5月12日晚，名為“WannaCry”（永恒之藍(lán)）的勒索病毒全球爆發(fā)，中國(guó)眾多用戶“中招”。昨日，銳捷網(wǎng)絡(luò)發(fā)布下一代防火墻的防范措施，建議客戶及時(shí)調(diào)整防火墻及終端，防范病毒。為了幫助用戶徹底杜絕該病毒，銳捷技術(shù)服務(wù)工程師徹夜撰寫“攻略”，為廣大用戶進(jìn)一步提供更為詳細(xì)的處理方案。

出口網(wǎng)關(guān)產(chǎn)品

網(wǎng)絡(luò)邊界出口部署銳捷NPE/NBR/EG網(wǎng)關(guān)產(chǎn)品，主要采用禁止135、137、139、445服務(wù)端口防范風(fēng)險(xiǎn)。需要注意網(wǎng)關(guān)產(chǎn)品經(jīng)常會(huì)部署很多的映射業(yè)務(wù)，請(qǐng)務(wù)必確認(rèn)業(yè)務(wù)使用的端口是否有在此禁止行列，避免影響正常業(yè)務(wù)使用，具體方式如下:

Ruijie#configure terminal

Ruijie(config)#ip access-list extend deny_onion

Ruijie(config-ext-nacl)#10 deny tcp any any eq 135

Ruijie(config-ext-nacl)#20 deny tcp any any eq 137

Ruijie(config-ext-nacl)#30 deny tcp any any eq 139

Ruijie(config-ext-nacl)#40 deny tcp any any eq 445

Ruijie(config-ext-nacl)#50 deny udp any any eq 135

Ruijie(config-ext-nacl)#60 deny udp any any eq 137

Ruijie(config-ext-nacl)#70 deny udp any any eq 139

Ruijie(config-ext-nacl)#80 deny udp any any eq 445

Ruijie(config-ext-nacl)#100 permit ip any any  （風(fēng)險(xiǎn)點(diǎn)：最后必須配置允許所有，否則會(huì)導(dǎo)致斷網(wǎng)）

Ruijie(config-ext-nacl)#exit

Ruijie(config)#ip session filter deny_onion （注意順序，必須先配置deny_onion再配置ip session filter）

路由產(chǎn)品

網(wǎng)絡(luò)邊界出口部署銳捷RSR路由器產(chǎn)品，主要采用禁止135、137、139、445服務(wù)端口以防范風(fēng)險(xiǎn)。注意確認(rèn)是否有其他正常業(yè)務(wù)涉及該端口，避免影響正常業(yè)務(wù)使用。

RSR1002e/RSR2004e/RSR2014EF/RSR3044/RSR30-X/RSR50E40/RSR77 /RSR77X系列產(chǎn)品推薦使用session filter方式，配置方式如下：

全局創(chuàng)建ACE表項(xiàng)，并在全局模式調(diào)用該ACL使其生效。

Ruijie#configure terminal

Ruijie(config)#ip access-list extend deny_onion

Ruijie(config-ext-nacl)#10 deny tcp any any eq 135

Ruijie(config-ext-nacl)#20 deny tcp any any eq 137

Ruijie(config-ext-nacl)#30 deny tcp any any eq 139

Ruijie(config-ext-nacl)#40 deny tcp any any eq 445

Ruijie(config-ext-nacl)#50 deny udp any any eq 135

Ruijie(config-ext-nacl)#60 deny udp any any eq 137

Ruijie(config-ext-nacl)#70 deny udp any any eq 139

Ruijie(config-ext-nacl)#80 deny udp any any eq 445

Ruijie(config-ext-nacl)#120 permit ip any any  （風(fēng)險(xiǎn)點(diǎn)：最后必須配置允許所有，否則會(huì)導(dǎo)致斷網(wǎng)）

Ruijie(config-ext-nacl)#exit

Ruijie(config)#ip fpm session filter deny_onion

針對(duì)RSR20,RSR50,RSR50e系列不支持session filter功能的路由器設(shè)備，推薦使用ACL配置，配置方式如下:

Ruijie#configure terminal

Ruijie(config)#ip access-list extend deny_onion

Ruijie(config-ext-nacl)#10 deny tcp any any eq 135

Ruijie(config-ext-nacl)#20 deny tcp any any eq 137

Ruijie(config-ext-nacl)#30 deny tcp any any eq 139

Ruijie(config-ext-nacl)#40 deny tcp any any eq 445

Ruijie(config-ext-nacl)#50 deny udp any any eq 135

Ruijie(config-ext-nacl)#60 deny udp any any eq 137

Ruijie(config-ext-nacl)#70 deny udp any any eq 139

Ruijie(config-ext-nacl)#80 deny udp any any eq 445

Ruijie(config-ext-nacl)#120 permit ip any any  （風(fēng)險(xiǎn)點(diǎn)：最后必須配置允許所有，否則會(huì)導(dǎo)致斷網(wǎng)）

Ruijie(config-ext-nacl)#exit

Ruijie(config)#interface gigabitEthernet 0/1  //根據(jù)不同端口進(jìn)行調(diào)整

Ruijie(config-if-gigabitEthernet)#ip access-group deny_onion in

如果之前已經(jīng)有配置這兩種功能，只需要把這次過濾端口的ACE加入之前的ACL即可。

安全產(chǎn)品

網(wǎng)絡(luò)邊界安全區(qū)域部署銳捷防火墻產(chǎn)品，可以通過阻斷漏洞端口或升級(jí)規(guī)則庫(kù)的方式處理：

1）安全產(chǎn)品首先采用禁止TCP135、TCP/UDP137、TCP138、TCP139、TCP445服務(wù)端口。如部署出口的防火墻設(shè)備經(jīng)常會(huì)部署很多的映射業(yè)務(wù)，請(qǐng)務(wù)必確認(rèn)業(yè)務(wù)使用的端口是否有在此禁止行列，避免影響正常業(yè)務(wù)使用。

以全新下一代防火墻為例，配置步驟如下：

2）UTM特征庫(kù)授權(quán)在有效期內(nèi)的用戶，可開啟入侵防御或防病毒功能進(jìn)行深度防御：

• RG-WALL 1600系列全新下一代防火墻產(chǎn)品（型號(hào)：RG-WALL 1600-S3100/S3600/M5100/M6600/X8500/9300），將入侵防御特征庫(kù)更新到 11.00138 版本， 病毒特征庫(kù)更新到 46.00760 版本之后，同時(shí)開啟入侵防御和病毒防護(hù)功能即可有效攔截勒索病毒（入侵防御和病毒防護(hù)功能的具體配置方法，可參考產(chǎn)品的實(shí)施一本通）；

• RG-WALL 1600-E系列全新模塊化防火墻產(chǎn)品（型號(hào)：RG-WALL 1600-E200/E400/E600/E800），將入侵防御特征庫(kù)（ips特征庫(kù)）規(guī)則庫(kù)版本更新到 2017-04-16 版本，同時(shí)開啟入侵防御功能即可有效攔截勒索病毒（入侵防御功能的具體配置方法，可參考產(chǎn)品的實(shí)施一本通）；

交換產(chǎn)品

若客戶出口邊界設(shè)備無法配置隔離，可考慮在交換產(chǎn)品與外網(wǎng)出口互聯(lián)端口及其它存在感染病毒風(fēng)險(xiǎn)的入端口上部署ACL。但請(qǐng)注意確認(rèn)是否有其他正常應(yīng)用涉及該端口，避免影響正常業(yè)務(wù)使用，方式如下：

創(chuàng)建ACE表項(xiàng)

Ruijie#configure terminal

Ruijie(config)#ip access-list extend deny_onion

Ruijie(config-ext-nacl)#10 deny tcp any any eq 135

Ruijie(config-ext-nacl)#20 deny tcp any any eq 137 

Ruijie(config-ext-nacl)#30 deny tcp any any eq 139

Ruijie(config-ext-nacl)#40 deny tcp any any eq 445

Ruijie(config-ext-nacl)#50 deny udp any any eq 135 

Ruijie(config-ext-nacl)#60 deny udp any any eq 137 

Ruijie(config-ext-nacl)#70 deny udp any any eq 139 

Ruijie(config-ext-nacl)#80 deny udp any any eq 445 

Ruijie(config-ext-nacl)#120 permit ip any any   （風(fēng)險(xiǎn)點(diǎn)：最后必須配置允許所有，否則會(huì)導(dǎo)致斷網(wǎng)）

Ruijie(config-ext-nacl)#exit

推薦選擇在物理接口上應(yīng)用該ACL，無需在SVI接口上配置。例如：

Ruijie(config)#interface gigabitEthernet 0/1  //根據(jù)不同端口進(jìn)行調(diào)整

Ruijie(config-if-gigabitEthernet)#ip access-group deny_onion in

無線產(chǎn)品

如果網(wǎng)絡(luò)中部署銳捷無線設(shè)備，主要采用禁止135、137、139、445服務(wù)端口以防范風(fēng)險(xiǎn)，注意確認(rèn)是否有其他正常業(yè)務(wù)涉及該端口，避免影響正常業(yè)務(wù)使用。

1）如果AC在局域網(wǎng)環(huán)境，建議在出口設(shè)備做相應(yīng)防護(hù)策略，無需調(diào)整AC配置。

2）如果AC作為互聯(lián)網(wǎng)出口，則需在AC上部署ACL防護(hù)策略，具體配置方法如下:

注意：配置前請(qǐng)先確認(rèn)是否有其他正常應(yīng)用需使用以下端口，避免影響正常業(yè)務(wù)使用。

Ruijie#configure terminal

Ruijie(config)#ip access-list extend deny_onion

Ruijie(config-ext-nacl)#10 deny tcp any any eq 135

Ruijie(config-ext-nacl)#20 deny tcp any any eq 137 

Ruijie(config-ext-nacl)#30 deny tcp any any eq 139

Ruijie(config-ext-nacl)#40 deny tcp any any eq 445

Ruijie(config-ext-nacl)#50 deny udp any any eq 135 

Ruijie(config-ext-nacl)#60 deny udp any any eq 137 

Ruijie(config-ext-nacl)#70 deny udp any any eq 139 

Ruijie(config-ext-nacl)#80 deny udp any any eq 445 

Ruijie(config-ext-nacl)#120 permit ip any any  （風(fēng)險(xiǎn)點(diǎn)：最后必須配置允許所有，否則會(huì)導(dǎo)致斷網(wǎng)）

Ruijie(config-ext-nacl)#exit

部署場(chǎng)景：

1）如果內(nèi)網(wǎng)無線終端已經(jīng)出現(xiàn)問題，在無線的wlansec下調(diào)用對(duì)應(yīng)的無線ACL，防護(hù)內(nèi)網(wǎng)

Ruijie(config)#wlansec 1   （注意：每個(gè)用戶的wlansec下都需要調(diào)用）

Ruijie(config-wlansec)#ip access-group deny_onion in （注意順序，必須配置好ACL deny_onion再配置ip access-group deny_onion in）

Ruijie(config-wlansec)#exit

Ruijie(config)#exit

Ruijie#write

2）如果當(dāng)前內(nèi)網(wǎng)無線使用正常，只需要防護(hù)外網(wǎng)的攻擊報(bào)文，可在AC上聯(lián)物理接口調(diào)用

Ruijie(config)# interface gigabitEthernet 0/1   （需要在AC上聯(lián)的物理接口調(diào)用）

Ruijie (config-if-GigabitEthernet 0/1)#ip access-group deny_onion in （注意順序，必須配置好ACL deny_onion再配置ip access-group deny_onion in）

Ruijie (config-if-GigabitEthernet 0/1)# exit

Ruijie(config)#exit

Ruijie#write

 軟件及云桌面系列產(chǎn)品

基于微軟操作系統(tǒng)運(yùn)行的銳捷SAM/SMP/SNC軟件、云桌面等產(chǎn)品，需按微軟官方要求更新操作系統(tǒng)補(bǔ)丁，具體如下：

微軟官方對(duì)公布的漏洞工具進(jìn)行了分析，并在北京時(shí)間4月14日發(fā)布公告，對(duì)攻擊工具涉及到的漏洞進(jìn)行說明，其中大多數(shù)漏洞都已經(jīng)在早期的補(bǔ)丁中解決，有4個(gè)在最近的漏洞補(bǔ)丁中解決。

受影響的Windows版本：

Windows NT/2000/XP/2003/Vista/7/8/2008/2008 R2/Server 2012

微軟漏洞風(fēng)險(xiǎn)預(yù)警及防護(hù)方案：

****

其中MS17-010補(bǔ)丁是17年3月份剛發(fā)布的，該補(bǔ)丁修復(fù)了3個(gè)SMB重大漏洞，請(qǐng)盡快下載補(bǔ)丁進(jìn)行升級(jí)。

如仍在使用windows xp， windows 2003操作系統(tǒng)的用戶，參考如下微軟公告進(jìn)行補(bǔ)丁更新：

****

另外可以使用NSA武器庫(kù)免疫工具進(jìn)行檢測(cè)和修復(fù)，下載地址：**** style="margin: 0px; padding: 0px; max-width: 100%; clear: both; min-height: 1em; box-sizing: border-box !important; word-wrap: break-word !important;">