5月12日开始,WannaCrypt(永恒之蓝)勒索蠕虫突然爆发,影响遍及全球近百国家,包括英国医疗系统、快递公司FedEx、俄罗斯电信公司Megafon都成为受害,我国的校园网和多家能源企业、政府机构也中招,被勒索支付高额赎金才能解密恢复文件,对重要数据造成严重损失。截至5月13日中午,估计中国国内超2万台机器中招,全球超10万台机器被感染。

WannaCrypt(永恒之蓝)勒索蠕虫是NSA网络军火民用化的全球第一例。一个月前,第四批NSA相关网络***工具及文档被Shadow Brokers组织公布,包含了涉及多个Windows系统服务(SMB、RDP、IIS)的远程命令执行工具,其中就包括“永恒之蓝”***程序。

wKioL1kYd8ryK4qsAAD15Qiqrag426.jpg-wh_50

 图:被感染的机器屏幕会显示如下的告知付赎金的界面

内网交换机禁止135137139445端口

华为、H3C交换机关闭445端口访问内网

 

acl number 3000

rule 6 deny tcp destination-port eq 135

rule 6 deny tcp destination-port eq 137

rule 6 deny tcp destination-port eq 139

rule 6 deny tcp destination-port eq 445

int GigabitEthernet 0/0/24

 traffic-secure inbound acl 3000

 

[JH-GigabitEthernet0/0/24]dis this

#

interface GigabitEthernet0/0/24

 energy-efficient-ethernet enable

 description UP H3C ER3108G

 portlink-type access

 portdefault vlan 2

 traffic-secure inbound acl 3000

#

return

[JH-GigabitEthernet0/0/24]

wKiom1kYeJvgBtOyAAAJRuF6EYI041.png-wh_50

 

思科关闭445

JHXXJS(config)#access-list 100 deny tcp anyany eq 135

JHXXJS(config)#access-list 100 deny tcp anyany eq 137

JHXXJS(config)#access-list 100 deny tcp anyany eq 139

JHXXJS(config)#access-list 100 deny tcp anyany eq 445

JHXXJS(config)#access-list 100 permit ipany any

 

应用到接口

Router(config)#int gigabitEthernet 0/1

Router(config-if)#ip access-group 100 in

 

查看端口状态

interface GigabitEthernet0/1

 noip address

 ipaccess-group 100 in

 duplex auto

 speed auto

wKiom1kYeKmx2sIKAAAL6VP8Qng496.png-wh_50

二、防火墙安全设备禁止135137139445端口策略

1、启明星辰配置

1)新建自定义服务

wKioL1kYeLbxCXFqAAA9dxc5lV8265.png-wh_50

2、调用策略

wKiom1kYeMDCeXo_AAB-Ck5_Ac8790.png-wh_50

3)查看策略

wKioL1kYeM7Ct69nAACXCiRTqK8617.png-wh_50

 

2Hillstone配置

1)新建策略

 

wKiom1kYeN6TZPcMAACKaVEO4hc409.png-wh_50

 

2)定义服务

wKioL1kYeOqx0G34AAByH_WJ8FE190.png-wh_50

3)设置策略

wKioL1kYePXCHT9xAAB6mDBBLjY265.png-wh_50

4)查看策略

wKioL1kYeQDgowauAACXTKnslFw513.png-wh_50

三、开启windows自带防火墙

1、开启高级功能

wKiom1kYeQzDLGRCAAEzWg18rDM931.png-wh_50

2、添加入站规则

 

wKiom1kYeRnQxryGAAFIrbp2LmE024.png-wh_50




3、选择端口

wKioL1kYeRqgxSz5AABhIsYGu2U919.png-wh_50

5、指定端口

wKiom1kYeRrDV7fCAABfrbZfbmI262.png-wh_50

6、选择执行操作


wKioL1kYeRrRgHO_AABp2-zdfxA213.png-wh_50

 

7、选择运用到的区域

wKioL1kYeavgacEWAABcroRnEYg083.png-wh_50

8、定义规则名

wKiom1kYebrinP7RAABUaqpEsms421.png-wh_50

9、查看规则

wKioL1kYecbS3MEUAAF0eeo-vVs004.png-wh_50

四、主机补丁维护

最新的勒索病毒检测连接(360的检测工具):http://dl.360safe.com/nsa/nsatool.exe

补丁修复(根据自己系统版本选择对应补丁):

windows7
www.catalog.update.microsoft.com/Search.aspxq=KB4012212
www.catalog.update.microsoft.com/Search.aspx?q=KB4012215

windows8.1
www.catalog.update.microsoft.com/Search.aspx?q=KB4012213
www.catalog.update.microsoft.com/Search.aspx?q=KB4012216

windows10
www.catalog.update.microsoft.com/Search.aspx?q=KB4013429
www.catalog.update.microsoft.com/Search.aspx?q=KB4012606
www.catalog.update.microsoft.com/Search.aspx?q=KB4013198