·	没有路由密码权限时的鸽	08-23	·	上网安全 Vista自我防范	10-11
·	让濒临崩溃的Windows XP	10-11	·	有备无患，快速自制救急	10-11
·	要你好看!Windows看图工	10-11	·	空间赞助网提供不同类型	10-11
·	讨论net.exe和net1.exe的	10-10	·	让3389远程桌面传输更通	10-10
·	巧妙入侵渗透赌博站	10-10	·	Aspx空间扫权限工具	10-10
·	Windows2003最新提权工具	10-10	·	易淘乐提供100M免费全能	10-10
·	系统开机密码忘了不着急	10-09	·	中意网络提供免费100M免	10-09
·	与众不同 Windows XP开始	10-08	·	让桌面图标翻跟斗在XP上	10-08
·	上海宽元站长资助计划-提	10-08	·	个性化Windows XP的任务	10-07
·	趣盘提供3G免费网络硬盘	10-07	·	秀山热线提供200MB免费全	10-07
·	一次艰辛的提权过程	10-06	·	成功入侵IT大卖场的渗透	10-06
·	mysqlhack- MYSQL利用工	10-06	·	lanker一句话PHP后门客户	10-06
·	WIXI提供3G免费多媒体网	10-06	·	新人网络提供100M/ftp免	10-06
·	如何利用QQ带来高流量	10-05	·	UuShare提供免费网络文件	10-05

教你如何巧用三层交换安全策略预防病毒

热荐 ★★★

教你如何巧用三层交换安全策略预防病毒

文章整理发布：黑客风云文章来源：www.05112.com 更新时间：2007-3-30 10:34:23

2、增强网络的安全性

共享式LAN上的广播必然会产生安全性问题，因为网络上的所有用户都能监测到流经的业务，用户只要插入任一活动端口就可访问网段上的广播包。采用VLAN提供的安全机制，可以限制特定用户的访问，控制广播组的大小和位置，甚至锁定网络成员的MAC地址，这样，就限制了未经安全许可的用户和网络成员对网络的使用。

设置访问控制列表

首先根据各单位的需求，制定不同的策略，比如文件的传输、游戏等。在制定策略之前，我们首先要了解什么样的文件依靠计算机上哪个端口来传输。端口大约分为三类：公认端口(0—1023)：它们紧密绑定于一些服务。通常这些端口的通讯明确表明了某种服务的协议。例如：80端口实际上总是HTTP通讯，110端口实际上是pop3通讯。注册端口(1024—49151)：它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口，这些端口同样用于许多其它目的。例如：许多系统处理动态端口从1024左右开始。动态和/或私有端口(49152—65535)：理论上，不应为服务分配这些端口。实际上，机器通常从1024起分配动态端口。但也有例外：SUN的RPC端口从32768开始。例如：

These ACLs are to block virus attack (这些访问控制列表要堵塞病毒攻击)
 You need to make sure all your expected network service are not blocked by these ACLs
(你需要确定你的需要的网络服务中不备访问控制列表要堵塞)
These ACLs' precedence are within 1001 ~ 1500(访问控制列表优先在1001-1500)
SQL Slammer/MS-SQL Server Worm(病毒)
create access-list udp1434-d-de udp destination any ip-port 1434 source any
 ip-port any deny ports any precedence 1001(创建数据列表为udp1434-d-de，凡是
来源于1434端口的数据包都优先于1001)
W32/Blaster worm (病毒)
create access-list udp69-d-de udp destination any ip-port 69 source any ip-port
 any deny ports any precedence 1011(创建数据列表为udp69-d-de udp，凡是来源于69
端口的数据包都优先于1011)
create access-list udp135-d-de udp destination any ip-port 135 source any ip-port
 any deny ports any precedence 1013(创建数据列表为udp135-d-de udp，凡是来源于135
端口的数据包都优先于1013)

端口隔离：使用交换机system-guard检测功能、设置当前最大可检测染毒主机的数目、设置每次地址学习相关参数， system-guard enable (使能system-guard检测功能，在使用防火墙功能前，请确保端口的优先级配置处于缺省状态，即：端口的优先级为0，且交换机对于报文中的cos优先级不信任。)

system-guard detect-maxnum 5 (设置当前最大可检测的染毒主机数目5台)
system-guard detect-threshold IP-record-threshold record-times-threshold isolate-time
(该命令可以设置地址学习数目的上限、重复检测次数的上限和隔离时间。)

举例来说，在设置了地址学习数目的上限为50、重复检测次数的上限为3、隔离时间为5后，系统如果连续3次检测到来自源IP的地址每次IP地址学习数目都超过了50，系统就认为受到了攻击，将此源IP检测出来，在5倍的老化周期内不学习来自此源IP的报文中的目的IP地址。

结束语

随着计算机技术和通信技术的发展，计算机网络将日益成为工业、农业和国防等方面的重要信息交换手段，渗透到社会生活的各个领域。因此，认清网络的脆弱性和潜在威胁，采取强有力的安全策略，对于保障网络的安全性将变得十分重要。

上一页 [1] [2]

文章录入：aman 责任编辑：aman

上一篇文章：如何鉴别硬件防火墙性能差异

下一篇文章：不用改文件名防止IIS文件被下载方法

【字体：小大】

08年网络账号防盗最强手册	08-18
360卫士发布“装机必备软件”下载	02-13
认清本质计算机病毒防治常遇问题	01-24
防止木马有效率90%以上的最有效办	01-21
彻底杜绝U盘病毒多重防护力保平	01-18
彻底杜绝U盘病毒多重防护力保平	01-16
利用微点软件防御机器狗病毒(ED	01-15
如何摆脱黑客攻击方法	01-06
不再重装手动清除顽固病毒AutoR	01-06
主动出击让系统远离危害(图)	01-06
如何清除能突破主动防御的新型木	01-06
[攻防手记]手工清理病毒原来可以	01-06