Guide de configuration de la défense sur les commutateurs de la série CE Famille de produits | Produits de réseau d'entreprise | modèle du produit | Commutateur de réseau de centre de données | Sorti le | 2017-05-14 | Mis à jour le | 2019-03-11 | V ersions impliquées | Toutes les versions | Gravité | Majeur |
Remarque: Avant la configuration, assurez-vous qu'aucun service n'utilise les ports 135, 137, 139, 445 et 3389. Sinon, les services sont affectés..
1. Configurez une ACL avancée qui n'est pas utilisée sur le périphérique pour qu'elle corresponde aux ports de destination à protéger. Par exemple:
Acl 3000 Rule 5 permit tcp destination-port eq 135 Rule 10 permit udp destination-port eq 135 Rule 15 permit tcp destination-port eq 137 Rule 20 permit udp destination-port eq 137 Rule 25 permit tcp destination-port eq 139 Rule 30 permit udp destination-port eq 139 Rule 35 permit tcp destination-port eq 445 Rule 40 permit udp destination-port eq 445 Rule 45 permit tcp destination-port eq 3389 Rule 50 permit udp destination-port eq 3389 2. Configurez un traffic classifier pour correspondre l'ACL. Traffic classifier test if-match acl 3000 3. Configurez le traffic behavior pour pouvoir jeter les paquets. Traffic behavior test deny 4. Configurez le traffic policy. Traffic policy test classifier test behavior test 5. Appliquez le policy à le 'global inbound direction' (la direction entrante globale). Traffic-policy test global inbound 6. Validez le configuration. Commit Remarque: appliquez la stratégie à la direction entrante du périphérique. La stratégie de trafic sortant du CE12800 qui correspond aux adresses IP du trafic ne prend effet que sur le trafic de couche 3 transféré. |