常见蠕虫病毒介绍极其对应的ACL配置策略

本文大部分摘自于网络，不过整理到一起而已。
更多的攻击详细介绍，请参考 《Eudemon防火墙安全防范介绍》，请联系当地用服，从用服服务器上获取。


目前网络蠕虫病毒是当前网络最大的危害，是造成当前很多网络堵塞的重要原因。但是目前发现的这些蠕虫病毒，容易被防火墙识别出这些被感染的计算机，因为它具有比较明显的地址扫描和连接特征，Eudemon防火墙支持黑名单功能，可以通过显示黑名单列表功能直接查看哪些设备可能感染了蠕虫病毒。当然有些BT下载用户，也可能被认为是在扫描被动态加入黑名单，这个还需要具体鉴别。
为了尽量减少蠕虫病毒在网络上的传播，现在常常配置ACL,把已知的蠕虫病毒常用的一些端口给封掉，可参考下面的配置，但需要注意的是，因为有些端口和一些网络游戏的端口是相同的，可能会导致一些游戏玩不起来，因此需要根据情况，把某些端口还是要打开。注意因为配置的ACL规则条数比较多时，例如超过5个，因为Eudemon 防火墙支持高速ACL算法，要注意配置启动ACL加速命令（acl accelate ），这时，无论配置多少ACL，查找ACL速度和ACL条数无关。（Eudemon 200,100支持该命令，500，1000默认就是支持，因此无需单独配置该命令）

rule 5 deny tcp destination-port eq 135                                       
rule 10 deny udp destination-port eq 135                                       
rule 15 deny tcp destination-port eq 139                                       
rule 20 deny udp destination-port eq netbios-ssn                              
rule 25 deny tcp destination-port eq 445                                       
rule 30 deny udp destination-port eq 445                                       
rule 35 deny tcp destination-port eq 593                                       
rule 40 deny udp destination-port eq 593                                       
rule 45 deny tcp destination-port eq 4444                                      
rule 50 deny tcp destination-port eq 5554                                      
rule 55 deny udp destination-port eq tftp                                      
rule 60 deny udp destination-port eq 1434                                      
rule 65 deny tcp destination-port eq 9996                                      
rule 70 deny tcp destination-port eq 44445