巧用三层交换安全策略预防病毒

划分VLAN

1、 基于交换机的虚拟局域网能够为局域网解决冲突域、广播域、带宽问题。可以基于网络层来划分VLAN，有两种方案，一种按协议（如果网络中存在多协议）来划分；另一种是按网络层地址（最常见的是TCP/IP中的子网段地址）来划分。

建立VLAN也可使用与管理路由相同的策略。根据IP子网、IPX网络号及其他协议划分VLAN。同一协议的工作站划分为一个VLAN，交换机检查广播帧的以太帧标题域，查看其协议类型，若已存在该协议的VLAN，则加入源端口，否则，创建—个新的VLAN。这种方式构成的VLAN，不但大大减少了人工配置VLAN的工作量，同时保证了用户自由地增加、移动和修改。不同VLAN网段上的站点可属于同一VLAN，在不同VLAN上的站点也可在同一物理网段上。

利用网络层定义VLAN缺点也是有的。与利用MAC地址的形式相比，基于网络层的VLAN需要分析各种协议的地址格式并进行相应的转换。因此，使用网络层信息来定义VLAN的交换机要比使用数据链路层信息的交换机在速度上占劣势。

2、增强网络的安全性

共享式LAN上的广播必然会产生安全性问题，因为网络上的所有用户都能监测到流经的业务，用户只要插入任一活动端口就可访问网段上的广播包。采用VLAN提供的安全机制，可以限制特定用户的访问，控制广播组的大小和位置，甚至锁定网络成员的MAC地址，这样，就限制了未经安全许可的用户和网络成员对网络的使用。

设置访问控制列表

首先根据各单位的需求，制定不同的策略，比如文件的传输、游戏等。在制定策略之前，我们首先要了解什么样的文件依靠计算机上哪个端口来传输。端口大约分为三类：

公认端口（0—1023）：它们紧密绑定于一些服务。通常这些端口的通讯明确表明了某种服务的协议。例如：80端口实际上总是HTTP通讯，110端口实际上是pop3通讯。
注册端口（1024—49151）：它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口，这些端口同样用于许多其它目的。例如：许多系统处理动态端口从1024左右开始。
动态和/或私有端口（49152—65535）：理论上，不应为服务分配这些端口。实际上，机器通常从1024起分配动态端口。但也有例外：SUN的RPC端口从32768开始。例如：
# These ACLs are to block virus attack （这些访问控制列表要堵塞病毒攻击）
# You need to make sure all your expected network service are not blocked by these ACLs
（你需要确定你的需要的网络服务中不备访问控制列表要堵塞）
# These ACLs' precedence are within 1001 ~ 1500（访问控制列表优先在1001-1500）
SQL Slammer/MS-SQL Server Worm（病毒）
create access-list udp1434-d-de udp destination any ip-port 1434 source any ip-port any deny ports any precedence 1001（创建数据列表为udp1434-d-de，凡是来源于1434端口的数据包都优先于1001）
#W32/Blaster worm （病毒）
create access-list udp69-d-de udp destination any ip-port 69 source any ip-port any deny ports any precedence 1011（创建数据列表为udp69-d-de udp，凡是来源于69端口的数据包都优先于1011）
create access-list udp135-d-de udp destination any ip-port 135 source any ip-port any deny ports any precedence 1013（创建数据列表为udp135-d-de udp，凡是来源于135端口的数据包都优先于1013）
端口隔离： 使用交换机system-guard检测功能、设置当前最大可检测染毒主机的数目、设置每次地址学习相关参数， system-guard enable（ 使能system-guard检测功能，在使用防火墙功能前，请确保端口的优先级配置处于缺省状态，即：端口的优先级为0，且交换机对于报文中的cos优先级不信任。）
system-guard detect-maxnum 5 （设置当前最大可检测的染毒主机数目5台）
system-guard detect-threshold IP-record-threshold record-times-threshold isolate-time
（该命令可以设置地址学习数目的上限、重复检测次数的上限和隔离时间。）
举例来说，在设置了地址学习数目的上限为50、重复检测次数的上限为3、隔离时间为5后，系统如果连续3次检测到来自源IP的地址每次IP地址学习数目都超过了50，系统就认为受到了攻击，将此源IP检测出来，在5倍的老化周期内不学习来自此源IP的报文中的目的IP地址。

结束语

随着计算机技术和通信技术的发展，计算机网络将日益成为工业、农业和国防等方面的重要信息交换手段，渗透到社会生活的各个领域。因此，认清网络的脆弱性和潜在威胁，采取强有力的安全策略，对于保障网络的安全性将变得十分重要。