舉報

侵犯我的權益 >

對根叔知了社區有害的內容 >

辱罵、歧視、挑釁等（不友善）

侵犯我的權益

泄露了我的隱私 >

侵犯了我企業的權益 >

抄襲了我的內容 >

誹謗我 >

辱罵、歧視、挑釁等（不友善）

騷擾我

泄露了我的隱私

您好，當您發現根叔知了上有泄漏您隱私的內容時，您可以向根叔知了進行舉報。請您把以下內容通過郵件發送到pub.zhiliao@h3c.com 郵箱，我們會盡快處理。

1. 您認為哪些內容泄露了您的隱私？（請在郵件中列出您舉報的內容、鏈接地址，並給出簡短的說明）
2. 您是誰？（身份證明材料，可以是身份證或護照等證件）

侵犯了我企業的權益

您好，當您發現根叔知了上有關於您企業的造謠與誹謗、商業侵權等內容時，您可以向根叔知了進行舉報。請您把以下內容通過郵件發送到 pub.zhiliao@h3c.com 郵箱，我們會在審核後盡快給您答複。

1. 您舉報的內容是什麼？（請在郵件中列出您舉報的內容和鏈接地址）
2. 您是誰？（身份證明材料，可以是身份證或護照等證件）
3. 是哪家企業？（營業執照，單位登記證明等證件）
4. 您與該企業的關係是？（您是企業法人或被授權人，需提供企業委托授權書）

我們認為知名企業應該坦然接受公眾討論，對於答案中不準確的部分，我們歡迎您以正式或非正式身份在根叔知了上進行澄清。

抄襲了我的內容

原文鏈接或出處

誹謗我

您好，當您發現根叔知了上有誹謗您的內容時，您可以向根叔知了進行舉報。請您把以下內容通過郵件發送到pub.zhiliao@h3c.com 郵箱，我們會盡快處理。

1. 您舉報的內容以及侵犯了您什麼權益？（請在郵件中列出您舉報的內容、鏈接地址，並給出簡短的說明）
2. 您是誰？（身份證明材料，可以是身份證或護照等證件）

我們認為知名企業應該坦然接受公眾討論，對於答案中不準確的部分，我們歡迎您以正式或非正式身份在根叔知了上進行澄清。

對根叔知了社區有害的內容

垃圾廣告信息

色情、暴力、血腥等違反法律法規的內容

政治敏感

不規範轉載 >

辱罵、歧視、挑釁等（不友善）

騷擾我

誘導投票

不規範轉載

舉報說明

話

H3C路由器阻斷WannaCry攻略

路由

2017-05-15發布

2關注

風幹工程師肉幹要不要

風幹工程師肉幹要不要九段

粉絲：166人關注：7人

適用產品	H3C全係列路由器
適用平台	COMWARE V5、COMWARE V7

1、針對高危端口建立ACL規則，阻斷TCP&UDP協議的135、137、139、445端口

acl number 3000

rule 5 deny tcp destination-port eq 135

rule 10 deny tcp destination-port eq 137

rule 15 deny tcp destination-port eq 139

rule 20 deny tcp destination-port eq 445

rule 25 deny udp destination-port eq 135

rule 30 deny udp destination-port eq 137

rule 35 deny udp destination-port eq 139

rule 40 deny udp destination-port eq 445

2、建立包過濾防火牆，阻斷

MSR V5、SR66 V5配置firewall，阻斷端口

[H3C]firewall enable //全局開啟firewall enable

[H3C]interface GigabitEthernet 0/0 //進入相關接口

[H3C-GigabitEthernet0/0]firewall packet-filter 3000 inbound[outband] //在接口下使用firewall命令在出方向或者入方向引用

SR88 V5、CR16K V5配置firewall，阻斷端口

[H3C]interface GigabitEthernet 2/1/1 //進入相關接口

[H3C-GigabitEthernet0/0]firewall packet-filter 3000 inbound[outband] //在接口下使用firewall命令在出方向或者入方向引用

MSR V7、SR66 V7、SR88 V7、CR16K V7配置包過濾防火牆，阻斷端口

[H3C]interface GigabitEthernet 0/0 //進入相關接口

[H3C-GigabitEthernet0/0]packet-filter 3000 inbound[outband] //在接口下使用firewall命令在出方向或者入方向引用

SR88 V7也可以在全局下發packet-filter，全局下發後，所有接口將全部阻斷ACL 3000中的端口

[H3C]packet-filter 3000 global inbound[outbound] //全局下發packet-filter

3、部分老版本不支持firewall或者packet-filter方式下發，需要使用MQC方式來實現，該方法也同樣適用於所有產品，是一個通用的方法如下：

acl number 3000

rule 5 permit tcp destination-port eq 135

rule 10 permit tcp destination-port eq 137

rule 15 permit tcp destination-port eq 139

rule 20 permit tcp destination-port eq 445

rule 25 permit udp destination-port eq 135

rule 30 permit udp destination-port eq 137

rule 35 permit udp destination-port eq 139

rule 40 permit udp destination-port eq 445

[H3C]traffic classifier acl3000 //定義流分類，引用ACL

[H3C-classifier-acl3000]if-match acl 3000

[H3C]traffic behavior deny //定義動作類型為deny

[H3C-behavior-deny]filter deny

[H3C]qos policy WannaCry //配置qos策略

[H3C-qospolicy-WannaCry]classifier acl3000 behavior deny

[H3C]interface GigabitEthernet 2/1/1 //進入接口下

[H3C-GigabitEthernet2/1/1]qos apply policy WannaCry inbound[outbound] //在接口下配置qos策略

注意：SR88、CR16K產品，所有板卡隻支持1次ACL匹配，匹配順序為：包過濾>PBR>MQC，所以如果使用MQC方式，請注意接口下是否有PBR的配置，如果有，MQC是不生效的！！！

0個回複

按時間按讚數

該話題暫時沒有網友回複過

回複

分享擴散:

產品線		搜索取消
案例類型
發布者
是否解決
是否官方
時間
搜索引擎
匹配模式	默認策略匹配全詞匹配整句

H3C路由器阻斷WannaCry攻略

回複

提出建議