浅谈局域网病毒阻断措施

摘　要：目前局域网安全问题突出，解决的办法是网络综合设置，软硬件结合防范。通过实践对局域网病毒的软硬件阻断措施提出一些看法和策略，以供工作人员参考。

关键词：局域网； 病毒； 阻断措施
　　目前局域网安全问题突出，病毒、木马、恶意程序传播迅速，危害较大。而平时的各种操作，如使用外来光盘、U盘、移动硬盘、上网、运行外部程序等，均可能导致病毒传入。病毒木马发作时，可能破坏文件、阻塞网络、导致系统运行不稳定，后果严重。
　　解决的办法是网络综合设置，软硬件结合防范。主要措施有以下几点：
一、 加强自身防护。
　　每台 Windows 机器均安装杀毒软件（推荐使用 Mcafee 企业版。目前最新的版本是 8.5i）。安装后更新病毒库。 Mcafee 病毒库可以从网络上方便的下载到。
二、 阻断病毒传播途径的硬件设定：
　　如果用户网络存在两个网络接口，需要自身网络与其他网络(简称“对接网”)相连接，则在两个网络之间添加一个宽带路由器进行访问隔离。其网络拓扑如下：
　　
　　
　　

　　原理：宽带路由器具有NAT功能，有如下特点： LAN 端可以对 WAN端完全访问，而WAN 端对 LAN 端只能通过端口映射的方式，访问有限端口。因此我们通常把需要保护的网络（对接网）连接在LAN 端，将自身的网络连接 WAN 端。一旦自己的网络发生故障，不会影响到对接网。
宽带路由器的设置方法见该产品说明书，也可以从网络上方便的下载到。
三、 阻断病毒传播途径的软件设定：
3.1配置 Windows，阻止共享。
　　打开【控制面板】－【管理工具】－【本地安全策略】，选择【IP安全策略】如下图

在右方右键单击，选择【创建IP安全策略】，下一步，（例如）设名称为 “123”，下一步，不要勾选【激活默认响应规则】，
点击【下一步】，【完成】，出现策略设置窗口如下图。
取消选择【使用“添加向导”】。点击【添加】名称填写为“135”，取消选择【使用添加向导】，再点击【添加】源地址选择【任何IP地址】，目的地址选择【我的IP地址】，点击【协议】， 协议类型选择“TCP”，点击【到此端口】，填写 135，点击【确定】。再点击【确定】。

点击选择 135，然后点击【筛选器操作】， 取消选择【使用“添加向导”】。点击【添加】，【安全措施】页面中选择【阻止】，【常规】页面中的【名称】填写“阻止”，然后点击【确定】， 点击选择【阻止】，点击【关闭】。这样我们完成了对135端口的传入阻止。重复上述步骤，添加TCP 139/445/1025/1026 端口。添加 UDP 137/138 端口。最后点击【确定】。
至此通过IP安全策略限制病毒传播的设定全部完成。
　　　　　　3.2  优点与缺点
缺点：设定完毕后，用户之间无法通过“网上邻居”访问，也无法直接传送文件。所以每台机器还要安装 pcanywhere 用来进行远程维护。平台程序的自动更新亦无法进行。

优点：病毒无法通过局域网传播。即使某台机器中毒，也不会通过网络扩散到其他机器。

　　在目前局域网的众多安全措施中,此方法效果较好,安全性比使用双网卡方案为高。另外，如果用户的机器使用了公网地址，则一定要安装防火墙。









[投稿说明]:
　　
　　目前局域网安全问题突出，病毒、木马、恶意程序传播迅速，危害较大。而平时的各种操作，如使用外来光盘、U盘、移动硬盘、上网、运行外部程序等，均可能导致病毒传入。病毒木马发作时，可能破坏文件、阻塞网络、导致系统运行不稳定，后果严重。通过实践对局域网病毒的软硬件阻断措施提出一些看法和策略，以供工作人员参考。