|
AC防火墙黑名单用途举例 兼勒索病毒补丁检测
话题还是来源于群友讨论:有群友苦恼于找不到AC里某些IP地址是谁,于是我想到了可以做个AC黑名单,列入黑名单的IP禁止上网,这样就会逼着此IP用户主动找你解决问题而不是你漫无目的的到处去找。这一方法百试百灵,“老司机”都这么干,不信你就试试。
方法很简单: 首先,导航至“对象定义—IP组”,新增一个名称为“内网黑名单”的IP组,把你要禁止上网的IP写在列表中。
这样做的好处是,以后不管什么原因,凡是需要禁止或解禁上网的IP地址,只需要在这里增删就可以了,就不需要每次都修改防火墙策略了。
然后,导航至“系统管理—防火墙—过滤规则—WAN<->LAN”,新增并启用规则:动作选“拒绝”,网络服务选“all_protocol”,源IP组选上一步我们提前定义好的“内网黑名单”,目的IP组选“全部”,时间选“全天”,方向选“LAN->WAN”,最后提交。
至此,一个简单的AC防火墙黑名单就做好了,你就等着被黑的用户主动找你求饶就可以了。
利用这一方法,前些日子我解决了内网用户不听指挥,懒得装勒索病毒系统补丁的问题。在这里我一并跟大家共享一下:
前一阵子WannaCry把大家闹得忙活了一阵子,大家应该都记忆犹新。当时我们IT部门第一时间获得了这一消息,大周末的连夜下发紧急通知,让大家拔网线、装补丁、封端口……可是就有那么些人,要么是抱有侥幸心理、要么是不屑一顾、要么就是懒得动弹,反正是死活不装漏洞补丁……你说要是就三五十台的电脑,我就逐台亲自去给你装装了,可是几千台电脑总不能每一台我都给你去检查一遍吧?IT部门人本来就少……好吧,那就黑名单伺候!
要建黑名单,必须要有名单才行。如何知道哪些电脑没装系统补丁呢?这次360帮了大忙,它出了一个扫描“永恒之蓝”漏洞的工具,可能很多人不知道,用这一工具就可以扫描出没装补丁的电脑IP。这个工具的名字叫“ms17010detectv4.exe”,可以网上搜索下载,如果搜不到私信我我发给你。就是个命令行工具,语法如下:
一定记住要在上班时间,大家都开机的情况下扫描,也可以选择多个时间段多次扫描,省的有漏网之鱼。输入命令等候扫描完毕,会告诉你扫描结果,是类似这样一个结果:
好了,搜集到所有没装补丁的IP地址,你就可以把它们放到内网黑名单了。然后你就喝着茶,等着懒蛋们上不了网的时候着急火燎的给你打电话求助吧,这个时候你只需要告诉他“你没有按规定及时安装补丁,请按照通知要求及时安装补丁!”他会老老实实按要求安装好补丁。这个时候你就可以把他的IP地址从黑名单中清除了。
这招真的很管用,不信你试试!有一样咱先说开了,把人家加入黑名单,下班后如果背后挨板砖可别怪我昂,呵呵。
| 
发表于 2017-7-25 21:59
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
技术员1级 
