为IOS开发的ACL

    除特别声明以外，这种产品适用于多数路由器平台。

    注意：如果想跟踪源地址，应使用Sampled NetFlow，而不是ACL中的“log”语句，因为高流量与log语句可能会压垮路由器。

    如果ICMP分组没有象上述情况那样被基于策略的路由功能滤除，可以利用访问表挡住ICMP分组。请注意，ICMP分组会使广为使用的ping实用程序及其它类似的诊断工具无法正常工作。

    ! ... block ICMP
    ! ...
    ! ... you do not need to deny ICMP packets if you already filter
    ! ... them by using PBR
    ! ...
    ! ... blocking ICMP packets with access lists will cause ping utility and
    ! ... other similar diagnostic tools not to work
    access.list 115 deny icmp any any echo
    access.list 115 deny icmp any any echo.reply
    ! ... block vulnerable protocols
    ! ... Nachi related
    access.list 115 deny tcp any any eq 135
    access.list 115 deny udp any any eq 135
    ! ... block TFTP
    access.list 115 deny udp any any eq 69
    ! ... block other vulnerable MS protocols
    access.list 115 deny udp any any eq 137
    access.list 115 deny udp any any eq 138
    access.list 115 deny tcp any any eq 139
    access.list 115 deny udp any any eq 139
    access.list 115 deny tcp any any eq 445
    access.list 115 deny tcp any any eq 593
    ! ... Allow all other traffic .. insert
    ! ... other existing access list entries here
    access.list 115 permit ip any any
    interface <interface>
    ip access.group 115 in
    ip access.group 115 out

    蠕虫将尝试着将分组送至随机IP地址，但某些地址并不存在。发生这种情况时，路由器将回复以“ICMP unreachalbe”分组。某些情况下，对大量无效IP地址回复请求将降低路由器的性能。为防止这种现象发生，可使用以下命令：

    Router(config)# interface <interface>
    Router(if.config)# no ip unreachables

    小心：普通网络配置，例如某些类型的通道结构，需要使用“ip unreachables”。如果路由器必须能够发送“ICMP unreachable”分组，可以用以下命令通过速率限制答复的数量：

    Router(config)# ip icmp rate.limit unreachable <millisecond>

    从Cisco IOS Software 12.0开始，默认速率设置为每秒两个分组（500ms），通常使用2000ms。

    Cisco 12000

    接收ACL特性――在Cisco 12000（GSR）系列路由器上，去往路由器ip地址的包将“前往”千兆位路由处理器（GRP）接受处理。为保护GRP，可以使用rACL。rACL将对去往GRP的流量进行过滤，只有经过批准的流量才能由GRP处理，未通过批准的流量将被丢弃。一般情况下，rACL不影响经过路由器的流量，而只影响去往路由器本身的流量，从而保护GRP不会由于流量过大无法工作。

    rACL能够有效减少去往GRP的大量攻击流量的影响。欲知详情，请参考：GSR：接收访问控制表。

    6500上的VACL

    思科建议在Cisco Catalyst 4000上使用IOS ACL，并使用Cisco Catalyst 6500的Sup3、Hybrid和Native配置。为方便用户使用，我们提供了VACL配置实例。另外，我们还建议用户使用“no ip unreachables”。

    小心：与修改配置相同，组合使用VACL和IOS ACL时也要谨慎。要注意，VACL适用于VLAN内各方向的所有流量。

    配置：

    ! ... block ICMP
    set security acl ip NACHI deny icmp any any echo
    set security acl ip NACHI deny icmp any any echo.reply
    ! ... block vulnerable protocols
    ! ... Nachi related
    set security acl ip NACHI deny tcp any any eq 135
    set security acl ip NACHI deny udp any any eq 135
    set security acl ip NACHI deny udp any any eq 69
    ! ... block worm control channels
    set security acl ip NACHI deny tcp any any eq 4444
    set security acl ip NACHI deny tcp any any eq 707
    ! ... Non.Nachi related
    set security acl ip NACHI deny tcp any any eq 137
    set security acl ip NACHI deny udp any any eq 137
    set security acl ip NACHI deny tcp any any eq 138
    set security acl ip NACHI deny udp any any eq 138
    set security acl ip NACHI deny tcp any any eq 139
    set security acl ip NACHI deny udp any any eq 139
    set security acl ip NACHI deny tcp any any eq 445
    set security acl ip NACHI deny tcp any any eq 593
    ! ... Allow all other traffic
    ! ... insert other existing access list entries here
    set security acl ip NACHI permit any any
    ! .. applies both inbound and outbound
    commit security acl NACHI
    set security acl map NACHI <vlans>

    核查：

    show security acl info all

    删除：

    clear security acl BLASTER
    commit security acl BLASTER

    Catalyst 3550

    将IOS ACL应用于属于VLAN第3层接口的交换机虚拟接口（SVI）、物理第3层接口以及出入方向上的第3层EtherChannel接口上，保证接口上配置了“no ip unreachable”。

    只有IOS ACL也没有应用于第3层接口的输入时（否则将产生错误信息），才应在交换机的第2层接口应用IOS ACL。对于第2层接口，只有物理接口支持IOS ACL，EtherChannel接口不提供支持。它只能应用到向内的方向上。

    Catalyst 2950

    将IOS ACL应用到接口上。注意，ACL只在向内方向上支持。为将ACL应用到物理接口，必须安装增强软件图像（EI）。

    Catalyst 2900XL和3500XL

    它们属于不支持第3层访问表的第2层交换机。

    PIX

    PIX的默认行为是阻挡流量从安全等级较低的接口（外部）进入安全等级较高的接口（内部），除非访问表或管线明确允许受感染的端口和协议通过。

    另外，思科还建议阻止流量从安全等级较高的接口（内部）传输到安全等级较低的接口（外部）。

    客户应拒绝通过这些端口外出：

    access.list acl_inside deny icmp any any echo
    access.list acl_inside deny icmp any any echo.reply
    access.list acl_inside deny tcp any any eq 135
    access.list acl_inside deny udp any any eq 135
    access.list acl_inside deny udp any any eq 69
    access.list acl_inside deny tcp any any eq 137
    access.list acl_inside deny udp any any eq 137
    access.list acl_inside deny tcp any any eq 138
    access.list acl_inside deny udp any any eq 138
    access.list acl_inside deny tcp any any eq 139
    access.list acl_inside deny udp any any eq 139
    access.list acl_inside deny tcp any any eq 445
    access.list acl_inside deny tcp any any eq 593
    ! ... insert previously configured acl statements here,
    ! ... or permit all other traffic out
    access.list acl_inside permit ip any any
    access.group acl_inside in interface inside

    虽然可以使用相应的外出表，但最好用ACL替代外出表。

    思科安全代理（CSA）

    利用CSA内的台式机和默认服务器策略可以自动成功地消除这种漏洞/蠕虫。

    讨论与公开宣布  

    这个问题已得到广泛关注，并已经过多次公开讨论，参考网站如下：

 http://securityresponse.symantec.com/avcenter/venc/data/w32.welchia.worm.html

 http://vil.nai.com/vil/content/v_100559.htm