巧用三层交换安全策略预防病毒（图文）

• 关 键 词：
• access-list
• sql server
• 访问控制列表
• tcp/ip
• 虚拟局域网

　　# These ACLs' precedence are within 1001 ~ 1500（访问控制列表优先在1001-1500）

　　SQL Slammer/MS-SQL Server Worm（病毒）

　　create access-list udp1434-d-de udp destination any ip-port 1434 source any ip-port any deny ports any precedence 1001（创建数据列表为udp1434-d-de，凡是来源于1434端口的数据包都优先于1001）

　　#W32/Blaster worm （病毒）

　　create access-list udp69-d-de udp destination any ip-port 69 source any ip-port any deny ports any precedence 1011（创建数据列表为udp69-d-de udp，凡是来源于69端口的数据包都优先于1011）

　　create access-list udp135-d-de udp destination any ip-port 135 source any ip-port any deny ports any precedence 1013（创建数据列表为udp135-d-de udp，凡是来源于135端口的数据包都优先于1013）

　　端口隔离： 使用交换机system-guard检测功能、设置当前最大可检测染毒主机的数目、设置每次地址学习相关参数， system-guard enable （ 使能system-guard检测功能，在使用防火墙功能前，请确保端口的优先级配置处于缺省状态，即：端口的优先级为0，且交换机对于报文中的cos优先级不信任。）

　　system-guard detect-maxnum 5 （设置当前最大可检测的染毒主机数目5台）

　　system-guard detect-threshold IP-record-threshold record-times-threshold isolate-time

　　（该命令可以设置地址学习数目的上限、重复检测次数的上限和隔离时间。）

　　举例来说，在设置了地址学习数目的上限为50、重复检测次数的上限为3、隔离时间为5后，系统如果连续3次检测到来自源IP的地址每次IP地址学习数目都超过了50，系统就认为受到了攻击，将此源IP检测出来，在5倍的老化周期内不学习来自此源IP的报文中的目的IP地址。

　　结束语

　　随着计算机技术和通信技术的发展，计算机网络将日益成为工业、农业和国防等方面的重要信息交换手段，渗透到社会生活的各个领域。因此，认清网络的脆弱性和潜在威胁，采取强有力的安全策略，对于保障网络的安全性将变得十分重要。

• 用Photoshop给漂亮的烫发MM抠图 
• Photoshop透明婚纱抠图大法 
• Photoshop:让MM做个“变色龙” 
• 用Photoshop来制作一款精美的宝宝照片墙 
• Photoshop绝色美女通道抠图法 
• 用Photoshop教你打造绚丽光芒效果 

   巧巧读书:http://www.qqread.com/exchange/r349502.html

【深 度 阅 读】 相 关 文 章

• 下载Flash播放插件
• 如何重装xp系统图解
• 如何利用路由器设置局域网
• 巧妙清除Windows 2000/XP登录密码