Guide de configuration de la défense sur les commutateurs de la série S

50 0 0 0

Guide de configuration de la défense sur les commutateurs de la série S


Remarque: Avant la configuration, assurez-vous qu'aucun service n'utilise les ports 135, 137, 139, 445 et 3389. Sinon, les services sont affectés.

Famille de produits

Produits de réseau d'entreprise

modèle du produit

Interrupteurs série S

Date de sortie

   

Gravité

Majeur

Versions impliquées

V100R006 et versions ultérieures

Champ d'application

Interrupteurs série S

ID de vulnérabilité externe

CVE-2017-0143 , CVE-2017-0144 , CVE-2017-0145 , CVE-2017-0146 ,CVE-2017-0147 et CVE-2017-0148


[Cas de configuration de la défense côté réseau pour les commutateurs de la série S]

 

1. Créez des règles ACL pour les ports à haut risque. 
acl number 3000 // Le nombre de listes de contrôle d'accès varie de 3000 à 4000 et n'est pas utilisé. 
  rule 5 permit tcp destination-port eq 445
  rule 10 permit tcp destination-port eq 135
  rule 15 permit tcp destination-port eq 137
  rule 20 permit tcp destination-port eq 139
  rule 25 permit tcp destination-port eq 3389
  rule 30 permit udp destination-port eq 445
  rule 35 permit udp destination-port eq 135
  rule 40 permit udp destination-port eq 137
  rule 45 permit udp destination-port eq 139
  rule 50 permit udp destination-port eq 3389 

2. Créez une politique de trafic. 
classificateur de trafic opérateur nier-bingdu et 
if-match acl 3000 // L'ACL doit être le précédent. 
traffic behavior deny-bingdu
  deny
traffic policy deny-bingdu
  classifier deny-bingdu behavior deny-bingdu

3. Appliquez la politique de trafic. 
// Applique la politique à une interface. Exécutez ce script dans la vue système.


 interface GigabitEthernet0/0/1
 traffic-policy deny-bingdu inbound
 traffic-policy deny-bingdu outbound


// Appliquer la politique globalement. Exécutez ce script dans la vue système. 
 traffic-policy deny-bingdu global inbound
 traffic-policy deny-bingdu global outbound


// Appliquer la politique à un groupe de ports. Exécutez ce script dans la vue système. De cette manière, vous n'avez pas besoin de répéter la configuration sur chaque port impliqué.


port-group deny-bingdu
 group-member GigabitEthernet 0/0/1 to GigabitEthernet 0/0/10  //Note the port range.
 traffic-policy deny-bingdu inbound
 traffic-policy deny-bingdu outbound
 

 

[Remarque]

1.      Il est recommandé de configurer ce script sur les commutateurs principaux et les commutateurs d'agrégation. Si un ordinateur intranet a été compromis, configurez le script sur le commutateur d'accès.

2      Il est recommandé d'effectuer la configuration sur toutes les interfaces. En cas de difficultés, configurez le script globalement et sur les interfaces en amont.

3      La commande traffic-policy ne peut être utilisée qu'une seule fois dans la vue système et sur une interface. Si une politique de trafic existe déjà, la configuration échouera. Dans ce cas, vous pouvez ajouter classifier deny-bingdu behavior deny-bingdu à la stratégie de trafic existante.

4      Les commutateurs de la série S2700SI ne prennent pas en charge les listes de contrôle d'accès. Le S2700 / S3700 ne prend pas en charge les stratégies de trafic sortant.


S'il existe des applications complexes, contactez les ingénieurs de Huawei.

 



  • x
  • Standard:

Commentaire

envoyer
Connectez-vous pour répondre. Se connecter | Enregistrer

Remarque Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».
Si le bouton de la pièce-jointe n'est pas disponible, mettez à jour Adobe Flash Player à la dernière version.
Connectez-vous pour participer à la communication et au partage

Connectez-vous pour participer à la communication et au partage

S'identifier