1、 核 心 网 络 设 备 应 急 处 置 操 作 指 南大型机构由于设备众多, 为了避免感染设备之后的广泛传播, 建议利用各网 络设备的 ACL 策略配置,以实现临时封堵。该蠕虫病毒主要利用 TCP 的 445 端口进行传播, 对于各大企事业单位影响很大。为了阻断病毒快速传播, 建议在核心网络设备的三层接口位置, 配置 ACL 规 则从网络层面阻断 TCP 445 端口的通讯。以下内容是基于较为流行的网络设备, 举例说明如何配置 ACL 规则, 以禁止 TCP 445 网络端口传输,仅供大家参考。在实际操作中,请协调网络管理人员或 网络设备厂商服务人员,根据实际网络环境在核心网络设备上进行配置
2、。Juniper 设 备 的 建 议 配 置 ( 示 例 ) :set firewall family inet filter deny-wannacry term deny445 from protocol tcpset firewall family inet filter deny-wannacry term deny445 from destination-port 445 set firewall family inet filter deny-wannacry term deny445 then discardset firewall family inet filter deny
3、-wannacry term default then accept#在全局应用规则set forwarding-options family inet filter output deny-wannacry set forwarding-options family inet filter input deny-wannacry#在三层接口应用规则set interfaces 需 要 挂 载 的 三 层 端 口 名 称 unit 0 family inet filter output deny-wannacryset interfaces 需 要 挂 载 的 三 层 端 口 名 称 unit
4、 0 family inet filter inputdeny-wannacry华 三 (H3C)设 备 的 建 议 配 置 ( 示 例 ) :新版本:acl number 3050rule deny tcp destination-port 445 rule permit ipinterface 需要挂载的三层端口名称 packet-filter 3050 inboundpacket-filter 3050 outbound旧版本:acl number 3050rule permit tcp destination-port 445traffic classifier deny-wannac
5、ry if-match acl 3050traffic behavior deny-wannacry filter denyqos policy deny-wannacryclassifier deny-wannacry behavior deny-wannacry#在全局应用qos apply policy deny-wannacry global inbound qos apply policy deny-wannacry global outbound#在三层接口应用规则interface 需要挂载的三层端口名称 qos apply policy deny-wannacry inboun
6、d qos apply policy deny-wannacry outbound华 为 设 备 的 建 议 配 置 ( 示 例 ) :acl number 3050rule deny tcp destination-port eq 445 rule permit iptraffic classifier deny-wannacry type and if-match acl 3050traffic behavior deny-wannacrytraffic policy deny-wannacryclassifier deny-wannacry behavior deny-wannacry
7、precedence 5interface 需要挂载的三层端口名称 traffic-policy deny-wannacry inbound traffic-policy deny-wannacry outboundCisco 设 备 的 建 议 配 置 ( 示 例 ) :旧版本:ip access-list extended deny-wannacry deny tcp any any eq 445permit ip any anyinterface 需要挂载的三层端口名称ip access-group deny-wannacry in ip access-group deny-wannac
8、ry out新版本:ip access-list deny-wannacry deny tcp any any eq 445 permit ip any anyinterface 需要挂载的三层端口名称 ip access-group deny-wannacry in ip access-group deny-wannacry out锐 捷 设 备 的 建 议 配 置 ( 示 例 ) :ip access-list extended deny-wannacry deny tcp any any eq 445permit ip any anyinterface 需要挂载的三层端口名称 ip access-group deny-wannacry in ip access-group deny-wannacry out