华为交换机常用的防病毒控制类表ACL
发布时间:2010/9/19 10:20:08 来源:城市学习网 编辑:ziteng
华为交换机常用的防病毒控制acl 列表:
一般如果在核心交换机的下行端口使用packet-filter inbound ip-group 进行配置,如果在汇聚交换机的上行端口配置使用packet-filter outbound ip-group。同时也可以在端口的两个方向都应用防病毒控制ACL列表。
【ACL列表详解】
acl number 3000
1. 用于控制Blaster蠕虫的传播
rule 1 deny tcp source any destination any destination-port eq 4444
rule 2 deny udp source any destination any destination-port eq 69
2. 用于控制Blaster蠕虫的扫描和攻击
rule 3 deny tcp source any destination any destination-port eq 135
rule 4 deny udp source any destination any destination-port eq 135
rule 5 deny tcp source any destination any destination-port eq 139
rule 6 deny udp source any destination any destination-port eq 139
rule 7 deny tcp source any destination any destination-port eq 445
rule 8 deny udp source any destination any destination-port eq 445
rule 9 deny tcp source any destination any destination-port eq 593
rule 10 deny udp source any destination any destination-port eq 593
3. 用于控制 Slammer 蠕虫的传播
rule 11 deny udp source any destination any destination-port eq 1434
4. 用于控制震荡波的传播
rule 12 deny tcp source any destination any destination-port eq 5554
rule 13 deny tcp source any destination any destination-port eq 9995
rule 14 deny tcp source any destination any destination-port eq 9996
5. 其他的防病毒列表(可以不作)
rule 15 deny tcp source any destination any destination-port eq 1068
rule 16 deny tcp source any destination any destination-port eq 5800
rule 17 deny tcp source any destination any destination-port eq 5900
rule 18 deny tcp source any destination any destination-port eq 10080
rule 19 deny tcp source any destination any destination-port eq 3208
rule 20 deny tcp source any destination any destination-port eq 1871
rule 21 deny tcp source any destination any destination-port eq 4510
rule 22 deny udp source any destination any destination-port eq 4334
rule 23 deny tcp source any destination any destination-port eq 4331
rule 24 deny tcp source any destination any destination-port eq 4557
rule 25 deny udp destination-port eq netbios-ns
rule 26 deny udp destination-port eq netbios-dgm
【举例】
在设备的0/2端口上下发防病毒控制列表
[S3952]acl number 3000
[S3952-acl-Advance-3000]rule ……(使用上述提到的常用防病毒列表)
[S3952]interface Ethernet 0/2
[S3952-Ethernet0/2]packet-filter inbound ip-group 3000
【补充说明】
S3026系列,S3526系列交换机acl的下发是在全局下发,S3528、S3552、S6500、 S8500、S3900、S5600是在端口上下发acl,S2000系列交换机目前只有S2000HI系列交换机支持acl的下发(全局模式下)。
