用交换机解决局域网安全[2]

　　既然路由器和防火墙无法全面解决局网安全问题，那么自然会有人想到用交换机来解决这个问题。

　　在大部分网管人员和技术员看来，交换机就是纯粹用来拓展上网计算机数量，提供更多的LAN口，似乎它就只是一个只管线速转发而从来不对数据包进行分析的设备，这也是二层交换机给人比较深刻的印象。

　　确实，要解决局域网的安全问题，交换机就不能再纯粹完成转发工作了事，还需要判断数封堵一些常见病毒所使用的端口，以及进行端口速率限制。有些读者会觉得，路由器上面不是也具备这些功能吗？没错，但如前面所说，路由器的这些功能发挥作用已经是在路由器的LAN口接收到数据包之后，而如果这些功能转移到交换机上，就可以防止这些病毒端口发送的数据包到达路由器，从而减轻路由器的负担，保证局域网其他用户的正常上网。

　　而为了能够识别各种恶意数据流量，交换机上就必须使用一款智能芯片，使其具备一定的分析处理能力，可以准确的判断、封堵、限制并记录ARP攻击和DDOS攻击事件，切断病毒传播的路径，一台这样的安全交换机，应当具有以下特点：

支持基于Ip、Mac、应用的访问控制列表功能（ACL）

支持常见病毒端口过滤功能

支持基于端口、Ip、Mac、应用的速率限制

支持基于端口、ip、mac、802.1p和应用的优先级控制（QOS）

支持基于mac+ip+vlan+端口的绑定（ARP防御）

支持ARP攻击和DDOS攻击事件记录日志

　　局域网安全应当受到更多的重视

　　其实对于网吧和大中型企业网络来说，关于局域网内部的管理一直是一个非常复杂和令人头痛的问题，一个用户哪怕只是不小心点击一个恶意网站的链接，就会在几秒钟之内感染病毒，然后立刻影响到整个局域网的稳定和安全，加上现在恶意网站非常泛滥，病毒传播手段花样叠出，局域网安全必须受到广大网络管理人员的重视。

　　网络在不断发展，网络安全环境也随之变化，新的安全形势对局域网安全提出新的考验，网络管理人员也需要及时更新技术，采取适当的应对措施，以保障网络的稳定畅通。