該文章講述了三層交換機的物理安全策略和訪問控制策略.目前計算機網(wǎng)絡所面臨的威脅大體可分為兩種：一是對網(wǎng)絡中信息的威脅;二是對網(wǎng)絡中設備的威脅。影響計算機網(wǎng)絡的因素很多，主要是網(wǎng)絡軟件的漏洞和“后門”，這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標。

一些黑客攻入網(wǎng)絡內(nèi)部的事件，這些事件的大部分就是因為安全措施不完善所招致的苦果。軟件的“后門”都是軟件公司的設計編程人員為了自己方便而設置的，一旦 “后門”打開，造成的后果將不堪設想。其實，三層交換機的安全策略也具備預防病毒的功能。下面我們詳細介紹一下如何利用三層交換機的安全策略預防病毒。

計算機網(wǎng)絡的安全策略又分為物理安全策略和訪問控制策略。

1、物理安全策略

物理安全策略的目的是保護計算機系統(tǒng)、網(wǎng)絡服務器、打印機等硬件實體和通信鏈路免受自然災害、人為破壞和搭線攻擊;驗證用戶的身份和使用權限、防止用戶越權操作;確保計算機系統(tǒng)有一個良好的電磁兼容工作環(huán)境。

2、訪問控制策略

訪問控制是網(wǎng)絡安全防范和保護的主要策略，它的主要任務是保證網(wǎng)絡資源不被非法使用和非常訪問。它也是維護網(wǎng)絡系統(tǒng)安全、保護網(wǎng)絡資源的重要手段。安全策略分為入網(wǎng)訪問控制、網(wǎng)絡的權限控制、目錄級安全控制、屬性安全控制、網(wǎng)絡服務器安全控制、網(wǎng)絡監(jiān)測和鎖定控制、網(wǎng)絡端口和節(jié)點的安全控制等。為各種安全策略必須相互配合才能真正起到保護作用，但訪問控制可以說是保證網(wǎng)絡安全最重要的核心策略之一。

病毒入侵的主要來源通過軟件的“后門”。包過濾設置在網(wǎng)絡層，首先應建立一定數(shù)量的信息過濾表，信息過濾表是以其收到的數(shù)據(jù)包頭信息為基礎而建成的。信息包頭含有數(shù)據(jù)包源IP地址、目的IP地址、傳輸協(xié)議類型(TCP、UDP、ICMP等)、協(xié)議源端口號、協(xié)議目的端口號、連接請求方向、ICMP報文類型等。當一個數(shù)據(jù)包滿足過濾表中的規(guī)則時，則允許數(shù)據(jù)包通過，否則禁止通過。這種防火墻可以用于禁止外部不合法用戶對內(nèi)部的訪問，也可以用來禁止訪問某些服務類型。但包過濾技術不能識別有危險的信息包，無法實施對應用級協(xié)議的處理，也無法處理UDP、RPC或動態(tài)的協(xié)議。根據(jù)每個局域網(wǎng)的防病毒要求，建立局域網(wǎng)防病毒控制系統(tǒng)，分別設置有針對性的防病毒策略。

劃分VLAN

1、基于交換機的虛擬局域網(wǎng)能夠為局域網(wǎng)解決沖突域、廣播域、帶寬問題。可以基于網(wǎng)絡層來劃分VLAN，有兩種方案，一種按協(xié)議(如果網(wǎng)絡中存在多協(xié)議)來劃分;另一種是按網(wǎng)絡層地址(最常見的是TCP/IP中的子網(wǎng)段地址)來劃分。

建立VLAN也可使用與管理路由相同的策略。根據(jù)IP子網(wǎng)、IPX網(wǎng)絡號及其他協(xié)議劃分VLAN。同一協(xié)議的工作站劃分為一個VLAN，交換機檢查廣播幀的以太幀標題域，查看其協(xié)議類型，若已存在該協(xié)議的VLAN，則加入源端口，否則，創(chuàng)建—個新的VLAN。這種方式構成的VLAN，不但大大減少了人工配置 VLAN的工作量，同時保證了用戶自由地增加、移動和修改。不同VLAN網(wǎng)段上的站點可屬于同一VLAN，在不同VLAN上的站點也可在同一物理網(wǎng)段上。

利用網(wǎng)絡層定義VLAN缺點也是有的。與利用MAC地址的形式相比，基于網(wǎng)絡層的VLAN需要分析各種協(xié)議的地址格式并進行相應的轉(zhuǎn)換。因此，使用網(wǎng)絡層信息來定義VLAN的交換機要比使用數(shù)據(jù)鏈路層信息的交換機在速度上占劣勢。

2、增強網(wǎng)絡的安全性

共享式LAN上的廣播必然會產(chǎn)生安全性問題，因為網(wǎng)絡上的所有用戶都能監(jiān)測到流經(jīng)的業(yè)務，用戶只要插入任一活動端口就可訪問網(wǎng)段上的廣播包。采用VLAN提供的安全機制，可以限制特定用戶的訪問，控制廣播組的大小和位置，甚至鎖定網(wǎng)絡成員的MAC地址，這樣，就限制了未經(jīng)安全許可的用戶和網(wǎng)絡成員對網(wǎng)絡的使用。

設置訪問控制列表

首先根據(jù)各單位的需求，制定不同的策略，比如文件的傳輸、游戲等。在制定策略之前，我們首先要了解什么樣的文件依靠計算機上哪個端口來傳輸。端口大約分為三類：

公認端口(0—1023)：它們緊密綁定于一些服務。通常這些端口的通訊明確表明了某種服務的協(xié)議。例如：80端口實際上總是HTTP通訊，110端口實際上是pop3通訊。

注冊端口(1024—49151)：它們松散地綁定于一些服務。也就是說有許多服務綁定于這些端口，這些端口同樣用于許多其它目的。例如：許多系統(tǒng)處理動態(tài)端口從1024左右開始。

動態(tài)和靜態(tài)

有端口(49152—65535)：理論上，不應為服務分配這些端口。實際上，機器通常從1024起分配動態(tài)端口。但也有例外：SUN的RPC端口從32768開始。

例如：

These ACLs are to block virus attack (這些訪問控制列表要堵塞病毒攻擊)

You need to make sure all your expected network service are not blocked by these ACLs

(你需要確定你的需要的網(wǎng)絡服務中不備訪問控制列表要堵塞)

These ACLs' precedence are within 1001 ~ 1500(訪問控制列表優(yōu)先在1001-1500)

SQL Slammer/MS-SQL Server Worm(病毒)

create access-list udp1434-d-de udp destination any ip-port 1434 source any ip-port any

deny ports any precedence 1001(創(chuàng)建數(shù)據(jù)列表為udp1434-d-de，凡是來源于1434端口的數(shù)據(jù)包都優(yōu)

先于1001)

W32/Blaster worm (病毒)

create access-list udp69-d-de udp destination any ip-port 69 source any ip-port any deny

ports any precedence 1011(創(chuàng)建數(shù)據(jù)列表為udp69-d-de udp，凡是來源于69端口的數(shù)據(jù)包都優(yōu)先于

1011)

create access-list udp135-d-de udp destination any ip-port 135 source any ip-port any

deny ports any precedence 1013(創(chuàng)建數(shù)據(jù)列表為udp135-d-de udp，凡是來源于135端口的數(shù)據(jù)包都

優(yōu)先于1013)

端口隔離：使用交換機system-guard檢測功能、設置當前最大可檢測染毒主機的數(shù)目、設置每次地址學習相關參數(shù)，system-guard enable (使能system-guard檢測功能，在使用防火墻功能前，請確保端口的優(yōu)先級配置處于缺省狀態(tài)，即：端口的優(yōu)先級為0，且交換機對于報文中的cos優(yōu)先級不信任。)

system-guard detect-maxnum 5 (設置當前最大可檢測的染毒主機數(shù)目5臺)

system-guard detect-threshold IP-record-threshold record-times-threshold isolate-time

(該命令可以設置地址學習數(shù)目的上限、重復檢測次數(shù)的上限和隔離時間。)

舉例來說，在設置了地址學習數(shù)目的上限為50、重復檢測次數(shù)的上限為3、隔離時間為5后，系統(tǒng)如果連續(xù)3次檢測到來自源IP的地址每次IP地址學習數(shù)目都超過了50，系統(tǒng)就認為受到了攻擊，將此源IP檢測出來，在5倍的老化周期內(nèi)不學習來自此源IP的報文中的目的IP地址。

結束語

隨著計算機技術和通信技術的發(fā)展，計算機網(wǎng)絡將日益成為工業(yè)、農(nóng)業(yè)和國防等方面的重要信息交換手段，滲透到社會生活的各個領域。因此，認清網(wǎng)絡的脆弱性和潛在威脅，采取強有力的安全策略，對于保障網(wǎng)絡的安全性將變得十分重要。