■山東廣電網(wǎng)絡有限公司濟寧分公司 崔冬梅 李瑞祥

2017 年5 月12 日開始在全球范圍內(nèi)爆發(fā)“永恒之藍”蠕蟲攻擊，惡意代碼通過掃描開放445 文件共享端口的Windows機器，在用戶電腦和服務器中植入勒索軟件、遠程控制木馬、虛擬貨幣挖礦機等惡意程序，給用戶帶來極大危害。

雖然時隔兩年，但勒索病毒的威脅至今仍然存在。根據(jù)上級網(wǎng)安部門的要求，筆者單位對網(wǎng)絡設(shè)備逐級進行了防護加固，在2017 年主要是對終端的補丁升級，而今年主要增加了網(wǎng)絡設(shè)備上的445 端口封堵，采取了以下措施進行防范。

外網(wǎng)

公司的互聯(lián)網(wǎng)（外網(wǎng)）出口有兩部分組成，90%的流量來自省公司，通過路由器直接接入，10%流量在本地通過流控設(shè)備接入，主要用作出口優(yōu)化。每個縣公司（營業(yè)部）各部署一臺BRAS 設(shè)備，負責寬帶用戶的認證、計費、授權(quán)。接入層是OLT 直連BRAS 的模式，主要承載的業(yè)務有互聯(lián)網(wǎng)、VOD 點播、智慧社區(qū)相關(guān)業(yè)務。

省公司云網(wǎng)出口是直接接入的，據(jù)筆者了解，云網(wǎng)公司已經(jīng)做了防護相應的防護措施，我們主要從本地的流控設(shè)備、核心路由器、BRAS、交換機、服務器、PC 上入手對勒索病毒做了相應的防護措施。

1.本地流控設(shè)備防護措施

公司在本地部署了一臺流控設(shè)備，主要是接入少量的第三方出口作為出口資源調(diào)度使用，針對本次病毒攻擊，我們做的防護措施是封堵445 端口TCP 與UDP 協(xié)議，方法是在控制策略下的預置安全策略中設(shè)置規(guī)則，將所有接口封堵445 端口。

2.核心路由器、BRAS 防護措施

市公司機房共兩臺中興T8000 核心路由器，作用是與出口互聯(lián)、路由調(diào)度；11 臺中興BARS，1 臺華為BARS，作用是與T8000 互聯(lián)、用戶認證計費、OLT 匯聚。我們所做的操作是在中興核心路由器及BARS 的上聯(lián)口寫ACL 限制445 端口TCP 與UDP 協(xié)議，下面介紹一下具體的操作方法。

（1）中興T8000

具體步驟如圖1 所示。

中興M6000 的操作與T8000 相同，只需應用在上聯(lián)口的smartgroup 組上即可。

（2）華為BRAS

具體步驟如圖2 所示。

3.OLT 上封堵445端口TCP、UDP 協(xié)議

市本地使用的80%的OLT 是瑞斯康達的，因設(shè)備較多，且OLT 上該功能還不夠完善，設(shè)置意義不大，本次針對勒索病毒的防范沒有進行操作。

4.三層交換機上封堵445 端口TCP、UDP 協(xié)議

市分公司專網(wǎng)匯聚使用的是交換機，主要品牌有華為、H3C、烽火。以下介紹在網(wǎng)交換機上如何封堵445 端口。

圖3 華為交換機封堵445 端口

圖4 H3C 交換機封堵445 端口

圖5 烽火交換機封堵445 端口

（1）華為交換機

具體步驟如圖3 所示。

（2）H3C 交換機

具體步驟如圖4 所示。

（3）烽火交換機

具體步驟如圖5 所示。

5.服務器及辦公PC防護措施

對于服務器及PC主要采取的是使用NSATOOL 工具進行掃描打補丁及封堵445 端口兩種手段，以下是終端禁用445 端口的方法：

首先進入系統(tǒng)的“注冊表編輯器”，依次點擊注冊表選項”HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesNetBTParameters“，進 入NetBT 這個服務的相關(guān)注冊表項。然后，在 Parameters這個子項的右側(cè)，點擊鼠標右鍵，“新建”→“QWORD（64 位）值”，然后重命名為“SMBDeviceEnabled”，再把這個子鍵的值改為0。Windows XP 系統(tǒng)重新啟動就可以關(guān)閉系統(tǒng)的445 端口了。Windows 7 系統(tǒng)還需要把操作系統(tǒng)的Server 服務關(guān)閉，依次點擊“開始”→“運行”，輸入“services.msc”，進 入服務管理控制臺。然后，找到Server 服務，雙擊進入管理控制頁面。把這個服務的啟動類型更改為“禁用”，服務狀態(tài)更改為“停止”，最后點擊“應用”后重啟電腦即可。重啟電腦后，使用“netstat -an”查看電腦中處于“l(fā)isten”狀態(tài)的端口中沒有445 即為禁用成功。

內(nèi)網(wǎng)

內(nèi)網(wǎng)物理鏈路較獨立，防火墻與省SDH 線路連接，下接內(nèi)網(wǎng)核心交換機，核心交換機與縣公司（營業(yè)部）以O(shè)SPF 協(xié)議互聯(lián)，內(nèi)網(wǎng)主要業(yè)務有業(yè)務支撐系統(tǒng)、設(shè)備網(wǎng)管、機房營業(yè)廳監(jiān)控、動環(huán)監(jiān)控。

內(nèi)網(wǎng)部署了一套卡巴斯基放病毒軟件，由于內(nèi)網(wǎng)與互聯(lián)網(wǎng)是隔離的，病毒庫的更新采取的是定期將病毒庫拷貝至內(nèi)網(wǎng)進行更新。內(nèi)網(wǎng)網(wǎng)絡結(jié)構(gòu)相對簡單，但是一些服務器是至關(guān)重要的，比如CA、EPG 等服務器是與全市數(shù)字電視用戶息息相關(guān)的，這些服務器不適合做端口封堵的操作（服務器重啟有一定風險），我們采取的是在服務器上層的交換機端口做封堵，以下是內(nèi)網(wǎng)采取的防范措施。

圖6 思科交換機封堵445 端口TCP、UDP 協(xié)議

1.更新內(nèi)網(wǎng)病毒庫

內(nèi)網(wǎng)卡巴斯基更新最新病毒庫，強制用戶更新，并確保防護策略已阻止445 端口通訊。

2.Juniper 防火墻封堵445 端口TCP、UDP 協(xié)議

3.交換機封堵445 端口TCP、UDP 協(xié)議

內(nèi)網(wǎng)交換機主要使用的是思科與華為，具體的封堵方法如下。

（1）思科

具體步驟如圖6 所示。

（2）華為：

操作方法同外網(wǎng)。

4.服務器及PC 的防護措施

對于內(nèi)網(wǎng)服務器及PC 的防護，方法同外網(wǎng)，但是由于內(nèi)網(wǎng)無法訪問互聯(lián)網(wǎng)，打補丁是一大問題，我們采取了在內(nèi)網(wǎng)搭建企業(yè)級360 服務器及建立WSUS 服務器的方式進行補丁修復。

（1）建立WSUS 服務器

前期我們在公司內(nèi)部通過Windows 2008 服務器部署過WSUS 3.0 服務，部署時需要手動安裝很多控件和補丁，且這個版本的服務器只能支持Windows 7、Windows 2008 的更新升級。

這次我使用Windows 2016 部署了WSUS 4.0 服務，可以支持Windows 10、Windows 8.1、Windows 8、Windows 7 桌面系統(tǒng)，以及Windows 2016、Windows 2012、Windows 2008 服務器系統(tǒng)。平臺部署比以前方便，首先在服務器管理器中，添加角色。勾選Windows Server 更新服務，然后一路點擊“下一步”，就可以完成了。而且Windows 2016 試用期為180 天達半年時間，到期后花費半天時間重裝系統(tǒng)重新配置就可以，不用花錢購買授權(quán)。

客戶機用“Windows+R”快捷鍵，輸入“gpedit.msc”，打開組策略，依次選擇“計算機配置→管理模板→Windows 組件→Windows更新”，找到“指定Intranet Microsoft 更新服務位置”右鍵點擊“啟用”，如圖7 所示，然后兩個地址按圖輸入。（IP 用實際的服務器的IP；由于部署WSUS 時用的默認配置，故而端口用默認的8530）。

圖7 啟用更新服務位置

然后在Windows 更新中啟用配置自動更新即可完成部署。電腦重啟，就可以用內(nèi)網(wǎng)服務器更新了。

（2）部署企業(yè)級360 安全衛(wèi)士

360 企業(yè)版是永久免費且不限終端數(shù),在內(nèi)網(wǎng)找一臺服務器，使用雙網(wǎng)卡分別連接內(nèi)網(wǎng)、外網(wǎng)，部署企業(yè)級360 安全衛(wèi)士，供內(nèi)網(wǎng)機器打補丁使用。部署360 企業(yè)版安裝步驟較簡單，安裝完成后需在控制中心設(shè)置IP 地址（內(nèi)網(wǎng)IP10.*.*.20）、端口以及登錄密碼。

客戶機首先使用“nsatool.exe”工 具進行檢測，如果出現(xiàn)漏洞需要修復，則可登錄“http://10.*.*.20/”進行修復。

結(jié)論

通過對勒索病毒的全面防范，筆者單位在確保公司內(nèi)、外網(wǎng)安全的基礎(chǔ)上，對網(wǎng)絡進行了全面的梳理，從而進一步提高了網(wǎng)絡信息安全的保障能力和應急事件的處理能力。