zoukankan      html  css  js  c++  java

  • 勒索病毒,华为/H3C三层交换机/路由器用ACL访问控制实现端口禁用

            前不久勒索病毒横行,很多人都纷纷中招,从公司到个人,损失相当惨重。有些公司在互联网入口上做了控制,但是这样并非完全,万一有人把中了毒的U盘插入网内设备上呢?那我们的内网中很有可能集体中招(打过相关补丁的除外)。
            我们今天就说说如何在路由、交换机上实现相应的访问控制,封堵相关端口,防止病毒在网络内部蔓延。以华为和H3C设备配置为例。
            什么?为什么没有思科?要啥自行车,我们需要支持国产!

    **************************************
    华为

    #
acl number 3100         //创建ALC控制规则
 rule 5 deny tcp destination-port eq 445         //禁止TCP 445端口数据
 rule 10 deny tcp destination-port eq 135
 rule 15 deny tcp destination-port eq 137
 rule 20 deny tcp destination-port eq 138
 rule 25 deny tcp destination-port eq 139
 rule 30 deny udp destination-port eq 445
 rule 35 deny udp destination-port eq 135
 rule 40 deny udp destination-port eq 137
 rule 45 deny udp destination-port eq 138
 rule 50 deny udp destination-port eq 139

#
traffic classifier anti_wana operator or precedence 5         //创建流分类
 if-match acl 3100         //将ACL与流分类关联
#
traffic behavior anti_wana         //创建流行为
 deny         //动作为禁止
 statistic enable         //使能流量统计(可选)
#
traffic policy anti_wana match-order config         //创建流策略
 classifier anti_wana behavior anti_wana         //将流分类和流行为进行关联

    [全局视图]

    traffic-policy anti_wana global inbound         //全局应用入方向流策略
traffic-policy anti_wana global outbound         //全局应用出方向流策略

    [接口视图]         //也可以根据使用接口在接口上应用相关流策略

    traffic-policy anti_wana inbound
traffic-policy anti_wana outbound

    ****************************************
    H3C

    大部分配置相同,毕竟本是同根生啊。

    #
acl number 3100
 rule 5 deny tcp destination-port eq 445
 rule 10 deny tcp destination-port eq 135
 rule 15 deny tcp destination-port eq 137
 rule 20 deny tcp destination-port eq 138
 rule 25 deny tcp destination-port eq 139
 rule 30 deny udp destination-port eq 445
 rule 35 deny udp destination-port eq 135
 rule 40 deny udp destination-port eq 137
 rule 45 deny udp destination-port eq 138
 rule 50 deny udp destination-port eq 139
#
traffic classifier anti_wana operator and
 if-match acl 3100
#
traffic behavior anti_wana
 filter deny
#
qos policy anti_wana
 classifier anti_wana behavior anti_wana

#

    [接口视图]

     qos apply policy anti_wana inbound
 qos apply policy anti_wana outbound

    [全局视图]         //基于全局应用QoS策略仅在MPE单板(仅入方向)和SPC单板上生效;部分设备无法使用此命令,只能在接口上应用。

     qos apply policy anti_wana global inbound
 qos apply policy anti_wana global outbound

    ==========================================
    近期勒索病毒发生了变异,3389端口也在攻击之列中,请在ACL中添加相关规则,以防不测!

    rule 55 deny udp destination-port eq 3389
rule 60 deny tcp destination-port eq 3389
  • 相关阅读:
    MySQL涉及连接的问题
    SQL注入的问题
    如果有一个特别大的访问量到数据库上,怎么做优化?主从复制、读写分离
    MySQL,优化查询的方法
    Solr搜索引擎
    线程安全与锁优化
    Java与线程
    Java内存模型
    你不会成为数据科学家的9个原因:数据科学是一个艰难的领域,请做好准备
    深度学习中的激活函数完全指南:在数据科学的诸多曲线上进行现代之旅
  • 原文地址:https://www.cnblogs.com/chling/p/11505353.html
Copyright © 2011-2022 走看看