全面阻击“WannaCry''—华为S系列交换机产品防范方案

小乔

S交换机防御配置案例指导

注意:配置前请确认是否有正在使用135、137、139、445端口的服务，避免影响正常业务

产品族	企业网络领域产品	产品型号	S交换机系列
发布时间		重要程度	重要
涉及版本	V100R006及之后版本
涉及应用范围	S交换机系列
漏洞外部编码	CVE-2017-0143，CVE-2017-0144，CVE-2017-0145，CVE-2017-0146，CVE-2017-0147，CVE-2017-0148

【S交换机系列网络侧防御配置案例】

1.     建立针对高危端口的ACL规则

acl number 3000                 // 3000到4000之间没有使用的ACL皆可

rule 5 permit tcp destination-port eq 445

rule 10 permit tcp destination-port eq 135

rule 15 permit tcp destination-port eq 137

rule 20 permit tcp destination-port eq 139

rule 25 permit udp destination-port eq 445

rule 30 permit udp destination-port eq 135

rule 35 permit udp destination-port eq 137

rule 40 permit udp destination-port eq 139

2.     建立流策略

traffic classifier deny-bingdu operator and

  if-match acl 3000      // 注意跟之前ACL对应

traffic behavior deny-bingdu

  deny

traffic policy deny-bingdu

  classifier deny-bingdu behavior deny-bingdu

3.     应用流策略

// 接口下应用示例，系统视图下运行该脚本

interface GigabitEthernet0/0/1

traffic-policy deny-bingdu inbound

traffic-policy deny-bingdu outbound

// 全局应用示例，系统视图下运行该脚本

traffic-policy deny-bingdu global inbound

traffic-policy deny-bingdu global outbound

// 端口组下应用示例，系统视图下运行该脚本，可以避免多个端口下重复配置

port-group deny-bingdu

group-member GigabitEthernet 0/0/1 to GigabitEthernet 0/0/10  // 注意端口选择

traffic-policy deny-bingdu inbound

traffic-policy deny-bingdu outbound


【说明】

游客，如果您要查看本帖隐藏内容请回复

sy7527951

支持一下~~~

fenghuaibang

好好学习，感谢！

fenghuaibang

好好学习，感谢！

xephang

XXFX               

xephang

XXFX               

聆听雨声声

感谢楼主分享

HEJian

23儿童如果

yourcooper

好好学习，感谢！

liyou60

华   值   
为   得   
认   拥   
证   有   
，   ！   

liyou60

华   值   
为   得   
认   拥   
证   有   
，   ！   

liyou60

华   值   
为   得   
认   拥   
证   有   
，   ！   

liyou60

华   值   
为   得   
认   拥   
证   有   
，   ！   

liyou60

华   值   
为   得   
认   拥   
证   有   
，   ！   

liyou60

华   值   
为   得   
认   拥   
证   有   
，   ！