怎么利用第三層交換機安全策略

　　第三層交換機的預防病毒能力也是很強大的，特別是在網(wǎng)絡攻擊泛濫的今天，保證安全是網(wǎng)絡設備最重要的一點。目前計算機網(wǎng)絡所面臨的威脅大體可分為兩種：一是對網(wǎng)絡中信息的威脅;二是對網(wǎng)絡中設備的威脅。影響計算機網(wǎng)絡的因素很多，主要是網(wǎng)絡軟件的漏洞和“后門”，這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標。

　　一些黑客攻入網(wǎng)絡內部的事件，這些事件的大部分就是因為安全措施不完善所招致的苦果。軟件的“后門”都是軟件公司的設計編程人員為了自己方便而設置的，一旦 “后門”打開，造成的后果將不堪設想。其實，第三層交換機的安全策略也具備預防病毒的功能。下面學習啦小編詳細介紹一下如何利用第三層交換機的安全策略預防病毒，計算機網(wǎng)絡的安全策略又分為物理安全策略和訪問控制策略

　　1、物理安全策略

　　物理安全策略的目的是保護計算機系統(tǒng)、網(wǎng)絡服務器、打印機等硬件實體和通信鏈路免受自然災害、人為破壞和搭線攻擊;驗證用戶的身份和使用權限、防止用戶越權操作;確保計算機系統(tǒng)有一個良好的電磁兼容工作環(huán)境。

　　2、訪問控制策略

　　訪問控制是網(wǎng)絡安全防范和保護的主要策略，它的主要任務是保證網(wǎng)絡資源不被非法使用和非常訪問。它也是維護網(wǎng)絡系統(tǒng)安全、保護網(wǎng)絡資源的重要手段。安全策略分為入網(wǎng)訪問控制、網(wǎng)絡的權限控制、目錄級安全控制、屬性安全控制、網(wǎng)絡服務器安全控制、網(wǎng)絡監(jiān)測和鎖定控制、網(wǎng)絡端口和節(jié)點的安全控制等。為各種安全策略必須相互配合才能真正起到保護作用，但訪問控制可以說是保證網(wǎng)絡安全最重要的核心策略之一。

　　病毒入侵的主要來源通過軟件的“后門”。包過濾設置在網(wǎng)絡層，首先應建立一定數(shù)量的信息過濾表，信息過濾表是以其收到的數(shù)據(jù)包頭信息為基礎而建成的。信息包頭含有數(shù)據(jù)包源IP地址、目的IP地址、傳輸協(xié)議類型(TCP、UDP、ICMP等)、協(xié)議源端口號、協(xié)議目的端口號、連接請求方向、ICMP報文類型等。當一個數(shù)據(jù)包滿足過濾表中的規(guī)則時，則允許數(shù)據(jù)包通過，否則禁止通過。這種防火墻可以用于禁止外部不合法用戶對內部的訪問，也可以用來禁止訪問某些服務類型。但包過濾技術不能識別有危險的信息包，無法實施對應用級協(xié)議的處理，也無法處理UDP、RPC或動態(tài)的協(xié)議。根據(jù)每個局域網(wǎng)的防病毒要求，建立局域網(wǎng)防病毒控制系統(tǒng)，分別設置有針對性的防病毒策略。

　　劃分VLAN

　　1、基于第三層交換機的虛擬局域網(wǎng)能夠為局域網(wǎng)解決沖突域、廣播域、帶寬問題?？梢曰诰W(wǎng)絡層來劃分VLAN，有兩種方案，一種按協(xié)議(如果網(wǎng)絡中存在多協(xié)議)來劃分;另一種是按網(wǎng)絡層地址(最常見的是TCP/IP中的子網(wǎng)段地址)來劃分。

　　建立VLAN也可使用與管理路由相同的策略。根據(jù)IP子網(wǎng)、IPX網(wǎng)絡號及其他協(xié)議劃分VLAN。同一協(xié)議的工作站劃分為一個VLAN，第三層交換機檢查廣播幀的以太幀標題域，查看其協(xié)議類型，若已存在該協(xié)議的VLAN，則加入源端口，否則，創(chuàng)建—個新的VLAN。這種方式構成的VLAN，不但大大減少了人工配置 VLAN的工作量，同時保證了用戶自由地增加、移動和修改。不同VLAN網(wǎng)段上的站點可屬于同一VLAN，在不同VLAN上的站點也可在同一物理網(wǎng)段上。

　　利用網(wǎng)絡層定義VLAN缺點也是有的。與利用MAC地址的形式相比，基于網(wǎng)絡層的VLAN需要分析各種協(xié)議的地址格式并進行相應的轉換。因此，使用網(wǎng)絡層信息來定義VLAN的第三層交換機要比使用數(shù)據(jù)鏈路層信息的第三層交換機在速度上占劣勢

　　2、增強網(wǎng)絡的安全性

　　共享式LAN上的廣播必然會產生安全性問題，因為網(wǎng)絡上的所有用戶都能監(jiān)測到流經(jīng)的業(yè)務，用戶只要插入任一活動端口就可訪問網(wǎng)段上的廣播包。采用VLAN提供的安全機制，可以限制特定用戶的訪問，控制廣播組的大小和位置，甚至鎖定網(wǎng)絡成員的MAC地址，這樣，就限制了未經(jīng)安全許可的用戶和網(wǎng)絡成員對網(wǎng)絡的使用。

　　設置訪問控制列表

　　首先根據(jù)各單位的需求，制定不同的策略，比如文件的傳輸、游戲等。在制定策略之前，我們首先要了解什么樣的文件依靠計算機上哪個端口來傳輸。端口大約分為三類：公認端口(0—1023)：它們緊密綁定于一些服務。通常這些端口的通訊明確表明了某種服務的協(xié)議。例如：80端口實際上總是HTTP通訊，110端口實際上是pop3通訊。

　　注冊端口(1024—49151)：它們松散地綁定于一些服務。也就是說有許多服務綁定于這些端口，這些端口同樣用于許多其它目的。例如：許多系統(tǒng)處理動態(tài)端口從1024左右開始。動態(tài)和/或私有端口(49152—65535)：理論上，不應為服務分配這些端口。實際上，機器通常從1024起分配動態(tài)端口。但也有例外：SUN的RPC端口從32768開始。