关键词:
最近勒索病毒频发,导致全球范围内好多电脑中招。因为几个人,导致很多工程师都在加班。各大安全厂商、程序员、系统维护人员、网络维护人员全都忙得热火朝天。网络防护是防止病毒扩散的重要方法。很多小伙伴会问,我公司的路由器、交换机需要怎样防护呢?
第一、 为了防止不同网段之间的病毒扩散,可以在网关设备上做ACL来防护,举例如下:
access-list102 deny tcp any any eq 135
access-list102 deny udp any any eq 135
access-list102 deny udp any any eq netbios-ns
access-list102 deny udp any any eq netbios-dgm
access-list102 deny tcp any any eq 139
access-list102 deny udp any any eq netbios-ss
access-list102 deny tcp any any eq 445
access-list102 deny udp any any eq 445
access-list102 deny tcp any any eq 539
access-list102 deny udp any any eq 539
access-list102 deny tcp any any eq 593
access-list102 deny udp any any eq 593
access-list102 deny udp any any eq 1434
access-list102 deny tcp any any eq 4444
access-list 102 permit ip any any
interface vlan 100
ip access-group 102 in
因为普通ACL列表大家基本都会,只需要写好调用在VLAN接口下,就能阻止不同网段(不同VLAN)间病毒通过445端口扩散。
但是,此时有小伙伴就问了:不同网段是阻止了,同网段(VLAN)下怎么阻止?
第二、 下面我着重介绍一下VACL的概念和案例配置:
VACL,也就是VLAN MAP。思科原文档是这样写的:VLAN maps, whichis the only way to control filtering within a VLAN.VLAN maps have no direction。
(VLAN maps,唯一在VLAN内进行控制过滤的方法。VLANmap没有方向)
要配置vlan map ,首先要配置普通的ACL(包括MAC ACL,ACL等)。
配置步骤:
1、 创建一个你想应用在VLAN上的标准的IPV4 ACL或扩展的IPV4 ACL,或命名的MAC ACL。
2、 全局下敲 vlanaccess-map xxx 来创建一个access-map实例。
3、 在access-map配置模式下,配置命令actionforward或action drop来定义匹配数据流的行为;match命令来匹配数据流。
4、 全局下使用vlanfilter来命令来调用access-map到一个或多个VLAN上。
举例:
ip access listextended drop445
deny tcp any 1.1.1.1 eq 445 (排除主机到服务器的。此处假设域服务器IP为1.1.1.1)
deny tcp 1.1.1.1 any eq 445 (排除服务器到主机的)
premit tcp any any eq445 (匹配其他所有主机)
vlan access-map drop445map 10
match ip address drop445
action drop
vlan access-map drop445map 20
action forward
vlan filter drop445map vlan all
tips:有同学要问了,如果说我既在interfacevlan下配置了ACL,又配置了VACL(Vlan Map),那他们的工作优先顺序又是怎样的呢?直接见下图吧:
本文出自 “学习笔记-交流沟通” 博客,请务必保留此出处http://hatakexiu.blog.51cto.com/8687633/1926311
(转)akka学习笔记
Akka学习笔记系列文章: 《Akka学习笔记:ACTORS介绍》 《Akka学习笔记:Actor消息传递(1)》 《Akka学习笔记:Actor消息传递(2)》 《Akka学习笔记:日志》 《Akka学习笔记:测试Actors》 《Akka学习笔记:Actor消... 查看详情
efcodefirst学习笔记
EFCodeFirst学习笔记初识CodeFirstEFCodeFirst学习笔记:约定配置EntityFramework复杂类型EntityFramework数据生成选项DatabaseGeneratedEntityFramework并发处理EFCodeFirst学习笔记:关系EntityFrameworkCodeFirst级联删除EFCodeFirst学习笔记:表映射EFCodeFirst学习 查看详情
windows编程课程学习笔记
一.Windows程序内部运行机制--Windows编程课程学习笔记二.MFC框架程序分析--Windows编程课程学习笔记三.简单绘图--Windows编程课程学习笔记四.文本编程--Windows编程课程学习笔记五.菜单编程--Windows编程课程学习笔记六.对话框编程--Window... 查看详情
系列文章--node.js学习笔记系列
Node.js学习笔记系列总索引Nodejs学习笔记(一)---简介及安装Node.js开发环境Nodejs学习笔记(二)---事件模块Nodejs学习笔记(三)---模块Nodejs学习笔记(四)---与MySQL交互(felixge/node-mysql)Nodejs学习笔记(五)---Express安装入门与模... 查看详情
springboot学习笔记——thymeleaf(代码片段)
前置知识:SpringBoot学习笔记——SpringBoot简介与HelloWordSpringBoot学习笔记——源码初步解析SpringBoot学习笔记——配置文件yaml学习SpringBoot学习笔记——JSR303数据校验与多环境切换SpringBoot学习笔记——自动配置原理SpringBoot学习笔记... 查看详情
2022年spark基础学习笔记
一、Spark学习笔记在OpenStack私有云上创建与配置虚拟机Spark基础学习笔记01:初步了解SparkSpark基础学习笔记02:Spark运行时架构Spark基础学习笔记03:搭建Spark单机版环境Spark基础学习笔记04:搭建Spark伪分布式环境Spark基础学习笔记05... 查看详情
设计模式学习笔记(目录篇)
设计模式学习笔记(目录篇)为了方便查看,特此将设计模式学习笔记系列单独做一个目录。 1 设计模式学习笔记(一:命令模式)2 设计模式学习笔记(二:观察者模式)3 设计模式学习笔记(三:... 查看详情
深度学习笔记:lstm
深度学习笔记(一):logistic分类深度学习笔记(二):简单神经网络,后向传播算法及实现深度学习笔记(三):激活函数和损失函数深度学习笔记(四):循环神经网络的概念,结构和代码注释深度学习笔记(五):LSTM看到一篇讲LSTM非常... 查看详情
junit4学习笔记
JUnit4学习笔记以上就是JUnit4学习笔记的全部内容了,更多内容请关注:CPP学习网_CPP大学本文固定链接:CPP学习网_CPP大学-JUnit4学习笔记 查看详情
《南溪的目标检测学习笔记》——基础算子的学习笔记
1卷积层2池化层关于池化层的基本实现,请参考《22池化层【动手学深度学习v2】》; 查看详情
springcloud学习笔记
SpringCloud学习笔记 查看详情
redis学习笔记
Redis学习笔记 查看详情
深度学习笔记:lstm
深度学习笔记(一):logistic分类深度学习笔记(二):简单神经网络,后向传播算法及实现深度学习笔记(三):激活函数和损失函数深度学习笔记:优化方法总结(BGD,SGD,Momentum,AdaGrad,RMSProp,Adam)深度学习笔记(四):... 查看详情
docker学习笔记
Docker学习笔记准备 查看详情
树莓派学习笔记——gpio功能学习
树莓派学习笔记——GPIO功能学习 查看详情
nginx学习笔记
Nginx学习笔记准备中 查看详情
jvm学习笔记
JVM学习笔记准备中 查看详情
mbatisplus学习笔记
MbatisPlus学习笔记准备中 查看详情