協議”對話框,在“此規則應用到”下拉列表中選擇“所選的協議”,接著點擊“添加”按鈕,彈出“添加”協議對話框。
接著點擊“新建→協議”,彈出“新建協議定義向導”對話框,在協議定義名稱欄中輸入“Sasser”,點擊“下一步”,進入“首要連接信息”對話框,點擊“新建”按鈕,彈出“新建/編輯協議連接”對話框(如圖1),在“協議類型”中選擇“TCP”,方向為“出站”,端口范圍設置為“從445到445”,然后點擊“確定”。按此操作,分別設置5554和9996的端口范圍設置。
圖1 建立一條訪問規則
然后將新建的Sasser協議添加到協議對話框,點擊下一步后,指定訪問規則源(如圖2),點擊“添加”按鈕,彈出“添加網絡實體”對話框,展開“網絡集”目錄,選擇“所有受保護的網絡”選項,點擊“添加”,下一步后,設置訪問規則目標,點擊“添加”按鈕,在添加網絡實體對話框中展開網絡目錄,選中“外部”選項,點擊添加,接著進入“用戶集”設置對話框,選擇“所有用戶”,點擊“完成”按鈕。最后在防火墻策略窗口中選中該規則,點擊上方的“應用”按鈕即可。
圖2 訪問規則源
2. 定義防火墻客戶端設置
在ISA 2004控制臺窗口中,展開“配置→常規”,在右側的ISA服務器管理框中點擊“定義防火墻客戶端設置”(如圖3),彈出設置對話框,切換到“應用程序設置”標簽頁。
圖3 定義防火墻客戶端設置
點擊“新建”按鈕,彈出“應用程序項目”對話框,在應用程序欄中輸入“Avserve”,接著在“鍵”下拉列表框中選擇“Disable”,在“值”欄中選擇“1”,點擊“確定”按鈕,最后在應用程序設置標簽頁中點擊“應用”按鈕。接著重復以上步驟,在應用程序項目對話框的應用程序欄中輸入“Avserve2”,其它的設置同以上相同,最后點擊“應用”。其中Avserve、Avserve2為震蕩波病毒的進程名。
通過以上兩步配置,ISA 2004就能徹底阻斷震蕩波病毒在網絡中的通信,這樣就避免病毒在網絡中傳播和蔓延,危害其它機器。
二、 防范MyDoom病毒
MyDoom病毒感染機器后,要使用本機TCP的3127~3198間的端口進行傳播和通信,因此要定義一條訪問規則,用來禁用這些端口。此外,MyDoom是以Explorer、Shimgapi和Taskmon進程名在機器中運行,還要對防火墻客戶端進行設置,阻斷這些進程與外部的連接。
1. 新建訪問規則
下面我們要新建一條訪問規則,用來封堵客戶機TCP的3127~3198間的端口的通信量。在ISA 2004主窗口中,右鍵點擊“防火墻策略”選項,選擇“新建→訪問規則”,彈出新建訪問規則向導對話框,在“訪問規則名稱”欄中輸入“防范MyDoom病毒”,單擊“下一步”后,在規則操作對話框中選擇“拒絕”單選項,接著進入“協議”對話框,在“此規則應用到”下拉列表中選擇“所選的協議”選項,點擊“添加”按鈕,為MyDoom新建一個協議。
在添加協議對話框中選擇“新建→協議”,接著在“協議定義名稱”欄中輸入“MyDoom”,下一步后,進入首要連接信息對話框,點擊“新建”,彈出新建/編輯協議連接對話框,在協議類型中選擇“TCP”,方向欄中選擇“出站”,端口范圍欄中輸入“從3127到3198”,點擊“確定”按鈕。然后在首要連接信息對話框中點擊“下一步”按鈕,在“輔助連接”對話框中選擇“否”,最后點擊“完成”按鈕,完成MyDoom協議的定義。
接著在添加協議對話框中展開“用戶定義”選項(如圖4),選中剛才新建的MyDoom,點擊“添加”按鈕,將該協議添加到訪問規則的協議對話框中,下一步后,指定訪問規則源,點擊“添加”,彈出“添加網絡實體”對話框,展開“網絡集”目錄,選擇“所有網絡(和本地主機)”選項,點擊“添加”,下一步后,設置訪問規則目標,點擊“添加”按鈕,在網絡實體對話框中同樣選擇“所有網絡(和本地主機)”選項,點擊添加,接著進入 “用戶集”設置對話框,選擇“所有用戶”,點擊“完成”按鈕。最后在防火墻策略窗口中選中該規則,點擊上方的“應用”按鈕即可。
圖4 添加新訪問規則
2. 定義防火墻客戶端設置
此外,還要進行防火墻客戶端設置,用來阻止Explorer、Shimgapi和Taskmon進程與外部網絡的連接。
在ISA服務器管理框中點擊“定義防火墻客戶端設置”,彈出設置對話框,切換到“應用程序設置”標簽頁。點擊“新建”按鈕,彈出“應用程序項目”對話框,在應用程序欄中輸入“Explorer”,在“鍵”下拉列表框中選擇“Disable”,在“值”欄中選擇“1”,點擊“確定”按鈕,最后在應用程序設置標簽頁中點擊“應用”按鈕。接下來用同樣的方法,新建兩個應用程序名分別為Shimgapi和Taskmon的項目,操作過程就不再贅述了。
沖擊波病毒的防范和以上兩種病毒防范基本相同,不同的是沖擊波病毒要使用TCP的135、3333端口,以及UDP的69、4444端口,我們新建一條訪問規則禁用這些端口即可。此外,沖擊波病毒還以Msblast、Penis32和Teekids進程運行于受感染的機器中,我們將這些進程名添加到“防火墻客戶端”對話框的“應用程序設置”標簽頁中即可,添加方法同上,這樣就阻斷了沖擊波與外部網絡的連接。
由于篇幅關系,ISA 2004對其它病毒的防范方法,就不再介紹了,其實每種病毒的防范原理都基本相同的,只要知道該病毒使用的端口號以及進程名,就能很輕松地制定出合理的防范措施,斷絕病毒與外界的聯系,然后再配合病毒防范軟件和SUS服務器,將這些“罪惡之源”徹底斬殺,還你一片安定、祥和的網絡空間。
(責任編輯:zhaohb)
