常見病毒ACL
責編:admin |2015-02-09 17:53:59ACL部署原則:
ACL通過過濾數據包并且丟棄不希望抵達目的地的數據包來控制通信流量。然而,網絡能否有效地減少不必要的通信流量,這還要取決于網絡管理員把ACL放置在哪個地方。
原則:根據減少不必要通信流量的通行準則,管理員應該盡可能地把ACL放置在靠近被拒絕的通信流量的來源處。
舉個例子:我們經常見到對常見病毒端口進行過濾的ACL,那么這種ACL應用在哪里比較合適呢?
對于網絡中的用戶來說,這個防病毒端口的過濾顯然用在最接近用戶的交換機上來做比較好,這樣可以從源頭上控制被感染的機器采用病毒端口進行通訊,減少對其他交換機上用戶帶來的應用。
如果要控制外網進來的流量對服務器的端口訪問過濾,那么這種限制就應該放在這個網絡的出口處較好,這樣可以將這種非法流量從一開始就拒之門外。當然如果內網也需要對服務器的端口訪問進行過濾,那么由于內網的源IP很多,目的IP一致的情況下,在靠近目標IP的地方做ACL過濾,因為這樣只需要一個ACL即可,否則你需要在很多設備上去分別部署,因為你要控制所有的源到這個目的IP的訪問,影響效率。而如果你在接近服務器的交換機上部署ACL,那么你只需要一個ACL即可。
總結如下:
1、對常見的病毒端口過濾的ACL,一般部署在接入層交換機上。
2、對外提供公共服務器的服務器,一般建議在接近服務器的交換機上控制對其端口的訪問。
3、對于網段間的互訪,根據實際情況,可以選擇在源或目的網段上做控制,也可以在網絡較大的情況,網段互訪規則較多的情況下,在中間核心設備上集中部署。
4、對于上下級機構、內外網訪問規則見的訪問控制,建議在邊界設備上集中部署。
一、組網需求
客戶要求對接入交換機應用防病毒ACL,過濾常見的病毒端口,實現基本安全防護,ACL可以方便的添加或刪除其中的部分條目。
二、配置要點
1、部署擴展ACL,添加防病毒的條目;
2、在物理端口上應用ACL;
3、添加或刪除部分條目;
wKioL1MWpvvRbVvmAADKuThX7e8011.jpg
交換機 SW的配置命令如下:
1、定義ACL
WENLF# configure terminal
WENLF(config)# ip access-list extended defencevirus ——>在配置模式下創建擴展訪問列表防病毒ACL
WENLF(config-ext-nacl)# 10 deny tcp any any eq 27665 ——>下述防病毒端口來源于日常實踐經驗
WENLF(config-ext-nacl)# 20 deny tcp any any eq 16660
WENLF(config-ext-nacl)# 30 deny tcp any any eq 65000
WENLF(config-ext-nacl)# 40 deny tcp any any eq 33270
WENLF(config-ext-nacl)# 50 deny tcp any any eq 39168
WENLF(config-ext-nacl)# 60 deny tcp any any eq 6711
WENLF(config-ext-nacl)# 70 deny tcp any any eq 6712
WENLF(config-ext-nacl)# 80 deny tcp any any eq 6776
WENLF(config-ext-nacl)# 90 deny tcp any any eq 6669
WENLF(config-ext-nacl)# 100 deny tcp any any eq 2222
WENLF(config-ext-nacl)# 110 deny tcp any any eq 7000
WENLF(config-ext-nacl)# 120 deny tcp any any eq 135
WENLF(config-ext-nacl)# 130 deny tcp any any eq 136
WENLF(config-ext-nacl)# 140 deny tcp any any eq 137
WENLF(config-ext-nacl)# 150 deny tcp any any eq 138
WENLF(config-ext-nacl)# 160 deny tcp any any eq 139
WENLF(config-ext-nacl)# 170 deny tcp any any eq 445
WENLF(config-ext-nacl)# 180 deny tcp any any eq 4444
WENLF(config-ext-nacl)# 190 deny tcp any any eq 5554
WENLF(config-ext-nacl)# 200 deny tcp any any eq 9996
WENLF(config-ext-nacl)# 210 deny tcp any any eq 3332
WENLF(config-ext-nacl)# 220 deny tcp any any eq 1068
WENLF(config-ext-nacl)# 230 deny tcp any any eq 455
WENLF(config-ext-nacl)# 240 deny udp any any eq 31335
WENLF(config-ext-nacl)# 250 deny udp any any eq 27444
WENLF(config-ext-nacl)# 260 deny udp any any eq 135
WENLF(config-ext-nacl)# 270 deny udp any any eq 136
WENLF(config-ext-nacl)# 280 deny udp any any eq netbios-ns
WENLF(config-ext-nacl)# 290 deny udp any any eq netbios-dgm
WENLF(config-ext-nacl)# 300 deny udp any any eq netbios-ss
WENLF(config-ext-nacl)# 310 deny udp any any eq 445
WENLF(config-ext-nacl)# 320 deny udp any any eq 4444
WENLF(config-ext-nacl)# 330 permit ip any any
WENLF(config-ext-nacl)#exit
2、應用在接口上
WENLF(config)#interface range fastEthernet 0/1-24
WENLF(config-if-range)#ip access-group defencevirus in
3、添加或刪除ACE
WENLF(config-ext-nacl)#15 deny tcp any any eq 707 ——>編號15,可以插入序號10和20之間,保持編寫防病毒條目的有序性。默認每個條目之間以10遞增序號。
WENLF(config-ext-nacl)#no 15 ——>刪除編號15的條目
下一篇:數據安全架構