Quidway S6500系列交換機防病毒配置方案模板

       現在網絡病毒肆意橫行，給網絡的正常應用帶來了很大的隱患，下面給出Quidway S6500系列交換機防病毒配置的一個模版，僅供大家參考：

acl name anti_worm advanced

 rule 0 deny udp destination-port eq tFTP

 rule 1 deny tcp destination-port eq 135

 rule 2 deny udp destination-port eq 135

 rule 3 deny udp destination-port eq 137

 rule 4 deny udp destination-port eq 138 

 rule 5 deny tcp destination-port eq 139

 rule 6 deny udp destination-port eq netbios-ssn

 rule 7 deny tcp destination-port eq 445

 rule 8 deny udp destination-port eq 445

 rule 9 deny tcp destination-port eq 539

 rule 10 deny udp destination-port eq 539

 rule 11 deny tcp destination-port eq 593

 rule 12 deny udp destination-port eq 593

 rule 13 deny udp destination-port eq 1434    

 rule 14 deny tcp destination-port eq 4444

acl name anti_icmp advanced

 rule 0 deny icmp

將以上規則以not-carefor-interface方式在芯片上全局下發，如：

int e1/0/1

packet-filter inbound ip-group anti_worm not-care-for-interface

packet-filter inbound ip-group anti_icmp not-care-for-interface

int e2/0/1

packet-filter inbound ip-group anti_worm not-care-for-interface

packet-filter inbound ip-group anti_icmp not-care-for-interface

int e2/0/48

packet-filter inbound ip-group anti_worm not-care-for-interface

packet-filter inbound ip-group anti_icmp not-care-for-interface

注：

1、  not-carefor-interface參數表示的意思是該規則在整個芯片下發，而不僅僅是在這個端口下發，對于FT48單板來說，一個有兩個芯片，前24個端口為一個芯片，后24個端口為一個芯片，在芯片的任何一個端口帶該參數下發的規則都在整個芯片上生效。

2、  其他單板為一塊芯片。