①在【防火墙设置】-【网络服务设置】自定义网络服务,定义TCP和UDP的135/137/138/139/445端口,规则名称可以自行命名,假设为:【拒绝勒索病毒】
【注意】TCP和UDP端口都要加上
②在【防火墙设置】-【过滤规则设置】-【WAN-LAN】新增过滤规则,规则名称可以自定义,方向WAN>LAN,规则动作:拒绝,服务对象选择刚刚定义的服务【拒绝勒索病毒】,源IP组和目的IP组都选择【ALL IP】
策略新建完后上移到第一条
【注意】若SSL VPN的DMZ口也启用了,也需要按照如上方式配置【WAN>DMZ】的防火墙过滤规则
2、禁止ipsec vpn两端网络的135/137/138/139/445端口的互访,避免内部中毒机器在vpn网络传播病毒
①还是自定义网络服务,与第一点一样不再赘述
②在【防火墙设置】-【过滤规则设置】-【VPN-LAN】新增两条过滤规则,规则名称可以自定义,方向【VPN>LAN】和【LAN>VPN】的各建一条,规则动作:拒绝,服务对象选择刚刚定义的服务【拒绝勒索病毒】,
源IP组和目的IP组都选择【ALL IP】
策略新建完后上移到第一条
【注意】若SSL VPN的DMZ口也启用了,也需要按照如上方式配置【VPN<>DMZ】的防火墙过滤规则
3、禁止SSL VPN客户端通过SSL VPN资源访问内网135/137/138/139/445端口,避免SSL VPN客户端电脑通过SSL VPN资源传播病毒
①检查用户是否有关联L3VPN全网资源,若使用了L3VPN全网资源,建议将针对具体应用发布成IP+端口的形式
②检查SSL VPN资源是否有发布TCP/UDP135/137/138/139/445端口,如果有建议从资源里面去掉137/138/139/445端口的发布,比如本身发布的1-65535可修改为具体应用的端口
③若资源配置较多,手动调整不太方便,建议通过内网防火墙、上网行为管理、交换机等设备对SSL VPN设备接口IP以及虚拟IP池网段设置策略,禁止135/137/138/139/445与内网互通
【特别注意】按照以上配置方式禁止135/137/138/139/445端口的访问后,若有业务本身使用的是135/137/138/139/445端口,将影响业务的正常使用,请特别注意
4、SSL远程存储功能调用了微软SMB服务,针对此种情况,请在远程应用服务器、远程存储服务器更新微软官方补丁
附带相关补丁下载链接:
Windows Server2003
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
Windows Server 2008
http://www.catalog.update.microsoft.com/search.aspx?q=4012598
Windows Server 2008 R2
http://www.catalog.update.microsoft.com/search.aspx?q=4012212
Windows Server 2012 R2
http://www.catalog.update.microsoft.com/search.aspx?q=4012213
Windows Server 2012
http://www.catalog.update.microsoft.com/search.aspx?q=4012214
更多的防护建议,请参考:
【WannaCry 勒索病毒】的工具/配置/指导大汇总!
http://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=29929
IPSEC|MIG|WOC防护勒索病毒策略配置建议:
http://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=29948
AD防护勒索病毒策略配置建议:
http://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=29947
发表于 2017-5-14 15:02
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
