让病毒走上“不归路”――使用ISA2004阻断病毒通信电脑教育报 孙成
网络安全永远是大家最关注的问题,特别是近年来病毒泛滥程度的不断加强,如振荡波、冲击波、MYDOOM等,把整个网络搞的鸡犬不宁。为了增强网络的安全防御能力,很多管理员在局域网内部署了病毒服务器和软件升级服务器(SUS)等,统一管理局域网内客户机的安全。俗话说“智者千虑,必有一失”,即使采取了以上措施,稍有不慎,一台机器感染病毒,还是会影响整个网络的正常运行,为何不给我们的网络加个“双保险”呢?使用ISA2004彻底阻断它们的传播通道,让病毒走上“不归路”。
ISA2004提供了超强的安全防护功能,可以对网络内的任意网络流量进行严格控制。因此,只要合理定义访问规则,就能起到病毒控制、防御的效果,阻断这些病毒在网络中的滋生蔓延。下面笔者以大家比较关注的振荡波、冲击波、MYDOOM病毒为例,介绍如何使用ISA2004进行防范。
一、 防范振荡波(Sasser)病毒
要想定义合适的振荡波病毒防范措施,首先必须了解它的传播机理。振荡波是使用TCP的445、5556、9996端口进行传播、感染和破坏活动的,因此,必须阻断局域网中这些端口的网络通信。在受感染的机器中,振荡波病毒以avserve或avserve2进程运行的。
1、 新建访问规则
在ISA2004控制台窗口中,展开ISA Server服务器,右键点击“防火墙策略”选项,在弹出的菜单中选择“新建à访问规则”(图1),弹出新建访问规则向导对话框,在“访问规则名称”栏中为该规则起个名字,如防范振荡波病毒,点击“下一步”按钮,在“规则操作”对话框中选中“拒绝”单选项(图2),然后进入到“协议”对话框,在“此规则应用到”下拉列表中选择“所选的协议”,接着点击“添加”按钮,弹出“添加”协议对话框。
接着点击“新建à协议”,弹出“新建协议定义向导”对话框(图3),在协议定义名称栏中输入“Sasser”,点击“下一步”,进入“首要连接信息”对话框,点击“新建”按钮,弹出“新建/编辑协议连接”对话框(图4),在“协议类型”中选择“TCP”,方向为“出站”,端口范围设置为“从445到
然后再次在“首要连接信息”对话框点击“新建”按钮(图5),在“新建/编辑协议连接”框中依次选择“TCP”,方向为“出站”,端口范围设置为“从5556到
然后将新建的Sasser协议添加到协议对话框,点击下一步后,指定访问规则源(图6),点击“添加”按钮,弹出“添加网络实体”对话框,展开“网络集”目录,选择“所有受保护的网络”选项,点击“添加”,下一步后,设置访问规则目标,点击“添加”按钮,在添加网络实体对话框中展开网络目录,选中“外部”选项,点击添加,接着进入 “用户集”设置对话框,选择“所有用户”,点击“完成”按钮。最后在防火墙策略窗口中选中该规则,点击上方的“应用”按钮即可(图7)。
2、 定义防火墙客户端设置
在ISA2004控制台窗口中,展开“配置à常规”,在右侧的ISA服务器管理框中点击“定义防火墙客户端设置”(图8),弹出设置对话框,切换到“应用程序设置”标签页。
点击“新建”按钮,弹出“应用程序项目”对话框(图9),在应用程序栏中输入“avserve”,接着在“键”下拉列表框中选择“disable”,在“值”栏中选择“1”,点击“确定”按钮,最后在应用程序设置标签页中点击“应用”按钮。接着重复以上步骤,在应用程序项目对话框的应用程序栏中输入“avserve2”,其它的设置同以上相同,最后点击“应用”。其中avserve、avserve2为振荡波病毒的进程名。
通过以上两步配置,ISA2004就能彻底阻断振荡波病毒在网络中的通信,这样就避免病毒在网络中传播和蔓延,危害其它机器。
二、 防范MyDoom病毒
MyDoom病毒感染机器后,要使用本机TCP的3127~3198间的端口进行传播和通信,因此要定义一条访问规则,用来禁用这些端口。此外,MyDoom是以explorer、shimgapi和 taskmon进程名在机器中运行,还要对防火墙客户端进行设置,阻断这些进程与外部的连接。
1、 新建访问规则
下面我们要新建一条访问规则,用来封堵客户机TCP的3127~3198间的端口的通信量。
在ISA2004主窗口中,右键点击“防火墙策略”选项,选择“新建à访问规则”,弹出新建访问规则向导对话框,在“访问规则名称”栏中输入“防范MyDoom病毒”,下一步后,在规则操作对话框中选择“拒绝”单选项,接着进入“协议”对话框,在“此规则应用到”下拉列表中选择“所选的协议”选项,点击“添加”按钮,为MyDoom新建一个协议。
在添加协议对话框中选择“新建à协议”,接着在“协议定义名称”栏中输入“MyDoom”,下一步后,进入首要连接信息对话框,点击“新建”,弹出新建/编辑协议连接对话框(图10),在协议类型中选择“TCP”,方向栏中选择“出站”,端口范围栏中输入“从3127到
接着在添加协议对话框中展开“用户定义”选项(图11),选中刚才新建的MyDoom,点击“添加”按钮,将该协议添加到访问规则的协议对话框中,下一步后,指定访问规则源,点击“添加”,弹出“添加网络实体”对话框,展开“网络集”目录,选择“所有网络(和本地主机)”选项(图12),点击“添加”,下一步后,设置访问规则目标,点击“添加”按钮,在网络实体对话框中同样选择“所有网络(和本地主机)”选项,点击添加,接着进入 “用户集”设置对话框,选择“所有用户”,点击“完成”按钮。最后在防火墙策略窗口中选中该规则,点击上方的“应用”按钮即可。
2、 定义防火墙客户端设置
此外,还要进行防火墙客户端设置,用来阻止explorer、shimgapi和 taskmon进程与外部网络的连接。
在ISA服务器管理框中点击“定义防火墙客户端设置”,弹出设置对话框,切换到“应用程序设置”标签页。点击“新建”按钮,弹出“应用程序项目”对话框(图13),在应用程序栏中输入“explorer”,在“键”下拉列表框中选择“disable”,在“值”栏中选择“1”,点击“确定”按钮,最后在应用程序设置标签页中点击“应用”按钮。接下来用同样的方法,新建两个应用程序名分别为shimgapi和 taskmon的项目,操作过程就不再赘述了。
冲击波病毒的防范和以上两种病毒防范基本相同,不同的是冲击波病毒要使用TCP的135、3333端口,以及UDP的69、4444端口,我们新建一条访问规则禁用这些端口即可。此外,冲击波病毒还以msblast、penis32和 teekids进程运行于受感染的机器中,我们将这些进程名添加到“防火墙客户端”对话框的“应用程序设置”标签页中即可,添加方法同上,这样就阻断了冲击波与外部网络的连接。
由于篇幅关系,ISA2004对其它病毒的防范方法,就不再介绍了,其实每种病毒的防范原理都基本相同的,只要知道该病毒使用的端口号以及进程名,就能很轻松的制定出合理的防范措施,断绝病毒与外界的联系,然后再配合病毒防范软件和SUS服务器,将这些“罪恶之源”彻底斩杀,还你一片安定、祥和的网络空间。
