一个防火墙的配置来阻挡UDP包

昨天到客户那里，是一所教育干部培训学校，他们信息中心主人告诉我最近老是有人利用一些类似于凶宝宝消息精灵的系统消息软件给他们的发消息，最近快开16大了，学校对这个很重视，希望能解决。

打开2000的控制面板，其中服务里面有一个名叫message的服务，主要就是用来让本机接受消息服务的，把他停掉以后就无法再接受了，这种方法适用于2000，NT，XP系统，默认是开启的，98没有这个服务，但这个方法指标不致本，因为学校里面移动用户很多，总不能来一个改一个，于是想到了防火墙！

他们用的是cisco PIX 506，当时我想通过设置访问控制列表应该可以解决这个问题，但是首先要搞清这个消息服务用的传输层协议的类型和端口，打电话到瑞星公司，这是傻X技术支持竟然告诉我不知道，真是气杀老夫，用胳膊逗能想出来肯定是UDP协议，靠~~~~~,亏了我们还买过他们的网络杀毒软件！！！！！于是打电话到我得一个朋友，在金诺网安做支持的，他告诉我用的是UDP协议，但是具体端口不知道，打电话到ISP，那里的技术人员告诉通过分析数据包，可以看出使用的是UDP：137、135、107三个端口，于是上防火墙，加了三条access-list acl_out deny UDP any any eq 135,access-list acl_out deny UDP any any eq 137,access-list acl_out deny UDP any any eq 107,但是没有成功，看来后门没有完全堵死！

最后没办法，只能找到微软了，毕竟跟他们的操作系统有关系，linux和solaris逗不会收到干扰。

向微软报了我的客服号码之后，他们的技术人员告诉我，消息服务用的UDP：137、135、107端口，TCP：137，105，445，等发送到本机之后他会在本机上再映射成1024以上的一个任意端口，所以很不好防范，于是继续修改访问控制列表，最后的配置如下：

access-list acl_out deny UDP any any eq 135

access-list acl_out deny UDP any any eq 137

access-list acl_out deny UDP any any eq 107

access-list acl_out deny TCP any any eq 137

access-list acl_out deny TCP any any eq 105

access-list acl_out deny TCP any any eq 445

access-list acl_out permit UDP any any

access-list acl_out permit TCP any any

access-list acl_out permit IP any any

终于成功了！！！！！我认为CISCO的访问控制列表很麻烦，每增加一条或者删除一条，还必须调整顺序！应该做的更方便一点，比如有个上下移动的命令什么的，呵呵！！！拿出来跟大家分享一下，有什么不对的还请大家指教！

PS：其实现在有许多的应用都是基于UDP协议开发的(比如现在的视频点播和QQ)，所以在一般的防火墙上都不会进用UDP，而象这种消息软件又不属于黑客或者木马，一般的IDS根本无法扫描出来，但是危害又不小，所以这在 以后会使个麻烦事，希望这个能给大家一些帮助!