CISCO系列设备在防范冲击波病毒中的应用

lrxiang

CISCO系列设备在防范冲击波病毒中的应用
我们单位的局域中应用了许多CISCO的设备，出口路由器为CISCO7507路由器，PIX　520防火墙作NAT，对网络的分段是用CISCO3550三层交换机，联接用户使用的是CISCO2950和2924交换机，根据我在CISCO网站上相关的内容的学习，做出来如下设置：
一、发现局域网中感染冲击波病毒的主机，是利用netflow命令，当然要想使用这个命令，首先需要在相应端口上使能ip route-cache flow，方法如下：
conf t
inter fa4/0/0
ip route-cache flow
inter fa4/0/1
ip route-cache flow
下面的例子就可以列出哪台主机向目的主机的135端口发出数据，那么0087代表什么意思呢，它就十进制数135的十六进制表示啊，相应的69对应的是0045,4444对应的是115c。
cisco7507#show ip cache flow | include 0087
如果里面列出了许多主机，就说明局域中有许多主机感染了冲击波病毒，下面我们就说明一下解决的方法：
二、做一个访问列表：
conf t
access-list 115 deny   udp any any eq tftp
access-list 115 deny   tcp any any eq 135
access-list 115 deny   udp any any eq 135
access-list 115 deny   udp any any eq netbios-ns
access-list 115 deny   udp any any eq netbios-dgm
access-list 115 deny   tcp any any eq 139
access-list 115 deny   udp any any eq netbios-ss
access-list 115 deny   tcp any any eq 445
access-list 115 deny   tcp any any eq 593
access-list 115 deny   tcp any any eq 4444
access-list 115 permit ip any any
三、将该访问列表应用到路由器的各个端口上
inter fa4/0/0
ip access-group 115 in
ip access-group 115 out
inter fa4/0/1
ip access-group 115 in
ip access-group 115 out
这样做完后，冲击波病毒就无法通过路由器了。
四、PIX防火墙防范冲击波病毒的设置，CISCO网站上同样给出了相应的方案
只有进入conf t，然后将下面的内容全部写上就可以了。
access-list acl_inside deny udp any any eq 69
access-list acl_inside deny tcp any any eq 135
access-list acl_inside deny udp any any eq 135
access-list acl_inside deny tcp any any eq 137
access-list acl_inside deny udp any any eq 137
access-list acl_inside deny tcp any any eq 138
access-list acl_inside deny udp any any eq 138
access-list acl_inside deny tcp any any eq 139
access-list acl_inside deny udp any any eq 139
access-list acl_inside deny tcp any any eq 445
access-list acl_inside deny tcp any any eq 593
access-list acl_inside deny tcp any any eq 4444
access-list acl_inside permit ip any any
access-group acl_inside in interface inside
五、CISCO3550三层交换机的设置
首选建立一个访问列表
conf t
conf t
access-list 115 deny   udp any any eq tftp
access-list 115 deny   tcp any any eq 135
access-list 115 deny   udp any any eq 135
access-list 115 deny   udp any any eq netbios-ns
access-list 115 deny   udp any any eq netbios-dgm
access-list 115 deny   tcp any any eq 139
access-list 115 deny   udp any any eq netbios-ss
access-list 115 deny   tcp any any eq 445
access-list 115 deny   tcp any any eq 593
access-list 115 deny   tcp any any eq 4444
access-list 115 permit ip any any
然后就它依次应用到每个VLAN上，例如
conf t
inter vlan 2
ip access-group 115 in
ip access-group 115 out
inter vlan 3
ip access-group 115 in
ip access-group 115 out
inter vlan 4
ip access-group 115 in
ip access-group 115 out
当然，有多少个VLAN就需要将访问列表应用多少次。
六、CISCO2950交换机的设置
CISCO网站上说是每个物理端口都可以应用访问列表了，但是我们单位的交换机没有这个功能，所以没有办法试。
七、CISCO2924交换机
它就更没戏了。