1676093734,

问题描述：

我们是A公司因为工作需要和另一家B公司核心直接通过裸光纤连接，每天都需要通过nas和备份服务器等交换大量数据。

我们A公司是s7506  VLAN1000  172.1.1.8      对端B公司是s7506  vlan1000    172.1.1.7

我们A公司网络现在问题是我们公司员工电脑权限控制严格，没有中毒，但是B公司经常有电脑中毒然后攻击我们公司。

b公司服务器网段10.1.1.0已经很安全。主要是办公电脑很多中毒的，主要分布在10.1.2.0和10.1.3.0两个网段。因此需要屏蔽这两个网段的风险端口。

我写了ACL 3003  

rule 13 permit tcp destination 10.1.00  0.0.0.255 destination-port eq 445  

rule 102 deny tcp source 10.1.2.0        0.0.0.255 destination-port eq 445 

rule 103 deny tcp source 10.1.3.0        0.0.0.255 destination-port eq 445

并且我们A公司核心172.1.1.8

interface Vlan-interface1001 

 description TO-google-

 packet-filter 3003 inbound

这样操作后发现我们安装的赛门铁克还是经常提示经常受到B公司 来自B公司 10.1.2.0和10.1.3.0两个网段的中毒电脑攻击。

从对端1xxxxx端口到本地445

我策略是不是哪里写错了？请指导下哈。

最佳答案

勒索病毒不止只有445端口吧，记得还有135/137/138/139端口。

这是之前一个局点写的配置，可以参考。

acl advanced 3010 

 description deny_445 

 rule 0 permit tcp destination-port eq 445 

 rule 5 permit tcp destination-port eq 135

 rule 10 permit tcp destination-port eq 137  

rule 15 permit tcp destination-port eq 138  

rule 20 permit tcp destination-port eq 139 

# 

traffic classifier deny_445 operator and 

 if-match acl 3010 

# 

traffic behavior deny_445 

 accounting packet 

 filter deny 

# 

qos policy deny_445 

 classifier deny_445 behavior deny_445 

# 

 qos apply policy deny_445 global inbound // 全局调用策略

这样应该是拒绝全部了吧？我需要deny掉指定网段的，不能deny所有啊

梦醉千年 发表时间：

更改ACL 配皮具体IP段就可以了，上面是作为参考

zhiliao_tGcFI 发表时间：

可以直接deny源和目的都是any的tcp、udp的445、135-139的这几个端口试下。

,如何在s7506核心上用acl来屏蔽掉来自另一台核心指定网段的勒索病毒攻击？