勒索病毒主要通过TCP/UDP的135、137、138、139、445端口攻陷用户的计算机并加密用户的文件达到虚拟货币的目的，在企业内部特别是个人计算机居多的情况下更容易中招。本文将介绍如何通过在交换机上部署ACL策略控制这几个端口的访问达到防止勒索必读传播的目的，防止其大范围传播造成严重损失。

具体配置如下：

首先，在全局模式下创建ACL：

sw(config)#ip access-list extended deny445

sw(config-ext-nacl)# 10 deny tcp any any range 135 139

sw(config-ext-nacl)# 20 deny udp any any range 135 139

sw(config-ext-nacl)# 30 deny tcp any any eq 445

sw(config-ext-nacl)#100 permit ip any any

exit

然后进入具体接口（物理接口或vlan）下：

sw(config)#int vlan 27

将ACL运用到接口上：

sw(config-if)#ip access-group deny445 in

sw(config-if)#ip access-group deny445 out