Blocage de WannaCry - Solution de défense pour les commutateurs de la série Huawei CE
Guide de configuration de la défense sur les commutateurs C E Series
Famille de produits | Produits de réseau d'entreprise | modèle du produit | Commutateur de réseau de centre de données |
Sorti le | 2017-05-14 | Mis à jour le | 2019-03-11 |
V ersions impliquées | Toutes les versions | Gravité | Majeur |
Remarque: Avant la configuration, assurez-vous qu'aucun service n'utilise les ports 135, 137, 139, 445 et 3389. Sinon, les services sont affectés.
1. Configurez une ACL avancée qui n'est pas utilisée sur le périphérique pour correspondre aux ports de destination à protéger. Par exemple:
Acl 3000
Rule 5 permit tcp destination-port eq 135
Rule 10 permit udp destination-port eq 135
Rule 15 permit tcp destination-port eq 137
Rule 20 permit udp destination-port eq 137
Rule 25 permit tcp destination-port eq 139
Rule 30 permit udp destination-port eq 139
Rule 35 permit tcp destination-port eq 445
Rule 40 permit udp destination-port eq 445
Rule 45 permit tcp destination-port eq 3389
Rule 50 permit udp destination-port eq 3389
2. Configurez un classificateur de trafic pour correspondre à l'ACL.
Traffic classifier test
if-match acl 3000
3. Configurez le comportement du trafic pour éliminer les paquets.
Traffic behavior test
deny
4. Configurez une politique de trafic.
Traffic policy test
classifier test behavior test
5. Appliquez la stratégie à la direction entrante globale.
Traffic-policy test global inbound
6. Validez la configuration.
Commit
Remarque: appliquez la stratégie à la direction entrante du périphérique. La stratégie sortante du CE12800 qui correspond aux adresses IP du trafic ne prend effet que sur le trafic de couche 3 transféré.