(!) Блокировка трафика NetBIOS, проходящего через Ethernet-коммутатор

Подскажите, как блокировать трафик NetBIOS, проходящий через Ethernet-коммутатор?


Допустим, нужно заблокировать трафик NetBIOS через TCP/IP (NBT), проходящий через коммутатор во всех VLAN и на всех портах этого коммутатора. Это можно сделать с помощью правил обработки трафика (Classifier/Policy Rule). Настройку правил нужно делать по портам, потому что тип Ethernet этого трафика не будет отличаться от остального IP-трафика.


Протокол IP для службы имен NetBIOS использует порт UDP 137, для дейтаграмм используется порт UDP 138, а для сессий - порты TCP 139 и TCP 445.


Шаг 1: Настройка классификатора в меню Advanced Application > Classifier


Классифицируем трафик UDP с портом 137.



В поле Active установите переключатель, чтобы включить данный классификатор.
В поле Name введите имя-описание данного классификатора, с помощью которого его можно идентифицировать.
В разделе Layer 2 приводятся поля, позволяющие настроить классификацию трафика на уровне 2.
В поле Ethernet Type выберите тип Ethernet.
В разделе Layer 3 приводятся поля, позволяющие настроить классификацию на уровне 3.
В поле IP Protocol выберите тип IP-протокола.
В поле Source Socket Number введите номер порта. Для этого нужно предварительно выбрать в поле IP Protocol значение UDP или TCP.
Нажмите кнопку Add, чтобы добавить запись в итоговую таблицу ниже и сохранить изменения в оперативной памяти коммутатора.


Шаг 2: Настройка классификатора в меню Advanced Application > Classifier.


Выполните классификацию трафика UDP с портом 138 аналогично настройкам, указанным на предыдущем шаге.



Шаг 3: Настройка классификатора в меню Advanced Application > Classifier.
Теперь выполните классификацию трафика TCP с портом 139.



Шаг 4: Настройка классификатора в меню Advanced Application > Classifier.
Теперь выполните классификацию трафика TCP с портом 445.


 


Шаг 5: Настройка правила политики в меню Advanced Application > Policy Rule.



В поле Active установите переключатель, чтобы включить политику.
В поле Classifier(s) выберите классификаторы, к которым будет применяться данное правило политики.
Укажите действия (Action), выполняемые коммутатором над соответствующим классифицированным потоком трафика.
В разделе Forwading выберите Discard the packet для отбрасывания пакетов.

KB-1707

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 0 из 0