目前計算機網絡所面臨的威脅大體可分為兩種：一是對網絡中信息的威脅；二是對網絡中設備的威脅。影響計算機網絡的因素很多，主要是網絡軟件的漏洞和“后門”，這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標。

一些黑客攻入網絡內部的事件，這些事件的大部分就是因為安全措施不完善所招致的苦果。軟件的“后門”都是軟件公司的設計編程人員為了自己方便而設置的，一旦“后門”打開，造成的后果將不堪設想。其實，三層交換機的安全策略也具備預防病毒的功能。下面我們詳細介紹一下如何利用三層交換機的安全策略預防病毒。

計算機網絡的安全策略又分為物理安全策略和訪問控制策略

1、物理安全策略

物理安全策略的目的是保護計算機系統、網絡服務器、打印機等硬件實體和通信鏈路免受自然災害、人為破壞和搭線攻擊；驗證用戶的身份和使用權限、防止用戶越權操作；確保計算機系統有一個良好的電磁兼容工作環境。

2、訪問控制策略

訪問控制是網絡安全防范和保護的主要策略，它的主要任務是保證網絡資源不被非法使用和非常訪問。它也是維護網絡系統安全、保護網絡資源的重要手段。安全策略分為入網訪問控制、網絡的權限控制、目錄級安全控制、屬性安全控制、網絡服務器安全控制、網絡監測和鎖定控制、網絡端口和節點的安全控制等。為各種安全策略必須相互配合才能真正起到保護作用，但訪問控制可以說是保證網絡安全最重要的核心策略之一。

病毒入侵的主要來源通過軟件的“后門”。包過濾設置在網絡層，首先應建立一定數量的信息過濾表，信息過濾表是以其收到的數據包頭信息為基礎而建成的。信息包頭含有數據包源IP地址、目的IP地址、傳輸協議類型（TCP、UDP、ICMP等）、協議源端口號、協議目的端口號、連接請求方向、ICMP報文類型等。當一個數據包滿足過濾表中的規則時，則允許數據包通過，否則禁止通過。這種防火墻可以用于禁止外部不合法用戶對內部的訪問，也可以用來禁止訪問某些服務類型。但包過濾技術不能識別有危險的信息包，無法實施對應用級協議的處理，也無法處理UDP、RPC或動態的協議。

根據每個局域網的防病毒要求，建立局域網防病毒控制系統，分別設置有針對性的防病毒策略。

劃分VLAN

1、 基于交換機的虛擬局域網能夠為局域網解決沖突域、廣播域、帶寬問題。

可以基于網絡層來劃分VLAN，有兩種方案，一種按協議（如果網絡中存在多協議）來劃分；另一種是按網絡層地址（最常見的是TCP/IP中的子網段地址）來劃分。

建立VLAN也可使用與管理路由相同的策略。根據IP子網、IPX網絡號及其他協議劃分VLAN。同一協議的工作站劃分為一個VLAN，交換機檢查廣播幀的以太幀標題域，查看其協議類型，若已存在該協議的VLAN，則加入源端口，否則，創建—個新的VLAN。這種方式構成的VLAN，不但大大減少了人工配置VLAN的工作量，同時保證了用戶自由地增加、移動和修改。不同VLAN網段上的站點可屬于同一VLAN，在不同VLAN上的站點也可在同一物理網段上。

利用網絡層定義VLAN缺點也是有的。與利用MAC地址的形式相比，基于網絡層的VLAN需要分析各種協議的地址格式并進行相應的轉換。因此，使用網絡層信息來定義VLAN的交換機要比使用數據鏈路層信息的交換機在速度上占劣勢。

2、增強網絡的安全性

共享式LAN上的廣播必然會產生安全性問題，因為網絡上的所有用戶都能監測到流經的業務，用戶只要插入任一活動端口就可訪問網段上的廣播包。采用VLAN提供的安全機制，可以限制特定用戶的訪問，控制廣播組的大小和位置，甚至鎖定網絡成員的MAC地址，這樣，就限制了未經安全許可的用戶和網絡成員對網絡的使用。

設置訪問控制列表

首先根據各單位的需求，制定不同的策略，比如文件的傳輸、游戲等。在制定策略之前，我們首先要了解什么樣的文件依靠計算機上哪個端口來傳輸。端口大約分為三類：

公認端口（0—1023）：它們緊密綁定于一些服務。通常這些端口的通訊明確表明了某種服務的協議。例如：80端口實際上總是HTTP通訊，110端口實際上是pop3通訊。

注冊端口（1024—49151）：它們松散地綁定于一些服務。也就是說有許多服務綁定于這些端口，這些端口同樣用于許多其它目的。例如：許多系統處理動態端口從1024左右開始。

動態和/或私有端口（49152—65535）：理論上，不應為服務分配這些端口。實際上，機器通常從1024起分配動態端口。但也有例外：SUN的RPC端口從32768開始。例如：

# These ACLs are to block virus attack （這些訪問控制列表要堵塞病毒攻擊）

# You need to make sure all your expected network service are not blocked by these ACLs

（你需要確定你的需要的網絡服務中不備訪問控制列表要堵塞）

# These ACLs' precedence are within 1001 ~ 1500（訪問控制列表優先在1001-1500）

SQL Slammer/MS-SQL Server Worm（病毒）

create access-list udp1434-d-de udp destination any ip-port 1434 source any ip-port any deny ports any precedence 1001（創建數據列表為udp1434-d-de，凡是來源于1434端口的數據包都優先于1001）

#W32/Blaster worm （病毒）

create access-list udp69-d-de udp destination any ip-port 69 source any ip-port any deny ports any precedence 1011（創建數據列表為udp69-d-de udp，凡是來源于69端口的數據包都優先于1011）

create access-list udp135-d-de udp destination any ip-port 135 source any ip-port any deny ports any precedence 1013（創建數據列表為udp135-d-de udp，凡是來源于135端口的數據包都優先于1013）

端口隔離： 使用交換機system-guard檢測功能、設置當前最大可檢測染毒主機的數目、設置每次地址學習相關參數， system-guard enable （ 使能system-guard檢測功能，在使用防火墻功能前，請確保端口的優先級配置處于缺省狀態，即：端口的優先級為0，且交換機對于報文中的cos優先級不信任。）

system-guard detect-maxnum 5 （設置當前最大可檢測的染毒主機數目5臺）

system-guard detect-threshold IP-record-threshold record-times-threshold isolate-time

（該命令可以設置地址學習數目的上限、重復檢測次數的上限和隔離時間。）

舉例來說，在設置了地址學習數目的上限為50、重復檢測次數的上限為3、隔離時間為5后，系統如果連續3次檢測到來自源IP的地址每次IP地址學習數目都超過了50，系統就認為受到了攻擊，將此源IP檢測出來，在5倍的老化周期內不學習來自此源IP的報文中的目的IP地址。

結束語

隨著計算機技術和通信技術的發展，計算機網絡將日益成為工業、農業和國防等方面的重要信息交換手段，滲透到社會生活的各個領域。因此，認清網絡的脆弱性和潛在威脅，采取強有力的安全策略，對于保障網絡的安全性將變得十分重要。