最实用的来了，应对勒索软件“WannaCry”的锐捷防范方案

5月12日晚，名为“WannaCry”（永恒之蓝）的勒索病毒全球爆发，中国众多用户“中招”。昨日，锐捷网络发布下一代防火墙的防范措施，建议客户及时调整防火墙及终端，防范病毒。为了帮助用户彻底杜绝该病毒，锐捷技术服务工程师彻夜撰写“攻略”，为广大用户进一步提供更为详细的处理方案。

出口网关产品

网络边界出口部署锐捷NPE/NBR/EG网关产品，主要采用禁止135、137、139、445服务端口防范风险。需要注意网关产品经常会部署很多的映射业务，请务必确认业务使用的端口是否有在此禁止行列，避免影响正常业务使用，具体方式如下:

Ruijie#configure terminal

Ruijie(config)#ip access-list extend deny_onion

Ruijie(config-ext-nacl)#10 deny tcp any any eq 135

Ruijie(config-ext-nacl)#20 deny tcp any any eq 137

Ruijie(config-ext-nacl)#30 deny tcp any any eq 139

Ruijie(config-ext-nacl)#40 deny tcp any any eq 445

Ruijie(config-ext-nacl)#50 deny udp any any eq 135

Ruijie(config-ext-nacl)#60 deny udp any any eq 137

Ruijie(config-ext-nacl)#70 deny udp any any eq 139

Ruijie(config-ext-nacl)#80 deny udp any any eq 445

Ruijie(config-ext-nacl)#100 permit ip any any  （风险点：最后必须配置允许所有，否则会导致断网）

Ruijie(config-ext-nacl)#exit

Ruijie(config)#ip session filter deny_onion （注意顺序，必须先配置deny_onion再配置ip session filter）

路由产品

网络边界出口部署锐捷RSR路由器产品，主要采用禁止135、137、139、445服务端口以防范风险。注意确认是否有其他正常业务涉及该端口，避免影响正常业务使用。

RSR1002e/RSR2004e/RSR2014EF/RSR3044/RSR30-X/RSR50E40/RSR77 /RSR77X系列产品推荐使用session filter方式，配置方式如下：

全局创建ACE表项，并在全局模式调用该ACL使其生效。

Ruijie#configure terminal

Ruijie(config)#ip access-list extend deny_onion

Ruijie(config-ext-nacl)#10 deny tcp any any eq 135

Ruijie(config-ext-nacl)#20 deny tcp any any eq 137

Ruijie(config-ext-nacl)#30 deny tcp any any eq 139

Ruijie(config-ext-nacl)#40 deny tcp any any eq 445

Ruijie(config-ext-nacl)#50 deny udp any any eq 135

Ruijie(config-ext-nacl)#60 deny udp any any eq 137

Ruijie(config-ext-nacl)#70 deny udp any any eq 139

Ruijie(config-ext-nacl)#80 deny udp any any eq 445

Ruijie(config-ext-nacl)#120 permit ip any any  （风险点：最后必须配置允许所有，否则会导致断网）

Ruijie(config-ext-nacl)#exit

Ruijie(config)#ip fpm session filter deny_onion

针对RSR20,RSR50,RSR50e系列不支持session filter功能的路由器设备，推荐使用ACL配置，配置方式如下:

Ruijie#configure terminal

Ruijie(config)#ip access-list extend deny_onion

Ruijie(config-ext-nacl)#10 deny tcp any any eq 135

Ruijie(config-ext-nacl)#20 deny tcp any any eq 137

Ruijie(config-ext-nacl)#30 deny tcp any any eq 139

Ruijie(config-ext-nacl)#40 deny tcp any any eq 445

Ruijie(config-ext-nacl)#50 deny udp any any eq 135

Ruijie(config-ext-nacl)#60 deny udp any any eq 137

Ruijie(config-ext-nacl)#70 deny udp any any eq 139

Ruijie(config-ext-nacl)#80 deny udp any any eq 445

Ruijie(config-ext-nacl)#120 permit ip any any  （风险点：最后必须配置允许所有，否则会导致断网）

Ruijie(config-ext-nacl)#exit

Ruijie(config)#interface gigabitEthernet 0/1  //根据不同端口进行调整

Ruijie(config-if-gigabitEthernet)#ip access-group deny_onion in

如果之前已经有配置这两种功能，只需要把这次过滤端口的ACE加入之前的ACL即可。

安全产品

网络边界安全区域部署锐捷防火墙产品，可以通过阻断漏洞端口或升级规则库的方式处理：

1）安全产品首先采用禁止TCP135、TCP/UDP137、TCP138、TCP139、TCP445服务端口。如部署出口的防火墙设备经常会部署很多的映射业务，请务必确认业务使用的端口是否有在此禁止行列，避免影响正常业务使用。

以全新下一代防火墙为例，配置步骤如下：

2）UTM特征库授权在有效期内的用户，可开启入侵防御或防病毒功能进行深度防御：

• RG-WALL 1600系列全新下一代防火墙产品（型号：RG-WALL 1600-S3100/S3600/M5100/M6600/X8500/9300），将入侵防御特征库更新到 11.00138 版本， 病毒特征库更新到 46.00760 版本之后，同时开启入侵防御和病毒防护功能即可有效拦截勒索病毒（入侵防御和病毒防护功能的具体配置方法，可参考产品的实施一本通）；

• RG-WALL 1600-E系列全新模块化防火墙产品（型号：RG-WALL 1600-E200/E400/E600/E800），将入侵防御特征库（ips特征库）规则库版本更新到 2017-04-16 版本，同时开启入侵防御功能即可有效拦截勒索病毒（入侵防御功能的具体配置方法，可参考产品的实施一本通）；

交换产品

若客户出口边界设备无法配置隔离，可考虑在交换产品与外网出口互联端口及其它存在感染病毒风险的入端口上部署ACL。但请注意确认是否有其他正常应用涉及该端口，避免影响正常业务使用，方式如下：

创建ACE表项

Ruijie#configure terminal

Ruijie(config)#ip access-list extend deny_onion

Ruijie(config-ext-nacl)#10 deny tcp any any eq 135

Ruijie(config-ext-nacl)#20 deny tcp any any eq 137 

Ruijie(config-ext-nacl)#30 deny tcp any any eq 139

Ruijie(config-ext-nacl)#40 deny tcp any any eq 445

Ruijie(config-ext-nacl)#50 deny udp any any eq 135 

Ruijie(config-ext-nacl)#60 deny udp any any eq 137 

Ruijie(config-ext-nacl)#70 deny udp any any eq 139 

Ruijie(config-ext-nacl)#80 deny udp any any eq 445 

Ruijie(config-ext-nacl)#120 permit ip any any   （风险点：最后必须配置允许所有，否则会导致断网）

Ruijie(config-ext-nacl)#exit

推荐选择在物理接口上应用该ACL，无需在SVI接口上配置。例如：

Ruijie(config)#interface gigabitEthernet 0/1  //根据不同端口进行调整

Ruijie(config-if-gigabitEthernet)#ip access-group deny_onion in

无线产品

如果网络中部署锐捷无线设备，主要采用禁止135、137、139、445服务端口以防范风险，注意确认是否有其他正常业务涉及该端口，避免影响正常业务使用。

1）如果AC在局域网环境，建议在出口设备做相应防护策略，无需调整AC配置。

2）如果AC作为互联网出口，则需在AC上部署ACL防护策略，具体配置方法如下:

注意：配置前请先确认是否有其他正常应用需使用以下端口，避免影响正常业务使用。

Ruijie#configure terminal

Ruijie(config)#ip access-list extend deny_onion

Ruijie(config-ext-nacl)#10 deny tcp any any eq 135

Ruijie(config-ext-nacl)#20 deny tcp any any eq 137 

Ruijie(config-ext-nacl)#30 deny tcp any any eq 139

Ruijie(config-ext-nacl)#40 deny tcp any any eq 445

Ruijie(config-ext-nacl)#50 deny udp any any eq 135 

Ruijie(config-ext-nacl)#60 deny udp any any eq 137 

Ruijie(config-ext-nacl)#70 deny udp any any eq 139 

Ruijie(config-ext-nacl)#80 deny udp any any eq 445 

Ruijie(config-ext-nacl)#120 permit ip any any  （风险点：最后必须配置允许所有，否则会导致断网）

Ruijie(config-ext-nacl)#exit

部署场景：

1）如果内网无线终端已经出现问题，在无线的wlansec下调用对应的无线ACL，防护内网

Ruijie(config)#wlansec 1   （注意：每个用户的wlansec下都需要调用）

Ruijie(config-wlansec)#ip access-group deny_onion in （注意顺序，必须配置好ACL deny_onion再配置ip access-group deny_onion in）

Ruijie(config-wlansec)#exit

Ruijie(config)#exit

Ruijie#write

2）如果当前内网无线使用正常，只需要防护外网的攻击报文，可在AC上联物理接口调用

Ruijie(config)# interface gigabitEthernet 0/1   （需要在AC上联的物理接口调用）

Ruijie (config-if-GigabitEthernet 0/1)#ip access-group deny_onion in （注意顺序，必须配置好ACL deny_onion再配置ip access-group deny_onion in）

Ruijie (config-if-GigabitEthernet 0/1)# exit

Ruijie(config)#exit

Ruijie#write

 软件及云桌面系列产品

基于微软操作系统运行的锐捷SAM/SMP/SNC软件、云桌面等产品，需按微软官方要求更新操作系统补丁，具体如下：

微软官方对公布的漏洞工具进行了分析，并在北京时间4月14日发布公告，对攻击工具涉及到的漏洞进行说明，其中大多数漏洞都已经在早期的补丁中解决，有4个在最近的漏洞补丁中解决。

受影响的Windows版本：

Windows NT/2000/XP/2003/Vista/7/8/2008/2008 R2/Server 2012

微软漏洞风险预警及防护方案：

****

其中MS17-010补丁是17年3月份刚发布的，该补丁修复了3个SMB重大漏洞，请尽快下载补丁进行升级。

如仍在使用windows xp， windows 2003操作系统的用户，参考如下微软公告进行补丁更新：

****

另外可以使用NSA武器库免疫工具进行检测和修复，下载地址：**** style="margin: 0px; padding: 0px; max-width: 100%; clear: both; min-height: 1em; box-sizing: border-box !important; word-wrap: break-word !important;">