【文章內(nèi)容簡介】 設(shè)置了靜態(tài) MAC地址后，該端口將只允許這個 MAC地址對應(yīng)的設(shè)備連接在該端口上進(jìn)行通信?！　±纾?macaddresstable static vlan 1 interface fa0/1，就是在端口 1上設(shè)置一個靜態(tài)的 MAC地址。　　在特權(quán)模式下，利用 show macaddresstable命令可查看 MAC地址表。 VLAN的設(shè)置的設(shè)置　　 VLAN概述　　虛擬局域網(wǎng)（ VLAN或 Virtual LAN）在邏輯上等于 OSI七層模型上第二層的廣播域，它與具體的物理網(wǎng)及地理位置無關(guān)。在傳統(tǒng)的共享局域網(wǎng)或者交換局域網(wǎng)環(huán)境中，整個網(wǎng)絡(luò)處于同一個廣播域中（即所謂的同一個 LAN），這樣當(dāng)大量用戶發(fā)送廣播信息時容易形成廣播風(fēng)暴，使得整個網(wǎng)絡(luò)癱瘓。虛擬網(wǎng)技術(shù)把傳統(tǒng)的廣播域按需要分割成各個獨立的廣播域（LAN），由于廣播域的縮小，網(wǎng)絡(luò)中廣播包消耗帶寬所占的比例大大降低，網(wǎng)絡(luò)的性能得到顯著的提高?！　±锰摂M網(wǎng)技術(shù)的這些特點將不同的部門或不同的應(yīng)用系統(tǒng)分配于不同的 VLAN之中，實現(xiàn)不同部門或不同應(yīng)用系統(tǒng)的邏輯隔離?！　?VLAN的功能及其劃分都是在支持 VLAN的交換機(jī)上通過網(wǎng)管軟件實現(xiàn)的，因此，用戶不僅可以方便地劃分 VLAN，以后還可以隨時修改 VLAN的配置。這給用戶的管理帶來極大的靈活性?！　√摂M網(wǎng)的劃分可以基于如下規(guī)則（ policy）：交換機(jī)端口、 IP地址和子網(wǎng)、網(wǎng)卡（ MAC）地址或者上述三種規(guī)則的組合?！　≡谝粋€交換的 VLAN環(huán)境下，數(shù)據(jù)包只在相同的廣播域中的端口之間才進(jìn)行交換。 VLAN在第 2層執(zhí)行網(wǎng)絡(luò)分區(qū)和通信量分離，所以，如果沒有像路由器這樣的第 3層設(shè)備， VLAN之間就不能通信，因為是網(wǎng)絡(luò)層（第 3層）設(shè)備負(fù)責(zé)在多個廣播域之間通信?！　《酚善鞯陌^濾或防火墻的功能可被用來對不同虛擬網(wǎng)間用戶的通信做逐項檢查，通信可以按照網(wǎng)絡(luò)管理人員的要求被允許或禁止，從而實現(xiàn)不同部門或不同應(yīng)用系統(tǒng)間的訪問控制，提高了網(wǎng)絡(luò)的安全性。 VLAN的設(shè)置步驟　　以 Cisco的 Catalyst交換機(jī)為例，在每臺交換機(jī)上都要做以下類似的設(shè)置?！　?1．設(shè)置 VTP域名和模式　　在特權(quán)模式下鍵入 vlan database，開始有關(guān)的設(shè)置?！　? vlan database　　 (vlan) vtp domain 域名 　　 (vlan) vtp {server | client | transparent}　　 (vlan) vtp pruning　　說明：　?。?1）這一步只在 VLAN要跨交換機(jī)時使用。　?。?2） VTP意為 VLAN Trunking Protocol，即VLAN主干協(xié)議，主要用于在交換機(jī)間傳遞 VLAN信息?！　。?3） VTP域只有在 server和 transparent模式下才可創(chuàng)建 VLAN，常用的為 server模式，這也是Catalyst交換機(jī)的默認(rèn)域模式?！　?2．將交換機(jī)之間的級連口 trunk打開　　在級連口的端口配置模式下使用 switchport mode trunk命令，將級連口 trunk打開?！　≌f明：　?。?1）這一步只在 VLAN要跨交換機(jī)時使用?！　。?2）在不同交換機(jī)上設(shè)置同一個 VLAN時，他們的 VTP域名和 vlan號 必須相同?！　。?3） trunk端口屬于所有的 VLAN?！　?3．添加（創(chuàng)建） VLAN　　在特權(quán)模式下鍵入如下命令?！　? vlan database　　 (vlan) vlan vlan號 [name vlan名 ]　　 4．添加端口到 VLAN中　　在端口配置模式下鍵入如下命令。(configif) switchport mode access(configif) switchport access vlan vlan號 　　 5． VLAN之間的路由設(shè)置　　在第 3層交換機(jī)中，由于 VLAN和路由模塊同處于一臺交換機(jī)中， VLAN相當(dāng)于路由器的直連網(wǎng)段，其路由信息會被直接收集到路由表中，所以 VLAN之間的路由無須人工配制，只要使用如下命令為每個要進(jìn)行數(shù)據(jù)路由的 VLAN對應(yīng)的 VLAN接口分配一個惟一的 IP地址，再將相應(yīng) VLAN中的各計算機(jī)的默認(rèn)網(wǎng)關(guān)設(shè)置為該 VLAN接口的 IP地址，即可實現(xiàn) VLAN之間的第三層通信?！　?(config) interface vlan vlan號 　　 (configif) ip address IP地址 子網(wǎng)掩碼 　　 (configif) no shutdown 訪問控制列表訪問控制列表　　路由器（或第三層交換機(jī)）上的訪問控制列表（ Access Control List， ACL）功能可實現(xiàn)包過濾的功能。 ACL選擇路由器的端口作為控制點，檢查每一個進(jìn)出的數(shù)據(jù)包。 ACL是基于網(wǎng)絡(luò)層協(xié)議的，支持 IP、 IPX等多種協(xié)議。對于 IP， ACL可檢查 IP包的源地址、目的地址、 TCP和 UDP、 TCP和 UDP上的端口號等深層信息，提供了良好的控制能力?！　⊥ㄟ^交換機(jī)上 VLAN功能和路由器的 ACL功能的有機(jī)結(jié)合，可分離用戶中不同部門的不同應(yīng)用，保證用戶網(wǎng)的內(nèi)部訪問安全性?！　“^濾功能可以控制控制數(shù)據(jù)包在網(wǎng)絡(luò)中的傳輸，通過包過濾可以限制網(wǎng)絡(luò)流量以及增加網(wǎng)絡(luò)安全性。包過濾功能對路由器本身產(chǎn)生的數(shù)據(jù)包不起作用。當(dāng)數(shù)據(jù)包進(jìn)入某個端口時，路由器首先檢查該數(shù)據(jù)包是否可以通過路由或橋接方式送出去，如果不能，則路由器將丟掉該數(shù)據(jù)包，如果該數(shù)據(jù)包可以傳送出去，則路由器將檢查該數(shù)據(jù)包是否滿足該端口中定義的包過濾規(guī)則，如果包過濾規(guī)則不允許該數(shù)據(jù)包通過，則路由器將丟掉該數(shù)據(jù)包?！　?Cisco路由交換設(shè)備中有兩種方式的包過濾規(guī)則：　?。?1）標(biāo)準(zhǔn)包過濾。該種包過濾只對數(shù)據(jù)包中的源地址進(jìn)行檢查，在要求控制級別較低的情況下使用?！　。?2）擴(kuò)展包過濾。該種包過濾對數(shù)據(jù)包中的源地址、目的地址、協(xié)議及端口號都進(jìn)行檢查，常用在更加復(fù)雜的控制數(shù)據(jù)包的傳輸，它可以滿足到端口級的要求?！　∨渲冒^濾分為兩個步驟，先定義包（標(biāo)準(zhǔn)或擴(kuò)展）過濾規(guī)則，然后再引用包過濾規(guī)則?！　?1．定義標(biāo)準(zhǔn)包過濾規(guī)則　　在全局配置狀態(tài)下輸入如下格式的命令?！　?accesslist 標(biāo)識號碼 deny︱ permit 源地址 通配符 　　 2．定義擴(kuò)展包過濾規(guī)則　　在全局配置狀態(tài)下輸入如下格式的命令?！　?accesslist 標(biāo)識號碼 deny︱ permit 協(xié)議標(biāo)識 源地址 通配符 目地地址 通配符　　 Cisco路由交換設(shè)備中 accesslist規(guī)定的標(biāo)識號碼如下：　　 IP標(biāo)準(zhǔn)包過濾標(biāo)識號碼范圍為 1～ 99；　　 IP擴(kuò)展包過濾標(biāo)識號碼范圍為 100～ 199；　　可以在指定范圍內(nèi)任意選擇一個標(biāo)識號碼定義相應(yīng)的包過濾規(guī)則， deny參數(shù)表示禁止， permit表示允許?！　⊥ㄅ浞矠?32位二進(jìn)制數(shù)字，并與相應(yīng)的地址一一對應(yīng)。路由器將檢查與通配符中的 “0”（ 2進(jìn)制）位置一樣的地址位，對于通配符中 “1”（ 2進(jìn)制）位置一致的地址位，將忽略不檢查?！　∪绻獧z查的是一臺主機(jī)，通配符可寫為。通配符在書寫上也可看成是子網(wǎng)掩碼的反碼。在命令中地址和通配符的組合可使用 any代表匹配所有地址，使用 host ip地址 代表一臺主機(jī)，等同于 ip地址 ?！　∫粋€包過濾規(guī)則可以包含一系列檢查條件，即可以用同一標(biāo)識號碼定義一系列 accesslist語句，路由器將從最先定義的條件開始依次檢查，如數(shù)據(jù)包滿足某個條件，路由器將不再執(zhí)行下面的包過濾條件，如果數(shù)據(jù)包不滿足規(guī)則中的所有條件，Cisco路由交換設(shè)備默認(rèn)最后一句為 ACL中加入了deny any any，也就是丟棄所有不符合條件的數(shù)據(jù)包?！　?3．引用包過濾規(guī)則　　在需要包過濾功能的端口，輸入如下格式的命令。ip accessgroup 包過濾規(guī)則標(biāo)識號 in︱ out　　其中 in表示對進(jìn)入該端口的數(shù)據(jù)包進(jìn)行檢查，out表示對要從該端口送出的數(shù)據(jù)包進(jìn)行檢查。如果不進(jìn)行步驟 3的配置，則所定義的包過濾規(guī)則根本不會執(zhí)行?！　±簶?biāo)準(zhǔn)包過濾配置　　在全局配置模式下，定義標(biāo)準(zhǔn)包過濾規(guī)則accesslist 10 deny host （或 accesslist 10 deny ）　　上面這條命令是將所有來自 數(shù)據(jù)包丟棄。accesslist 10 deny 　　上面這條命令是將來自 所有計算機(jī)數(shù)據(jù)包進(jìn)行過濾丟棄。accesslist 10 permit any　　上面這條命令是允許其他任何地址的計算機(jī)進(jìn)行通信。　　引用包過濾規(guī)則int vlan 1ip accessgroup 10 out　　在 VLAN 1中引用 10號包過濾規(guī)則，對從該端口送出的數(shù)據(jù)包進(jìn)行檢查?！　±簲U(kuò)展包過濾配置　　在全局配置模式下，定義擴(kuò)展包過濾規(guī)則accesslist 101 deny tcp eq 23　　上面這條命令是不允許主機(jī) tel應(yīng)用。accesslist 101 permit ip any any　　上面這條命令是允許其他任何地址的計算機(jī)進(jìn)行通信?！　∫冒^濾規(guī)則int s0/0ip accessgroup 101 in　　在 s0/0端口中引用 101號包過濾規(guī)則，對進(jìn)入該端口的數(shù)據(jù)包進(jìn)行檢查。 漏洞掃描系統(tǒng)漏洞掃描系統(tǒng)　　漏洞是存在于系統(tǒng)中的一個弱點或者缺點。廣義的漏洞是指非法用戶未經(jīng)授權(quán)獲得訪問或提高其訪問層次的硬件或軟件特征?！　嶋H上，漏洞可以是任何東西，許多用戶非常熟悉的特殊的硬件和軟件存在漏洞，如 PC機(jī)的CMOS口令在 CMOS的電池供電不足、不能供電或被移走情況下會丟失 CMOS信息也是漏洞；操作系統(tǒng)、瀏覽器、 TCP/IP、免費電子郵箱等都存在漏洞。　　微軟對漏洞的明確定義： “漏洞是可以在攻擊過程中利用的弱點，可以是軟件、硬件、程序缺點、功能設(shè)計或者配置不當(dāng)?shù)取?”　　每個系統(tǒng)都有漏洞，不論在系統(tǒng)安全性上投入多少財力，攻擊者仍然可以發(fā)現(xiàn)一些可利用的特征和配置缺陷。現(xiàn)在，安全漏洞所引發(fā)的安全事件愈演愈烈，通過系統(tǒng)漏洞傳播的病毒、針對漏洞進(jìn)行的攻擊給我們造成了巨大的破壞，而廣大用戶往往在病毒爆發(fā)之后或者安全事件出現(xiàn)之后才想到進(jìn)行漏洞的彌補(bǔ)，而此時損失已經(jīng)無法彌補(bǔ)?！　÷┒磼呙枋且环N自動檢測計算機(jī)安全脆弱點的技術(shù)。掃描程序集中了已知的常用攻擊方法，針對系統(tǒng)可能存在的各種脆弱點進(jìn)行掃描，輸出掃描結(jié)果，以便審查人員分析并發(fā)現(xiàn)系統(tǒng)存在的漏洞。掃描程序還可以通過 TCP/IP端口查詢，記錄目標(biāo)響應(yīng)的情況，收集相關(guān)的有用信息，以發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)的安全漏洞。利用漏洞掃描技術(shù)可以快速地在大范圍內(nèi)發(fā)現(xiàn)已知的系統(tǒng)安全漏洞?！　÷┒磼呙柘到y(tǒng)是在安全事件出現(xiàn)之前就對可能出現(xiàn)問題的漏洞進(jìn)行偵測、彌補(bǔ)和評估，它指出了哪些攻擊是可能的，因此成為安全方案的一個重要組成部分?！　∧壳?，漏洞掃描產(chǎn)品可以分為基于網(wǎng)絡(luò)的掃描和基于主機(jī)的掃描這兩種類型?！　?基于網(wǎng)絡(luò)的漏洞掃描器 ，就是通過網(wǎng)絡(luò)來掃描遠(yuǎn)程計算機(jī)中的漏洞。一般來說，基于網(wǎng)絡(luò)的漏洞掃描工具可以看作為一種漏洞信息收集工具，它根據(jù)不同漏洞的特性，構(gòu)造網(wǎng)絡(luò)數(shù)據(jù)包，發(fā)給網(wǎng)絡(luò)中的一個或多個目標(biāo)服務(wù)器，以判斷某個特定的漏洞是否存在?！　?基于主機(jī)的漏洞掃描器 ，掃描目標(biāo)系統(tǒng)的漏洞的原理，與基于網(wǎng)絡(luò)的漏洞掃描器的原理類似，但是，兩者的體系結(jié)構(gòu)不一樣?；谥鳈C(jī)的漏洞掃描器通常在目標(biāo)系統(tǒng)上安裝了一個代理（ Agent）或者是服務(wù)（ Services），以便能夠訪問所有的文件與進(jìn)程，這也使得基于主機(jī)的漏洞掃描器能夠掃描更多的漏洞。 計算機(jī)病毒的防治計算機(jī)病毒的防治 計算機(jī)病毒概述　　 1．計算機(jī)病毒的定義　　計算機(jī)病毒 (Virus)在 《 中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例 》 中被明確定義，病毒 “指編制或者在計算機(jī)程序中插入的破壞計算機(jī)功能或者破壞數(shù)據(jù)，影響計算機(jī)使用并且能夠自我復(fù)制的一組計算機(jī)指令或者程序代碼 ”?！　?2．計算機(jī)病毒的產(chǎn)生　　現(xiàn)在流行的病毒是由人為故意編寫的，多數(shù)病毒可以找到作者和產(chǎn)地信息，從大量的統(tǒng)計分析來看，病毒作者主要情況和目的是：一些天才的程序員為了表現(xiàn)自己和證明自己的能力，處于對上司的不滿，為了好奇，為了報復(fù)，為了祝賀和求愛，為了得到控制口令，為了軟件拿不到報酬預(yù)留的陷阱等．當(dāng)然也有因政治，軍事，宗教，民族．專利等方面的需求而專門編寫的，其中也包括一些病毒研究機(jī)構(gòu)和黑客的測試病毒。3．計算機(jī)病毒的特點（ 1）寄生性（ 2）傳染性（ 3）潛伏性（ 4）隱蔽性（ 5）破壞性（ 6）可觸發(fā)性　　 4．計算機(jī)病毒分類　　計算機(jī)病毒可以根據(jù)多種屬性進(jìn)行分類。　?。?1）按照計算機(jī)病毒存在的媒體進(jìn)行分類　　根據(jù)病毒存在的媒體，病毒可以劃分為網(wǎng)絡(luò)病毒，文件病毒，引導(dǎo)型病毒。　　還有這三種情況的混合型，例如：多型病毒（文件和引導(dǎo)型）感染文件和引導(dǎo)扇區(qū)兩種目標(biāo)，這樣的病毒通常都具有復(fù)雜的算法，它們使用非常規(guī)