分类
用访问控制列表构筑“铜墙铁壁”‖
常好。经过配置后,在很多
击。
主机没打相应补丁的情况下,各
网络设备有效地阻止了震荡波的攻
| 由于病毒(特别是系统 虑通过在路由器或交换机上 | 漏洞病毒)都是利用相应端口进 设置相应的ACL进行防范。 | 行传播与攻击的,所以我们可以考 |
| 我们以Cisco产品为例进行说明,具体ACL配置如下: |
| access-list 101 perm | it tcp any any established |
| 这个命令是建立一个ACL,它只容许 建立的连接将被拒绝进行数据传输。最后 的了。 | 已经建立的连接从外向里传输数据,而对于事先没有 再把ACL绑定到相应的端口就可以达到预防病毒的目 |
| 现在让我们来看看如何利用这一技术 感染了震荡波的主机会通过445、5554和9 ACL,所以当外部的病毒主动向内部445、 ,实现真正的防患于未然。而这样的设置 | 迎战震荡波。公司很多计算机没有打补丁,这样外部 996这3个端口向内部主机传播病毒。由于我们设置了 5554、9996端口传输时,这些数据会被路由器过滤掉 对内网中的用户使用网络没有任何影响。 |
| 提示 |
| 1.由于established语 应的ACL语句把UDP的传输打 | 句只支持TCP协议,所以如果公 开,格式为access-list 101 pe | 司要传输DNS等信息,还要设置相 rmit udp any any。 |
| 2.这样设置之后用户会抱怨FTP使用 个端口,密码验证用21端口,而数据传输 access-list 101 permit tcp any any e any eq 20。 | 不了,因为FTP密码验证和数据传输使用的不是同一 用20端口,所以我们也要加上相应的ACL,格式为 q ftp-data或access-list 101 permit tcp any |