近日，果凍發現局域網內有幾臺電腦感染病毒，并且有在內網不斷蔓延的趨勢。這些病毒不但感染內網中的機器，而且還會向外網(互聯網)蔓延，感染互聯網中的機器，同時網絡帶寬也會被這些病毒大量占用，導致局域網用戶無法正常上網辦公。由于短時間內清除這些病毒的難度比較大，因此最明智的做法是先將病毒控制在某個范圍內(如某個網段內)，不讓它蔓延，然后再進行病毒清除工作。那么，怎樣才能將病毒控制在某個范圍內呢？利用ISA 2004就能輕松做到。 
　　果凍管理的局域網內的所有機器都是通過ISA 2004服務器來訪問互聯網的，并且這些機器都處于“192.168.1.X”這個網段內。一旦有機器感染病毒，網管可立即使用ISA 2004的訪問規則，將這些病毒控制在“192.168.1.X”網段內，不再向外蔓延，最后在局域網內進行病毒查殺工作。這樣一來就避免了病毒占用過多的網絡帶寬，影響其他機器正常上網。

　　一、找出中毒機器

　　要想把病毒控制在某個范圍之內，先得找出感染病毒的機器的IP地址。如果局域網規模不大，而且采用手工方式分配IP地址(靜態IP地址)，網管能夠很快找到被感染機器的IP地址。

　　對于規模較大，采用DHCP服務器動態分配IP地址的辦公室局域網來說，由于IP地址是可變的，想快速找出被感染機器的IP地址是不太容易的。果凍打算利用ISA 2004提供的日志查詢功能，找到這些機器的IP。

　　1.新建篩選器

　　在ISA 2004控制臺窗口中，點擊左側欄中的“監視”選項，接著在右側的監視框體中點擊“日志”，切換到日志標簽頁。在這里，果凍會根據病毒的特性，編輯篩選器，快速過濾出感染病毒的機器。

　　果凍發現網內感染病毒的機器不斷連接外網的其他機器的137和445端口，發送大量的數據包，占用了大量的網絡帶寬。現在，果凍就可新建目標端口為137和445的篩選器，過濾出這些病毒機器，找出IP地址。

　　點擊“日志”標簽頁中的“編輯篩選器”鏈接，彈出“編輯篩選器”對話框(如圖)，在“篩選依據”下拉列表中選擇“目標端口”，在“條件”框中選擇“等于”，在“值”欄中輸入“137”，最后點擊“添加到列表”按鈕，完成目標端口為137的篩選器的新建。

　目標端口為445的篩選器的新建方法與此相同，只是在“值”欄中輸入“445”即可。
　2.檢索中毒機器

　　完成兩個篩選器的新建后，就可以開始過濾病毒機器了。在“日志”標簽頁中點擊“開始檢索”鏈接，稍等片刻，就會列出局域網內感染病毒的機器，快速找出它們的IP地址。果凍發現局域網內有192.168.1.12、192.168.1.15、192.168.1.45三臺機器感染上了病毒，并不停的向本局域網或外網中的目標機器的137和445端口，發送大量的非法數據包。