本帖最后由 Minimal 于 2017-5-16 16:12 编辑
其实最有效果的还是这几个地方,一个是出口设备,比如ad当出口,保险起见,使用acl做一次拒绝135-139,445端口(对了如果ad开启snmp居然公网也开启161端口,醉了。。。做acl一遍拒绝掉)。第二个是核心设备或者接入设备,在接入设备好多可能不支持acl那就在三层设备上做一个acl应用在接口,最后一个也是最重要的用户设备,按照操作系统安装补丁,如果安装失败也不用怕,直接启用防火墙做入站策略拒绝响应端口,怕不保险,下个火绒,做一个ip策略再拒绝掉这几个端口,好多安全软件其实都有这些功能,例如nod32,你安装后自动给你拒绝这些端口,共享完全都用不了,出了名的严格。最最重要的就是平时的安全意识,并不是出问题再解决问题,为什么不提前预防。有时候真挺无奈的,这几天正好靠科三,整个考试都推迟了,平时如果大家都有安全意识,这个小病毒真的不算事儿好吗。。。不是说买了多贵的设备就能保平安,花钱谁不会,培养安全意识才最难。
最后分享几个平时用的比较多的nmap小命令
nmap -sT -p 445 192.168.1.2-254 TCP 445端口开放情况 nmap -sU -p 162 192.168.1.1 UDP 162端口开放情况
对于ping不通的设备可以使用
nmap -Pn -p 445 192.168.1.2-254
如果觉着麻烦就直接输
nmap -Pn 192.168.1.1 查看端口开放情况
如果想测试指定端口范围 可以这样
nmap -Pn -p 135-445 192.168.1.1
状态是filtered或者close就可以理解为是关闭状态,只有open才是真正可以访问的开放状态。
上面命令也可以做成脚本每天定时运行,如果发现有开放危险端口的终端,发邮件告警~ | 
发表于 2017-5-15 15:25
网管情何以堪。。
