怎麼利用第三層交換機安全策略

　　第三層交換機的預防病毒能力也是很強大的，特別是在網路攻擊氾濫的今天，保證安全是網路裝置最重要的一點。目前計算機網路所面臨的威脅大體可分為兩種：一是對網路中資訊的威脅;二是對網路中裝置的威脅。影響計算機網路的因素很多，主要是網路軟體的漏洞和“後門”，這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標。

　　一些黑客攻入網路內部的事件，這些事件的大部分就是因為安全措施不完善所招致的苦果。軟體的“後門”都是軟體公司的設計程式設計人員為了自己方便而設定的，一旦 “後門”開啟，造成的後果將不堪設想。其實，第三層交換機的安全策略也具備預防病毒的功能。下面小編詳細介紹一下如何利用第三層交換機的安全策略預防病毒，計算機網路的安全策略又分為物理安全策略和訪問控制策略

　　1、物理安全策略

　　物理安全策略的目的是保護計算機系統、網路伺服器、印表機等硬體實體和通訊鏈路免受自然災害、人為破壞和搭線攻擊;驗證使用者的身份和使用許可權、防止使用者越權操作;確保計算機系統有一個良好的電磁相容工作環境。

　　2、訪問控制策略

　　訪問控制是網路安全防範和保護的主要策略，它的主要任務是保證網路資源不被非法使用和非常訪問。它也是維護網路系統安全、保護網路資源的重要手段。安全策略分為入網訪問控制、網路的許可權控制、目錄級安全控制、屬性安全控制、網路伺服器安全控制、網路監測和鎖定控制、網路埠和節點的安全控制等。為各種安全策略必須相互配合才能真正起到保護作用，但訪問控制可以說是保證網路安全最重要的核心策略之一。

　　病毒入侵的主要來源通過軟體的“後門”。包過濾設定在網路層，首先應建立一定數量的資訊過濾表，資訊過濾表是以其收到的資料包頭資訊為基礎而建成的。資訊包頭含有資料包源IP地址、目的IP地址、傳輸協議型別***TCP、UDP、ICMP等***、協議源埠號、協議目的埠號、連線請求方向、ICMP報文型別等。當一個數據包滿足過濾表中的規則時，則允許資料包通過，否則禁止通過。這種防火牆可以用於禁止外部不合法使用者對內部的訪問，也可以用來禁止訪問某些服務型別。但包過濾技術不能識別有危險的資訊包，無法實施對應用級協議的處理，也無法處理UDP、RPC或動態的協議。根據每個區域網的防病毒要求，建立區域網防病毒控制系統，分別設定有針對性的防病毒策略。

　　劃分VLAN

　　1、基於第三層交換機的虛擬區域網能夠為區域網解決衝突域、廣播域、頻寬問題。可以基於網路層來劃分VLAN，有兩種方案，一種按協議***如果網路中存在多協議***來劃分;另一種是按網路層地址***最常見的是TCP/IP中的子網段地址***來劃分。

　　建立VLAN也可使用與管理路由相同的策略。根據IP子網、IPX網路號及其他協議劃分VLAN。同一協議的工作站劃分為一個VLAN，第三層交換機檢查廣播幀的以太幀標題域，檢視其協議型別，若已存在該協議的VLAN，則加入源埠，否則，建立—個新的VLAN。這種方式構成的VLAN，不但大大減少了人工配置 VLAN的工作量，同時保證了使用者自由地增加、移動和修改。不同VLAN網段上的站點可屬於同一VLAN，在不同VLAN上的站點也可在同一物理網段上。

　　利用網路層定義VLAN缺點也是有的。與利用MAC地址的形式相比，基於網路層的VLAN需要分析各種協議的地址格式並進行相應的轉換。因此，使用網路層資訊來定義VLAN的第三層交換機要比使用資料鏈路層資訊的第三層交換機在速度上佔劣勢

　　2、增強網路的安全性

　　共享式LAN上的廣播必然會產生安全性問題，因為網路上的所有使用者都能監測到流經的業務，使用者只要插入任一活動埠就可訪問網段上的廣播包。採用VLAN提供的安全機制，可以限制特定使用者的訪問，控制廣播組的大小和位置，甚至鎖定網路成員的MAC地址，這樣，就限制了未經安全許可的使用者和網路成員對網路的使用。

　　設定訪問控制列表

　　首先根據各單位的需求，制定不同的策略，比如檔案的傳輸、遊戲等。在制定策略之前，我們首先要了解什麼樣的檔案依靠計算機上哪個埠來傳輸。埠大約分為三類：公認埠***0—1023***：它們緊密綁定於一些服務。通常這些埠的通訊明確表明了某種服務的協議。例如：80埠實際上總是HTTP通訊，110埠實際上是pop3通訊。

　　註冊埠***1024—49151***：它們鬆散地綁定於一些服務。也就是說有許多服務綁定於這些埠，這些埠同樣用於許多其它目的。例如：許多系統處理動態埠從1024左右開始。動態和/或私有埠***49152—65535***：理論上，不應為服務分配這些埠。實際上，機器通常從1024起分配動態埠。但也有例外：SUN的RPC埠從32768開始。