查看: 13018|回复: 0

[使用教程] Windows方程式漏洞ACL策略配置说明

[复制链接]
  • TA的每日心情
    慵懒
    2017-5-9 17:25
  • 签到天数: 3 天

    [LV.2]偶尔看看I

    发表于 2017-5-9 10:02:34 | 显示全部楼层 |阅读模式
    本帖最后由 天翼云客服 于 2017-5-9 16:22 编辑

    一、配置条件
         由于ACL策略功能是付费版VPC的功能,故使用此方法的先决条件是客户拥有付费的VPC,若客户VPC是免费版的,可通过升级为付费VPC后使用此方法。
    二、适用场景
         我们强烈建议您采取打补丁的方式进行漏洞整改,对于部分客户暂时不方便进行打补丁的情况,可临时通过设置ACL规则,实现从VPC网络出口封堵漏洞端口实现安全加固的需求。
    三、配置方法
         1、进入VPC界面,登录天翼云控制中心,点击列表的虚拟私有云,进入VPC界面,如下图所示:
    1.png
         2、创建ACL,进入VPC界面后点击左侧列表的ACL菜单,然后点击创建ACL,然后输入ACL的名称和说明,点击确定后完成ACL创建,如下图所示:
    2.png 3.png
         3、创建ACL规则,完成ACL创建后,点开ACL,点击添加规则进行ACL规则设置,封堵此次漏洞的135、137、139、445端口以及限制3389端口只能客户本地访问,如下图所示:
    4.png
            1)设置客户本地可以远程,假定客户本地IP地址为1.1.1.1,设置CIDR为1.1.1.1/28,允许该地址可以远程本子网内的Windows云主机,规则参数如下图所示:
    5.png
            2)禁止其他地址访问3389端口,规则参数如下图所示:
    10.png
            3)封堵TCP135端口,禁止全网地址访问TCP135端口,规则参数如下图所示:
    6.png
            4)封堵UDP135端口,禁止全网地址访问UDP135端口,规则参数如下图所示:
    11.png
            5)封堵TCP137端口,禁止全网地址访问TCP137端口,规则参数如下图所示:
    7.png
            6)封堵UDP137端口,禁止全网地址访问UDP137端口,规则参数如下图所示:
    12.png
            7)封堵TCP139端口,禁止全网地址访问TCP139端口,规则参数如下图所示:
    8.png
            8)封堵UDP139端口,禁止全网地址访问UDP139端口,规则参数如下图所示:
    13.png
            9)封堵TCP445端口,禁止全网地址访问TCP445端口,规则参数如下图所示:
    9.png
            10)封堵UDP445端口,禁止全网地址访问UDP445端口,规则参数如下图所示:
    14.png
            11)放行其他端口,允许除了前面禁止的端口外,其他端口的正常访问,规则参数如下图所示:
    11.png
            12)允许子网内主机访问公网,规则参数如下图所示:
    12.png
            13)规则顺序如下图所示,其中第2条~第10条顺序可调整,第1条、第11条、第12条顺序不可变更:
    15.png
         4、绑定ACL,ACL创建完成后,需要将设置好的ACL策略绑定到子网。
            1)点击VPC界面左侧的子网菜单,点击云主机所在子网右侧的修改菜单,如下图所示:
    14.png
            2)在修改界面选择刚才创建的ACL,点击确定进行ACL策略的绑定,如下图所示:

    15.png
         5、验证,规则绑定完成后,规则既已生效,可通过telnet进行测试135、137、139、445端口是否可访问,可通过非客户本地地址进行远程登录验证3389端口是否可以远程。

    回复

    使用道具 举报

    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则