如何在思科的3700系列交換機上配置ACL阻止勒索病毒的傳播?
勒索病毒主要是微軟的鍋,通過TCP/UDP的135、137、138、139、445端口攻陷用戶的計算機加密用戶的文件達到勒索比特幣的目的,在企業內部特別是個人計算機居多的情況下更容易中招,為防止病毒大范圍傳播造成嚴重損失,可以通過在核心交換機上部署ACL實現控制這幾個端口的訪問達到防止的目的
試驗場景:局域網內部兩個網段172.28.27.0/24和172.28.28.0/24,其中27.0是office,28.0是server。現在需求為27.0段只能訪問172.28.28.250的445、135、137、138、139,不能訪問其他任何機器的上述端口
試驗拓撲:
配置:
sw(config)#ip access-list extended deny445 sw(config-ext-nacl)#10 permit tcp any host 172.28.28.250 range 135 139 sw(config-ext-nacl)#11 permit udp any host 172.28.28.250 range 135 139 sw(config-ext-nacl)#12 permit tcp any host 172.28.28.250 eq 445 sw(config-ext-nacl)#20 deny tcp any any range 135 139 sw(config-ext-nacl)#21 deny udp any any range 135 139 sw(config-ext-nacl)#22 deny tcp any any eq 445 sw(config-ext-nacl)#100 permit ip any any sw(config)#int vlan 27 sw(config-if)#ip access-group deny445 in sw(config-if)#ip access-group deny445 out
測試
注:由於模擬器的bug 在cmd命令里面不能telnet 445端口,但是在運行中還能訪問共享!!!所以這里以telnet端口為例
1、先測試能否訪問172.28.28.250的各端口
2、測試到172.28.28.1的445和135是否通
可以看到訪問172.28.28.1的445 135端口已經被阻止了,可以通過ACL的匹配計數來驗證
問題:雖然實現了對445等端口的訪問限制,但是如果172.28.28.1是web服務器那么上述的ACL是否會對其產生影響?
驗證:在28.1上面啟用web服務后在27網段測試能否訪問
telnet測試
上述測試表明該ACL並未影響到此台SERVER的其他服務