少し前までは恐喝ウイルスが逆上して実行し、多くの人が個人的な、非常に大きな損失に会社から捕まえてきました。インターネット上のいくつかの企業は、制御された入り口を行うために、誰かがU-ディスクに毒を入れた場合、完全にそう、機器のネットに挿入されていませんか?私たちの内部ネットワークは、(戦っ関連のパッチを除く)集団的に移動する可能性があること。
今日は、ルーティングに適切なアクセス制御を実現する方法について話スイッチ、ネットワーク内のウイルスの拡散を防ぐために、関連するポートをブロックします。ケースとしてHuawei社とH3C機器。
何?なぜシスコませんでしたか?何のバイクに、私たちは、国内サポートする必要があります!
**************************************
Huawei社
#の ACLを3100は// ALC制御ルールは数作成 5は、TCP宛先ポートEQ拒否ルール 445は、// TCP 445ポートデータ禁止 ルール10を使用すると、ポートEQ-135たいTCP拒否 ルール15を使用すると、ポートEQ-137たいTCP拒否 ルールはTCP宛先-20を否定しますポートEQ 138 ルール25拒否TCPあなたがしたいポートEQ 139 ルール30拒否UDPあなたがしたいポートEQ 445 ルール35あなたがしたいポートEQ 135 UDP拒否 ルール40拒否UDPあなたがしたいポートEQ 137 ルール45あなたはEQ 138ポートたくない拒否UDP ルール50をどこでUDPポート-EQは139否定したいです # トラフィック分類器anti_wanaの演算子の優先順位または5 //クラスを作成し 、ACL 3100 //トラフィッククラスのACLに関連付けられている試合の場合は # トラフィック交通行動anti_wanaを作成//を 拒否//アクションが禁止されています 統計//トラフィック統計情報を有効にする(オプション) #の 注文-config設定//は、トラフィックポリシーを作成一致anti_wanaトラフィックポリシー に関連する分類器anti_wanaの行動anti_wana //トラフィックの分類と交通行動を
[グローバルビュー]
インバウンド方向にトラフィックポリシーanti_wanaグローバルインバウンド//グローバルアプリケーショントラフィックポリシー トラフィックポリシーanti_wanaグローバルアウトバウンド//全体のトラフィックポリシーを適用
[表示インタフェース] //関連ストリームインターフェイスを使用して、インターフェイスにポリシーに従って適用することができます
トラフィックポリシーanti_wanaインバウンド トラフィックポリシーanti_wanaアウトバウンド
****************************************
H3C
同じ構成の大部分は、結局、これは同じルートああです。
#の ACL番号3100は ルール5 TCP宛先ポートEQを拒否445 ルール10のTCP宛先ポートEQを拒否135 ルール15は、137のTCP宛先ポートEQを拒否する ルール20のTCP宛先ポートEQを拒否138 ルール25は、TCP宛先ポートEQ 139拒否 ルールを30 UDP宛先ポートEQ 445拒否 135ルール35は、UDP宛先ポートEQを拒否 137ルール40は、UDP宛先ポートEQを拒否する ルール45は、UDP宛先ポートEQ 138拒否 ルール50は、UDP宛先ポートEQ 139拒否 #の トラフィック分類器anti_wana演算子と もしマッチACL 3100 #の 交通行動anti_wanaの フィルタは拒否 # QoSポリシーanti_wanaを 分類器anti_wanaの行動anti_wanaの #を
[表示インターフェース]
QoSは、ポリシーanti_wanaインバウンド適用 のQoSポリシーanti_wanaアウトバウンドを適用します
[グローバルビュー] //グローバルおよびボードSPCの効果のみMPEボード(受信のみ)に基づいて、QoSポリシーを適用し、デバイスの一部は、このコマンドを使用することができないだけインターフェイスに適用することができます。
QoSはanti_wanaグローバルインバウンドポリシーを適用し たQoSポリシーanti_wanaグローバルアウトバウンドを適用します
==========================================
最近恐喝ウイルスは、3389変異しましたポートは、列を攻撃し、緊急の場合には、ACLに関連するルールを追加してください!
規則55のUDP宛先ポートEQ 3389拒否する 規則60は、TCP宛先ポートEQ 3389を否定