预防病毒能力也是很强大
特别是在网络攻击泛滥今天保证安全是网络设备最重要
点
目前计算机网络所面临威胁大体可分为两种:是对网络中信息威胁; 2是对网络中设备威胁影响计算机网络原因很多主要是网络软件Software漏洞和“后门”这些漏洞和缺陷恰恰是黑客进行攻击首选目标些黑客攻入网络内部事件这些事件大部分就是
安全措施不完善所招致苦果软件Software“后门”都是软件Software公司设计编程人员为了自己方便而设置旦 “后门”打开造成后果将不堪设想其实第 3层交换机安全策略也具备预防病毒功能下面我们详细介绍下如何利用第 3层交换机安全策略预防病毒计算机网络安全策略又分为物理安全策略和访问控制策略1、物理安全策略
物理安全策略
目是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;验证用户身份和使用权限、防止用户越权操作;确保计算机系统有个良好电磁兼容工作环境2、访问控制策略
访问控制是网络安全防范和保护
主要策略它主要任务是保证网络资源不被非法使用和非常访问它也是维护网络系统安全、保护网络资源重要手段安全策略分为入网访问控制、网络权限控制、目录级安全控制、属性安全控制、网络服务器安全控制、网络监测和锁定控制、网络端口和节点安全控制等为各种安全策略必须相互配合才能真正起到保护作用但访问控制可以说是保证网络安全最重要核心策略的病毒入侵
主要来源通过软件Software“后门”包过滤设置在网络层首先应建立定数量信息过滤表信息过滤表是以其收到数据包头信息为基础而建成信息包头含有数据包源IP地址、目IP地址、传输协议类型(TCP、UDP、ICMP等)、协议源端口号、协议目端口号、连接请求方向、ICMP报文类型等当个数据包满足过滤表中规则时则允许数据包通过否则禁止通过这种防火墙可以用于禁止外部不合法用户对内部访问也可以用来禁止访问某些服务类型但包过滤技术不能识别有危险信息包无法实施对应用级协议处理也无法处理UDP、RPC或动态协议根据每个局域网防病毒要求建立局域网防病毒控制系统分别设置有针对性防病毒策略3.划分VLAN
1、基于第 3层交换机
虚拟局域网能够为局域网解决冲突域、广播域、带宽问题可以基于网络层来划分VLAN有两种方案种按协议(如果网络中存在多协议)来划分;另种是按网络层地址(最常见是TCP/IP中子网段地址)来划分建立VLAN也可使用和管理路由相同
策略根据IP子网、IPX网络号及其他协议划分VLAN同协议工作站划分为个VLAN第 3层交换机检查广播帧以太帧标题域查看其协议类型若已存在该协议VLAN则加入源端口否则创建—个新VLAN这种方式构成VLAN不但大大减少了人工配置 VLAN工作量同时保证了用户自由地增加、移动和修改区别VLAN网段上站点可属于同VLAN在区别VLAN上站点也可在同物理网段上利用网络层定义VLAN缺点也是有
和利用MAC地址形式相比基于网络层VLAN需要分析各种协议地址格式并进行相应转换因此使用网络层信息来定义VLAN第 3层交换机要比使用数据链路层信息第 3层交换机在速度上占劣势2、增强网络
安全性共享式LAN上
广播必然会产生安全性问题网络上所有用户都能监测到流经业务用户只要插入任活动端口就可访问网段上广播包采用VLAN提供安全机制可以限制特定用户访问控制广播组大小和位置甚至锁定网络成员MAC地址这样就限制了未经安全许可用户和网络成员对网络使用4.设置访问控制列表
首先根据各单位
需求制定区别策略比如文件传输、游戏等在制定策略的前我们首先要了解什么样文件依靠计算机上哪个端口来传输端口大约分为 3类:公认端口(0—1023):它们紧密绑定于些服务通常这些端口通讯明确表明了某种服务协议例如:80端口实际上总是HTTP通讯110端口实际上是pop3通讯注册端口(1024—49151):它们松散地绑定于
些服务也就是说有许多服务绑定于这些端口这些端口同样用于许多其它目例如:许多系统处理动态端口从1024左右开始动态和/或私有端口(49152—65535):理论上不应为服务分配这些端口实际上机器通常从1024起分配动态端口但也有例外:SUNRPC端口从32768开始
最新评论