商讯信箱
用户名: @
密  码:   注册|忘记密码
登录
个人用户经销商
首页 个人 企业 报价行情 经销商 笔记本 手机 数码影像 消费数码 DIY硬件 投影机 家用电脑 商用电脑 办公 驱动 网刊 论坛
资讯 评测 下载 技术开发 信息化 服务器 存储 网络通信 安全 GPS导航 无线电 数字家电 家庭组网 打印 扫描 学院 软件
登陆|注册
信箱 E杂志
您的位置:首页 > 网络专区 > 正文       

三层交换机防病毒配置

[收藏此页] [打印] [推荐] [挑错]
作者:Darkbug  2007-07-14   
内容导航:
三层交换机防病毒配置

现创建acl

acl number 100

禁ping

rule  deny icmp source any destination any

用于控制Blaster蠕虫的传播

rule  deny udp source any destination any destination-port eq 69

rule  deny tcp source any destination any destination-port eq 4444

用于控制冲击波病毒的扫描和攻击

rule  deny tcp source any destination any destination-port eq 135
rule  deny udp source any destination any destination-port eq 135

rule  deny udp source any destination any destination-port eq netbios-ns

rule  deny udp source any destination any destination-port eq netbios-dgm

rule  deny tcp source any destination any destination-port eq 139

rule  deny udp source any destination any destination-port eq 139

rule  deny tcp source any destination any destination-port eq 445

rule  deny udp source any destination any destination-port eq 445

rule  deny udp source any destination any destination-port eq 593

rule  deny tcp source any destination any destination-port eq 593

用于控制振荡波的扫描和攻击

rule  deny tcp source any destination any destination-port eq 445

rule  deny tcp source any destination any destination-port eq 5554

rule  deny tcp source any destination any destination-port eq 9995

rule  deny tcp source any destination any destination-port eq 9996

用于控制 Worm_MSBlast.A 蠕虫的传播

rule  deny udp source any destination any destination-port eq 1434

下面的不出名的病毒端口号  (可以不作)

rule  deny tcp source any destination any destination-port eq 1068

rule  deny tcp source any destination any destination-port eq 5800

rule  deny tcp source any destination any destination-port eq 5900

rule  deny tcp source any destination any destination-port eq 10080

rule  deny tcp source any destination any destination-port eq 455

rule  deny udp source any destination any destination-port eq 455

rule  deny tcp source any destination any destination-port eq 3208

rule  deny tcp source any destination any destination-port eq 1871

rule  deny tcp source any destination any destination-port eq 4510

rule  deny udp source any destination any destination-port eq 4334

rule  deny tcp source any destination any destination-port eq 4331

rule  deny tcp source any destination any destination-port eq 4557

然后下发配置

packet-filter ip-group 100                                                                

目的:针对目前网上出现的问题,对目的是端口号为1434的UDP报文进行过滤的配置方法,详细和复杂的配置请看配置手册。

l        NE80的配置:

NE80(config)#rule-map r1 udp any any eq 1434 

//r1为role-map的名字,udp 为关键字,any any 所有源、目的IP,eq为等于,1434为udp端口号

NE80(config)#acl a1 r1 deny     

//a1为acl的名字,r1为要绑定的rule-map的名字,

NE80(config-if-Ethernet1/0/0)#access-group acl a1

//在1/0/0接口上绑定acl,acl为关键字,a1为acl的名字

l        NE16的配置:

NE16-4(config)#firewall enable all  

//首先启动防火墙

NE16-4(config)#access-list 101 deny udp any any eq 1434

//deny为禁止的关键字,针对udp报文,any any 为所有源、目的IP,eq为等于, 1434为udp端口号

NE16-4(config-if-Ethernet2/2/0)#ip access-group 101 in

//在接口上启用access-list,in表示进来的报文,也可以用out表示出去的报文

l        中低端路由器的配置

[Router]firewall enable

[Router]acl 101

[Router-acl-101]rule deny udp source any destion any destination-port eq 1434

[Router-Ethernet0]firewall packet-filter 101 inbound

l        6506产品的配置:

旧命令行配置如下:

6506(config)#acl extended aaa deny protocol udp any any eq 1434

6506(config-if-Ethernet5/0/1)#access-group  aaa

国际化新命令行配置如下:

[Quidway]acl number 100

[Quidway-acl-adv-100]rule deny udp source any destination any destination-port eq 1434

[Quidway-acl-adv-100]quit

[Quidway]interface ethernet  5/0/1

[Quidway-Ethernet5/0/1]packet-filter inbound ip-group 100 not-care-for-interface

 

l        5516产品的配置:

旧命令行配置如下:

5516(config)#rule-map  l3 aaa protocol-type udp ingress any egress any eq 1434

5516(config)#flow-action fff deny

5516(config)#acl bbb aaa fff

5516(config)#access-group  bbb

国际化新命令行配置如下:

[Quidway]acl num 100

[Quidway-acl-adv-100]rule deny udp source any destination any destination-port eq 1434

[Quidway]packet-filter ip-group 100

 

l        3526产品的配置:

旧命令行配置如下:

rule-map l3 r1 0.0.0.0 0.0.0.0 1.1.0.0 255.255.0.0 eq 1434                   

 flow-action f1 deny                                                           

 acl acl1 r1 f1                                                               

 access-group acl1

国际化新命令配置如下:

acl number 100                                                                

 rule 0 deny udp source 0.0.0.0 0 source-port eq 1434 destination 1.1.0.0 0

packet-filter ip-group 101 rule 0

注:3526产品只能配置外网对内网的过滤规则,其中1.1.0.0 255.255.0.0是内网的地址段。

 

l        8016产品的配置:

旧命令行配置如下:

8016(config)#rule-map intervlan aaa udp  any  any   eq 1434

8016(config)#acl bbb aaa deny

8016(config)#access-group acl bbb vlan 10 port all

国际化新命令行配置如下:

8016(config)#rule-map intervlan aaa udp  any  any   eq 1434

8016(config)#eacl bbb aaa deny

8016(config)#access-group eacl bbb vlan 10 port all

 

1
有问必答
【内容导航】
第1页:三层交换机防病毒配置
©版权所有。未经许可,不得转载。
[责任编辑:华海波] [我要挑错]
相关产品
进入论坛>>相关论坛贴
精彩友情推荐
专题推荐
·安全路由成中小企业必然选择?
·有奖调查:企业上网行为如何管理?
·恩怨纠缠 EDGE能否受青睐
本文相关产品
   没有相关产品
本类最新产品
本类最热产品
热点文章排行