梦醉千年,如何在s7506核心上用acl来屏蔽掉来自另一台核心指定网段的勒索病毒攻击?
问题描述:
我们是A公司因为工作需要和另一家B公司核心直接通过裸光纤连接,每天都需要通过nas和备份服务器等交换大量数据。
我们A公司是s7506 VLAN1000 172.1.1.8 对端B公司是s7506 vlan1000 172.1.1.7
我们A公司网络现在问题是我们公司员工电脑权限控制严格,没有中毒,但是B公司经常有电脑中毒然后攻击我们公司。
b公司服务器网段10.1.1.0已经很安全。主要是办公电脑很多中毒的,主要分布在10.1.2.0和10.1.3.0两个网段。因此需要屏蔽这两个网段的风险端口。
我写了ACL 3003
rule 13 permit tcp destination 10.1.00 0.0.0.255 destination-port eq 445
rule 102 deny tcp source 10.1.2.0 0.0.0.255 destination-port eq 445
rule 103 deny tcp source 10.1.3.0 0.0.0.255 destination-port eq 445
并且我们A公司核心172.1.1.8
interface Vlan-interface1001
description TO-google-
packet-filter 3003 inbound
这样操作后发现我们安装的赛门铁克还是经常提示经常受到B公司 来自B公司 10.1.2.0和10.1.3.0两个网段的中毒电脑攻击。
从对端1xxxxx端口到本地445
我策略是不是哪里写错了?请指导下哈。
最佳答案
勒索病毒不止只有445端口吧,记得还有135/137/138/139端口。
这是之前一个局点写的配置,可以参考。
acl advanced 3010
description deny_445
rule 0 permit tcp destination-port eq 445
rule 5 permit tcp destination-port eq 135
rule 10 permit tcp destination-port eq 137
rule 15 permit tcp destination-port eq 138
rule 20 permit tcp destination-port eq 139
#
traffic classifier deny_445 operator and
if-match acl 3010
#
traffic behavior deny_445
accounting packet
filter deny
#
qos policy deny_445
classifier deny_445 behavior deny_445
#
qos apply policy deny_445 global inbound // 全局调用策略
这样应该是拒绝全部了吧?我需要deny掉指定网段的,不能deny所有啊
梦醉千年 发表时间:更改ACL 配皮具体IP段就可以了,上面是作为参考
zhiliao_tGcFI 发表时间:可以直接deny源和目的都是any的tcp、udp的445、135-139的这几个端口试下。