5月12日，“WannaCry ”蠕虫病毒在全球肆虐，多国网络均遭到攻击，可堪称是达到了“比较独特”的级别。

　　“WannaCry ”利用 Windows 在 445 端口的安全漏洞潜入电脑，并对多种文件类型加密并添加后缀(.onion)，使用户的文档被加密，需支付黑客比特币才能恢复解密。微软于2017年3月的例行补丁(MS17-010)对该漏洞进行了修补，但仍然有许多没有更新的电脑受到了感染。

　　15日早上的上班族想必都会担心开机后会经历“想哭”的场景。作为用户来说，只能从打补丁下手避免遭到勒索。那企业应该如何从网络层进行隔离防止内网扩散?来听听这些厂商是如何说的。

　　新华三建议开启用户隔离。包括——

　　·通过隔离无线局域网中的终端设备来阻断病毒传播

　　·适用于终端之间没有互相访问需求的场景

　　·适用于H3C Comware V7无线控制器 集中/本地转发模式

　　·适用于H3C Comware V5无线控制器 集中转发模式

　　AC配置示例：

　　#

　　wlan service-template H3C

　　ssid H3C-WiFi

　　vlan 1000

　　user-isolation enable

　　service-template enable

　　#

　　新华三提醒：

　　- 部分设备启用改命令行时，需要先关闭无线服务模板，会造成临时业务中断

　　- 采取此项措施后，无线局域网的用户将不能相互访问，可能带来诸如不能使用FTP服务器等后果

　　锐捷网络建议所有网络开启相关产品功能(阻断网络设备445、135、137、139端口的访问权限)进行预防。

　　请务必按照以下优先级进行防护措施：

　　1. 网络边界(出口网关、路由器或安全设备)

　　2. 内部网络区域(交换机及无线设备)

　　3. 主机安全(应用软件)

　　在无线网络中，通过我司AC上配置如下ACL，来防止该病毒扩散。主要采用禁止135、137、139、445服务端口以防范风险，注意确认是否有其他正常业务涉及该端口，避免影响正常业务使用。该方法适用于集中转发和本地转发两种模式(本地转发下，AC的ACL会生效于所有AP)。请特别注意，应优先在网关、防火墙等出口设备上部署防御配置。

　　华为紧急针对各类产品输出阻击病毒的防范方案，具体包括路由、交换、WLAN、防火墙、云桌面、通信领域、软件类等产品，主要方法可概括为——

　　1.建立针对高危端口的ACL规则;

　　2.建立流策略;

　　3.内网接口应用流策略;

　　如内网使用多个接口，请逐一进行流策略应用。

　　(注意：配置前请确认是否有正在使用135、137、139、445端口的服务，避免影响正常业务)

　　具体策略的配置方法可具体参考以下链接。

　　具体参考：http://forum.huawei.com/enterprise/forum.php?mod=viewthread&tid=401767

　　思科总结了勒索病毒的前世今生，并提出了预防建议。

　　思科表示，根据已知的非常好的实践，具有可通过互联网公开访问的SMB(139和445端口)的任意组织应立即阻止入站流量。

　　此外，思科强烈建议组织考虑阻止到TOR节点的联接，并阻止网络上的TOR流量。ASA Firepower设备的安全情报源中列出了已知的TOR出口节点。将这些节点加入到黑名单将能够避免与TOR网络进行出站通信。

　　编辑点评：虽然关于“WannaCry ”是否已经结束，不再进行扩散的意见不一，但是这不妨碍我们继续做好预防的准备。特别是企业出口为NAT的场景(大部分中小企业办公场景)，勒索病毒的内网扩散远比由外而内严重得多，在交换和无线侧进行封堵才是防止扩散的有效手段。

　　勒索病毒这次出现了“WannaCry ”，下次可能会出现“某某某”。在了解勒索病毒“前世今生”的同时，企业应积极寻求与安全厂商的合作，积极部署相应防范措施，并定期进行漏洞检查。对于用户来说，及时更新电脑漏洞补丁显然是最及时有效的选择了。