最近勒索病毒频发,导致全球范围内好多电脑中招。因为几个人,导致很多工程师都在加班。各大安全厂商、程序员、系统维护人员、网络维护人员全都忙得热火朝天。网络防护是防止病毒扩散的重要方法。很多小伙伴会问,我公司的路由器、交换机需要怎样防护呢?

第一、  为了防止不同网段之间的病毒扩散,可以在网关设备上做ACL来防护,举例如下:

access-list102 deny   tcp any any eq 135

access-list102 deny   udp any any eq 135

access-list102 deny   udp any any eq netbios-ns

access-list102 deny   udp any any eq netbios-dgm

access-list102 deny   tcp any any eq 139

access-list102 deny   udp any any eq netbios-ss

access-list102 deny   tcp any any eq 445

access-list102 deny   udp any any eq 445

access-list102 deny   tcp any any eq 539

access-list102 deny   udp any any eq 539

access-list102 deny   tcp any any eq 593

access-list102 deny   udp any any eq 593

access-list102 deny   udp any any eq 1434

access-list102 deny   tcp any any eq 4444

access-list 102 permit ip any any

 

interface vlan 100

 ip access-group 102 in

因为普通ACL列表大家基本都会,只需要写好调用在VLAN接口下,就能阻止不同网段(不同VLAN)间病毒通过445端口扩散。

但是,此时有小伙伴就问了:不同网段是阻止了,同网段(VLAN)下怎么阻止?

第二、  下面我着重介绍一下VACL的概念和案例配置:

VACL,也就是VLAN MAP。思科原文档是这样写的:VLAN maps, whichis the only way to control filtering within a VLAN.VLAN maps have no direction

VLAN maps,唯一在VLAN内进行控制过滤的方法。VLANmap没有方向)

要配置vlan map ,首先要配置普通的ACL(包括MAC ACLACL等)。

配置步骤:

1、  创建一个你想应用在VLAN上的标准的IPV4 ACL或扩展的IPV4 ACL,或命名的MAC ACL

2、  全局下敲 vlanaccess-map xxx 来创建一个access-map实例。

3、  access-map配置模式下,配置命令actionforwardaction drop来定义匹配数据流的行为;match命令来匹配数据流。

4、  全局下使用vlanfilter来命令来调用access-map到一个或多个VLAN上。

 

举例:

 ip access listextended  drop445

 deny tcp any 1.1.1.1 eq 445  (排除主机到服务器的。此处假设域服务器IP1.1.1.1)

deny tcp 1.1.1.1 any eq 445   (排除服务器到主机的)

 premit tcp any any eq445   (匹配其他所有主机)

 

 vlan access-map drop445map 10

    match ip address drop445

    action drop

 vlan access-map drop445map 20

    action forward

 

vlan filter drop445map vlan all

 

 

 

         tips:有同学要问了,如果说我既在interfacevlan下配置了ACL,又配置了VACLVlan Map),那他们的工作优先顺序又是怎样的呢?直接见下图吧:

wKiom1kat3GRCGz5AAC4D_BlHUQ745.png-wh_50