各厂商接入交换机通过ACL限制端口应用的配置信息

最新推荐文章于 2025-06-02 15:27:00 发布
原创 最新推荐文章于 2025-06-02 15:27:00 发布 · 1.3w 阅读 · 50 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络 #交换机

这几天针对“勒索病毒”全世界都是限制445端口,现在工作单位也利用了这次机会对接入交换机进行了处理。现在将这些解决方案总结如下,希望能帮到需要的同行。

设备一:H3C S3528

版本信息:

Huawei Versatile Routing Platform Software
VRP Software, Version 5.20, Release 5309
Copyright (c) 1998-2009 Huawei Tech. Co., Ltd. All rights reserved.
Quidway S3528P-EA uptime is 155 weeks, 3 days, 4 hours, 51 minutes

Quidway S3528P-EA
128M    bytes DRAM
32M     bytes Flash Memory
Config Register points to FLASH

Hardware Version is REV.D
CPLD Version is CPLD 002
Bootrom Version is 206
[SubSlot  0] 24FE Hardware Version is REV.D
[SubSlot  1]  4GE Hardware Version is REV.D

配置方法:

1、创建ACL,限制指定的端口(注意:若最后加上了any到any的允许或拒绝,在流行为中配置了filter deny会导致断网)

       acl number 3200

               rule 0 deny tcp destination-port eq 135
               rule 5 deny tcp destination-port eq 136
               rule 10 deny tcp destination-port eq 137
               rule 15 deny tcp destination-port eq 138
               rule 20 deny tcp destination-port eq 139
               rule 25 deny tcp destination-port eq 445
               rule 30 deny udp destination-port eq 445
2、通过流量分类、行为、QOS策略进行关联

      1)、流分类:

              traffic classifier AntiVirus operator and                     “说明:这里的名称(斜体字)不能有特殊符号,不然检查状态可能出现<Failed>的错误”
                   if-match acl 3200

   &

最低0.47元/天 解锁文章

200万优质内容无限畅学
h3c交换机限制端口访问_勒索病毒,华为/H3C三层交换机/路由器用ACL访问控制实现端口禁用...
weixin_39999859的博客
12-21 1万+
前不久勒索病毒横行,很多人都纷纷中招,从公司到个人,损失相当惨重。有些公司在互联网入口上做了控制,但是这样并非完全,万一有人把中了毒的U盘插入网内设备上呢?那我们的内网中很有可能集体中招(打过相关补丁的除外)。我们今天就说说如何在路由、交换机上实现相应的访问控制,封堵相关端口,防止病毒在网络内部蔓延。以华为和H3C设备配置为例。什么?为什么没有思科?要啥自行车,我们需要支持国产!*********...
h3c交换机限制端口访问_H3C交换机限制局域网端口网限方法
weixin_39568232的博客
12-21 2744
原标题:H3C交换机限制局域网端口网限方法配置思路流量监管功能是通过QoS命令行实现。本案例中,用户采用固定IP,因此可以通过匹配用户IP地址的方法匹配用户流量,并对其做流量监管。配置步骤# 配置ACL规则匹配源IP为10.0.0.2的流量 system-view[H3C] acl number 3001[H3C-acl-adv-3001] rule permit ip source 10.0.0...
华为交换机ACL访问控制实现高危端口禁用
2302_78339399的博客
08-14 5773
classifier anti_wana behavior anti_wana //将流分类和流行为进行关联。traffic-policy anti_wana global outbound //全局应用出方向流策略。traffic-policy anti_wana global inbound //全局应用入方向流策略。#traffic policy anti_wana //创建流策略。deny //动作为禁止。
ACL配置应用
最新发布
Fanmeang的博客
06-02 1111
通过前面章节的学习我们已经知道,针对不同的业务模块,匹配的ACL规则的不同情形,结果则可能完全不同,故我们在配置ACL规则时需要遵循一定的规则,具体如下。 如果配置ACL规则存在包含关系,应注意严格条件的规则编号需要排序靠前,宽松条件的规则编号需要排序靠后,避免报文因先命中宽松条件的规则而停止往下据徐匹配,从而使其无法命中严格条件的规则。(大家也可以理解为要把命中范围比较大的规则放在靠后的位置,需要精准匹配的规则放在靠前的位置) 根据各业务模块ACL默认动作的不同,ACL配置原则也不同。例如,在默认动
ACL/访问控制列表
干铮的博客
01-13 795
ACL 1.Access Control List 2.ACL是一种包过滤技术。 3.ACL基于IP包头的IP地址、四层TCP/UDP头部的端口号、[5层数据] 基于三层和四层过滤 4.ACL在路由器上配置,也可以在防火墙上配置(一般称为策略) 5.ACL主要分为2大类: 1)标准ACL 2)扩展ACL 6.标准ACL: 表号:1-99 特点:只能基于源...
H3C交换机配置ACL禁止vlan间互访
北极之光
09-20 523
1、先把基础工作做好,就是配置VLAN,配置Trunk,确定10个VLAN和相应的端口都正确。假设10个VLAN的地址分别是192.168.10.X,192.168.20.X。。。。。。192.168.100.X,与VLAN号对应。2、为第一个VLAN 10创建一个ACL,命令为 ACL number 2000这个2000号,可以写的数是2000-2999,是基本的ACL定义。然后在这个A...
h3c交换机限制端口访问_H3C交换机端口限速和流量监管典型配置指导
weixin_39935777的博客
12-30 3795
system-view[Switch] interface GigabitEthernet 1/0/3[Switch-GigabitEthernet1/0/3] qos lr outbound cir 640 [Switch-GigabitEthernet1/0/3] quit针对 Host A 配置流量监管# 定义基本 ACL 2000,对源 IP 地址为 192.168.1.2 的报文进行分类...
思科交换机端口速率限制配置
05-26
### 思科交换机端口速率限制配置详解 #### 一、背景介绍 在网络管理中,合理地分配网络资源是非常重要的。对于大型企业和组织来说,确保关键业务应用和服务能够获得足够的带宽,同时限制非关键流量的影响是必要的...
华为交换机acl阻断端口配置
05-28
需要注意的是,华为交换机ACL分为基本ACL(2000-2999,基于源IP)、高级ACL(3000-3999,基于源/目的IP、端口、协议等)。用户需要阻断特定端口,应使用高级ACL,指定协议类型(如tcp/udp)和目的端口号。然后,通过...
华为数通——ACL
CLONS的博客
06-20 3211
ACL判别依据是五元组:源IP地址,源端口,目的IP地址,目的端口、协议。设置规则拒绝TCP协议,这里精准地址,反掩码0.0.0.0=0,到目的172.16.10.2,这里精准地址,反掩码0.0.0.0=0,端口23,eq=等于。设置规则拒绝icmp协议(ping)源地址范围,反掩码0.0.0.255,到172.16.10.2,这里精准地址,反掩码0.0.0.0=0。高级ACL(3000-3999):可以匹配源ip、目标ip、源端口、目标端口等三层和四层的字段。一个接口的同一个方向,只能调用一个ACL
勒索病毒,华为/H3C三层交换机/路由器用ACL访问控制实现端口禁用
HY3031104的博客
09-11 9140
前不久勒索病毒横行,很多人都纷纷中招,从公司到个人,损失相当惨重。有些公司在互联网入口上做了控制,但是这样并非完全,万一有人把中了毒的U盘插入网内设备上呢?那我们的内网中很有可能集体中招(打过相关补丁的除外)。我们今天就说说如何在路由、交换机上实现相应的访问控制,封堵相关端口,防止病毒在网络内部蔓延。以华为和H3C设备配置为例。什么?为什么...
ACL(访问控制列表)
weixin_62466637的博客
10-20 881
ACL 读取第三层,第四层包头信息。 根据预先定义好的规则对包进行过滤。 通信4元素:源地址、目的地址、源端口、目的端口 ACL的作用 用来对数据包做访问控制。 结合其他协议,用来匹配范围。 工作原理 当数据包从接口经过时,由于接口启用了ACL,此时路由器会对报文进行检查,然后作出相应处理。 ACL的种类 基于ACL(2000-2999):匹配IP地址 高级ACL(3000-3999):匹配源IP,目标IP,源端口,目标端口等三四层的字段和协议。 二层ACL(4000-4999):据数据
H3C 交换机封锁445端口防御病毒和漏洞
wu_huashan的专栏
10-24 4231
WIN7漏洞多,补丁会慢,可能蓝屏,可以用交换机封锁一些端口预防端口漏洞攻击。如永恒之蓝,H3C可以实现,但交换机型号不同,封锁方法必须修改才能有作用。
华为交换机使用高级ACL限制不同网段的用户互访案例
zqyqdn2021的博客
11-11 2264
限制不同网段互访,华为交换机配置ACL访问控制列表配置,华为数通案例
ACL ——路由器接口的 “ 保安 ”
qian_girl的博客
11-17 1041
ACL (Access Control Lists)——访问控制列表 ACL的安保作用: 1.在路由器流量的进出口匹配流量,限制进出 —— 保安监督出入人员 2.定义特定的流量 —— 学校封校,学生不给出入,教职工可自由出入 ACL匹配规则: 自上而下的依次匹配,且一旦匹配成功就不再再往下—— 高考志愿录取 CISCO和华为的区别: 1.Cisco拒绝所有(独裁),就是只有ACL允许的流量才可以进入,其他通通不可以 2.华为允许所有(** 没门槛**),只有ACL拒绝的流量才会被拒绝进入,别的全部都可
访问控制表ACL创建侦听端口
wdd_cn的博客
08-30 969
在命令行键入:netsh 键入:http 键入:show urlacl 键入:add urlacl url=http://+端口号/MyUri user=本机用户名
华三h3c系列交换机ACL实践
热门推荐
henu_lxz的博客
04-22 1万+
学习目标: 认识华三h3c的两种ACL:basic acl 、advancedacl如何使用acl中的source ip或destination ip在接口下或interface vlan调用时inbound/outbound。 学习内容: 本次实验的拓扑如下: 1、如上图所示在交换机SW1上配置basic acl控制R1或客户server 3访问内网ssh服务的接口地址或loop back地址。以便验证华三系列交换机如何配置basic acl并调用在接口下。 2、如上图所示在交换机SW1上配..
拒绝某IP访问某端口
aqvs9372的博客
05-05 714
拒绝某IP访问某端口: 1.创建acl访问控制列表acl number XXX 2.建立acl访问控制列表规则: rule XX permit source 10.70.3.XX 0允许某IP访问 rule XX deny拒绝其他流量 3.将acl访问控制列表,应用端口之下:packet-filter XXX outbound inbound和outbound ...
网络-ACL配置
qq_43982499的博客
01-25 1062
rule {deny:拒绝/permit:允许} source {源地址}{匹配公式} destination{目的地址} destination-port eq(等于) 端口匹配公式:{ip 反掩码},反掩码:既0匹配1不匹配(匹配对象是地址)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值