該文章講述了三層交換機的物理安全策略和訪問控制策略.目前計算機網絡所面臨的威脅大體可分為兩種：一是對網絡中信息的威脅;二是對網絡中設備的威脅。影響計算機網絡的因素很多，主要是網絡軟件的漏洞和“后門”，這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標。

一些黑客攻入網絡內部的事件，這些事件的大部分就是因為安全措施不完善所招致的苦果。軟件的“后門”都是軟件公司的設計編程人員為了自己方便而設置的，一旦 “后門”打開，造成的后果將不堪設想。其實，三層交換機的安全策略也具備預防病毒的功能。下面我們詳細介紹一下如何利用三層交換機的安全策略預防病毒。

計算機網絡的安全策略又分為物理安全策略和訪問控制策略。

1、物理安全策略

物理安全策略的目的是保護計算機系統、網絡服務器、打印機等硬件實體和通信鏈路免受自然災害、人為破壞和搭線攻擊;驗證用戶的身份和使用權限、防止用戶越權操作;確保計算機系統有一個良好的電磁兼容工作環境。

2、訪問控制策略

訪問控制是網絡安全防范和保護的主要策略，它的主要任務是保證網絡資源不被非法使用和非常訪問。它也是維護網絡系統安全、保護網絡資源的重要手段。安全策略分為入網訪問控制、網絡的權限控制、目錄級安全控制、屬性安全控制、網絡服務器安全控制、網絡監測和鎖定控制、網絡端口和節點的安全控制等。為各種安全策略必須相互配合才能真正起到保護作用，但訪問控制可以說是保證網絡安全最重要的核心策略之一。

病毒入侵的主要來源通過軟件的“后門”。包過濾設置在網絡層，首先應建立一定數量的信息過濾表，信息過濾表是以其收到的數據包頭信息為基礎而建成的。信息包頭含有數據包源IP地址、目的IP地址、傳輸協議類型(TCP、UDP、ICMP等)、協議源端口號、協議目的端口號、連接請求方向、ICMP報文類型等。當一個數據包滿足過濾表中的規則時，則允許數據包通過，否則禁止通過。這種防火墻可以用于禁止外部不合法用戶對內部的訪問，也可以用來禁止訪問某些服務類型。但包過濾技術不能識別有危險的信息包，無法實施對應用級協議的處理，也無法處理UDP、RPC或動態的協議。根據每個局域網的防病毒要求，建立局域網防病毒控制系統，分別設置有針對性的防病毒策略。

劃分VLAN

1、基于交換機的虛擬局域網能夠為局域網解決沖突域、廣播域、帶寬問題。可以基于網絡層來劃分VLAN，有兩種方案，一種按協議(如果網絡中存在多協議)來劃分;另一種是按網絡層地址(最常見的是TCP/IP中的子網段地址)來劃分。

建立VLAN也可使用與管理路由相同的策略。根據IP子網、IPX網絡號及其他協議劃分VLAN。同一協議的工作站劃分為一個VLAN，交換機檢查廣播幀的以太幀標題域，查看其協議類型，若已存在該協議的VLAN，則加入源端口，否則，創建—個新的VLAN。這種方式構成的VLAN，不但大大減少了人工配置 VLAN的工作量，同時保證了用戶自由地增加、移動和修改。不同VLAN網段上的站點可屬于同一VLAN，在不同VLAN上的站點也可在同一物理網段上。

利用網絡層定義VLAN缺點也是有的。與利用MAC地址的形式相比，基于網絡層的VLAN需要分析各種協議的地址格式并進行相應的轉換。因此，使用網絡層信息來定義VLAN的交換機要比使用數據鏈路層信息的交換機在速度上占劣勢。

2、增強網絡的安全性

共享式LAN上的廣播必然會產生安全性問題，因為網絡上的所有用戶都能監測到流經的業務，用戶只要插入任一活動端口就可訪問網段上的廣播包。采用VLAN提供的安全機制，可以限制特定用戶的訪問，控制廣播組的大小和位置，甚至鎖定網絡成員的MAC地址，這樣，就限制了未經安全許可的用戶和網絡成員對網絡的使用。

設置訪問控制列表

首先根據各單位的需求，制定不同的策略，比如文件的傳輸、游戲等。在制定策略之前，我們首先要了解什么樣的文件依靠計算機上哪個端口來傳輸。端口大約分為三類：

公認端口(0—1023)：它們緊密綁定于一些服務。通常這些端口的通訊明確表明了某種服務的協議。例如：80端口實際上總是HTTP通訊，110端口實際上是pop3通訊。

注冊端口(1024—49151)：它們松散地綁定于一些服務。也就是說有許多服務綁定于這些端口，這些端口同樣用于許多其它目的。例如：許多系統處理動態端口從1024左右開始。

動態和靜態

有端口(49152—65535)：理論上，不應為服務分配這些端口。實際上，機器通常從1024起分配動態端口。但也有例外：SUN的RPC端口從32768開始。

例如：

These ACLs are to block virus attack (這些訪問控制列表要堵塞病毒攻擊)

You need to make sure all your expected network service are not blocked by these ACLs

(你需要確定你的需要的網絡服務中不備訪問控制列表要堵塞)

These ACLs' precedence are within 1001 ~ 1500(訪問控制列表優先在1001-1500)

SQL Slammer/MS-SQL Server Worm(病毒)

create access-list udp1434-d-de udp destination any ip-port 1434 source any ip-port any

deny ports any precedence 1001(創建數據列表為udp1434-d-de，凡是來源于1434端口的數據包都優

先于1001)

W32/Blaster worm (病毒)

create access-list udp69-d-de udp destination any ip-port 69 source any ip-port any deny

ports any precedence 1011(創建數據列表為udp69-d-de udp，凡是來源于69端口的數據包都優先于

1011)

create access-list udp135-d-de udp destination any ip-port 135 source any ip-port any

deny ports any precedence 1013(創建數據列表為udp135-d-de udp，凡是來源于135端口的數據包都

優先于1013)

端口隔離：使用交換機system-guard檢測功能、設置當前最大可檢測染毒主機的數目、設置每次地址學習相關參數，system-guard enable (使能system-guard檢測功能，在使用防火墻功能前，請確保端口的優先級配置處于缺省狀態，即：端口的優先級為0，且交換機對于報文中的cos優先級不信任。)

system-guard detect-maxnum 5 (設置當前最大可檢測的染毒主機數目5臺)

system-guard detect-threshold IP-record-threshold record-times-threshold isolate-time

(該命令可以設置地址學習數目的上限、重復檢測次數的上限和隔離時間。)

舉例來說，在設置了地址學習數目的上限為50、重復檢測次數的上限為3、隔離時間為5后，系統如果連續3次檢測到來自源IP的地址每次IP地址學習數目都超過了50，系統就認為受到了攻擊，將此源IP檢測出來，在5倍的老化周期內不學習來自此源IP的報文中的目的IP地址。

結束語

隨著計算機技術和通信技術的發展，計算機網絡將日益成為工業、農業和國防等方面的重要信息交換手段，滲透到社會生活的各個領域。因此，認清網絡的脆弱性和潛在威脅，采取強有力的安全策略，對于保障網絡的安全性將變得十分重要。