关于对蠕虫病毒的预警和处理方法公告

目前，在Internet上正在流行着多种蠕虫病毒，此类病毒的共同特点是利用已知的微软*作系统或数据库软件（包括window或SQL Server等系统）的安全漏洞进行专门攻击。现在已知的在Internet范围内大面积流行的病毒有针对windows系统RPC漏洞的病毒“Worm_MSBlast.A”，也有针对SQL Server2000进行攻击的病毒。这些病毒的最终都对网络设备安全和网络资源进行了极大的破坏。请各地数通技术服务人员遇到此类问题，除督促用户及时进行查杀病毒外，还应注意到由于这些病毒并不攻击网络设备，所以可以通过网络设备的一些设置在一定程度上减轻病毒的传播和危害。因为此类病毒多是利用一些特定端口的TCP报文或UDP报文来进行传输，一旦通过网络抓包确认病毒报文的类型和端口号，就可以在网络设备上采用相应的过滤措施来减少病毒危害。例如针对没有安装SP3安全补丁的SQL Server2000进行攻击的就有一种使用1434端口号的 UDP报文，在发作时造成网络拥塞。在华为网络设备上可以采用增加访问规则，禁止对1434 UDP端口的访问的方法来减轻病毒的传播及危害。现在将针对1434端口的UDP报文进行访问拒绝的方法列举如下，请各位数通技术人员在处理类似问题时参考。

目的：针对目前网上出现的问题，对目的是端口号为1434的UDP报文进行过滤的配置方法，详细和复杂的配置请看配置手册。

l        NE80的配置：

NE80(config)#rule-map r1 udp any any eq 1434   

//r1为role-map的名字，udp 为关键字，any any 所有源、目的IP，eq为等于，1434为udp端口号  

NE80(config)#acl a1 r1 deny      

//a1为acl的名字，r1为要绑定的rule-map的名字，

NE80(config-if-Ethernet1/0/0)#access-group acl a1

//在1/0/0接口上绑定acl，acl为关键字，a1为acl的名字



l        NE16的配置：

NE16-4(config)#firewall enable all   

//首先启动防火墙

NE16-4(config)#access-list 101 deny udp any any eq 1434  

//deny为禁止的关键字，针对udp报文，any any 为所有源、目的IP，eq为等于， 1434为udp端口号

NE16-4(config-if-Ethernet2/2/0)#ip access-group 101 in

//在接口上启用access-list，in表示进来的报文，也可以用out表示出去的报文



l        中低端路由器的配置

[Router]firewall enable

[Router]acl 101

[Router-acl-101]rule deny udp source any destion any destination-port eq 1434

[Router-Ethernet0]firewall packet-filter 101 inbound



l        6506产品的配置：

旧命令行配置如下：

6506(config)#acl extended aaa deny protocol udp any any eq 1434

6506(config-if-Ethernet5/0/1)#access-group  aaa

国际化新命令行配置如下：

[Quidway]acl number 100

[Quidway-acl-adv-100]rule deny udp source any destination any destination-port eq 1434

[Quidway-acl-adv-100]quit

[Quidway]interface ethernet  5/0/1

[Quidway-Ethernet5/0/1]packet-filter inbound ip-group 100 not-care-for-interface



l        5516产品的配置：

旧命令行配置如下：

5516(config)#rule-map  l3 aaa protocol-type udp ingress any egress any eq 1434

5516(config)#flow-action fff deny

5516(config)#acl bbb aaa fff

5516(config)#access-group  bbb

国际化新命令行配置如下：

[Quidway]acl num 100

[Quidway-acl-adv-100]rule deny udp source any destination any destination-port eq 1434  

[Quidway]packet-filter ip-group 100



l        3526产品的配置：

旧命令行配置如下：

3526(config)#rule-map l3 r1 0.0.0.0 0.0.0.0 1.1.0.0 255.255.0.0 eq 1434                     

3526(config)# flow-action f1 deny                                                            

3526(config)# acl acl1 r1 f1                                                                 

3526(config)# access-group acl1

国际化新命令配置如下：

[3526]acl number 100                                                                  

[3526] rule 0 deny udp source 0.0.0.0 0 source-port eq 1434 destination 1.1.0.0 0

[3526]packet-filter ip-group 101 rule 0

注：3526产品只能配置外网对内网的过滤规则，其中1.1.0.0 255.255.0.0是内网的地址段。



l        8016产品的配置：

旧命令行配置如下：

8016(config)#rule-map intervlan aaa udp  any  any   eq 1434

8016(config)#acl bbb aaa deny

8016(config)#access-group acl bbb vlan 10 port all

国际化新命令行配置如下：

[8016]rule-map intervlan aaa udp  any  any   eq 1434

[8016]eacl bbb aaa deny

[8016]access-group eacl bbb vlan 10 port all



注意：如果在网络中实际运行中有需要使用SQL2000的1434端口的应用时，这样设置防火墙会造成业务不通。根本的解决方法还是下载SQL Server2000补丁版本和杀毒。

good