CISCO 防御冲击波方法-liuhename-ChinaUnix博客

追求卓越

首页　| 　博文目录　| 　关于我

liuhename

博客访问： 463498
博文数量： 132
博客积分： 2995
博客等级：少校
技术积分： 1412
用户组：普通用户
注册时间： 2007-03-06 20:14

文章分类

全部博文（132）

VMWARE（1）
SECURITY（1）
ENGLISH（12）

NCE（2）

BEC（0）

daily（6）
MYSQL（16）
UNIX（73）

dns（2）

vpn（0）

php（2）

awstats（1）

other（9）

squid（2）

ssh（2）

aide（0）

diskless（0）

tcpserver（0）

tomcat（1）

rsync（2）

cacti（1）

mtrg（1）

swatch（1）

sudo（1）

shell（10）

ntp（1）

iptables（5）

nagios（0）

nat（1）

kernel（3）

ids（1）

ftp（3）

mail（10）

nfs（2）

apache（11）
MICROSOFT（6）
ORACLE（1）
CISCO（21）
未分配的博文（1）

文章存档

2010年（2）

2008年（21）

2007年（109）

我的朋友

最近访客

推荐博文

CISCO 防御冲击波方法

分类：

2007-03-11 10:04:13

! --- block TFTP

access-list 115 deny udp any any eq 69

! --- block W32.Blaster related protocols

access-list 115 deny tcp any any eq 135
access-list 115 deny udp any any eq 135

! --- block other vulnerable MS protocols

access-list 115 deny udp any any eq 137
access-list 115 deny udp any any eq 138
access-list 115 deny tcp any any eq 139
access-list 115 deny udp any any eq 139
access-list 115 deny tcp any any eq 445
access-list 115 deny tcp any any eq 593

! --- block remote access due to W32.Blaster

access-list 115 deny tcp any any eq 4444

! --- Allow all other traffic -- insert
! --- other existing access-list entries here

access-list 115 permit ip any any
interface
ip access-group 115 in
ip access-group 115 out

另外，阻止非法地址的命令是
Router(config)# interface
Router(if-config)# no ip unreachables
如果此命令不能禁止，可参考下面这个命令
Elab(config)# ip icmp rate-limit unreachable
VACL on the CatOS

! --- block TFTP

set security acl ip BLASTER deny udp any any eq 69

! --- block vulnerable MS protocols
! --- Blaster related

set security acl ip BLASTER deny tcp any any eq 135
set security acl ip BLASTER deny udp any any eq 135

! --- Non-blaster related

set security acl ip BLASTER deny tcp any any eq 137
set security acl ip BLASTER deny udp any any eq 137
set security acl ip BLASTER deny tcp any any eq 138
set security acl ip BLASTER deny udp any any eq 138
set security acl ip BLASTER deny tcp any any eq 139
set security acl ip BLASTER deny udp any any eq 139
set security acl ip BLASTER deny tcp any any eq 593

! --- block remote access due to W32.Blaster

set security acl ip BLASTER deny tcp any any eq 4444

! --- Allow all other traffic
! --- insert other existing access-list entries here

set security acl ip BLASTER permit any any

! -- applies both inbound and outbound

commit security acl BLASTER
set security acl map BLASTER
PIX

access-list acl_inside deny udp any any eq 69
access-list acl_inside deny tcp any any eq 135
access-list acl_inside deny udp any any eq 135
access-list acl_inside deny tcp any any eq 137
access-list acl_inside deny udp any any eq 137
access-list acl_inside deny tcp any any eq 138
access-list acl_inside deny udp any any eq 138
access-list acl_inside deny tcp any any eq 139
access-list acl_inside deny udp any any eq 139
access-list acl_inside deny tcp any any eq 445
access-list acl_inside deny tcp any any eq 593
access-list acl_inside deny tcp any any eq 4444

! --- insert previously configured acl statements here,
! --- or permit all other traffic out

access-list acl_inside permit ip any any

access-group acl_inside in interface inside

阅读(589) | 评论(0) | 转发(0) |

上一篇：路由器口令恢复

下一篇：4506配置实力

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6