碼上歡樂
相關內容    簡體    繁體

網絡交換機勒索病毒端口防護配置分享

本文轉載自   查看原文   2020-05-26 11:32   796    網絡常用

1、概述

  本人是一個普通的網絡工程師,某天安全檢查后,發現單位里的交換機對勒索病毒的網絡端口號沒有做限制規則,要求在交換機層面對一些高危端口號做限制,由於內部有部署服務器使用域控、文件共享等,若無差別的把高危端口全部禁止會導致本地業務受到影響,后面通過網上查找資料加上自己測試,解決了把本地服務器除外,其他都禁止的方法。

  需求總結:

    1、本地服務器業務不受影響,如域控、文件共享服務等

    2、禁止其余全部IP訪問高危端口號,本地PC之間也禁止

2、H3C具體配置如下:

########## H3C配置 ###########

以下是檢查提供的高危端口號:

TCP:137、139、445、593、1025、2745、3127、6129、3389
UDP:135、139、445

// 下面有兩條acl 策略,第一個是干脆對服務器網段不做限制,全放同(懶的設端口號);第二個是只對服務器的業務端口號放通。(根據情況調整使用)

acl number 3001
  rule 5 permit ip destination 172.16.10.0 0.0.0.255
  rule 10 permit ip source 172.16.10.0 0.0.0.255

 

acl number 3001 

  rule 5 permit tcp source 10.100.0.0 0.0.0.255 destination 172.16.10.0 0.0.0.255 destination-port eq 137

  rule 10 permit tcp source 10.100.0.0 0.0.0.255 destination 172.16.10.0 0.0.0.255 destination-port eq 139

  rule 15 permit tcp source 10.100.0.0 0.0.0.255 destination 172.16.10.0 0.0.0.255 destination-port eq 445

  如此類推,自行添加(10.100.0.0/24 是本地用戶段  ,172.16.10.0/24  是本地服務器段)

 

//  這條作為禁止高危端口(根據需求調整)
acl number 3002
  rule 0 deny tcp destination-port eq 137
  rule 5 deny tcp destination-port eq 139
  rule 10 deny tcp destination-port eq 445
  rule 15 deny tcp destination-port eq 593
  rule 20 deny tcp destination-port eq 1025
  rule 25 deny tcp destination-port eq 2745
  rule 30 deny tcp destination-port eq 3127 
  rule 35 deny tcp destination-port eq 6129
  rule 40 deny tcp destination-port eq 3389
  rule 45 deny udp destination-port eq netbios-ns
  rule 50 deny udp destination-port eq netbios-ssn
  rule 55 deny udp destination-port eq 445
  rule 60 deny tcp source-port eq 137
  rule 65 deny tcp source-port eq 139
  rule 75 deny tcp source-port eq 445
  rule 85 deny tcp source-port eq 593
  rule 90 deny tcp source-port eq 1025
  rule 95 deny tcp source-port eq 2745
  rule 100 deny tcp source-port eq 3127
  rule 105 deny tcp source-port eq 6129 
  rule 110 deny tcp source-port eq 3389
  rule 115 deny udp source-port eq netbios-ns
  rule 120 deny udp source-port eq netbios-ssn
  rule 125 deny udp source-port eq 445

# 配置類型流控,建立c1 c2  分別設置匹配對應acl規則
traffic classifier c2 operator and
  if-match acl 3002 

traffic classifier c1 operator and
  if-match acl 3001


# 配置b1 和 b2 ,對匹配流量分別允許與拒絕

traffic behavior b2
  filter deny

traffic behavior b1
  filter permit


# 配置類型與訪問控制

//  這里解釋就是把c1 中對應的acl 3001 匹配的流量 b1 處理,b1 是permit  就是允許通過

//  而c2 中對應的acl 3002 匹配的流量 b2 處理,b2是deny  就是禁止通過

qos policy lesuofh
  classifier c1 behavior b1
  classifier c2 behavior b2 


# 最后使配置生效流控策略lesuofh,效果:對本地服務器不受限制,其余用戶PC之間外部IP等都收到限制。
qos apply policy lesuofh global inbound

 

########## H3C配置 ###########

 

華為類似H3C配置,可以看下參考網站相對調整下。

為啥沒思科銳捷?我支持下國產吧,哈哈哈哈。

參考網站:https://www.cnblogs.com/chling/archive/2019/09/11/11505353.html 


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 關於Windows勒索病毒以及445端口防護 勒索病毒,華為/H3C三層交換機/路由器用ACL訪問控制實現端口禁用 華為交換機如何批量配置端口 交換機端口安全的配置 華為交換機端口安全配置 華為交換機端口匯聚配置 交換機的端口聚合配置 5.交換機端口配置 思科交換機端口安全配置 交換機配置端口鏡像
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM