思科ACL阻止勒索病毒

如何在思科的3700系列交換機上配置ACL阻止勒索病毒的傳播？

勒索病毒主要是微軟的鍋，經過TCP/UDP的13五、13七、13八、13九、445端口攻陷用戶的計算機加密用戶的文件達到勒索比特幣的目的，在企業內部特別是我的計算機居多的狀況下更容易中招，爲防止病毒大範圍傳播形成嚴重損失，能夠經過在覈心交換機上部署ACL實現控制這幾個端口的訪問達到防止的目的

試驗場景：局域網內部兩個網段172.28.27.0/24和172.28.28.0/24，其中27.0是office，28.0是server。如今需求爲27.0段只能訪問172.28.28.250的44五、13五、13七、13八、139，不能訪問其餘任何機器的上述端口

試驗拓撲：

配置：

sw(config)#ip access-list extended deny445 

sw(config-ext-nacl)#10 permit tcp any host 172.28.28.250 range 135 139 sw(config-ext-nacl)#11 permit udp any host 172.28.28.250 range 135 139 sw(config-ext-nacl)#12 permit tcp any host 172.28.28.250 eq 445 sw(config-ext-nacl)#20 deny tcp any any range 135 139 sw(config-ext-nacl)#21 deny udp any any range 135 139 sw(config-ext-nacl)#22 deny tcp any any eq 445 sw(config-ext-nacl)#100 permit ip any any sw(config)#int vlan 27 sw(config-if)#ip access-group deny445 in sw(config-if)#ip access-group deny445 out

 

 測試

注：因爲模擬器的bug 在cmd命令裏面不能telnet 445端口，可是在運行中還能訪問共享！！！因此這裏以telnet端口爲例

一、先測試可否訪問172.28.28.250的各端口

二、測試到172.28.28.1的445和135是否通

能夠看到訪問172.28.28.1的445 135端口已經被阻止了，能夠經過ACL的匹配計數來驗證

 

問題：雖然實現了對445等端口的訪問限制，可是若是172.28.28.1是web服務器那麼上述的ACL是否會對其產生影響？

驗證：在28.1上面啓用web服務後在27網段測試可否訪問

telnet測試

上述測試代表該ACL並未影響到此臺SERVER的其餘服務