|
全面阻击“WannaCry”——华为NE系列路由器产品防范方案
| 产品族 | 业务路由器 | 产品型号 | NE40E
NE20E-S | | 发布时间 |
| 重要程度 | 重要 | 涉及版本
| V300R003
V600R00X
V800R00X | | 涉及应用范围 | NE40E、NE20E-S系列路由器 | | 漏洞外部编码 | CVE-2017-0143,CVE-2017-0144,CVE-2017-0145,CVE-2017-0146,CVE-2017-0147,CVE-2017-0148 |
【配置方案】
1.适用范围
V300R003\V600R00X版本直接按照本文档配置;
V800R00X版本,修改配置后,需要通过commit命令提交后,配置才能生效。
2.创建acl 3000,匹配目的端口为445的tcp和udp报文
注意:配置前,需要确认acl 3000是否已经在设备上使用了。如果已经被其他业务占用,则需要挑选一个未被使用的acl编号替换本示例的acl编号。acl number的范围为3000~3999。
#
acl number 3000
rule 5 deny tcp destination-port eq 445
rule 10 deny udp destination-port eq 445
#
上面的配置将目的端口号为445的TCP报文或目的端口号为445的UDP报文丢弃。需要根据用户的业务需求,选择配置需要被丢弃的报文的端口号和协议号;
3.创建classifier anti_virus_445,应用acl 3000
注意:配置前需要确认classifier anti_virus_445尚未被其他业务使用。如果已经被占用,则需要更换一个不存在冲突的classifier名称;注意ACL编号为上一步配置的ACL编号。
#
traffic classifier anti_virus_445
if-match acl 3000
#
4.创建behavior anti_virus_445,动作为默认
注意:配置前需要确认behavior anti_virus_445尚未被其他业务使用。如果已经被占用,则需要更换一个不存在冲突的behavior名称。
#
traffic behavior anti_virus_445
deny
#
在traffic behavior中配置了deny动作后,需要确保在rule中不要配置可以匹配正常业务报文的规则。所有能够匹配上ACL的报文都将在设备上丢弃。
5.创建流策略anti_virus_445,并应用流分类与流行为
注意:配置前需要确认policy anti_virus_445尚未被其他业务使用。如果已经被占用,则需要更换一个不存在冲突的policy名称;
#
traffic policy anti_virus_445
classifier anti_virus_445 behavior anti_virus_445
#
6.将流策略部署到三层接口下:
在到用户方向的接口出方向部署防攻击策略:
提示:如果是用户接入设备,连接用户的接口会很多,此时可以考虑在路由器的互联网侧接口部署入方向的复杂流分类,从而可以通过一个接口的配置对整机的用户进行保护;配置时绑定traffic-policy的配置参数修改为inbound。需要注意的是,互联网侧接口不能是L3VPN的公网侧接口。
l 三层主接口,或者普通子接口场景下:
interface gigabitethernet 1/0/0
traffic-policy anti_virus_445 outbound
l QinQ终结子接口下:
interface gigabitethernet 1/0/0.100
traffic-policy anti_virus_445 outbound pe-vid 100 ce-vid 100 to 200
l Dot1Q终结子接口下:
interface gigabitethernet 1/0/0.100
traffic-policy anti_virus_445 outbound vlan 100 to 200
7.如果接口下已经绑定了其他复杂流分类,则需要将本次防攻击的策略配置到其他策略之前:
| 
简体中文
英语
日语
韩语
法语
西班牙语
越南语
泰语
阿拉伯语
俄语
葡萄牙语
德语
意大利语
希腊语
荷兰语
波兰语
保加利亚语
爱沙尼亚语
丹麦语
芬兰语
捷克语
罗马尼亚语
斯洛文尼亚语
瑞典语
匈牙利语
繁体中文
文言文
成长值: 62305
发表于 2017-5-16 11:12:09
置顶卡
喧嚣卡
变色卡
千斤顶
发表于 2017-5-16 20:46:27
