SQL蠕蟲一直是讓企業網絡管理人員很頭疼的問題，許多時候如果通過Etherpeek針對端口1433、1434抓包會發現，很多用戶電腦上面并沒有安裝SQL服務器，但是仍能監測有蠕蟲通過1433端口向外面大量發包。一般來說微軟的桌面數據庫MSDE也有可能感染該蠕蟲。

看看SQLsnake蠕蟲，也叫Spida及Digispid，***露面以來，就一直在掃描成千上萬臺與Internet相連的電腦系統的1433端口，企圖尋找運行微軟SQL且沒有在系統管理員賬號上設置適當密碼的系統。還存在另外一種病毒，即使并沒有安裝數據庫的PC也會感染。這個時候客戶端PC如果沒有辦法解決的話，就只能從網絡層進行防護了。

一般來說UDP端口1434都是用來做偵聽的，可以在網絡設備上過濾掉UDP1434；而TCP端口1433是SQL服務器正常通信需要的端口，并不能全網過濾掉。

但是一般來說，跨網段的數據庫很少，這樣，我們可以開放有數據庫的網段的1433端口，然后再過濾全網的1433，這樣減少了故障處理點，也達到了目的。

看看下面的ACL，核心三層交換機S8016針對1433、1434所做的ACL，其他設備類似。

注：全網封UDP 1434，開放10.145.7.0網段的TCP端口1433。

rule-map intervlan rule72 tcp  any  any   eq 1433
rule-map intervlan rule73 tcp  any  any  eq 1434
rule-map intervlan rule69 tcp  any  10.145.7.0 0.0.0.255  eq 1433
eacl acl-jxic rule69 permit priority 34083
eacl acl-jxic rule72 deny priority 34088
eacl acl-jxic rule73 deny priority 34090

之后用Etherpeek抓包一看，SQL蠕蟲沒有了，設備也沒有告警，大功告成！