日本一区二区精品人妻_H无码精品动漫在线观看导航_一区二区日韩动漫AV_亚洲AV网址在线

當前位置: 首頁 > 網(wǎng)絡安全 > 最實用的來了,應對勒索軟件“WannaCry”的銳捷防范方案

最實用的來了,應對勒索軟件“WannaCry”的銳捷防范方案

2017年05月15日 10:10:44 訪問量:15247


  https://mp.weixin.qq.com/s/XV9OOBOISBE2w12Hfq-Msw?ptlang=2052&source&ADUIN=10979402&ADSESSION=1494806778&ADTAG=CLIENT.QQ.5527_.0&ADPUBNO=26632


5月12日晚,名為“WannaCry”(永恒之藍)的勒索病毒全球爆發(fā),中國眾多用戶“中招”。昨日,銳捷網(wǎng)絡發(fā)布下一代防火墻的防范措施,建議客戶及時調(diào)整防火墻及終端,防范病毒。為了幫助用戶徹底杜絕該病毒,銳捷技術服務工程師徹夜撰寫“攻略”,為廣大用戶進一步提供更為詳細的處理方案。



銳捷產(chǎn)品針對“WannaCry”的防范措施


微軟官方發(fā)布的聲明稱,涉及的大部分漏洞已在微軟支持的產(chǎn)品中修復,廣大用戶及時更新Windows已發(fā)布的安全補丁即可從源頭防止主機感染病毒??紤]到近期有可能出現(xiàn)的攻擊威脅,CNVD(國家信息安全漏洞共享平臺)建議相關單位和個人用戶做好以下措施:


(一)關閉135、137、139、445等端口的外部網(wǎng)絡訪問權限,在服務器上關閉不必要的上述服務端口;


(二)加強對135、137、139、445等端口的內(nèi)部網(wǎng)絡區(qū)域訪問審計,及時發(fā)現(xiàn)非授權行為或潛在的攻擊行為。


采用銳捷產(chǎn)品組建的網(wǎng)絡,可以開啟相關產(chǎn)品功能進行預防,以防范和降低攻擊產(chǎn)生的影響。可在網(wǎng)絡邊界(出口網(wǎng)關、路由器或安全設備)、內(nèi)部網(wǎng)絡區(qū)域(交換機及無線設備)、主機安全(應用軟件)的業(yè)務優(yōu)先排布邏輯角度,部署安全策略,具體防范方案如下:


注意:若通過網(wǎng)絡設備阻斷445及其他關聯(lián)端口(如: 135、137、139端口)的外部網(wǎng)絡訪問權限,會影響到“文件共享”、”共享打印機”等功能的使用。


出口網(wǎng)關產(chǎn)品

網(wǎng)絡邊界出口部署銳捷NPE/NBR/EG網(wǎng)關產(chǎn)品,主要采用禁止135、137、139、445服務端口防范風險。需要注意網(wǎng)關產(chǎn)品經(jīng)常會部署很多的映射業(yè)務,請務必確認業(yè)務使用的端口是否有在此禁止行列,避免影響正常業(yè)務使用,具體方式如下:

Ruijie#configure terminal

Ruijie(config)#ip access-list extend deny_onion

Ruijie(config-ext-nacl)#10 deny tcp any any eq 135

Ruijie(config-ext-nacl)#20 deny tcp any any eq 137

Ruijie(config-ext-nacl)#30 deny tcp any any eq 139

Ruijie(config-ext-nacl)#40 deny tcp any any eq 445

Ruijie(config-ext-nacl)#50 deny udp any any eq 135

Ruijie(config-ext-nacl)#60 deny udp any any eq 137

Ruijie(config-ext-nacl)#70 deny udp any any eq 139

Ruijie(config-ext-nacl)#80 deny udp any any eq 445

Ruijie(config-ext-nacl)#100 permit ip any any  (風險點:最后必須配置允許所有,否則會導致斷網(wǎng)

Ruijie(config-ext-nacl)#exit

Ruijie(config)#ip session filter deny_onion (注意順序,必須先配置deny_onion再配置ip session filter


路由產(chǎn)品

網(wǎng)絡邊界出口部署銳捷RSR路由器產(chǎn)品,主要采用禁止135、137、139、445服務端口以防范風險。注意確認是否有其他正常業(yè)務涉及該端口,避免影響正常業(yè)務使用。


RSR1002e/RSR2004e/RSR2014EF/RSR3044/RSR30-X/RSR50E40/RSR77 /RSR77X系列產(chǎn)品推薦使用session filter方式,配置方式如下:


全局創(chuàng)建ACE表項,并在全局模式調(diào)用該ACL使其生效。

Ruijie#configure terminal

Ruijie(config)#ip access-list extend deny_onion

Ruijie(config-ext-nacl)#10 deny tcp any any eq 135

Ruijie(config-ext-nacl)#20 deny tcp any any eq 137

Ruijie(config-ext-nacl)#30 deny tcp any any eq 139

Ruijie(config-ext-nacl)#40 deny tcp any any eq 445

Ruijie(config-ext-nacl)#50 deny udp any any eq 135

Ruijie(config-ext-nacl)#60 deny udp any any eq 137

Ruijie(config-ext-nacl)#70 deny udp any any eq 139

Ruijie(config-ext-nacl)#80 deny udp any any eq 445

Ruijie(config-ext-nacl)#120 permit ip any any  (風險點:最后必須配置允許所有,否則會導致斷網(wǎng)

Ruijie(config-ext-nacl)#exit

Ruijie(config)#ip fpm session filter deny_onion


針對RSR20,RSR50,RSR50e系列不支持session filter功能的路由器設備,推薦使用ACL配置,配置方式如下:

Ruijie#configure terminal

Ruijie(config)#ip access-list extend deny_onion

Ruijie(config-ext-nacl)#10 deny tcp any any eq 135

Ruijie(config-ext-nacl)#20 deny tcp any any eq 137

Ruijie(config-ext-nacl)#30 deny tcp any any eq 139

Ruijie(config-ext-nacl)#40 deny tcp any any eq 445

Ruijie(config-ext-nacl)#50 deny udp any any eq 135

Ruijie(config-ext-nacl)#60 deny udp any any eq 137

Ruijie(config-ext-nacl)#70 deny udp any any eq 139

Ruijie(config-ext-nacl)#80 deny udp any any eq 445

Ruijie(config-ext-nacl)#120 permit ip any any  (風險點:最后必須配置允許所有,否則會導致斷網(wǎng)

Ruijie(config-ext-nacl)#exit

Ruijie(config)#interface gigabitEthernet 0/1  //根據(jù)不同端口進行調(diào)整

Ruijie(config-if-gigabitEthernet)#ip access-group deny_onion in


如果之前已經(jīng)有配置這兩種功能,只需要把這次過濾端口的ACE加入之前的ACL即可。

安全產(chǎn)品


網(wǎng)絡邊界安全區(qū)域部署銳捷防火墻產(chǎn)品,可以通過阻斷漏洞端口或升級規(guī)則庫的方式處理:


1)安全產(chǎn)品首先采用禁止TCP135、TCP/UDP137、TCP138、TCP139、TCP445服務端口。如部署出口的防火墻設備經(jīng)常會部署很多的映射業(yè)務,請務必確認業(yè)務使用的端口是否有在此禁止行列,避免影響正常業(yè)務使用。

以全新下一代防火墻為例,配置步驟如下:



2)UTM特征庫授權在有效期內(nèi)的用戶,可開啟入侵防御或防病毒功能進行深度防御:

  • RG-WALL 1600系列全新下一代防火墻產(chǎn)品(型號:RG-WALL 1600-S3100/S3600/M5100/M6600/X8500/9300),將入侵防御特征庫更新到 11.00138 版本, 病毒特征庫更新到 46.00760 版本之后,同時開啟入侵防御和病毒防護功能即可有效攔截勒索病毒(入侵防御和病毒防護功能的具體配置方法,可參考產(chǎn)品的實施一本通);


  • RG-WALL 1600-E系列全新模塊化防火墻產(chǎn)品(型號:RG-WALL 1600-E200/E400/E600/E800),將入侵防御特征庫(ips特征庫)規(guī)則庫版本更新到 2017-04-16 版本,同時開啟入侵防御功能即可有效攔截勒索病毒(入侵防御功能的具體配置方法,可參考產(chǎn)品的實施一本通);


交換產(chǎn)品


若客戶出口邊界設備無法配置隔離,可考慮在交換產(chǎn)品與外網(wǎng)出口互聯(lián)端口及其它存在感染病毒風險的入端口上部署ACL。但請注意確認是否有其他正常應用涉及該端口,避免影響正常業(yè)務使用,方式如下:


創(chuàng)建ACE表項

Ruijie#configure terminal

Ruijie(config)#ip access-list extend deny_onion

Ruijie(config-ext-nacl)#10 deny tcp any any eq 135

Ruijie(config-ext-nacl)#20 deny tcp any any eq 137 

Ruijie(config-ext-nacl)#30 deny tcp any any eq 139

Ruijie(config-ext-nacl)#40 deny tcp any any eq 445

Ruijie(config-ext-nacl)#50 deny udp any any eq 135 

Ruijie(config-ext-nacl)#60 deny udp any any eq 137 

Ruijie(config-ext-nacl)#70 deny udp any any eq 139 

Ruijie(config-ext-nacl)#80 deny udp any any eq 445 

Ruijie(config-ext-nacl)#120 permit ip any any   (風險點:最后必須配置允許所有,否則會導致斷網(wǎng)

Ruijie(config-ext-nacl)#exit


推薦選擇在物理接口上應用該ACL,無需在SVI接口上配置。例如:

Ruijie(config)#interface gigabitEthernet 0/1  //根據(jù)不同端口進行調(diào)整

Ruijie(config-if-gigabitEthernet)#ip access-group deny_onion in


無線產(chǎn)品

如果網(wǎng)絡中部署銳捷無線設備,主要采用禁止135、137、139、445服務端口以防范風險,注意確認是否有其他正常業(yè)務涉及該端口,避免影響正常業(yè)務使用。


1)如果AC在局域網(wǎng)環(huán)境,建議在出口設備做相應防護策略,無需調(diào)整AC配置。


2)如果AC作為互聯(lián)網(wǎng)出口,則需在AC上部署ACL防護策略,具體配置方法如下:


注意:配置前請先確認是否有其他正常應用需使用以下端口,避免影響正常業(yè)務使用。


Ruijie#configure terminal

Ruijie(config)#ip access-list extend deny_onion

Ruijie(config-ext-nacl)#10 deny tcp any any eq 135

Ruijie(config-ext-nacl)#20 deny tcp any any eq 137 

Ruijie(config-ext-nacl)#30 deny tcp any any eq 139

Ruijie(config-ext-nacl)#40 deny tcp any any eq 445

Ruijie(config-ext-nacl)#50 deny udp any any eq 135 

Ruijie(config-ext-nacl)#60 deny udp any any eq 137 

Ruijie(config-ext-nacl)#70 deny udp any any eq 139 

Ruijie(config-ext-nacl)#80 deny udp any any eq 445 

Ruijie(config-ext-nacl)#120 permit ip any any  (風險點:最后必須配置允許所有,否則會導致斷網(wǎng)

Ruijie(config-ext-nacl)#exit


部署場景:


1)如果內(nèi)網(wǎng)無線終端已經(jīng)出現(xiàn)問題,在無線的wlansec下調(diào)用對應的無線ACL,防護內(nèi)網(wǎng)


Ruijie(config)#wlansec 1   (注意:每個用戶的wlansec下都需要調(diào)用

Ruijie(config-wlansec)#ip access-group deny_onion in (注意順序,必須配置好ACL deny_onion再配置ip access-group deny_onion in

Ruijie(config-wlansec)#exit

Ruijie(config)#exit

Ruijie#write


2)如果當前內(nèi)網(wǎng)無線使用正常,只需要防護外網(wǎng)的攻擊報文,可在AC上聯(lián)物理接口調(diào)用


Ruijie(config)# interface gigabitEthernet 0/1   (需要在AC上聯(lián)的物理接口調(diào)用

Ruijie (config-if-GigabitEthernet 0/1)#ip access-group deny_onion in (注意順序,必須配置好ACL deny_onion再配置ip access-group deny_onion in

Ruijie (config-if-GigabitEthernet 0/1)# exit

Ruijie(config)#exit

Ruijie#write


 軟件及云桌面系列產(chǎn)品

基于微軟操作系統(tǒng)運行的銳捷SAM/SMP/SNC軟件、云桌面等產(chǎn)品,需按微軟官方要求更新操作系統(tǒng)補丁,具體如下:


微軟官方對公布的漏洞工具進行了分析,并在北京時間4月14日發(fā)布公告,對攻擊工具涉及到的漏洞進行說明,其中大多數(shù)漏洞都已經(jīng)在早期的補丁中解決,有4個在最近的漏洞補丁中解決。


受影響的Windows版本:

Windows NT/2000/XP/2003/Vista/7/8/2008/2008 R2/Server 2012


微軟漏洞風險預警及防護方案:

****


其中MS17-010補丁是17年3月份剛發(fā)布的,該補丁修復了3個SMB重大漏洞,請盡快下載補丁進行升級。


如仍在使用windows xp, windows 2003操作系統(tǒng)的用戶,參考如下微軟公告進行補丁更新:

****


另外可以使用NSA武器庫免疫工具進行檢測和修復,下載地址:**** style="margin: 0px; padding: 0px; max-width: 100%; clear: both; min-height: 1em; box-sizing: border-box !important; word-wrap: break-word !important;">


如需進一步咨詢或技術支持,可以聯(lián)系統(tǒng)一客服電話:4008-111-000。

編輯:陳小波
評論區(qū)
發(fā)表評論

評論僅供會員表達個人看法,并不表明網(wǎng)校同意其觀點或證實其描述
工信部備案查詢 中國現(xiàn)代教育網(wǎng)
四川省江油市第一中學(簡稱:江油一中) 版權所有
地址:四川省江油市詩仙路東段168號 郵編:621700
蜀ICP備14002710號 蜀ICP備14002710號-2 蜀ICP備14002710號-3
川公網(wǎng)安備 51078102110050號 川公網(wǎng)安備 51078102110171號

北京網(wǎng)笑科技有限公司 僅提供技術支持 違法和不良信息舉報中心