是否可以通过ALC规则阻断比特币勒索病毒在内网传播？

橘子糖ol · 发表于 2017-5-13 20:22:00

楼主的网络一共分了3个网段，分别为3、4、5。
每个网段的目的地址设置的从是192.168.X.2-192.168.X.255.
ALC规则这样填写是否正确？

这样即使万一内网某一台PC感染了勒索病毒，在其它电脑没有安装微软补丁的情况下。
是否可以有效防止感染的PC向内网中的其它PC传播？

橘子糖ol · 发表于 2017-5-13 20:23:02

规则填写如图

橘子糖ol · 发表于 2017-5-13 20:24:44

海虹景丁敏发表于 2017-5-13 20:22
内网用交换机阻断，外网到内网用爱快阻断

交换机非网管交换机，傻瓜式的交换机。
外网如何阻断？
是不是只要不做wan口到内网的端口映射或DMZ主机就可以了？

橘子糖ol · 发表于 2017-5-13 20:27:22

爱快技术支持06 发表于 2017-5-13 20:25
LZ，没看到你的图
你说的三个网段，是通过爱快路由划分的三个网段吗，如果是的话，那就可以的
通过爱快路由 ...

不清楚为什么图片打不开。
3个网段是通过爱快划分的3个lan口的网段。
分别对应爱快路由的lan1，lan2，lan3。
包含的三个网段的192.168.X.2-192.168.X.255地址。

橘子糖ol · 发表于 2017-5-13 20:49:27

爱快技术支持06 发表于 2017-5-13 20:46
网络设置---内网设置，每个LAN口下面都有个高级设置，把LAN口之间互访的勾选取消，保存即可。 ...

实际上还是需要内网互访的，只希望通过ALC规则禁止掉内网PC的445端口互通，这样可以实现吗？

橘子糖ol · 发表于 2017-5-13 20:52:48

爱快技术支持06 发表于 2017-5-13 20:50
根据了解，好像是经过445端口导致的。
可以防火墙---ACL，然后阻断转发，目的端口是445即可。 ...

对，我就是这样做的，至于外网的到内网的话，不做DMZ主机或者wan口对内网IP的端口映射，应该是不影响的。
还是通过ALC规则靠谱。
仅仅取消lan与lan之间互访的话，不能把病毒以PC为单位隔绝。
只能以网段为单位隔绝。

这种时候，爱快应该在论坛出一个明确的方案，帮助大家预防此病毒。

橘子糖ol · 发表于 2017-5-13 21:08:19

gw1357 发表于 2017-5-13 21:05
不要用傻瓜交换机，就是最简单的方案。

一定要用傻瓜交换机，就用pppoe隔离 ...

用了傻瓜交换机，在爱快路由上通过ALC规则阻断转发，无效吗？

		自动登录	找回密码
密码			立即注册

[跟到底] 是否可以通过ALC规则阻断比特币勒索病毒在内网传播？