半年内中了两次勒索病毒的苏州工业园区某企业,终于在网络安全的道路上,迈出了坚实的第一步:华为防火墙终于是装上了,老破旧的某Link路由器,也总算完成了它的历史使命,“光荣”地“退休”了。
把华为防火墙配置上网的教程,之前写过了,就不在此赘述了,需要的网友们,可以翻看笔者前面的文章,今天主要是讲:如何使用华为防火墙防止勒索病毒的入侵。
很多客户都认为,防火墙买个设备就可以了,笔者几乎是每次都要解释一番:为什么还要买这个那个的License,笔者想说的是,不买License当然也能直接使用,但是安全性比较薄弱,只有购买了关键的几个License才能真正保护网络安全
一、购买License
一般来说,硬件设备两三天就能到货了,而同步购买的License要两三周才能下来,来的时候也就一张纸,且用过一次就没用了
二、准备激活License
打开下图中的网址,完成注册后,开始激活License
三、输入激活密码
就是输入华为给你的那张纸上写着的“Active Password”,然后“下一步”
四、输入设备的序列号
注意,ESN,就是防火墙的序列号,WEB方式登录防火墙就能查到
五、输入用户名称
然后,输入客户的公司名称,点“确认激活”
六、下载License文件
激活成功后,需要把生成的License文件下载到本地电脑
七、激活License
登录防火墙,打开“License管理”,选择“本地手动激活”,再点击“浏览”,选择前面下载的License文件
然后点击“激活”,就能顺利地激活所购买的安全授权了,笔者的这个客户,只购买了入侵防御(IPS)和反病毒(AV)两个安全授权
安全授权正确激活后,还不能被正常使用,因为在此之前,还必须要进行升级
一、配置升级中心地址
不知道为什么,升级中心总是提醒升级失败,按照防火墙的提示,确认DNS服务器配置正确,而且也做了允许Local访问外网的安全策略,结果故障依旧,“测试升级中心连接”也总是以失败告终,难道是华为的升级中心出问题了?
打开系统的CMD命令窗口,ping sec.huawei.com,能够成功地ping通啊
干脆就把ping到的IP地址,填写为升级中心地址吧,死马当活马医,试一下也不费什么粮食。
嘿嘿,这回还真成功了,连接到升级中心后,直接自动更新了特征库。
一、检查一些签名的缺省动作
选择“对象 > 签名”。在搜索框中分多次输入以下签名ID:
13830、18822、24550、284600、370090、372110、372130、372280、
372290、372300、377950,并检查其动作是否为阻断,如果不是阻断,请改为阻断。
二、创建IPS配置文件
选择“对象 > 安全配置文件 > 入侵防御”。选中“default”配置文件,单击“复制”,在如下对话框中,修改其名称和描述
三、添加例外签名
在例外签名页签的输入框中,逐个输入以下暴力破解类签名ID:1000127、1000133、1000255、1000264,然后修改其动作为“阻断”。
四、应用IPS配置文件
打开之前配置好的安全策略,把刚才配置好的IPS文件,应用到安全策略,以达到阻断勒索病毒的目的。注意,反病毒也同时应用到安全策略了。
除此之外,还格式化了中毒的服务器,重新部署了操作系统并且及时更新补丁,然后重新配置共享权限,利用组策略重新下发网络驱动器,我想,应该不会再第三次中勒索病毒了吧。
——笔者为网络工程师,擅长计算机网络领域,创业多年,希望把自己的经验分享给大家,觉得有用的,可以关注、点赞、转发,如有相同或者不同观点,欢迎评论。最近已开通“圈子”,有兴趣的朋友进来共同学习和讨论吧。
文档下载: 导出为华为防火墙比特币病毒(巧用华为防火墙阻挡勒索病毒).doc文档