天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧网络 >> 正文

交换机配置教程(三):ACL防病毒

2010-4-28不详佚名
创建acl
acl number 100
禁ping
rule   deny icmp source any destination any
用于控制Blaster蠕虫的传播
rule   deny udp source any destination any destination-port eq 69
rule   deny tcp source any destination any destination-port eq 4444
用于控制冲击波病毒的扫描和攻击
rule   deny tcp source any destination any destination-port eq 135
rule   deny udp source any destination any destination-port eq 135
rule   deny udp source any destination any destination-port eq netbios-ns
rule   deny udp source any destination any destination-port eq netbios-dgm
rule   deny tcp source any destination any destination-port eq 139
rule   deny udp source any destination any destination-port eq 139
rule   deny tcp source any destination any destination-port eq 445
rule   deny udp source any destination any destination-port eq 445
rule   deny udp source any destination any destination-port eq 593
rule   deny tcp source any destination any destination-port eq 593
用于控制振荡波的扫描和攻击
rule   deny tcp source any destination any destination-port eq 445
rule   deny tcp source any destination any destination-port eq 5554
rule   deny tcp source any destination any destination-port eq 9995
rule   deny tcp source any destination any destination-port eq 9996
用于控制 Worm_MSBlast.A 蠕虫的传播
rule   deny udp source any destination any destination-port eq 1434
下面的不出名的病毒端口号   (可以不作)
rule   deny tcp source any destination any destination-port eq 1068
rule   deny tcp source any destination any destination-port eq 5800
rule   deny tcp source any destination any destination-port eq 5900
rule   deny tcp source any destination any destination-port eq 10080
rule   deny tcp source any destination any destination-port eq 455
rule   deny udp source any destination any destination-port eq 455
rule   deny tcp source any destination any destination-port eq 3208
rule   deny tcp source any destination any destination-port eq 1871
rule   deny tcp source any destination any destination-port eq 4510
rule   deny udp source any destination any destination-port eq 4334
rule   deny tcp source any destination any destination-port eq 4331
rule   deny tcp source any destination any destination-port eq 4557
然后下发配置
packet-filter ip-group 100
目的:针对目前网上出现的问题,对目的是端口号为1434的UDP报文进行过滤的配置方法,详细和复杂的配置请看配置手册。

NE80的配置:
NE80(config)#rule-map r1 udp any any eq 1434
//r1为role-map的名字,udp 为关键字,any any 所有源、目的IP,eq为等于,1434为udp端口号
NE80(config)#acl a1 r1 deny
//a1为acl的名字,r1为要绑定的rule-map的名字,
NE80(config-if-Ethernet1/0/0)#access-group acl a1
//在1/0/0接口上绑定acl,acl为关键字,a1为acl的名字
NE16的配置:
NE16-4(config)#firewall enable all
//首先启动防火墙
NE16-4(config)#access-list 101 deny udp any any eq 1434
//deny为禁止的关键字,针对udp报文,any any 为所有源、目的IP,eq为等于, 1434为udp端口号
NE16-4(config-if-Ethernet2/2/0)#ip access-group 101 in
//在接口上启用access-list,in表示进来的报文,也可以用out表示出去的报文
中低端路由器的配置
[Router]firewall enable
[Router]acl 101
[Router-acl-101]rule deny udp source any destion any destination-port eq 1434
[Router-Ethernet0]firewall packet-filter 101 inbound
6506产品的配置:
旧命令行配置如下:
6506(config)#acl extended aaa deny protocol udp any any eq 1434
6506(config-if-Ethernet5/0/1)#access-group   aaa
国际化新命令行配置如下:
[Quidway]acl number 100
[Quidway-acl-adv-100]rule deny udp source any destination any destination-port eq 1434
[Quidway-acl-adv-100]quit
[Quidway]interface ethernet   5/0/1
[Quidway-Ethernet5/0/1]packet-filter inbound ip-group 100 not-care-for-interface

5516产品的配置:
旧命令行配置如下:
5516(config)#rule-map   l3 aaa protocol-type udp ingress any egress any eq 1434
5516(config)#flow-action fff deny
5516(config)#acl bbb aaa fff
5516(config)#access-group   bbb
国际化新命令行配置如下:
[Quidway]acl num 100
[Quidway-acl-adv-100]rule deny udp source any destination any destination-port eq 1434
[Quidway]packet-filter ip-group 100

3526产品的配置:
旧命令行配置如下:
rule-map l3 r1 0.0.0.0 0.0.0.0 1.1.0.0 255.255.0.0 eq 1434
flow-action f1 deny
acl acl1 r1 f1
access-group acl1
国际化新命令配置如下:
acl number 100
rule 0 deny udp source 0.0.0.0 0 source-port eq 1434 destination 1.1.0.0 0
packet-filter ip-group 101 rule 0
注:3526产品只能配置外网对内网的过滤规则,其中1.1.0.0 255.255.0.0是内网的地址段。

8016产品的配置:
旧命令行配置如下:
8016(config)#rule-map intervlan aaa udp   any   any eq 1434
8016(config)#acl bbb aaa deny
8016(config)#access-group acl bbb vlan 10 port all
国际化新命令行配置如下:
8016(config)#rule-map intervlan aaa udp   any   any eq 1434
8016(config)#eacl bbb aaa deny
8016(config)#access-group eacl bbb vlan 10 port all


现在网络病毒肆意横行,给网络的正常应用带来了很大的隐患,下面给出Quidway S6500系列交换机防病毒配置的一个模版,仅供大家参考:
  
  acl name anti_worm advanced
  
  rule 0 deny udp destination-port eq tftp
  
  rule 1 deny tcp destination-port eq 135
  
  rule 2 deny udp destination-port eq 135
  
  rule 3 deny udp destination-port eq 137
  
  rule 4 deny udp destination-port eq 138
  
  rule 5 deny tcp destination-port eq 139
  
  rule 6 deny udp destination-port eq netbios-ssn
  
  rule 7 deny tcp destination-port eq 445
  
  rule 8 deny udp destination-port eq 445
  
  rule 9 deny tcp destination-port eq 539
  
  rule 10 deny udp destination-port eq 539
  
  rule 11 deny tcp destination-port eq 593
  
  rule 12 deny udp destination-port eq 593
  
  rule 13 deny udp destination-port eq 1434
  
  rule 14 deny tcp destination-port eq 4444
  
  acl name anti_icmp advanced
  
  rule 0 deny icmp
  
  将以上规则以not-carefor-interface方式在芯片上全局下发,如:
  
  int e1/0/1
  
  packet-filter inbound ip-group anti_worm not-care-for-interface
  
  packet-filter inbound ip-group anti_icmp not-care-for-interface
  
  int e2/0/1
  
  packet-filter inbound ip-group anti_worm not-care-for-interface
  
  packet-filter inbound ip-group anti_icmp not-care-for-interface
  
  int e2/0/48
  
  packet-filter inbound ip-group anti_worm not-care-for-interface
  
  packet-filter inbound ip-group anti_icmp not-care-for-interface
  
  注:
  
  1、 not-carefor-interface参数表示的意思是该规则在整个芯片下发,而不仅仅是在这个端口下发,对于FT48单板来说,一个有两个芯

片,前24个端口为一个芯片,后24个端口为一个芯片,在芯片的任何一个端口带该参数下发的规则都在整个芯片上生效。
  
  2、 其他单板为一块芯片。

本文来源:不详 作者:佚名

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。文章是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。 Email:support@txwb.com,系统开号,技术支持,服务联系微信:_WX_1_本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行