如何应对linux版永恒之蓝病毒与攻击

红色部分为更新内容

一、特征库版本

首先确认防火墙的防病毒和IPS升级到2017年5月13日后版本

如果防火墙不能连入Internet，无法自动升级，可以手工导入病毒库和IPS库。如下图所示，在界面中选择“更新”。

库文件如下：

二、配置策略

主要从以下三个角度来防御永恒之蓝。

1. 首先是禁止TCP 445端口，步骤如下：

1. 新建服务，目标端口为445

2. 添加一条防火墙策略，禁止所有IP到所有IP的445协议传输。这个是建立在当前网络中没有TCP 445的应用。比如如果你有SMB文件服务器，则不能如此操作。

 

C、选中该策略，然后选择“移动到”，如下图所示

D、如下图所示，移动到当前顶端策略的ID之间，本例中顶部策略ID为1，则选择移动到策略1之间

5. 移动后效果如下，策略置顶。

2、开启防火墙策略中的IPS功能。

如下图所示，IPS特征库中缺省对该攻击采用防御的动作，所以在防火墙策略只需要调用”all_default”即可。

在当前使用的策略中调用IPS的“all_default”。尤其是因为应用需要，不能关闭445端口时，一定要采用IPS功能。

3. 在访问Internet策略中调用防病毒功能

为了防止钓鱼方式使得内部员工下载病毒，则需要在访问Internet策略中开启防病毒。首先在“病毒检查”的“配置模板”，新建一个防病毒模板，勾选http, ftp,mail的协议，以及日志。

然后在策略中调用该病毒模板，如下图所示。

3. 封杀tor应用

病毒攻击PC后，会通过tor代理与C&C服务器进行通讯。所以建议封杀tor应用。首先新建一个应用控制如下图所示。

然后添加分类为proxy的Tor，设置为屏蔽

然后在访问Internet策略中调用该应用控制模板