|
全面阻击“WannaCry”——华为ME60系列业务路由器产品防范方案
产品族
|
| 产品型号
| ME60
| 发布时间
|
| 重要程度
| 重要
| 涉及版本
| V6R2以后版本,A板、K板、N板、120单板
| 涉及应用范围
| BAS用户必须是user-group用户,且对于从网络到用户的病毒攻击流量,使用6000段UCL在全局策略下进行匹配。
| 漏洞外部编码
| CVE-2017-0143,CVE-2017-0144,CVE-2017-0145,CVE-2017-0146,CVE-2017-0147,CVE-2017-0148
|
【配置方案】
配置思路
对于BAS用户,需要考虑出一种简单通用、适合所有单板形态的配置规则。目前想到的规则要求BAS用户必须是user-group用户,且对于从网络到用户的病毒攻击流量,使用6000段UCL在全局策略下进行匹配。
配置举例
适用范围
V6R2以后版本,A板、K板、N板、120单板。注意配置举例中只是以445端口为例,需要针对具体病毒特征进行防范。
创建acl 6000,匹配目的端口为445的tcp和udp报文
#
acl number 6000
rule 5 permit tcp destination user-group any destination-port eq 445
rule 10 permit udp destination user-group any destination-port eq 445
#
创建classifier 6000,应用acl 6000
#
traffic classifier 6000 operator or
if-match acl 6000
#
创建behavior 6000_deny,动作为deny
#
traffic behavior 6000_deny
deny
#
非DAA用户在全局策略下绑定classifier 6000 behavior 6000(注意顺序,将6000提在前面优先匹配)
traffic policy global-out
classifier 6000 behavior 6000_deny
全局应用
traffic-policy global-out outbound
DAA用户accounting-service-policy策略下绑定classifier 6000 behavior 6000_deny(注意顺序,将6000提在前面优先匹配)
value-added-service policy tp_daa
traffic policy tp_daa
share-mode
| 
简体中文
英语
日语
韩语
法语
西班牙语
越南语
泰语
阿拉伯语
俄语
葡萄牙语
德语
意大利语
希腊语
荷兰语
波兰语
保加利亚语
爱沙尼亚语
丹麦语
芬兰语
捷克语
罗马尼亚语
斯洛文尼亚语
瑞典语
匈牙利语
繁体中文
文言文
成长值: 59065
发表于 2017-5-16 11:09:55
置顶卡
喧嚣卡
变色卡
千斤顶
发表于 2017-5-16 11:45:21
成长值: 4490