层层设防 全面拦截企业网络病毒

　病毒是一个与计算机相伴而生的“恶狼”，它的危害随着网络的出现达到了顶点。网络的纵深发展，更使病毒得到了长足的发展，

使其传播更加便利，传播速度也变的越来越快。目前，绝大部分单位都建有局域网，并通过局域网连入互联网。由病毒造成的网络故

障及损失更是非常严重。作为网管员，如何才能够保障网络计算机不受病毒侵犯，为网络的正常运转提供保障呢？在这里，就我们的

一些做法与大家一起交流。

　　一、病毒层层解读

　　病毒如洪水猛兽，但并不是毫无规律可言。在这里我们首先分析一下网络的安全防护层次。通常情况下，网络的安全可分为客户

主机的防范、服务器的防范和网关的防范三部分。

　　客户主机就是网络中用户使用的电脑，他们对网络的知识知之甚少，对病毒的防范意识不强，而且一旦一台主机感染了病毒，就

会形成连锁反应，使整个网络的计算机都感染病毒。同样对于服务器，基本每个单位都有，以满足对外网站发布、文件共享、邮件服

务等需求。而这些服务都是与每个用户都密切相关。如文件共享服务，如果用户上传的文件本身就带毒，而且上传后不能有效拦截，

这样在共享下载的过程中，病毒就会被携带传播出去。说到网关，它是每个网络的门户，面临着内部和外部网络的双重攻击，其重要

性不言而喻。

　　二、病毒防防防范

　　上面我们对网络内病毒进行了分层解读，只要我们网管员能够针对所涉及的三个层面进行有效防范，对症下药，分层部署，那么

还是能够非常便利的保障整个网络健康有序运行的。

　　1、客户主机病毒防范

　　对于一个网络来说，客户主机的病毒防范工作量较大，如果能够采取切实有效的方法，那么将会起到事半功倍的效果。

　　（1）杀毒软件不可错过

　　针对客户主机的病毒查杀，目前只有杀毒软件这一种方案可供选择。针对一个单位来说，杀毒软件除了在品牌的选择之外，更重

要的是选择单机版还是网络版。

　　就杀毒能力来说，单机版和网络版都是使用一套反病毒引擎，病毒库的升级都是一样的，也就是说它们的病毒查杀能力也是一样

的。但是网络版杀毒软件管理方便，可以统一安装、升级、查杀病毒，价格也非常贵。八哥网（http://www.it8g.com）建议较大规

模的单位可布署。相对于只有十几台、几十台电脑的一般建议使用单机版的杀毒软件就能够满足应用的需要了，而且性价比非常好。

　　（2）及时升级

　　升级非常重要，包括系统补丁的升级和杀毒软件病毒库的升级。因为很多病毒都是通过系统漏洞来感染的，针对这种情况

Windows XP提供了自动更新的功能，可将其启用；对于局域网机器比较多的可以布署SUS补丁更新服务器来降轻对网络出口带宽的压

力，使补丁更新在局域网内完成；及时升级同样包括杀毒软件的病毒库，因为新的病毒每天都在出现，只有升级到较新的病毒库才能

够保障计算机的安全。目前市场上主流的杀毒软件都有在线自动更新的功能，只需要将其启用即可。

　　（3）培养用户良好的习惯

　　网管员有责任建立用户对病毒正确认识，要让他们意识到自己感染病毒，会出现电脑变慢、网速变慢、资料丢失，这样他们就会

自觉主动的去防范病毒，变成一种自觉主动的行为。另外要让用户有用的文件不要保存在桌面或C盘上，而应保存在非系统分区。

　　2、服务器防毒

　　对于服务器的安全，主要是网管员的工作。在做好常规保护的基础上，应遵循较小化的原则。即开放较少的端口、运行必须的服

务。每多开放一个端口，就意味着与外界多了一条通道，危险就增加一份，因此要根据服务器要提供的服务开放必须的端口即可。

　　在服务器安全上，防火墙是必不可少的助手。聚生网管（http://www.grablan.com）建议，对安全级别较低的，安装常见的天网

、瑞星之类的防火墙即可，安全较高的可安装专业的ISA等类，同时配置隔离区（DMZ）以保证数据的安全。当然，在系统中同样还可

以有很多配置可以迷惑别人，例如可以配置IP策略，使在线的主机无法被ping通，这些都是在管理服务器过程中常见的做法。

　　3、网关防毒

　　在前面我们对网关防毒的重要性作过简单介绍，它需要承受内外两部分的压力。可以将网关配在路由器、硬件防火墙等设备上。

通过这些硬件设备提供的服务，配置详细的策略，开放常见的端口，过滤常见病毒的信息，有必要的可禁止BT、P2P、电驴等下载；

建立访问控制列表，禁止访问不良网站，禁止下载未经认证的插件。

　　三、快速找出病毒源

　　当已经感染病毒了，首要做的就是快速找出病毒源。针对专业的网管员，可借助各种抓包工具来查找；对于普通的网管，我们建

议大家可以安装一个防火墙软件，例如天网防火墙，安装之后如果他不停的收到来自某个IP地址的数据包，那么就说明病毒的源头就

是该机器；当发生网络阻塞、ARP欺骗时，可以在一台电脑上执行“Ping 网关”的命令，同时依次断开每一台交换机，如果断开时能

够Ping通说明故障则发生在这台交换机的节点上，反之则证明该台交换机节点全部正常。找到故障所在交换机后，再依次拨下网线，

这样就可非常简单的找到某台计算机了。当然这种方法相对来说比较繁琐，但却是较有效的。

　　病毒的危害是大家有目共睹的，病毒防范也是一个长期的工作，希望我们的作法能够对大家有所帮助，也希望能够向更多的网管老师们学习更先进、更实用的方法。