这几天针对“勒索病毒”全世界都是限制445端口,现在工作单位也利用了这次机会对接入交换机进行了处理。现在将这些解决方案总结如下,希望能帮到需要的同行。

设备一:H3C S3528

版本信息:

Huawei Versatile Routing Platform Software
VRP Software, Version 5.20, Release 5309
Copyright (c) 1998-2009 Huawei Tech. Co., Ltd. All rights reserved.
Quidway S3528P-EA uptime is 155 weeks, 3 days, 4 hours, 51 minutes

Quidway S3528P-EA
128M    bytes DRAM
32M     bytes Flash Memory
Config Register points to FLASH

Hardware Version is REV.D
CPLD Version is CPLD 002
Bootrom Version is 206
[SubSlot  0] 24FE Hardware Version is REV.D
[SubSlot  1]  4GE Hardware Version is REV.D

配置方法:

1、创建ACL,限制指定的端口(注意:若最后加上了any到any的允许或拒绝,在流行为中配置了filter deny会导致断网)

acl number 3200

rule 0 deny tcp destination-port eq 135
               rule 5 deny tcp destination-port eq 136
               rule 10 deny tcp destination-port eq 137
               rule 15 deny tcp destination-port eq 138
               rule 20 deny tcp destination-port eq 139
               rule 25 deny tcp destination-port eq 445
               rule 30 deny udp destination-port eq 445
2、通过流量分类、行为、QOS策略进行关联

1)、流分类:

traffic classifier AntiVirus operator and                     “说明:这里的名称(斜体字)不能有特殊符号,不然检查状态可能出现<Failed>的错误”
                   if-match acl 3200

2)、流行为:

traffic behavior AntiVirus
                    filter deny                                        ‘说明:此处可以设置为permit,因为ACL中已经设置为deny。若ACL设置为permit,此处需设置为deny’
       3)、QOS策略关联流分类和流行为
              qos policy AntiVirus
                    classifier AntiVirus behavior AntiVirus

3、应用QOS策略(二选一)

1)、全局应用

qos apply policy AntiVirus global inbound

2)、指定接口应用

interface Ethernet1/0/1
                          qos apply policy AntiVirus inbound

4、检查运行状态

[switch]display qos policy user-defined

User Defined QoS Policy Information:
  Policy: AntiVirus
   Classifier: AntiVirus
     Behavior: AntiVirus
      Filter enable : deny

[switch]display traffic classifier user-defined AntiVirus

User Defined Classifier Information:
   Classifier: AntiVirus
    Operator: AND
    Rule(s) : If-match acl 3200

[switch]display traffic behavior user-defined AntiVirus

User Defined Behavior Information:
    Behavior: AntiVirus
      Filter enable : deny

[switch]dis qos policy interface inbound

Interface: Ethernet1/0/1

Direction: Inbound

Policy: AntiVirus
   Classifier: AntiVirus
     Operator: AND
     Rule(s) : If-match acl 3200
     Behavior: AntiVirus
      Filter Enable: deny

[switch] dis qos policy global inbound

Direction: Inbound

Policy: AntiVirus
   Classifier: AntiVirus
     Operator: AND
     Rule(s) : If-match acl 3200
     Behavior: AntiVirus
      Filter Enable: deny

设备二:Huawei S3700

版本信息:

Huawei Versatile Routing Platform Software
VRP (R) software, Version 5.70 (S3700 V100R005C01)
Copyright (C) 2003-2010 HUAWEI TECH CO., LTD
Quidway S3700-52P-SI-AC Routing Switch uptime is 189 weeks, 2 days, 22 hours, 20 minutes

EMFEA 0(Master) : uptime is 189 weeks, 2 days, 22 hours, 19 minutes
128M bytes DDR Memory
16M bytes FLASH
Pcb      Version :  VER B
Basic  BOOTROM  Version :  229 Compiled at Aug 24 2010, 21:59:42
Software Version : VRP (R) Software, Version 5.70 (S3700 V100R005C01)

配置方法:

1、创建ACL

acl number 3200

rule 0 deny tcp destination-port eq 135
               rule 5 deny tcp destination-port eq 136
               rule 10 deny tcp destination-port eq 137
               rule 15 deny tcp destination-port eq 138
               rule 20 deny tcp destination-port eq 139
               rule 25 deny tcp destination-port eq 445
               rule 30 deny udp destination-port eq 445

2、通过流量分类、行为、QOS策略进行关联

1)、流分类:

traffic classifier AntiVirus
                   if-match acl 3200

2)、流行为:

traffic behavior AntiVirus
                    filter deny                                        ‘说明:此处可以设置为permit,因为ACL中已经设置为deny。若ACL设置为permit,此处需设置为deny’
       3)、QOS策略关联流分类和流行为
              traffic policy AntiVirus
                    classifier AntiVirus behavior AntiVirus

3、应用QOS策略(二选一)

1)、全局应用

traffic-policy AntiVirus global inbound

2)、指定接口应用

interface Ethernet1/0/1
                          traffic-policy AntiVirus inbound

设备三:中兴ZXR10 2952-SI

版本信息:

ZXR10 Router Operating System Software, ZTE Corporation:
    ZXR10 2952-SI Version Number   : 29SI Series V2.0.12.R
    Copyright (c) 2001-2010 By ZTE Corporation
    Compiled: 10:45:50 Jan  8 2010
    System uptime is  0 years 5 days 3 hours 19 minutes 7 seconds

Main processor      : ARM 9 SERIES
    Bootrom Version     : V1.0       Creation Date : 2009.9.25
    System Memory       : 32 M bytes System Flash  : 4 M bytes
    Epld Version        : V1.0 FPGA Version (Dno.) : NONE
    PCB  Version (Dno.) : V60404.0
    Switch's Mac Address: 00.22.93.55.40.45

Module 0:      ZXR10 2952-SI; fasteth: 48; gbit: 0;
    Module 1:       COPPER 1000M; fasteth:  0; gbit: 1;
    Module 2:       COPPER 1000M; fasteth:  0; gbit: 1;
    Module 3:        FIBER 1000M; fasteth:  0; gbit: 1;
    Module 4:        FIBER 1000M; fasteth:  0; gbit: 1;

配置方法:

1、创建ACL

>en

(cfg)#config acl extend number 168

(extend-acl-group)#rule 5 deny tcp any any dest-port 445 65535  (这里需要特别说明一下这个65535,它表示端口掩码,一般就用65535即可)

(extend-acl-group)#rule 10 deny tcp any any dest-port 139 65535

(extend-acl-group)# rule 15 deny tcp any any dest-port 138 65535

(extend-acl-group)# rule 20 deny tcp any any dest-port 137 65535

(extend-acl-group)#rule 25 deny tcp any any dest-port 136 65535

(extend-acl-group)# rule 30 deny tcp any any dest-port 135 65535

(extend-acl-group)#rule 100 permit ip any any
(extend-acl-group)#exit

(cfg)#set acl 102 name AntiVirus

2、在接口上应用ACL

(cfg)#set port 1-50 acl 168 enable

各厂商接入交换机通过ACL限制端口应用的配置信息相关推荐

  1. 查看锐捷poe交换机供电状态_如何查看思科交换机的端口状态及配置信息

    1.简单地回顾一下上边几条命令 l  查看当前所有配置: show running-config l  查看指定端口配置: show running-config in3terfaces l  查看所 ...

  2. 华为交换机端口配置删除_华为交换机配置_华为交换机怎么清除端口下所有配置?...

    可以按照如下方式进行操作: 1.首先使用system-view命令,进入[]模式,如下图中所表示. 华为交换机常用命令: 1.display current-configuration 显示当前配置 ...

  3. ACL访问控制列表(详细配置教程)

    文章目录 什么是ACL ACL分类 匹配规则 工作原理 ACL配置指南 配置实例 配置ACL列表(拓展ACL) 标准访问列表 删除ACL列表 什么是ACL 访问控制列表(Access Control ...

  4. 华为交换机一次性进入多个接口_华为交换机端口的批量配置命令

    华为交换机端口的批量配置命令 如何在华为交换机上进行批量管理端口呢,例如同时将多个端口加入到一个vlan中,下面yjbys为大家介绍华为交换机批量管理端口的方法!欢迎参考学习! 首先在S5700交换机 ...

  5. linux的nfs端口号,#Linux NFS服务 固定端口及防火墙配置#

    #Linux NFS服务 固定端口及防火墙配置# 1.在Linux上正常安装NFS服务 2.修改/etc/service,添加以下内容(端口号必须在1024以下,且未被占用) # Local serv ...

  6. 计算机网络聚合怎么设置,交换机的端口聚合如何配置

    交换机的端口聚合配置又是怎么回事呢,那么交换机的端口聚合如何配置的呢?下面是学习啦小编收集整理的交换机的端口聚合如何配置,希望对大家有帮助~~ 交换机的端口聚合配置的方法 工具/原料 计算机网络 工具 ...

  7. linux nfs 默认端口,Linux NFS服务固定端口与防火墙配置

    #Linux NFS服务 固定端口及防火墙配置# 1.在Linux上正常安装NFS服务 2.修改/etc/service,添加以下内容(端口号必须在1024以下,且未被占用) # Local serv ...

  8. 各种交换机端口安全总结(配置实例)

    各种交换机端口安全总结(配置实例) 最常用的对端口安全的理解就是可根据MAC地址来做对网络流量的控制和管理,比如MAC地址与具体的端口绑定,限制具体端口通过的MAC地址的数量,或者在具体的端口不允许某 ...

  9. oracle服务器配置端口,服务端配置一个多端口号(如1521/1526)监听器

    服务端的监听器有多种配置方法:1.默认的情况下是一个监听器一个端口,这个时候, 不需要在tnsnames.ora文件里解析监听器信息:2.多个监听器多个端口(端口号可以相同), 这时候,需要在tnsn ...

最新文章

  1. Spring 面向切面编程
  2. 数论计算机科学与技术专业就业前景好,【数学】数学专业就业前景:你看不见的“前途似锦”...
  3. 你必须知道的ADO.NET(一) 初识ADO.NET
  4. 基于Android平台的流媒体播放器的设计
  5. Bootstrap基础二十七 多媒体对象(Media Object)
  6. linux下vtune使用
  7. Django请求响应对象
  8. MapReduce过程详解及其性能优化
  9. Dynamic CRM 2013学习笔记(四十二)流程5 - 实时/同步工作流(Workflow)用法图解...
  10. Kwort Linux 3.5 RC1 发布
  11. coreldraw梯形校正_CorelDRAW改变用形状识别所绘制对象的轮廓
  12. MySql中时间类型总结
  13. 直播软件测试相关技巧
  14. python小学生教程-python 小学生教程|怎么让一个小学生学会Python?
  15. VS2013MFC对话框工程学习笔记二 - 了结布局和一些基本的窗口组件
  16. android textview字体为宋体,安卓开发--textView的字体样式设置(设置宋体,微软雅黑等)...
  17. word中利用模糊替换
  18. 已解决ImportError: Pandas requires version ‘2.0.1‘ or newer of ‘xlrd‘ (version ‘1.2.0‘ currently instal
  19. 大胖子走迷宫(bfs)
  20. 微信小程序真机预览图片图标无法显示

热门文章

  1. Python主要用来做什么 它的应用大全有哪些
  2. 深度揭秘:抖音短视频一天涨粉一万怎么做:国仁楠哥
  3. 移动端touch事件实现页面弹动--小插件
  4. 【MySQL基础】5- SQL语句大全
  5. PyQt5 从零开始环境搭建
  6. Prometheus详解(一)——Prometheus简介与特点
  7. ap模式和sta模式共存_让无线网卡同时工作在 AP 和 STA 模式
  8. 51nod1486 大大走格子
  9. Zigbee无线网络及其配电自动化的应用
  10. django-生鲜商城项目笔记