Solution de défense pour les commutateurs Huawei de la série CE : Blocking WannaCry

Guide de configuration de la défense sur les commutateurs de la série CE

Remarque: Avant la configuration, assurez-vous qu'aucun service n'utilise les ports 135, 137, 139, 445 et 3389. Sinon, les services sont affectés..

1. Configurez une ACL avancée qui n'est pas utilisée sur le périphérique pour qu'elle corresponde aux ports de destination à protéger. Par exemple:

Acl 3000
 Rule  5 permit tcp destination-port eq 135
 Rule  10 permit udp destination-port eq 135
 Rule  15 permit tcp destination-port eq 137
 Rule  20 permit udp destination-port eq 137
 Rule  25 permit tcp destination-port eq 139
 Rule  30 permit udp destination-port eq 139
 Rule  35 permit tcp destination-port eq 445
 Rule  40 permit udp destination-port eq 445 

 Rule  45 permit tcp destination-port eq 3389 

 Rule  50 permit udp destination-port eq 3389

2. Configurez un traffic classifier pour correspondre l'ACL.
Traffic  classifier test
 if-match  acl 3000

3. Configurez le traffic behavior pour pouvoir jeter les paquets.
Traffic  behavior test
 deny

4. Configurez le traffic policy.
Traffic  policy test
 classifier test behavior test

5. Appliquez le policy à le 'global inbound direction' (la direction entrante globale).
Traffic-policy  test global  inbound

6. Validez le configuration.
Commit
Remarque: appliquez la stratégie à la direction entrante du périphérique. La stratégie de trafic sortant du CE12800 qui correspond aux adresses IP du trafic ne prend effet que sur le trafic de couche 3 transféré.