ISA 2004让病毒走上"不归路"

　网络安全永远是大家最关注的问题。震荡波、冲击波、MyDoom，把整个网络搞得鸡犬不宁。为了增强网络的安全防御能力，很多管理员在局域网中部署了病毒服务器和软件升级服务器（SUS）等，统一管理局域网内客户机的安全。俗话说“智者千虑，必有一失”，即使采取了以上措施，稍有不慎，一台机器感染病毒，还是会影响整个网络的正常运行，为何不给我们的网络加个“双保险”呢？使用ISA 2004彻底阻断它们的传播通道，让病毒走上“不归路”。

　　ISA 2004提供了超强的安全防护功能，可以对网络内的任意网络流量进行严格控制。因此，只要合理定义访问规则，就能起到病毒控制、防御的效果，阻断这些病毒在网络中的滋生蔓延。下面笔者以大家比较关注的震荡波、冲击波、MyDoom病毒为例，介绍如何使用ISA 2004进行防范。

　　一、 防范震荡波（Sasser）病毒

　　要想定义合适的震荡波病毒防范措施，首先必须了解它的传播机理。震荡波是使用TCP的445、5554、9996端口进行传播、感染和破坏活动的，因此，必须阻断局域网中这些端口的网络通信。

　　1． 新建访问规则

　　在ISA 2004控制台窗口中，展开ISA Server服务器，右键点击“防火墙策略”选项，在弹出的菜单中选择“新建→访问规则”，弹出新建访问规则向导对话框，在“访问规则名称”栏中为该规则起个名字，如防范震荡波病毒，点击“下一步”按钮，在“规则操作”对话框中选中“拒绝”单选项，然后进入到“协议”对话框，在“此规则应用到”下拉列表中选择“所选的协议”，接着点击“添加”按钮，弹出“添加”协议对话框。

　　接着点击“新建→协议”，弹出“新建协议定义向导”对话框，在协议定义名称栏中输入“Sasser”，点击“下一步”，进入“首要连接信息”对话框，点击“新建”按钮，弹出“新建/编辑协议连接”对话框（如图1），在“协议类型”中选择“TCP”，方向为“出站”，端口范围设置为“从445到445”，然后点击“确定”。按此操作，分别设置5554和9996的端口范围设置。

图1 建立一条访问规则

　　然后将新建的Sasser协议添加到协议对话框，点击下一步后，指定访问规则源（如图2），点击“添加”按钮，弹出“添加网络实体”对话框，展开“网络集”目录，选择“所有受保护的网络”选项，点击“添加”，下一步后，设置访问规则目标，点击“添加”按钮，在添加网络实体对话框中展开网络目录，选中“外部”选项，点击添加，接着进入“用户集”设置对话框，选择“所有用户”，点击“完成”按钮。最后在防火墙策略窗口中选中该规则，点击上方的“应用”按钮即可。

图2 访问规则源

　　2． 定义防火墙客户端设置

　　在ISA 2004控制台窗口中，展开“配置→常规”，在右侧的ISA服务器管理框中点击“定义防火墙客户端设置”（如图3），弹出设置对话框，切换到“应用程序设置”标签页。

图3 定义防火墙客户端设置

　　点击“新建”按钮，弹出“应用程序项目”对话框，在应用程序栏中输入“Avserve”，接着在“键”下拉列表框中选择“Disable”，在“值”栏中选择“1”，点击“确定”按钮，最后在应用程序设置标签页中点击“应用”按钮。接着重复以上步骤，在应用程序项目对话框的应用程序栏中输入“Avserve2”，其它的设置同以上相同，最后点击“应用”。其中Avserve、Avserve2为震荡波病毒的进程名。

　　通过以上两步配置，ISA 2004就能彻底阻断震荡波病毒在网络中的通信，这样就避免病毒在网络中传播和蔓延，危害其它机器。

　二、 防范MyDoom病毒

　　MyDoom病毒感染机器后，要使用本机TCP的3127～3198间的端口进行传播和通信，因此要定义一条访问规则，用来禁用这些端口。此外，MyDoom是以Explorer、Shimgapi和Taskmon进程名在机器中运行，还要对防火墙客户端进行设置，阻断这些进程与外部的连接。

　　1． 新建访问规则

　　下面我们要新建一条访问规则，用来封堵客户机TCP的3127～3198间的端口的通信量。在ISA 2004主窗口中，右键点击“防火墙策略”选项，选择“新建→访问规则”，弹出新建访问规则向导对话框，在“访问规则名称”栏中输入“防范MyDoom病毒”，单击“下一步”后，在规则操作对话框中选择“拒绝”单选项，接着进入“协议”对话框，在“此规则应用到”下拉列表中选择“所选的协议”选项，点击“添加”按钮，为MyDoom新建一个协议。

　　在添加协议对话框中选择“新建→协议”，接着在“协议定义名称”栏中输入“MyDoom”，下一步后，进入首要连接信息对话框，点击“新建”，弹出新建/编辑协议连接对话框，在协议类型中选择“TCP”，方向栏中选择“出站”，端口范围栏中输入“从3127到3198”，点击“确定”按钮。然后在首要连接信息对话框中点击“下一步”按钮，在“辅助连接”对话框中选择“否”，最后点击“完成”按钮，完成MyDoom协议的定义。

　　接着在添加协议对话框中展开“用户定义”选项（如图4），选中刚才新建的MyDoom，点击“添加”按钮，将该协议添加到访问规则的协议对话框中，下一步后，指定访问规则源，点击“添加”，弹出“添加网络实体”对话框，展开“网络集”目录，选择“所有网络（和本地主机）”选项，点击“添加”，下一步后，设置访问规则目标，点击“添加”按钮，在网络实体对话框中同样选择“所有网络（和本地主机）”选项，点击添加，接着进入 “用户集”设置对话框，选择“所有用户”，点击“完成”按钮。最后在防火墙策略窗口中选中该规则，点击上方的“应用”按钮即可。

图4 添加新访问规则　2． 定义防火墙客户端设置

　　此外，还要进行防火墙客户端设置，用来阻止Explorer、Shimgapi和Taskmon进程与外部网络的连接。

　　在ISA服务器管理框中点击“定义防火墙客户端设置”，弹出设置对话框，切换到“应用程序设置”标签页。点击“新建”按钮，弹出“应用程序项目”对话框，在应用程序栏中输入“Explorer”，在“键”下拉列表框中选择“Disable”，在“值”栏中选择“1”，点击“确定”按钮，最后在应用程序设置标签页中点击“应用”按钮。接下来用同样的方法，新建两个应用程序名分别为Shimgapi和Taskmon的项目，操作过程就不再赘述了。

　　冲击波病毒的防范和以上两种病毒防范基本相同，不同的是冲击波病毒要使用TCP的135、3333端口，以及UDP的69、4444端口，我们新建一条访问规则禁用这些端口即可。此外，冲击波病毒还以Msblast、Penis32和Teekids进程运行于受感染的机器中，我们将这些进程名添加到“防火墙客户端”对话框的“应用程序设置”标签页中即可，添加方法同上，这样就阻断了冲击波与外部网络的连接。

　　由于篇幅关系，ISA 2004对其它病毒的防范方法，就不再介绍了，其实每种病毒的防范原理都基本相同的，只要知道该病毒使用的端口号以及进程名，就能很轻松地制定出合理的防范措施，断绝病毒与外界的联系，然后再配合病毒防范软件和SUS服务器，将这些“罪恶之源”彻底斩杀，还你一片安定、祥和的网络空间。