筆者在路由器和交換機(jī)上進(jìn)行ACL（訪問(wèn)控制列表）配置來(lái)防范病毒和黑客攻擊，效果非常好。經(jīng)過(guò)配置后，在很多主機(jī)沒(méi)打相應(yīng)補(bǔ)丁的情況下，各網(wǎng)絡(luò)設(shè)備有效地阻止了震蕩波的攻擊。

由于病毒（特別是系統(tǒng)漏洞病毒）都是利用相應(yīng)端口進(jìn)行傳播與攻擊的，所以我們可以考慮通過(guò)在路由器或交換機(jī)上設(shè)置相應(yīng)的ACL進(jìn)行防范。

我們以Cisco產(chǎn)品為例進(jìn)行說(shuō)明，具體ACL配置如下：

access-list 101 permit tcp any any established

這個(gè)命令是建立一個(gè)ACL，它只容許已經(jīng)建立的連接從外向里傳輸數(shù)據(jù)，而對(duì)于事先沒(méi)有建立的連接將被拒絕進(jìn)行數(shù)據(jù)傳輸。最后再把ACL綁定到相應(yīng)的端口就可以達(dá)到預(yù)防病毒的目的了。

現(xiàn)在讓我們來(lái)看看如何利用這一技術(shù)迎戰(zhàn)震蕩波。公司很多計(jì)算機(jī)沒(méi)有打補(bǔ)丁，這樣外部感染了震蕩波的主機(jī)會(huì)通過(guò)445、5554和9996這3個(gè)端口向內(nèi)部主機(jī)傳播病毒。由于我們?cè)O(shè)置了ACL，所以當(dāng)外部的病毒主動(dòng)向內(nèi)部445、5554、9996端口傳輸時(shí)，這些數(shù)據(jù)會(huì)被路由器過(guò)濾掉，實(shí)現(xiàn)真正的防患于未然。而這樣的設(shè)置對(duì)內(nèi)網(wǎng)中的用戶使用網(wǎng)絡(luò)沒(méi)有任何影響。

提示
1.由于established語(yǔ)句只支持TCP協(xié)議，所以如果公司要傳輸DNS等信息，還要設(shè)置相應(yīng)的ACL語(yǔ)句把UDP的傳輸打開(kāi)，格式為access-list 101 permit udp any any。

2.這樣設(shè)置之后用戶會(huì)抱怨FTP使用不了，因?yàn)镕TP密碼驗(yàn)證和數(shù)據(jù)傳輸使用的不是同一個(gè)端口，密碼驗(yàn)證用21端口，而數(shù)據(jù)傳輸用20端口，所以我們也要加上相應(yīng)的ACL，格式為access-list 101 permit tcp any any eq ftp-data或access-list 101 permit tcp any any eq 20。(責(zé)任編輯：liucl)