Guide de configuration de la défense sur les commutateurs de la série S
Remarque: Avant la configuration, assurez-vous qu'aucun service n'utilise les ports 135, 137, 139, 445 et 3389. Sinon, les services sont affectés.
Famille de produits | Produits de réseau d'entreprise | modèle du produit | Interrupteurs série S |
Date de sortie |
| Gravité | Majeur |
Versions impliquées | V100R006 et versions ultérieures | ||
Champ d'application | Interrupteurs série S | ||
ID de vulnérabilité externe | CVE-2017-0143 , CVE-2017-0144 , CVE-2017-0145 , CVE-2017-0146 ,CVE-2017-0147 et CVE-2017-0148 |
[Cas de configuration de la défense côté réseau pour les commutateurs de la série S]
1. Créez des règles ACL pour les ports à haut risque.
acl number 3000 // Le nombre de listes de contrôle d'accès varie de 3000 à 4000 et n'est pas utilisé.
rule 5 permit tcp destination-port eq 445
rule 10 permit tcp destination-port eq 135
rule 15 permit tcp destination-port eq 137
rule 20 permit tcp destination-port eq 139
rule 25 permit tcp destination-port eq 3389
rule 30 permit udp destination-port eq 445
rule 35 permit udp destination-port eq 135
rule 40 permit udp destination-port eq 137
rule 45 permit udp destination-port eq 139
rule 50 permit udp destination-port eq 3389
2. Créez une politique de trafic.
classificateur de trafic opérateur nier-bingdu et
if-match acl 3000 // L'ACL doit être le précédent.
traffic behavior deny-bingdu
deny
traffic policy deny-bingdu
classifier deny-bingdu behavior deny-bingdu
3. Appliquez la politique de trafic.
// Applique la politique à une interface. Exécutez ce script dans la vue système.
interface GigabitEthernet0/0/1
traffic-policy deny-bingdu inbound
traffic-policy deny-bingdu outbound
// Appliquer la politique globalement. Exécutez ce script dans la vue système.
traffic-policy deny-bingdu global inbound
traffic-policy deny-bingdu global outbound
// Appliquer la politique à un groupe de ports. Exécutez ce script dans la vue système. De cette manière, vous n'avez pas besoin de répéter la configuration sur chaque port impliqué.
port-group deny-bingdu
group-member GigabitEthernet 0/0/1 to GigabitEthernet 0/0/10 //Note the port range.
traffic-policy deny-bingdu inbound
traffic-policy deny-bingdu outbound
[Remarque]
1. Il est recommandé de configurer ce script sur les commutateurs principaux et les commutateurs d'agrégation. Si un ordinateur intranet a été compromis, configurez le script sur le commutateur d'accès.
2 Il est recommandé d'effectuer la configuration sur toutes les interfaces. En cas de difficultés, configurez le script globalement et sur les interfaces en amont.
3 La commande traffic-policy ne peut être utilisée qu'une seule fois dans la vue système et sur une interface. Si une politique de trafic existe déjà, la configuration échouera. Dans ce cas, vous pouvez ajouter classifier deny-bingdu behavior deny-bingdu à la stratégie de trafic existante.
4 Les commutateurs de la série S2700SI ne prennent pas en charge les listes de contrôle d'accès. Le S2700 / S3700 ne prend pas en charge les stratégies de trafic sortant.
S'il existe des applications complexes, contactez les ingénieurs de Huawei.