在日常的网络运维和安全加固中,我们经常会面临来自内外部的自动化扫描和恶意软件威胁。尤其是近年来屡禁不止的勒索病毒(如 WannaCry)和各类蠕虫病毒,大多依赖 Windows 系统的几个高危端口进行横向传播。

今天分享一段非常经典且实用的高危端口封堵 ACL 配置,并详细拆解其背后的原理和部署排坑指南。

 防勒索/高危端口封堵 ACL
ip access-list extended ACL_WAN_IN_DENY_HIGH_RISK
  #1. 阻断 RPC 协议族 (防冲击波等蠕虫及内网探测)
 10 deny tcp any any eq 135 log
 20 deny udp any any eq 135
 30 deny tcp any any eq 593
  #2. 阻断 NetBIOS 协议族 (防信息枚举及中间人攻击)
 40 deny udp any any eq 137
 50 deny udp any any eq 138
 60 deny tcp any any eq 139
 70 deny udp any any eq 139
  #3. 阻断 SMB 服务 (防 WannaCry/永恒之蓝等勒索病毒横向移动)
 80 deny tcp any any eq 445 log
 90 deny udp any any eq 445
  #4. 阻断 RDP 远程桌面 (防针对 3389 的暴力破解)
 100 deny tcp any any eq 3389 log
 110 deny udp any any eq 3389
  #5. 放行其余正常业务流量
 200 permit ip any any

(注:在 deny 语句后增加 log 关键字,可以将触发该规则的源 IP 记录到 Syslog 服务器,便于溯源真正的感染源或攻击者。部分设备不支持 )

二、 端口原理解析:我们到底在防御什么?

这段 ACL 精准打击了微软 Windows 系统底层网络通信的“重灾区”:

  • TCP/UDP 135 & TCP 593 (RPC 远程过程调用): 这是 Windows 系统用于进程间通信的关键接口。历史上著名的“冲击波”(Blaster)蠕虫病毒正是利用 RPC 漏洞席卷全球。黑客在进行内网渗透时,也常利用 135 端口配合 WMI 进行横向探测。
  • TCP/UDP 137, 138, 139 (NetBIOS 服务): 包含名称解析、数据报和会话服务。这些协议极其古老,缺乏现代加密和安全认证。如果暴露,极易被攻击者用于枚举计算机名、MAC 地址等敏感信息。
  • TCP/UDP 445 (SMB 服务器消息块): 这是勒索病毒最爱的端口,没有之一。 震惊全球的 WannaCry 和 NotPetya 勒索病毒,就是利用了基于 445 端口的 “永恒之蓝”(EternalBlue)漏洞,在网络中实现了疯狂的自我复制和感染。
  • TCP/UDP 3389 (RDP 远程桌面): 除了利用漏洞,勒索病毒团伙目前最常用的入侵手段就是对暴露在公网的 3389 端口进行持久的密码弱口令爆破。

三、 局限性

只对跨网段流量有效,管不了内网横向攻击。ACL是三层设备(路由器、三层交换机)的功能,只能控制经过三层转发的跨网段流量。如果内网的设备都在同一个网段(也就是二层互通),那么这些设备之间依然能正常访问被封禁的端口——比如内网一台机器中了蠕虫病毒,还是能通过445端口感染同网段的其他设备,这条ACL根本拦不住。简单说,它只能防“外部来的攻击”,管不了“内网内部的问题”。

✅ 强烈建议部署的位置 (Ingress 方向应用):

  1. 互联网出口路由器 (WAN to LAN): 任何来自公网的外部流量都不应该、也绝对不需要访问内网的这些端口。
  2. 访客网络 (Guest Wi-Fi) 边界: 访客网络属于不可信环境,必须与办公网/生产网进行这层隔离。
  3. VPN 拨入网关边界: 防止远程办公终端中毒后,通过 VPN 隧道将病毒带入公司内网。

❌ 绝对不能部署的位置 (排坑警告):

如果在包含 Windows Active Directory (活动目录) 的核心内网中应用此策略,将是灾难性的。 由于 135 (RPC) 和 445 (SMB/CIFS) 是 AD 域环境正常运转的基石。一旦在同一安全域的汇聚或核心交换机上阻断了这些端口,将导致:

  • 客户端彻底无法加入域,也无法进行身份验证登录。
  • 组策略 (GPO) 无法下发和应用。
  • 域控制器 (DC) 之间的目录同步和复制链路断裂。
  • 企业内部的 DFS 和普通共享文件夹全部瘫痪。

因此,在实施此类安全 ACL 时,务必区分 “不可信边界”“可信核心区”

四、 总结

网络安全没有银弹,但一个配置得当的高危端口过滤 ACL,以极低的设备性能开销,直接切断了 90% 以上已知蠕虫和勒索病毒的传播路径。它是任何网络架构中不可或缺的“底座型”防御策略。