防病毒策略

　　划分VLAN缩小病毒广播域

　　计算机病毒一般会通过在内网广播的方式进行传播。通过对软件学院公共机房机器的IP地址段(172.18.0.0/16)做进一步的子网划分，设计每个机房使用一个24位掩码的地址段，如表2所示，为方便物理连接维护，记录每个机房二层交换机所连接的科技楼三层交换机的光纤端口。这样通过广播方式传播的病毒只会在Vlan内部，即机房内部传播，大大降低了病毒感染其他机房机器的可能性。

　　过滤病毒传播使用的端口

　　通过在机房二层交换机E328上应用ACL，过滤病毒传播所使用的端口，这些端口主要有：TCP 135、139、445、593、1025 端口和 UDP 135、137、138、445 端口，一些流行病毒的后门端口(如 TCP 2745、3127、6129 端口)，以及远程服务访问端口3389。

　　公共机房ARP病毒防范

　　在机房主机上安装360安全卫士，开启360安全卫士ARP防火墙功能，将网关的IP与MAC地址进行手动绑定，选择“手动指定网关/DNS”，在“ARP主动防御”中选择“始终启用”。

　　防止用户U 盘病毒的传播

　　关闭U盘(包括其他设备)自动播放的功能。电脑设置成自动播放功能，但是自动播放还是有缺点的，有些病毒藏在U盘里会通过自动播放运行使电脑中毒。关闭“自动播放”的方法：选择“开始”—“运行”—输入gpedit.msc，在“用户配置”—“管理模板”—“系统”选择“关闭自动播放”，然后选择“已启用”，点击“确定”。

　　开启360杀毒软件自动扫描U盘功能。确保360安全卫士“实时防护”—“U盘防火墙”功能处于“开启”状态。

　　使用系统还原卡保护主机系统

　　还原卡的基本工作原理：把硬盘(或网络上另一部电脑)的其中一部分分割出来，用以备份硬盘的重要资料(例：操作系统、应用程序等)，以便随时可以还原。还原卡不会对硬盘资料进行备份，只是记录硬盘的读写操作。当用户设定还原点以后，不管在操作系统上安装上新的程序还是删除文件，都记录在还原点之外，不会影响原有的硬盘资料，当需要还原时，还原卡根据记录，把还原点内的资料恢复，并删除还原点以外的资料。