全面阻击“WannaCry”—华为WLAN产品防范方案
一. 【WLAN有线侧防御配置案例】产品族WLAN产品产品型号ACU2/AC6605/AC6005/AC6003/FAT AP
发布时间 重要程度重要
涉及版本V200R007V200R006V200R005
涉及应用范围AC作为无线AP控制器
漏洞外部编码CVE-2017-0143,CVE-2017-0144,CVE-2017-0145,CVE-2017-0146,CVE-2017-0147,CVE-2017-0148
针对WLAN用户,可登陆到WLAN AC上,通过访问控制策略临时阻断掉135,137,139以及445端口流量。方法如下:1.telnet/ssh 方式登录AC,进入设备配置2.创建阻断135,137,139,445端口的ACL,可使用的ACL number范围为3001~3031,此处用3001为例: acl 3001 rule 5 deny tcp destination-port eq 135 rule 10 deny udp destination-port eq 135 rule 15 deny tcp destination-port eq 137 rule 20 deny udp destination-port eq 137 rule 25 deny tcp destination-port eq 139 rule 30 deny udp destination-port eq 139 rule 35 deny tcp destination-port eq 445 rule 40 deny udp destination-port eq 445 rule 50 permit ip quit 3.配置基于ACL的流分类:traffic classifierRansomware if-match acl3001 quit4.配置流行为,动作为拒绝报文通过:traffic behaviorRansomware permit quit5.配置流策略Ransomware,将流分类Ransomware和流行为Ransomware关联:traffic policyRansomware classifierRansomwarebehaviorRansomware quit6.将流策略Ransomware应用到Eth-Trunk 1(连接上层设备口):dis this # interface Eth-Trunk1 description Connect to S12700_A_Eth-Trunk port link-type trunk undo port trunk allow-pass vlan 1 port trunk allow-pass vlan 720 800 810 3100 traffic-policy Ransomware inbound # return
二. 【WLAN无线侧防御配置案例】
产品族WLAN产品产品型号ACU2/AC6605/AC6005/AC6003/FAT AP
发布时间 重要程度重要
涉及版本V200R007V200R006
涉及应用范围AC作为无线AP控制器
漏洞外部编码CVE-2017-0143,CVE-2017-0144,CVE-2017-0145,CVE-2017-0146,CVE-2017-0147,CVE-2017-0148
方法一:CLI操作命令:1.创建阻断135,137,139,445端口的ACL,可使用的ACL number范围为3001~3031,此处用3001为例: acl 3001 rule 5 deny tcp destination-port eq 135 rule 10 deny udp destination-port eq 135 rule 15 deny tcp destination-port eq 137 rule 20 deny udp destination-port eq 137 rule 25 deny tcp destination-port eq 139 rule 30 deny udp destination-port eq 139 rule 35 deny tcp destination-port eq 445 rule 40 deny udp destination-port eq 445 rule 50 permit ip quit
2. 在WLAN视图的流量模板中添加该ACL策略(建议同时配置用户隔离功能),并将该流量模板与VAP绑定 traffic-profile name traffic user-isolatel2 traffic-filter inboundipv4 acl 3001 quit vap-profile name park traffic-profile traffic quit
方法二:Web界面操作指导1. 创建阻断135,137,139,445端口的ACL,,可使用的ACL number范围为3001~3031,此处用3001为例:http://forum.huawei.com/enterprise//data/attachment/forum/201705/15/20170515094234137001.png 2. 在WLAN视图的流量模板中添加该ACL策略和用户隔离(选配),并将该流量模板与VAP绑定http://forum.huawei.com/enterprise//data/attachment/forum/201705/15/20170515094234438002.png
http://forum.huawei.com/enterprise//data/attachment/forum/201705/15/20170515094235116003.png
产品族WLAN产品产品型号ACU2/AC6605/AC6005
发布时间 重要程度重要
涉及版本V200R005
涉及应用范围AC作为无线AP控制器
漏洞外部编码CVE-2017-0143,CVE-2017-0144,CVE-2017-0145,CVE-2017-0146,CVE-2017-0147,CVE-2017-0148
1. 1.创建阻断135,137,139,445端口的ACL,可使用的ACL number范围为3001~3031,此处用3001为例: acl 3001 rule 5 deny tcp destination-port eq 135 rule 10 deny udp destination-port eq 135 rule 15 deny tcp destination-port eq 137 rule 20 deny udp destination-port eq 137 rule 25 deny tcp destination-port eq 139 rule 30 deny udp destination-port eq 139 rule 35 deny tcp destination-port eq 445 rule 40 deny udp destination-port eq 445 rule 50 permit ip quit2. 在WLAN视图的服务集试图中,配置基于ACL对报文流经行过滤,以及用户隔离(选配)**** Hidden Message *****
支持一下~~~~ 感谢分享 华 值 {:6_264:}{:6_265:}{:6_267:}{:6_268:} 为 得 {:6_269:}{:6_273:}{:6_276:}{:6_277:} 认 拥 {:6_278:}{:6_280:}{:6_282:}{:6_283:} 证 有 {:6_285:}{:6_289:}{:6_290:}{:6_291:} , ! {:6_295:}{:6_298:}{:6_299:}{:6_301:} 华 值 {:6_264:}{:6_265:}{:6_267:}{:6_268:}
为 得 {:6_269:}{:6_273:}{:6_276:}{:6_277:}
认 拥 {:6_278:}{:6_280:}{:6_282:}{:6_283:}
证 有 {:6_285:}{:6_289:}{:6_290:}{:6_291:}
, ! {:6_295:}{:6_298:}{:6_299:}{:6_301:}
华 值 {:6_264:}{:6_265:}{:6_267:}{:6_268:}
为 得 {:6_269:}{:6_273:}{:6_276:}{:6_277:}
认 拥 {:6_278:}{:6_280:}{:6_282:}{:6_283:}
证 有 {:6_285:}{:6_289:}{:6_290:}{:6_291:}
, ! {:6_295:}{:6_298:}{:6_299:}{:6_301:}
华 值 {:6_264:}{:6_265:}{:6_267:}{:6_268:}
为 得 {:6_269:}{:6_273:}{:6_276:}{:6_277:}
认 拥 {:6_278:}{:6_280:}{:6_282:}{:6_283:}
证 有 {:6_285:}{:6_289:}{:6_290:}{:6_291:}
, ! {:6_295:}{:6_298:}{:6_299:}{:6_301:}
华 值 {:6_264:}{:6_265:}{:6_267:}{:6_268:}
为 得 {:6_269:}{:6_273:}{:6_276:}{:6_277:}
认 拥 {:6_278:}{:6_280:}{:6_282:}{:6_283:}
证 有 {:6_285:}{:6_289:}{:6_290:}{:6_291:}
, ! {:6_295:}{:6_298:}{:6_299:}{:6_301:}
华 值 {:6_264:}{:6_265:}{:6_267:}{:6_268:}
为 得 {:6_269:}{:6_273:}{:6_276:}{:6_277:}
认 拥 {:6_278:}{:6_280:}{:6_282:}{:6_283:}
证 有 {:6_285:}{:6_289:}{:6_290:}{:6_291:}
, ! {:6_295:}{:6_298:}{:6_299:}{:6_301:}
华 值 {:6_264:}{:6_265:}{:6_267:}{:6_268:}
为 得 {:6_269:}{:6_273:}{:6_276:}{:6_277:}
认 拥 {:6_278:}{:6_280:}{:6_282:}{:6_283:}
证 有 {:6_285:}{:6_289:}{:6_290:}{:6_291:}
, ! {:6_295:}{:6_298:}{:6_299:}{:6_301:}
华 值 {:6_264:}{:6_265:}{:6_267:}{:6_268:}
为 得 {:6_269:}{:6_273:}{:6_276:}{:6_277:}
认 拥 {:6_278:}{:6_280:}{:6_282:}{:6_283:}
证 有 {:6_285:}{:6_289:}{:6_290:}{:6_291:}
, ! {:6_295:}{:6_298:}{:6_299:}{:6_301:}
华 值 {:6_264:}{:6_265:}{:6_267:}{:6_268:}
为 得 {:6_269:}{:6_273:}{:6_276:}{:6_277:}
认 拥 {:6_278:}{:6_280:}{:6_282:}{:6_283:}
证 有 {:6_285:}{:6_289:}{:6_290:}{:6_291:}
, ! {:6_295:}{:6_298:}{:6_299:}{:6_301:}
华 值 {:6_264:}{:6_265:}{:6_267:}{:6_268:}
为 得 {:6_269:}{:6_273:}{:6_276:}{:6_277:}
认 拥 {:6_278:}{:6_280:}{:6_282:}{:6_283:}
证 有 {:6_285:}{:6_289:}{:6_290:}{:6_291:}
, ! {:6_295:}{:6_298:}{:6_299:}{:6_301:}
华 值 {:6_264:}{:6_265:}{:6_267:}{:6_268:}
为 得 {:6_269:}{:6_273:}{:6_276:}{:6_277:}
认 拥 {:6_278:}{:6_280:}{:6_282:}{:6_283:}
证 有 {:6_285:}{:6_289:}{:6_290:}{:6_291:}
, ! {:6_295:}{:6_298:}{:6_299:}{:6_301:}
华 值 {:6_264:}{:6_265:}{:6_267:}{:6_268:}
为 得 {:6_269:}{:6_273:}{:6_276:}{:6_277:}
认 拥 {:6_278:}{:6_280:}{:6_282:}{:6_283:}
证 有 {:6_285:}{:6_289:}{:6_290:}{:6_291:}
, ! {:6_295:}{:6_298:}{:6_299:}{:6_301:}
页:
[1]
2