使用三層交換安全策略防止病毒襲擊的技巧，一個(gè)用戶在使用三層交換安全策略進(jìn)行安全性設(shè)置時(shí)遇到了一些問題，別人給出了一些解答，但不是很詳細(xì)，關(guān)于三層交換安全策略的問題還有很多，希望高手們給出一些詳細(xì)的解決方案。

目前計(jì)算機(jī)網(wǎng)絡(luò)所面臨的威脅大體可分為兩種：一是對(duì)網(wǎng)絡(luò)中信息的威脅；二是對(duì)網(wǎng)絡(luò)中設(shè)備的威脅。影響計(jì)算機(jī)網(wǎng)絡(luò)的因素很多，主要是網(wǎng)絡(luò)軟件的漏洞和“后門”，這些漏洞和缺陷恰恰是黑客進(jìn)行攻擊的首選目標(biāo)。

一些黑客攻入網(wǎng)絡(luò)內(nèi)部的事件，這些事件的大部分就是因?yàn)榘踩胧┎煌晟扑兄碌目喙＼浖?ldquo;后門”都是軟件公司的設(shè)計(jì)編程人員為了自己方便而設(shè)置的，一旦“后門”打開，造成的后果將不堪設(shè)想。其實(shí)，三層交換機(jī)的安全策略也具備預(yù)防病毒的功能。下面我們?cè)敿?xì)介紹一下如何利用三層交換機(jī)的安全策略預(yù)防病毒。

計(jì)算機(jī)網(wǎng)絡(luò)的安全策略又分為物理安全策略和訪問控制策略

三層交換安全策略：物理安全策略

物理安全策略的目的是保護(hù)計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)服務(wù)器、打印機(jī)等硬件實(shí)體和通信鏈路免受自然災(zāi)害、人為破壞和搭線攻擊；驗(yàn)證用戶的身份和使用權(quán)限、防止用戶越權(quán)操作；確保計(jì)算機(jī)系統(tǒng)有一個(gè)良好的電磁兼容工作環(huán)境。

三層交換安全策略：訪問控制策略

訪問控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非常訪問。它也是維護(hù)網(wǎng)絡(luò)系統(tǒng)安全、保護(hù)網(wǎng)絡(luò)資源的重要手段。安全策略分為入網(wǎng)訪問控制、網(wǎng)絡(luò)的權(quán)限控制、目錄級(jí)安全控制、屬性安全控制、網(wǎng)絡(luò)服務(wù)器安全控制、網(wǎng)絡(luò)監(jiān)測(cè)和鎖定控制、網(wǎng)絡(luò)端口和節(jié)點(diǎn)的安全控制等。

為各種安全策略必須相互配合才能真正起到保護(hù)作用，但訪問控制可以說是保證網(wǎng)絡(luò)安全最重要的核心策略之一。病毒入侵的主要來源通過軟件的“后門”。包過濾設(shè)置在網(wǎng)絡(luò)層，首先應(yīng)建立一定數(shù)量的信息過濾表，信息過濾表是以其收到的數(shù)據(jù)包頭信息為基礎(chǔ)而建成的。

信息包頭含有數(shù)據(jù)包源IP地址、目的IP地址、傳輸協(xié)議類型（TCP、UDP、ICMP等）、協(xié)議源端口號(hào)、協(xié)議目的端口號(hào)、連接請(qǐng)求方向、ICMP報(bào)文類型等。當(dāng)一個(gè)數(shù)據(jù)包滿足過濾表中的規(guī)則時(shí)，則允許數(shù)據(jù)包通過，否則禁止通過。

這種防火墻可以用于禁止外部不合法用戶對(duì)內(nèi)部的訪問，也可以用來禁止訪問某些服務(wù)類型。但包過濾技術(shù)不能識(shí)別有危險(xiǎn)的信息包，無法實(shí)施對(duì)應(yīng)用級(jí)協(xié)議的處理，也無法處理UDP、RPC或動(dòng)態(tài)的協(xié)議。根據(jù)每個(gè)局域網(wǎng)的防病毒要求，建立局域網(wǎng)防病毒控制系統(tǒng)，分別設(shè)置有針對(duì)性的防病毒策略?，F(xiàn)已政府大樓局域網(wǎng)為例，該網(wǎng)絡(luò)構(gòu)成如圖所示：

巧用三層交換安全策略預(yù)防病毒#p#

三層交換安全策略：劃分VLAN

基于交換機(jī)的虛擬局域網(wǎng)能夠?yàn)榫钟蚓W(wǎng)解決沖突域、廣播域、帶寬問題。可以基于網(wǎng)絡(luò)層來劃分VLAN，有兩種方案，一種按協(xié)議（如果網(wǎng)絡(luò)中存在多協(xié)議）來劃分；另一種是按網(wǎng)絡(luò)層地址（最常見的是TCP/IP中的子網(wǎng)段地址）來劃分。

建立VLAN也可使用與管理路由相同的策略。根據(jù)IP子網(wǎng)、IPX網(wǎng)絡(luò)號(hào)及其他協(xié)議劃分VLAN。同一協(xié)議的工作站劃分為一個(gè)VLAN，交換機(jī)檢查廣播幀的以太幀標(biāo)題域，查看其協(xié)議類型。

若已存在該協(xié)議的VLAN，則加入源端口，否則，創(chuàng)建—個(gè)新的VLAN。這種方式構(gòu)成的VLAN，不但大大減少了人工配置VLAN的工作量，同時(shí)保證了用戶自由地增加、移動(dòng)和修改。

不同VLAN網(wǎng)段上的站點(diǎn)可屬于同一VLAN，在不同VLAN上的站點(diǎn)也可在同一物理網(wǎng)段上。利用網(wǎng)絡(luò)層定義VLAN缺點(diǎn)也是有的。與利用MAC地址的形式相比，基于網(wǎng)絡(luò)層的VLAN需要分析各種協(xié)議的地址格式并進(jìn)行相應(yīng)的轉(zhuǎn)換。因此，使用網(wǎng)絡(luò)層信息來定義VLAN的交換機(jī)要比使用數(shù)據(jù)鏈路層信息的交換機(jī)在速度上占劣勢(shì)。

巧用三層交換安全策略預(yù)防病毒2

三層交換安全策略：增強(qiáng)網(wǎng)絡(luò)的安全性

共享式LAN上的廣播必然會(huì)產(chǎn)生安全性問題，因?yàn)榫W(wǎng)絡(luò)上的所有用戶都能監(jiān)測(cè)到流經(jīng)的業(yè)務(wù)，用戶只要插入任一活動(dòng)端口就可訪問網(wǎng)段上的廣播包。采用VLAN提供的安全機(jī)制，可以限制特定用戶的訪問，控制廣播組的大小和位置，甚至鎖定網(wǎng)絡(luò)成員的MAC地址，這樣，就限制了未經(jīng)安全許可的用戶和網(wǎng)絡(luò)成員對(duì)網(wǎng)絡(luò)的使用。

三層交換安全策略：設(shè)置訪問控制列表

首先根據(jù)各單位的需求，制定不同的策略，比如文件的傳輸、游戲等。在制定策略之前，我們首先要了解什么樣的文件依靠計(jì)算機(jī)上哪個(gè)端口來傳輸。端口大約分為三類：公認(rèn)端口（0—1023）：它們緊密綁定于一些服務(wù)。

通常這些端口的通訊明確表明了某種服務(wù)的協(xié)議。例如：80端口實(shí)際上總是HTTP通訊，110端口實(shí)際上是pop3通訊。注冊(cè)端口（1024—49151）：它們松散地綁定于一些服務(wù)。也就是說有許多服務(wù)綁定于這些端口，這些端口同樣用于許多其它目的。例如：許多系統(tǒng)處理動(dòng)態(tài)端口從1024左右開始。

動(dòng)態(tài)和/或私有端口（49152—65535）：理論上，不應(yīng)為服務(wù)分配這些端口。實(shí)際上，機(jī)器通常從1024起分配動(dòng)態(tài)端口。但也有例外：SUN的RPC端口從32768開始。例如：
#TheseACLsaretoblockvirusattack（這些訪問控制列表要堵塞病毒攻擊）
#YouneedtomakesureallyourexpectednetworkservicearenotblockedbytheseACLs（你需要確定你的需要的網(wǎng)絡(luò)服務(wù)中不備訪問控制列表要堵塞）
#TheseACLs'precedencearewithin1001~1500（訪問控制列表優(yōu)先在1001-1500）
SQLSlammer/MS-SQLServerWorm（病毒）
createaccess-listudp1434-d-deudpdestinationanyip-port1434sourceanyip-portanydenyportsanyprecedence1001（創(chuàng)建數(shù)據(jù)列表為udp1434-d-de，凡是來源于1434端口的數(shù)據(jù)包都優(yōu)先于1001）
#W32/Blasterworm（病毒）
createaccess-listudp69-d-deudpdestinationanyip-port69sourceanyip-portanydenyportsanyprecedence1011（創(chuàng)建數(shù)據(jù)列表為udp69-d-deudp，凡是來源于69端口的數(shù)據(jù)包都優(yōu)先于1011）
createaccess-listudp135-d-deudpdestinationanyip-port135sourceanyip-portanydenyportsanyprecedence1013（創(chuàng)建數(shù)據(jù)列表為udp135-d-deudp，凡是來源于135端口的數(shù)據(jù)包都優(yōu)先于1013）

端口隔離：使用交換機(jī)system-guard檢測(cè)功能、設(shè)置當(dāng)前最大可檢測(cè)染毒主機(jī)的數(shù)目、設(shè)置每次地址學(xué)習(xí)相關(guān)參數(shù)，system-guardenable（使能system-guard檢測(cè)功能，在使用防火墻功能前，請(qǐng)確保端口的優(yōu)先級(jí)配置處于缺省狀態(tài)，即：端口的優(yōu)先級(jí)為0，且交換機(jī)對(duì)于報(bào)文中的cos優(yōu)先級(jí)不信任。）
system-guarddetect-maxnum5（設(shè)置當(dāng)前最大可檢測(cè)的染毒主機(jī)數(shù)目5臺(tái)）
system-guarddetect-thresholdIP-record-thresholdrecord-times-thresholdisolate-time（該命令可以設(shè)置地址學(xué)習(xí)數(shù)目的上限、重復(fù)檢測(cè)次數(shù)的上限和隔離時(shí)間。）

舉例來說，在設(shè)置了地址學(xué)習(xí)數(shù)目的上限為50、重復(fù)檢測(cè)次數(shù)的上限為3、隔離時(shí)間為5后，系統(tǒng)如果連續(xù)3次檢測(cè)到來自源IP的地址每次IP地址學(xué)習(xí)數(shù)目都超過了50，系統(tǒng)就認(rèn)為受到了攻擊，將此源IP檢測(cè)出來，在5倍的老化周期內(nèi)不學(xué)習(xí)來自此源IP的報(bào)文中的目的IP地址。

三層交換安全策略結(jié)束語

隨著計(jì)算機(jī)技術(shù)和通信技術(shù)的發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)將日益成為工業(yè)、農(nóng)業(yè)和國防等方面的重要信息交換手段，滲透到社會(huì)生活的各個(gè)領(lǐng)域。因此，認(rèn)清三層交換安全策略網(wǎng)絡(luò)的脆弱性和潛在威脅，采取強(qiáng)有力的安全策略，對(duì)于保障網(wǎng)絡(luò)的安全性將變得十分重要。