关于企业病毒防护的问题！

公司网络最近经常出现病毒（由于笔记本用户比较多），有没有那位大哥能有比较好的办法啊，比如使用什么硬件或者软件，能够在网络中找出究竟是哪台计算机在发病毒数据包。
请尽量详细介绍点能抓包的软件或硬件，谢谢了！
对了我们公司网络划分VLAN的，这些监控软件最好能跨VLAN的，当然也越便宜越好了，呵呵！

由于病毒摧毁计算机所造成的威胁有越来越严重的趋势，企业对于功能更强大的防毒软件的需求也越来越迫切。许多的企业也因为之前没有对网络架构作好防毒措施，付出了惨痛而昂贵的代价。前几天我们这里的行政部门的的所有计算机由于感染了尼姆达病毒，搞得整个局域网瘫痪了，我们几个整整忙了两天才完全恢复正常。在工作期间，我发现这个单位网络安全意识低得真让人不敢相信，大多数计算机没有安装防火墙，就算安装了也好久没有升级了。（同志们，这可是我们政府机关啊！）所以建构一个全面的防毒策略，成为了大多数单位的一个重要问题，大面我和大家谈谈企业如何构建一个电脑病毒防护的安全策略。

企业的防毒策略

在早期的计算机环境中，其实病毒并不是一个非常令人头痛的事，只要我不用来路不明的磁盘，基本上可以防止 80％ 的病毒入侵，但是进入互联网的新世纪，绝大部分的信息经由互联网交换，那么更容易从互联网上染上病毒，因此企业防毒策略的制定，更是绝对不能没有的计划。一般而言，一个需要作好防毒措施的网络架构可以分成以下三个不同的阶层：

1、网络（SMTP）网关（Internet Gateways）防毒机制

首先针对病毒可能会入侵的通道加以防堵，第一步就是企业的大门，在企业的局域网络中，网关扮演了举足轻重的角色，通常企业的网关就是通往内部网络的门，或者是安全性更高防护措施更完善的企业网络架构中，会有一个非军事区网络 ( DMZ， De-Militarized Zone ) ，在这个地方就是一个非常重要的部署防毒墙或者是防毒过滤软件的地方。

以网关或是DMZ部分的部署，通常可以分为两种模式：

第一种为网关模式，也就是将防毒服务器或是防毒墙(例如McAfee WebShield e50 硬件式防毒墙 ) 当成内部路由器的部署方式，此种配置方式乃是将防毒网关配置在防火墙装置的内部或是所有内部主机系统的最外部，也就是防毒墙或防毒服务器将成为名符其实的一个资料网关(有点像是路由器)，如此一来所有进出企业体的封包，将一一被扫描过滤，一个都不会错过。

我以一般企业简单的网络架构来说明，一般来说位在网关的防毒机制，考虑到运作效能的问题，是不需要负责太复杂的防毒，通常是专门针对某些通讯协议加以侦测扫描，例如针对SMTP、FTP、HTTP 等通讯协议。在图1的架构中，共分为两个部分，由外部进来的封包，通过防火墙的控制，只能到达 DMZ 的部分，所有邮件都能够被扫描侦测，并且能够过滤垃圾邮件及防止邮件服务器被来自Internet的使用 ( Anti-Relay )，因此针对邮件我们就有了第一层的保护。

而另一部份则是内部网络，基于安全的理由，一般在防火墙的设定是不允许直接由 Internet 前往内部网络的，因此这部分是针对客户端计算机因浏览网站，或者是FTP站台所受到一些恶意站台的威胁，所做的防护措施因此针对来自Internet的威胁，我们就有了初步的病毒防护机制。

第二种模式则是代理模式，以如此模式建构的话，基本上防毒服务器是以代理服务器的型态存在。如果某家公司不管理自己的 Internet 网关，那防护的工作就得交由 ISP 来提供了。如果 ISP 不提供防毒服务或者它索取很高的费用，那么就应当考虑更换服务提供商。

一般情况下如果一个企业设置了第一层的病毒防护，那么公司只要在一两个网关上替整个公司捕捉和拦截病毒就可以了。一旦病毒通过了网关，公司就必须依靠服务器代理程序（server agents）对众多的服务器进行扫描和修复，而不再只是处理一个网关。倘若由于某种原因病毒穿透了服务器层，那就必须依靠客户端这一层的防毒软件，这可能会影响到成千上万的节点（nodes）。所以，立即在第一层阻止病毒是最有效的解决方法。

2、服务器防毒机制

接下来就是服务器这一层。单单依靠桌上型计算机上的防毒软件是不够的，因为不管是在什么时候，都一定会有好几十台的计算机的防毒软件不是取消功能，就是解除安装，或者是其它原因而让防毒软件不能运作。在企业之中，有着不同的服务器提供着不同的服务，其中最容易遭数受病毒的攻击的服务器，首推群组服务器以及档案服务器，档案服务器有着档案集中的特性，提供企业体制中档案储存及交换的便利性，正是这种特性，更容易让病毒有机可乘，更容易散播开来。

而邮件服务器几乎可以称的现代企业的通信管道，很多资料、重要讯息大都是通过电子邮件这种最普遍亦是最方便的一种共通方式，所以也是病毒传染最快的方式，但这不是全部，病毒不只是通过邮件传递达到散播的目的，更利用群组中的信息共享机制，如电子公告栏，共享资料夹等等的讯息共享机制来散播病毒，因此我们更应该针对所有可能的通道价以防护，这就是架构中的第二层防护：你需要在每台存放文件和 e-mail 的服务器上作好病毒的防护工作，在这些服务器上，防毒软件都必须设置成提供实时防护和定期的防毒扫描（scheduled scanning）。注意：如果你只使用定期扫描这一种方法，而病毒在成功入侵一台开放的服务器时，它可能在你准备在夜间通过扫描过程来对付它之前，已经复制并感染了多台工作站。

3、客户端计算机防毒机制

在整个网络的最末端，客户端的计算机是企业网络中为数最多也是容易遭受到病毒感染的一个环节，也是最大、最难防护的一层，而且并非所有使用者都具有病毒防治的观念，因此在客户端的病毒防护策略，除了必须考虑环境及病毒入侵的防护外，还必须考虑到人为因素及管理因素，在如此复杂的环境中，我们先从病毒可能进行感染的通道防堵。

首先针对一般感染路径，档案的存取及网络的存取，已经是一种基本应有的功能，它必须在幕后随时监视及扫描你所存取的所有档案，包含压缩档及较不为一般人所注意的office 宏文件，以防止一般性的病毒威胁。在电子邮件的传染途径中，除了针对 SMTP 的通讯协议作保护外，还必须考虑到一些使用者必须由外部的邮件服务器收取邮件，或者是下载互联网上的档案，因此在下载档案的部分以及 POP3、MAPI 等通讯协议上必须加强防护。同样的来自于浏览网站或者是利用FTP上传或下载档案也是必须防护的重点，如此构成了严密的三层病毒防护策略。

作为网络管理人员的你也可以在登录描述程序（logon scripts）中加入了一些智能型的机制，以确保安装的防毒软件的版本是最新的。如果不是最新的版本，那么一个正确的（且升级后的）版本就会安装进来。未经正确病毒防护的设定，任何一台工作站都不允许放在网络上，这包括通过拨号的方式远程访问网络的计算机。此外，新一代的防毒软件，如 McAfee's ePolicy Orchestrator（相关网址：http://corporate.mcafee.com/content/software_products/avd_epolicy.asp ），能自动为你进行版本的检测和升级。拥有一个能够针对「工作站上的防毒软件并非最新」这一情况做出报告的系统，对你的企业来说也是相对重要的一环。

4、补充--管理机制

前面我已经讨论了关于防毒的三层架构，其中大家可以发现一点，当企业体制越大，所需要维护及管理的工作也越趋重要，维护及管理病毒防护机制是一件绝对不可缺的事，不然纵使你拥有全球最强的防毒机制，一样形同虚设无法发挥它应有防治病毒的功能，因此在制定你的病毒防护计划的同时，你必须考虑到针对所有防毒软件或硬件，必须要具备易于管理及维护的特性。想想假如你的企业规模是具有50台计算机的单位，也许你认为只要大约三个人就可以担负所有的防毒软件的病毒码更新、病毒扫描引擎更新、以及照顾一些只会使用office的文书人员的防毒机制，但是这并不是一个永久的办法，当你企业不断的成长，终究会面临信息人员的负担越来越重，但是效率却越来越差窘境，因此把这些繁复琐碎的事情交给计算机来管理，而你的信息人员就能够更有效率的完成其它你所交付的工作。如此才能周全你的病毒防护计划，为你的企业带来最完善的防护。

结束语

病毒防护计划在现今的企业体制中已经是不可或缺的事，如何运用最少的人力物力完成最大的防护效能，才是你考虑的重点，对于防毒软件的选择，我综合了以下几个观点供大家参考：

1、全方位的防毒功能，能够考虑到所有可能的入侵通道；

2、具有多层架构的防毒机制；

3、易于集中管理及维护，具有自动更新升级的能力；

4、中央控管的防毒规则，完全不需使用者设定，提高信息人员效率；

5、具有病毒防护统计报告能力，使你易于掌握整个防护计划。

互联网高度发展的现今社会，互联网带给人们更快速的信息取得通道，同样的也给
算机病毒具有快速传播的能力，如今其危害已经不是只有个人，而是扩及到企业损失，如果你依然不重视这个问题，那么所带来的危害将是无法估计的。

温馨提示：内容为网友见解，仅供参考

当前网址：https://aolonic.com/aa/ka3nandk.html