思科ACL阻止勒索病毒
如何在思科的3700系列交换机上配置ACL阻止勒索病毒的传播?web
勒索病毒主要是微软的锅,经过TCP/UDP的13五、13七、13八、13九、445端口攻陷用户的计算机加密用户的文件达到勒索比特币的目的,在企业内部特别是我的计算机居多的状况下更容易中招,为防止病毒大范围传播形成严重损失,能够经过在核心交换机上部署ACL实现控制这几个端口的访问达到防止的目的服务器
试验场景:局域网内部两个网段172.28.27.0/24和172.28.28.0/24,其中27.0是office,28.0是server。如今需求为27.0段只能访问172.28.28.250的44五、13五、13七、13八、139,不能访问其余任何机器的上述端口tcp
试验拓扑:测试
配置:this
sw(config)#ip access-list extended deny445
sw(config-ext-nacl)#10 permit tcp any host 172.28.28.250 range 135 139 sw(config-ext-nacl)#11 permit udp any host 172.28.28.250 range 135 139 sw(config-ext-nacl)#12 permit tcp any host 172.28.28.250 eq 445 sw(config-ext-nacl)#20 deny tcp any any range 135 139 sw(config-ext-nacl)#21 deny udp any any range 135 139 sw(config-ext-nacl)#22 deny tcp any any eq 445 sw(config-ext-nacl)#100 permit ip any any sw(config)#int vlan 27 sw(config-if)#ip access-group deny445 in sw(config-if)#ip access-group deny445 out
测试加密
注:因为模拟器的bug 在cmd命令里面不能telnet 445端口,可是在运行中还能访问共享!!!因此这里以telnet端口为例spa
一、先测试可否访问172.28.28.250的各端口3d
二、测试到172.28.28.1的445和135是否通code
能够看到访问172.28.28.1的445 135端口已经被阻止了,能够经过ACL的匹配计数来验证orm
问题:虽然实现了对445等端口的访问限制,可是若是172.28.28.1是web服务器那么上述的ACL是否会对其产生影响?
验证:在28.1上面启用web服务后在27网段测试可否访问
telnet测试
上述测试代表该ACL并未影响到此台SERVER的其余服务