CISCO 防御冲击波方法

2012-11-26天下网吧网吧方案

【大中小】

　　! --- block TFTP
　　
　　access-list 115 deny udp any any eq 69
　　
　　! --- block W32.Blaster related protocols
　　
　　access-list 115 deny tcp any any eq 135
　　access-list 115 deny udp any any eq 135
　　
　　! --- block other vulnerable MS protocols
　　
　　access-list 115 deny udp any any eq 137
　　access-list 115 deny udp any any eq 138
　　access-list 115 deny tcp any any eq 139
　　access-list 115 deny udp any any eq 139
　　access-list 115 deny tcp any any eq 445
　　access-list 115 deny tcp any any eq 593
　　
　　! --- block remote access due to W32.Blaster
　　
　　access-list 115 deny tcp any any eq 4444
　　
　　! --- Allow all other traffic -- insert
　　! --- other existing access-list entries here
　　
　　access-list 115 permit ip any any
　　
　　interface
　　
　　ip access-group 115 in
　　ip access-group 115 out
　　
　　另外，阻止非法地址的命令是:
　　
　　Router(config)# interface
　　Router(if-config)# no ip unreachables
　　
　　如果此命令不能禁止，可参考下面这个命令:
　　
　　Elab(config)# ip icmp rate-limit unreachable
　　VACL on the CatOS
　　
　　! --- block TFTP
　　set security acl ip BLASTER deny udp any any eq 69
　　
　　! --- block vulnerable MS protocols
　　! --- Blaster related
　　set security acl ip BLASTER deny tcp any any eq 135
　　set security acl ip BLASTER deny udp any any eq 135
　　
　　! --- Non-blaster related
　　
　　set security acl ip BLASTER deny tcp any any eq 137
　　set security acl ip BLASTER deny udp any any eq 137
　　set security acl ip BLASTER deny tcp any any eq 138
　　set security acl ip BLASTER deny udp any any eq 138
　　set security acl ip BLASTER deny tcp any any eq 139
　　set security acl ip BLASTER deny udp any any eq 139
　　set security acl ip BLASTER deny tcp any any eq 593
　　
　　! --- block remote access due to W32.Blaster
　　
　　set security acl ip BLASTER deny tcp any any eq 4444
　　
　　! --- Allow all other traffic
　　! --- insert other existing access-list entries here
　　
　　set security acl ip BLASTER permit any any
　　
　　! -- applies both inbound and outbound
　　
　　commit security acl BLASTER
　　set security acl map BLASTER
　　PIX
　　
　　access-list acl_inside deny udp any any eq 69
　　access-list acl_inside deny tcp any any eq 135
　　access-list acl_inside deny udp any any eq 135
　　access-list acl_inside deny tcp any any eq 137
　　access-list acl_inside deny udp any any eq 137
　　access-list acl_inside deny tcp any any eq 138
　　access-list acl_inside deny udp any any eq 138
　　access-list acl_inside deny tcp any any eq 139
　　access-list acl_inside deny udp any any eq 139
　　access-list acl_inside deny tcp any any eq 445
　　access-list acl_inside deny tcp any any eq 593
　　access-list acl_inside deny tcp any any eq 4444
　　! --- insert previously configured acl statements here,
　　! --- or permit all other traffic out
　　
　　access-list acl_inside permit ip any any
　　
　　access-group acl_inside in interface inside

本文来源：天下网吧作者：网吧方案

上一个文章：关于机房防雷的几点认识

下一个文章：防毒别忘了路由器

Cisco ROOT/LOOP/BPDU guard/BPDU filter  Cisco UniDirectional Link Detection 单向链路检测   Cisco ip default-network详解
Cisco Catalyst 3750系列交换提供速率限制解决方案   Cisco ONS 15200城域网DWDM解决方案   Cisco VPN解决方案
Cisco LRE 解决方案   Cisco 802.1x进行自动VLAN分配   初始化CISCO路由器和交换机密码
cisco acl 与 juniper firwall filter对比

聚合推荐

网咖机箱方案

LOL网吧活动方案

网吧显示器方案

网咖方案

网吧集中管理方案

路由应用方案

网维大师方案

掉线解决方案

声明

声明：本站所发表的文章、评论及图片仅代表作者本人观点，与本站立场无关。若文章侵犯了您的相关权益，请及时与我们联系，我们会及时处理，感谢您对本站的支持！联系Email：support@txwb.com，系统开号，技术支持，服务联系QQ：1175525021本站所有有注明来源为天下网吧或天下网吧论坛的原创作品，各位转载时请注明来源链接！

天下网吧·网吧天下

CISCO 防御冲击波方法

推荐文章

最新文章