|
一. 【WLAN有线侧防御配置案例】 产品族 | | | ACU2/AC6605/AC6005/AC6003/FAT AP | | | | | | | | | | CVE-2017-0143,CVE-2017-0144,CVE-2017-0145,CVE-2017-0146,CVE-2017-0147,CVE-2017-0148 |
针对WLAN用户,可登陆到WLAN AC上,通过访问控制策略临时阻断掉135,137,139以及445端口流量。方法如下: 1. telnet/ssh 方式登录AC,进入设备配置 2. 创建阻断135,137,139,445端口的ACL,可使用的ACL number范围为3001~3031,此处用3001为例: [AC_1] acl 3001 [AC_1-acl-adv-3001] rule 5 deny tcp destination-port eq 135 [AC_1-acl-adv-3001] rule 10 deny udp destination-port eq 135 [AC_1-acl-adv-3001] rule 15 deny tcp destination-port eq 137 [AC_1-acl-adv-3001]rule 20 deny udp destination-port eq 137 [AC_1-acl-adv-3001]rule 25 deny tcp destination-port eq 139 [AC_1-acl-adv-3001] rule 30 deny udp destination-port eq 139 [AC_1-acl-adv-3001] rule 35 deny tcp destination-port eq 445 [AC_1-acl-adv-3001] rule 40 deny udp destination-port eq 445 [AC_1-acl-adv-3001] rule 50 permit ip [AC_1-acl-adv-3001] quit 3. 配置基于ACL的流分类: [AC_1]traffic classifier Ransomware [AC_1-classifier-Ransomware]if-match acl 3001 [AC_1-classifier-Ransomware] quit 4. 配置流行为,动作为拒绝报文通过: [AC_1]traffic behavior Ransomware [AC_1-behavior-Ransomware] permit [AC_1-behavior-Ransomware] quit 5. 配置流策略Ransomware,将流分类Ransomware和流行为Ransomware关联: [AC_1]traffic policy Ransomware [AC_1-trafficpolicy-Ransomware]classifier Ransomware behavior Ransomware [AC_1-trafficpolicy-Ransomware]quit 6. 将流策略Ransomware应用到Eth-Trunk 1(连接上层设备口): [AC_1-Eth-Trunk1]dis this # interface Eth-Trunk1 description Connect to S12700_A_Eth-Trunk port link-type trunk undo port trunk allow-pass vlan 1 port trunk allow-pass vlan 720 800 810 3100 traffic-policy Ransomware inbound # return
二. 【WLAN无线侧防御配置案例】 产品族 | | | ACU2/AC6605/AC6005/AC6003/FAT AP | | | | | | | | | | CVE-2017-0143,CVE-2017-0144,CVE-2017-0145,CVE-2017-0146,CVE-2017-0147,CVE-2017-0148 |
方法一:CLI操作命令: 1. 创建阻断135,137,139,445端口的ACL,可使用的ACL number范围为3001~3031,此处用3001为例: [AC_1] acl 3001 [AC_1-acl-adv-3001] rule 5 deny tcp destination-port eq 135 [AC_1-acl-adv-3001] rule 10 deny udp destination-port eq 135 [AC_1-acl-adv-3001] rule 15 deny tcp destination-port eq 137 [AC_1-acl-adv-3001]rule 20 deny udp destination-port eq 137 [AC_1-acl-adv-3001]rule 25 deny tcp destination-port eq 139 [AC_1-acl-adv-3001] rule 30 deny udp destination-port eq 139 [AC_1-acl-adv-3001] rule 35 deny tcp destination-port eq 445 [AC_1-acl-adv-3001] rule 40 deny udp destination-port eq 445 [AC_1-acl-adv-3001] rule 50 permit ip [AC_1-acl-adv-3001] quit
2. 在WLAN视图的流量模板中添加该ACL策略(建议同时配置用户隔离功能),并将该流量模板与VAP绑定 [AC_1-wlan-view] traffic-profile name traffic [AC_1-wlan-traffic-prof-traffic] user-isolate l2 [AC_1-wlan-traffic-prof-traffic] traffic-filter inbound ipv4 acl 3001 [AC_1-wlan-traffic-prof-traffic] quit [AC_1-wlan-vap-prof-part] vap-profile name park [AC_1-wlan-vap-prof-park] traffic-profile traffic [AC_1-wlan-vap-prof-park] quit
方法二:Web界面操作指导 1. 创建阻断135,137,139,445端口的ACL,,可使用的ACL number范围为3001~3031,此处用3001为例: 2. 在WLAN视图的流量模板中添加该ACL策略和用户隔离(选配),并将该流量模板与VAP绑定
产品族 | | | | | | | | | | | | | CVE-2017-0143,CVE-2017-0144,CVE-2017-0145,CVE-2017-0146,CVE-2017-0147,CVE-2017-0148 |
1. 1. 创建阻断135,137,139,445端口的ACL,可使用的ACL number范围为3001~3031,此处用3001为例: [AC_1] acl 3001 [AC_1-acl-adv-3001] rule 5 deny tcp destination-port eq 135 [AC_1-acl-adv-3001] rule 10 deny udp destination-port eq 135 [AC_1-acl-adv-3001] rule 15 deny tcp destination-port eq 137 [AC_1-acl-adv-3001]rule 20 deny udp destination-port eq 137 [AC_1-acl-adv-3001]rule 25 deny tcp destination-port eq 139 [AC_1-acl-adv-3001] rule 30 deny udp destination-port eq 139 [AC_1-acl-adv-3001] rule 35 deny tcp destination-port eq 445 [AC_1-acl-adv-3001] rule 40 deny udp destination-port eq 445 [AC_1-acl-adv-3001] rule 50 permit ip [AC_1-acl-adv-3001] quit 2. 在WLAN视图的服务集试图中,配置基于ACL对报文流经行过滤,以及用户隔离(选配)
| 
简体中文
英语
日语
韩语
法语
西班牙语
越南语
泰语
阿拉伯语
俄语
葡萄牙语
德语
意大利语
希腊语
荷兰语
波兰语
保加利亚语
爱沙尼亚语
丹麦语
芬兰语
捷克语
罗马尼亚语
斯洛文尼亚语
瑞典语
匈牙利语
繁体中文
文言文
成长值: 63250
发表于 2017-5-16 11:08:47
置顶卡
喧嚣卡
变色卡
千斤顶
发表于 2017-5-16 20:44:43
为 得 
认 拥 
证 有 
, ! 
