巧用三层交换的安全策略抵御网络病毒目

前计算机网络所面临的威胁大体可分为两种：一是对网络中信息的威胁；二是对网络中设备的威胁。影响计算机网络的因素很多，主要是网络软件的漏洞和“后门”，这些漏洞和缺陷恰恰是黑客进行攻击的首选目标。

一些黑客攻入网络内部的事件，这些事件的大部分就是因为安全措施不完善所招致的苦果。软件的“后门”都是软件公司的设计编程人员为了自己方便而设置的，一旦“后门”打开，造成的后果将不堪设想。其实，三层交换机的安全策略也具备预防病毒的功能。下面我们详细介绍一下如何利用三层交换机的安全策略预防病毒。

计算机网络的安全策略又分为物理安全策略和访问控制策略

1、物理安全策略

物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击；验证用户的身份和使用权限、防止用户越权操作；确保计算机系统有一个良好的电磁兼容工作环境。

2、访问控制策略

访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和非常访问。它也是维护网络系统安全、保护网络资源的重要手段。安全策略分为入网访问控制、网络的权限控制、目录级安全控制、属性安全控制、网络服务器安全控制、网络监测和锁定控制、网络端口和节点的安全控制等。为各种安全策略必须相互配合才能真正起到保护作用，但访问控制可以说是保证网络安全最重要的核心策略之一。

病毒入侵的主要来源通过软件的“后门”。包过滤设置在网络层，首先应建立一定数量的信息过滤表，信息过滤表是以其收到的数据包头信息为基础而建成的。信息包头含有数据包源IP地址、目的IP地址、传输协议类型（TCP、UDP、ICMP等）、协议源端口号、协议目的端口号、连接请求方向、ICMP报文类型等。当一个数据包满足过滤表中的规则时，则允许数据包通过，否则禁止通过。这种防火墙可以用于禁止外部不合法用户对内部的访问，也可以用来禁止访问某些服务类型。但包过滤技术不能识别有危险的信息包，无法实施对应用级协议的处理，也无法处理UDP、RPC或动态的协议。

根据每个局域网的防病毒要求，建立局域网防病毒控制系统，分别设置有针对性的防病毒策略。

划分VLAN

1、 基于交换机的虚拟局域网能够为局域网解决冲突域、广播域、带宽问题。

可以基于网络层来划分VLAN，有两种方案，一种按协议（如果网络中存在多协议）来划分；另一种是按网络层地址（最常见的是TCP/IP中的子网段地址）来划分。

建立VLAN也可使用与管理路由相同的策略。根据IP子网、IPX网络号及其他协议划分VLAN。同一协议的工作站划分为一个VLAN，交换机检查广播帧的以太帧标题域，查看其协议类型，若已存在该协议的VLAN，则加入源端口，否则，创建—个新的VLAN。这种方式构成的VLAN，不但大大减少了人工配置VLAN的工作量，同时保证了用户自由地增加、移动和修改。不同VLAN网段上的站点可属于同一VLAN，在不同VLAN上的站点也可在同一物理网段上。

利用网络层定义VLAN缺点也是有的。与利用MAC地址的形式相比，基于网络层的VLAN需要分析各种协议的地址格式并进行相应的转换。因此，使用网络层信息来定义VLAN的交换机要比使用数据链路层信息的交换机在速度上占劣势。

2、增强网络的安全性

共享式LAN上的广播必然会产生安全性问题，因为网络上的所有用户都能监测到流经的业务，用户只要插入任一活动端口就可访问网段上的广播包。采用VLAN提供的安全机制，可以限制特定用户的访问，控制广播组的大小和位置，甚至锁定网络成员的MAC地址，这样，就限制了未经安全许可的用户和网络成员对网络的使用。

设置访问控制列表

首先根据各单位的需求，制定不同的策略，比如文件的传输、游戏等。在制定策略之前，我们首先要了解什么样的文件依靠计算机上哪个端口来传输。端口大约分为三类：

公认端口（0—1023）：它们紧密绑定于一些服务。通常这些端口的通讯明确表明了某种服务的协议。例如：80端口实际上总是HTTP通讯，110端口实际上是pop3通讯。

注册端口（1024—49151）：它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口，这些端口同样用于许多其它目的。例如：许多系统处理动态端口从1024左右开始。

动态和/或私有端口（49152—65535）：理论上，不应为服务分配这些端口。实际上，机器通常从1024起分配动态端口。但也有例外：SUN的RPC端口从32768开始。例如：

# These ACLs are to block virus attack （这些访问控制列表要堵塞病毒攻击）

# You need to make sure all your expected network service are not blocked by these ACLs

（你需要确定你的需要的网络服务中不备访问控制列表要堵塞）

# These ACLs\' precedence are within 1001 ~ 1500（访问控制列表优先在1001-1500）

SQL Slammer/MS-SQL Server Worm（病毒）

create access-list udp1434-d-de udp destination any ip-port 1434 source any ip-port any deny ports any precedence 1001（创建数据列表为udp1434-d-de，凡是来源于1434端口的数据包都优先于1001）

#W32/Blaster worm （病毒）

create access-list udp69-d-de udp destination any ip-port 69 source any ip-port any deny ports any precedence 1011（创建数据列表为udp69-d-de udp，凡是来源于69端口的数据包都优先于1011）

create access-list udp135-d-de udp destination any ip-port 135 source any ip-port any deny ports any precedence 1013（创建数据列表为udp135-d-de udp，凡是来源于135端口的数据包都优先于1013）

端口隔离： 使用交换机system-guard检测功能、设置当前最大可检测染毒主机的数目、设置每次地址学习相关参数， system-guard enable （ 使能system-guard检测功能，在使用防火墙功能前，请确保端口的优先级配置处于缺省状态，即：端口的优先级为0，且交换机对于报文中的cos优先级不信任。）

system-guard detect-maxnum 5 （设置当前最大可检测的染毒主机数目5台）

system-guard detect-threshold IP-record-threshold record-times-threshold isolate-time

（该命令可以设置地址学习数目的上限、重复检测次数的上限和隔离时间。）

举例来说，在设置了地址学习数目的上限为50、重复检测次数的上限为3、隔离时间为5后，系统如果连续3次检测到来自源IP的地址每次IP地址学习数目都超过了50，系统就认为受到了攻击，将此源IP检测出来，在5倍的老化周期内不学习来自此源IP的报文中的目的IP地址。

结束语

随着计算机技术和通信技术的发展，计算机网络将日益成为工业、农业和国防等方面的重要信息交换手段，渗透到社会生活的各个领域。因此，认清网络的脆弱性和潜在威胁，采取强有力的安全策略，对于保障网络的安全性将变得十分重要。

亚嵌（AKAE）嵌入式Linux就业班 － 2007年1月班火热报名中！
亚嵌教育 （http://www.akaedu.org） 现面向社会开展嵌入式Linux开发工程师招生、培训工作。亚嵌教育嵌入式Linux培训结合需求单位的实际需要，通过嵌入式项目开发（如嵌入式数据采集系统、IPTV、机顶盒等等）使学员系统、全面地掌握嵌入式技术，满足社会对有项目开发经验的嵌入式工程师的需求。
详情请访问：http://www.akaedu.org/new_web/edu/long/career_el_outline.html
中心地址：北京市海淀区清华科技园创业大厦6层
全国免费咨询电话：800-810-9624    北京总部：010-62701772/4

一、培养目标
掌握嵌入式Linux系统开发，可以从事嵌入式Linux操作系统移植开发、驱动开发、应用开发的高级技术人才。

二、就业方向
    就业行业：消费类电子、工业控制、军工企事业、电信/网络/通讯、航空航天、汽车电子、医疗设备、仪器仪表等相关行业。
就业单位：航天集团、中科院软件所、RTLinux（中国）、联想集团、飞漫软件、神州龙芯、中星微电子等嵌入式人才合作单位。

三、毕业待遇
    本科生：
        税前薪金￥4000-￥4500；解决3险1金；视单位指标以及毕业院校解决北京户口。
    研究生：
        税前薪金￥5000-￥5500；解决3险1金；解决北京户口。

特别说明：以上信息以亚嵌人才合作单位为例。根据亚嵌教育与用人单位调查所得，嵌入式行业工程师指导薪金在3500-10000元，实际情况会根据企业的性质、地区、行业、企业的实际情况及员工的个人能力有所差别，具体以学员与企业签订的劳动合同为准。

四、招生名额
每期仅招30人（3.5个月/期），机会难得，报名从速！

五、入学条件
    1．计算机、电子、自动化、信息工程等相关专业。
    2．大学专科及专科以上学历。
    3．不具备以上条件，但从事2年以上计算机软硬件开发的技术人员。
    4．有就业需求的学员应满足相关企业员工健康要求。

六、入学基础考试
（一）笔试
    1．笔试科目：计算机操作系统原理、C语言编程。
    2．笔试时间：2006年12月（具体时间请与咨询老师联系）。
    3．笔试方式：以邮件形式发给学员。
（二）面试
笔试成绩合格的学员将统一参加由“亚嵌教育”或人才需求单位组织 的面试，通过后参加面向亚嵌人才合作单位的职业培训。  

七、培训时间
    春季班：2007年01月06日
    夏季班：2007年05月05日
    秋季班：2007年08月11日
冬季班：2007年11月17日

八、培训地点
亚嵌总部：北京市海淀区清华科技园创业大厦6层

九、培训内容
本次培训内容基于ARM、MIPS等嵌入式SOC硬件平台，结合嵌入式人才需求企业的实际需要，系统掌握嵌入式Linux产品的开发，详情请参看具体就业班的培训体系。请参见：http://www.akaedu.org/new_web/edu/long/career_el_content.html

十、报名流程
http://www.akaedu.org/new_web/edu/long/career_el_remittance.html
咨询电话：全国免费电话：800-810-9624    北京总部：010-62701772/4

                           
注：
    （1）学员经培训合格后将被输送到“亚嵌教育”人才合作单位从事嵌入式相关工作并由中国软件行业协会嵌入式分会颁发嵌入式系统工程师认证证书。
    （2）嵌入式系统工程师培训由“亚嵌教育”根据人才需求单位的需求不定期面向社会开展，详情请参看：亚嵌教育网站 www.akaedu.org                                                                     


亚嵌教育中心
2006年11月


亚嵌（AKAE）嵌入式教育中心简介
     亚嵌是国内最早从事嵌入式技术研发、推广、培训、认证的机构，亚嵌源自1998年在清华大学成立的AKA组织（www.aka.org.cn），现有博士以上学历12人，硕士学历近20人，同时汇聚了30多名来自于清华、北大、中科院等一线研发主力及龙芯、红旗、中兴、华为、大唐电信、IBM、AMD等公司的技术总监&经理。亚嵌以嵌入式推广、研发和人才培养为终身事业，致力于为国内外大公司、院校提供嵌入式产品的技术推广及人才培养。对嵌入式技术的深刻积累，亚嵌教育已成为国内最专业的嵌入式培训、研发机构。

亚嵌（AKAE）大事记
05-5-15广东省技术推广站邀请亚嵌教育（AKAE）成立广州分中心。
05-3-01国内第一家  ARM中国以教育为主体的“ARM CC”合作伙伴。
05-2-28国内第一家  中国软件行业协会嵌入式分会“嵌入式linux”授权培训中心。
04-9-01国内第一家  神州龙芯公司“龙芯嵌入式系统”授权培训中心。
03-12-1国内第一家 飞漫软件“嵌入式图形系统MiniGUI”产品授权培训中心。

已毕业学员就业信息
2006年夏季就业班学员就业情况
学 号       姓名    就 业 单 位                    来自地区
200602001   齐小苒  联想集团                       北京
200602002   龙  达  北京中科红旗软件技术有限公司   北方工业大学
200602003   梁国君  北京中科红旗软件技术有限公司   北京
200602004   许杜娟  诺亚舟北京分公司               湖北
200602005   周  夕  神州龙芯重庆分公司             湖南
200602006   刘加喜  神州龙芯重庆分公司             湖南
200602007   郭春荣  神州龙芯（北京）公司           黑龙江
200602008   周亚霖  中科院软件所                   湖北武汉
200602009   王  健  南京启基永昌通讯公司           江苏南京
200602010   赵为民  西安某公司（不便透露）         西安
200602011   郑  何  深圳某公司（不便透露）         深圳市南山区
200602012   赵苍明  考入北京科技大学硕士研究生     北京

2006年秋季就业班学员就业情况
学 号        姓名      就 业 单 位                     来自地区
200603001    高海龙    神州龙芯重庆分公司              北京
200603002    黄  寰    神州龙芯重庆分公司              北京
200603003    娄  林    神州龙芯重庆分公司              重庆
200603004    吴涵易    神州龙芯重庆分公司              重庆
200603005    张  永    神州龙芯（北京）公司            北京
200603006    王  剑    北京飞漫软件技术有限公司        山东松下电子
200603007    张令飞    北京飞漫软件技术有限公司        湖北襄樊
200603008    王旭光    北京飞漫软件技术有限公司        北京师范大学
200603009    李  阳    EPSON（爱普生）北京公司         北京工商大学
200603010    杨悠笙    北京广电集团                    北京工商大学
200603011    王全阳    上海计算机软件技术开发中心      山东松下电子
200603012    刘德森    华为3Com公司                    深圳
200603013    马  迅    北京宇光通信                    北京
200603014    王  鹏    北京飞漫软件技术有限公司        北京
200603015    张  宁    航天5院                         北京