51CTO技术论坛_中国领先的IT技术社区 » 华为技术 » 一个华为设备防病毒 ACL 配置

danni505 发表于 2006-8-22 12:53

一个华为设备防病毒 ACL 配置

创建acl
acl number 100
禁ping
rule  deny icmp source any destination any
用于控制Blaster蠕虫的传播
rule  deny udp source any destination any destination-port eq 69
rule  deny tcp source any destination any destination-port eq 4444
用于控制冲击波病毒的扫描和攻击
rule  deny tcp source any destination any destination-port eq 135
rule  deny udp source any destination any destination-port eq 135
rule  deny udp source any destination any destination-port eq netbios-ns
rule  deny udp source any destination any destination-port eq netbios-dgm
rule  deny tcp source any destination any destination-port eq 139
rule  deny udp source any destination any destination-port eq 139
rule  deny tcp source any destination any destination-port eq 445
rule  deny udp source any destination any destination-port eq 445
rule  deny udp source any destination any destination-port eq 593
rule  deny tcp source any destination any destination-port eq 593
用于控制振荡波的扫描和攻击
rule  deny tcp source any destination any destination-port eq 445
rule  deny tcp source any destination any destination-port eq 5554
rule  deny tcp source any destination any destination-port eq 9995
rule  deny tcp source any destination any destination-port eq 9996
用于控制 Worm_MSBlast.A 蠕虫的传播
rule  deny udp source any destination any destination-port eq 1434
下面的不出名的病毒端口号  （可以不作）
rule  deny tcp source any destination any destination-port eq 1068
rule  deny tcp source any destination any destination-port eq 5800
rule  deny tcp source any destination any destination-port eq 5900
rule  deny tcp source any destination any destination-port eq 10080
rule  deny tcp source any destination any destination-port eq 455
rule  deny udp source any destination any destination-port eq 455
rule  deny tcp source any destination any destination-port eq 3208
rule  deny tcp source any destination any destination-port eq 1871
rule  deny tcp source any destination any destination-port eq 4510
rule  deny udp source any destination any destination-port eq 4334
rule  deny tcp source any destination any destination-port eq 4331
rule  deny tcp source any destination any destination-port eq 4557
然后下发配置
packet-filter ip-group 100
目的：针对目前网上出现的问题，对目的是端口号为1434的UDP报文进行过滤的配置方法，详细和复杂的配置请看配置手册。

NE80的配置：
NE80(config)#rule-map r1 udp any any eq 1434
//r1为role-map的名字，udp 为关键字，any any 所有源、目的IP，eq为等于，1434为udp端口号
NE80(config)#acl a1 r1 deny
//a1为acl的名字，r1为要绑定的rule-map的名字，
NE80(config-if-Ethernet1/0/0)#access-group acl a1
//在1/0/0接口上绑定acl，acl为关键字，a1为acl的名字
NE16的配置：
NE16-4(config)#firewall enable all
//首先启动防火墙
NE16-4(config)#access-list 101 deny udp any any eq 1434
//deny为禁止的关键字，针对udp报文，any any 为所有源、目的IP，eq为等于， 1434为udp端口号
NE16-4(config-if-Ethernet2/2/0)#ip access-group 101 in
//在接口上启用access-list，in表示进来的报文，也可以用out表示出去的报文
中低端路由器的配置
[Router]firewall enable
[Router]acl 101
[Router-acl-101]rule deny udp source any destion any destination-port eq 1434
[Router-Ethernet0]firewall packet-filter 101 inbound
6506产品的配置：
旧命令行配置如下：
6506(config)#acl extended aaa deny protocol udp any any eq 1434
6506(config-if-Ethernet5/0/1)#access-group  aaa
国际化新命令行配置如下：
[Quidway]acl number 100
[Quidway-acl-adv-100]rule deny udp source any destination any destination-port eq 1434
[Quidway-acl-adv-100]quit
[Quidway]interface ethernet  5/0/1
[Quidway-Ethernet5/0/1]packet-filter inbound ip-group 100 not-care-for-interface

5516产品的配置：
旧命令行配置如下：
5516(config)#rule-map  l3 aaa protocol-type udp ingress any egress any eq 1434
5516(config)#flow-action fff deny
5516(config)#acl bbb aaa fff
5516(config)#access-group  bbb
国际化新命令行配置如下：
[Quidway]acl num 100
[Quidway-acl-adv-100]rule deny udp source any destination any destination-port eq 1434
[Quidway]packet-filter ip-group 100

3526产品的配置：
旧命令行配置如下：
rule-map l3 r1 0.0.0.0 0.0.0.0 1.1.0.0 255.255.0.0 eq 1434
flow-action f1 deny
acl acl1 r1 f1
access-group acl1
国际化新命令配置如下：
acl number 100
rule 0 deny udp source 0.0.0.0 0 source-port eq 1434 destination 1.1.0.0 0
packet-filter ip-group 101 rule 0
注：3526产品只能配置外网对内网的过滤规则，其中1.1.0.0 255.255.0.0是内网的地址段。

8016产品的配置：
旧命令行配置如下：
8016(config)#rule-map intervlan aaa udp  any  any   eq 1434
8016(config)#acl bbb aaa deny
8016(config)#access-group acl bbb vlan 10 port all
国际化新命令行配置如下：
8016(config)#rule-map intervlan aaa udp  any  any   eq 1434
8016(config)#eacl bbb aaa deny
8016(config)#access-group eacl bbb vlan 10 port all

intelboy 发表于 2006-8-22 12:57

不错，顶一下！

subchen 发表于 2006-8-22 13:47

这个好，可以当做模板来用

danni505 发表于 2006-8-22 18:33

回复 #2 intelboy 的帖子

呵呵

天堂的叛徒 发表于 2006-8-25 17:16

在这总能需要找到一些好东西

danni505 发表于 2006-8-25 18:38

回复 #5 天堂的叛徒 的帖子

那是当然的了!

intelboy 发表于 2006-8-25 19:12

回复 #6 danni505 的帖子

danni兄，多谢支持 ^_^

sxtylx 发表于 2006-8-26 21:36

顶,好,

danni505 发表于 2006-8-26 23:55

回复 #7 intelboy 的帖子

不敢当！呵呵

xinzhejia 发表于 2006-9-21 13:02

呵呵，不顶白不顶

kmqyz 发表于 2006-10-23 20:26

不错，谢谢

theonlysimple 发表于 2006-10-29 11:52

all right

小侠唐在飞 发表于 2006-10-29 14:33

这种ACL配置,我们早就在网络主干中使中,
哈哈,
我顶你个帖

chenjun324 发表于 2006-10-29 17:21

不顶白不顶

cjm585409 发表于 2006-10-31 15:20

太好了，我就要找这个

lxmcd 发表于 2006-11-15 08:23

有没有防ARP攻击的方法?

lqi1978 发表于 2006-11-15 15:40

不错啊。顶一下

zjkxz 发表于 2006-11-15 16:51

收了，谢谢

smilewho 发表于 2006-11-15 16:53

关闭135 139 端口 会无法共享了吧 ？不方便

cszw77 发表于 2006-12-9 01:08

xiexie

captain-zhou 发表于 2006-12-9 09:55

这个配置确实不错，可以作为标准模版采用！

xamm 发表于 2006-12-9 14:05

好东西！！！

木雨林风 发表于 2006-12-18 14:26

学习

jkbinyu 发表于 2006-12-18 18:34

hao hao  hao

huoshanliu 发表于 2006-12-20 21:18

太谢谢了

wxjsr 发表于 2006-12-21 15:33

顶！

请不断更新！

wxjsr 发表于 2006-12-21 15:39

[quote]原帖由 [i]lxmcd[/i] 于 2006-11-15 08:23 发表
有没有防ARP攻击的方法? [/quote]


说几个简单方法：

1、arp -d ;

2、arp -s 网关IP  网关mac ; 重起后须再做，下载附件一次搞定！

3、装个软件 antiarp 。

zjhze 发表于 2006-12-23 16:38

嗯不错课可以做模版来用

ktjxtty 发表于 2006-12-25 10:11

有没有新的?

rchlsj 发表于 2006-12-26 09:31

强！支持一下！

lihq 发表于 2006-12-26 10:14

不错,又学到东西了

changeface 发表于 2006-12-26 11:13

顶了!

nj19 发表于 2006-12-29 10:38

顶一下！

randy1981 发表于 2006-12-30 23:47

回复 #7 intelboy 的帖子

kk

cheney1001 发表于 2006-12-31 12:01

hao

wcchina 发表于 2007-1-3 09:33

COPY下来了，谢谢楼主。

dswyq 发表于 2007-1-3 11:25

好东西收下了！谢谢！

hbcth 发表于 2007-1-3 18:07

多谢!

试试看

早生华发 发表于 2007-1-3 18:14

thx

jiamin 发表于 2007-1-4 08:46

ganxie

ganxielouzhu

查看完整版本: 一个华为设备防病毒 ACL 配置