设为首页收藏本站language→→ 语言切换

鸿鹄论坛

 找回密码
 论坛注册

QQ登录

先注册再绑定QQ

查看: 2593|回复: 4
收起左侧

[分享] 全面阻击“WannaCry”—华为ME60系列业务路由器产品防范方案

[复制链接]
 成长值: 62845
发表于 2017-5-16 11:09:55 | 显示全部楼层 |阅读模式

全面阻击“WannaCry”——华为ME60系列业务路由器产品防范方案


产品族


业务路由器


产品型号

ME60

发布时间



重要程度

重要

涉及版本

V6R2以后版本,A板、K板、N板、120单板

涉及应用范围

BAS用户必须是user-group用户,且对于从网络到用户的病毒攻击流量,使用6000UCL在全局策略下进行匹配。



漏洞外部编码

CVE-2017-0143CVE-2017-0144CVE-2017-0145CVE-2017-0146CVE-2017-0147CVE-2017-0148






【配置方案】


配置思路


对于BAS用户,需要考虑出一种简单通用、适合所有单板形态的配置规则。目前想到的规则要求BAS用户必须是user-group用户,且对于从网络到用户的病毒攻击流量,使用6000UCL在全局策略下进行匹配。

配置举例


适用范围


V6R2以后版本,A板、K板、N板、120单板。注意配置举例中只是以445端口为例,需要针对具体病毒特征进行防范。

创建acl 6000,匹配目的端口为445tcpudp报文


#

acl number 6000

rule 5 permit tcp destination user-group any destination-port eq 445

rule 10 permit udp destination user-group any destination-port eq 445

#

创建classifier 6000,应用acl 6000


#

traffic classifier 6000 operator or

if-match acl 6000

#

创建behavior 6000_deny,动作为deny


#

traffic behavior 6000_deny

deny

#

DAA用户在全局策略下绑定classifier 6000 behavior 6000(注意顺序,将6000提在前面优先匹配)


traffic policy global-out
classifier 6000 behavior 6000_deny
全局应用
traffic-policy global-out outbound

DAA用户accounting-service-policy策略下绑定classifier 6000 behavior 6000_deny(注意顺序,将6000提在前面优先匹配)


value-added-service policy tp_daa



traffic policy tp_daa

share-mode
游客,如果您要查看本帖隐藏内容请回复




您需要登录后才可以回帖 登录 | 论坛注册

本版积分规则

QQ|Archiver|手机版|小黑屋|sitemap|鸿鹄论坛 ( 京ICP备14027439号 )  

GMT+8, 2024-12-27 02:47 , Processed in 0.060571 second(s), 11 queries , Redis On.  

  Powered by Discuz!

  © 2001-2024 HH010.COM

快速回复 返回顶部 返回列表