萬盛學電腦網

 萬盛學電腦網 >> 病毒防治 >> 三層交換機安全策略預防病毒

三層交換機安全策略預防病毒

  目前計算機網絡所面臨的威脅大體可分為兩種:一是對網絡中信息的威脅;二是對網絡中設備的威脅。影響計算機網絡的因素很多,主要是網絡軟件的漏洞和“後門”,這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標。

  一些黑客攻入網絡內部的事件,這些事件的大部分就是因為安全措施不完善所招致的苦果。軟件的“後門”都是軟件公司的設計編程人員為了自己方便而設置的,一旦 “後門”打開,造成的後果將不堪設想。其實,三層交換機的安全策略也具備預防病毒的功能。下面我們詳細介紹一下如何利用三層交換機的安全策略預防病毒。

  計算機網絡的安全策略又分為物理安全策略和訪問控制策略。

  1、物理安全策略

  物理安全策略的目的是保護計算機系統、網絡服務器、打印機等硬件實體和通信鏈路免受自然災害、人為破壞和搭線攻擊;驗證用戶的身份和使用權限、防止用戶越權操作;確保計算機系統有一個良好的電磁兼容工作環境。

  2、訪問控制策略

  訪問控制是網絡安全防范和保護的主要策略,它的主要任務是保證網絡資源不被非法使用和非常訪問。它也是維護網絡系統安全、保護網絡資源的重要手段。安全策略分為入網訪問控制、網絡的權限控制、目錄級安全控制、屬性安全控制、網絡服務器安全控制、網絡監測和鎖定控制、網絡端口和節點的安全控制等。為各種安全策略必須相互配合才能真正起到保護作用,但訪問控制可以說是保證網絡安全最重要的核心策略之一。

  病毒入侵的主要來源通過軟件的“後門”。包過濾設置在網絡層,首先應建立一定數量的信息過濾表,信息過濾表是以其收到的數據包頭信息為基礎而建成的。信息包頭含有數據包源IP地址、目的IP地址、傳輸協議類型(TCP、UDP、ICMP等)、協議源端口號、協議目的端口號、連接請求方向、ICMP報文類型等。當一個數據包滿足過濾表中的規則時,則允許數據包通過,否則禁止通過。這種防火牆可以用於禁止外部不合法用戶對內部的訪問,也可以用來禁止訪問某些服務類型。但包過濾技術不能識別有危險的信息包,無法實施對應用級協議的處理,也無法處理UDP、RPC或動態的協議。根據每個局域網的防病毒要求,建立局域網防病毒控制系統,分別設置有針對性的防病毒策略。

  劃分VLAN

  1、基於交換機的虛擬局域網能夠為局域網解決沖突域、廣播域、帶寬問題。可以基於網絡層來劃分VLAN,有兩種方案,一種按協議(如果網絡中存在多協議)來劃分;另一種是按網絡層地址(最常見的是TCP/IP中的子網段地址)來劃分。

  建立VLAN也可使用與管理路由相同的策略。根據IP子網、IPX網絡號及其他協議劃分VLAN。同一協議的工作站劃分為一個VLAN,交換機檢查廣播幀的以太幀標題域,查看其協議類型,若已存在該協議的VLAN,則加入源端口,否則,創建—個新的VLAN。這種方式構成的VLAN,不但大大減少了人工配置 VLAN的工作量,同時保證了用戶自由地增加、移動和修改。不同VLAN網段上的站點可屬於同一VLAN,在不同VLAN上的站點也可在同一物理網段上。

  利用網絡層定義VLAN缺點也是有的。與利用MAC地址的形式相比,基於網絡層的VLAN需要分析各種協議的地址格式並進行相應的轉換。因此,使用網絡層信息來定義VLAN的交換機要比使用數據鏈路層信息的交換機在速度上占劣勢。

copyright © 萬盛學電腦網 all rights reserved