MA5200的ACL配置不当导致防病毒功能未生效

发布时间:  2012-07-26 浏览次数:  68 下载次数:  0
问题描述
MA5200F通过全局ACL封了一批病毒端口号,但是发现从2端口接入的用户仍然接收到了大量的已经被ACL封端口的病毒攻击。
告警信息

处理过程

1、用户在客户端抓包,发现收到大量来自135端口的攻击,但是MA5200F上已经deny掉端口135。
2、只有在2端口的用户受到了影响,其它端口的用户没有受到影响,将2端口用户使用的ip换到其它端口使用,没有收到攻击报文,排除了用户针对ip做攻击的情况。
3、查看用户配置数据发现病毒acl 3001是全局下发,而在端口2下面配置编号3002的acl。
4、因为端口2下配置了ACL,则防病毒的相应ACL应当也配置到端口引用的ACL中,重新配置后问题解决。
原配置:
#
acl number 3001                                                                 
 rule 1 net-user deny tcp destination-port eq 135   
acl number 3002                                                                 
 rule 1 net-user permit ip source 2××.1××.196.61 0 destination 1   
……
#
 access-group 3002 Ethernet 2
 access-group 3001
修改后的配置:
#
acl number 3001                                                                 
 rule 1 net-user deny tcp destination-port eq 135   
acl number 3002                                                                 
 rule 1 net-user permit ip source 2××.1××.196.61 0 destination 1  
 rule 2 net-user deny tcp destination-port eq 135  
……
#
 access-group 3002 Ethernet 2
 access-group 3001

根因
由于MA5200配置在端口和全局下同时引用了ACL规则,系统在处理时优先匹配端口下的ACL,即使匹配不到任何一条规则也会匹配到端口下ACL地默认规则,这样全局下的ACL对端口下的报文就不起作用,正是因为如此,2端口下的用户仍然能收到全局ACL已经禁止的病毒攻击报文。
建议与总结
当全局和端口下都配置有ACL规则时,如果要求全局的规则在端口下生效,则必须把全局下的rule配置到端口的ACL中,所以在配置ACL的时候,尽量在全局统一配置。

END