【文章內容簡介】 設置了靜態(tài) MAC地址后，該端口將只允許這個 MAC地址對應的設備連接在該端口上進行通信?！　±?，命令 macaddresstable static vlan 1 interface fa0/1，就是在端口 1上設置一個靜態(tài)的 MAC地址?！　≡谔貦嗄Ｊ较?，利用 show macaddresstable命令可查看 MAC地址表。 VLAN的設置的設置　　 VLAN概述　　虛擬局域網（ VLAN或 Virtual LAN）在邏輯上等于 OSI七層模型上第二層的廣播域，它與具體的物理網及地理位置無關。在傳統(tǒng)的共享局域網或者交換局域網環(huán)境中，整個網絡處于同一個廣播域中（即所謂的同一個 LAN），這樣當大量用戶發(fā)送廣播信息時容易形成廣播風暴，使得整個網絡癱瘓。虛擬網技術把傳統(tǒng)的廣播域按需要分割成各個獨立的廣播域（LAN），由于廣播域的縮小，網絡中廣播包消耗帶寬所占的比例大大降低，網絡的性能得到顯著的提高?！　±锰摂M網技術的這些特點將不同的部門或不同的應用系統(tǒng)分配于不同的 VLAN之中，實現(xiàn)不同部門或不同應用系統(tǒng)的邏輯隔離?！　?VLAN的功能及其劃分都是在支持 VLAN的交換機上通過網管軟件實現(xiàn)的，因此，用戶不僅可以方便地劃分 VLAN，以后還可以隨時修改 VLAN的配置。這給用戶的管理帶來極大的靈活性。　　虛擬網的劃分可以基于如下規(guī)則（ policy）：交換機端口、 IP地址和子網、網卡（ MAC）地址或者上述三種規(guī)則的組合?！　≡谝粋€交換的 VLAN環(huán)境下，數(shù)據(jù)包只在相同的廣播域中的端口之間才進行交換。 VLAN在第 2層執(zhí)行網絡分區(qū)和通信量分離，所以，如果沒有像路由器這樣的第 3層設備， VLAN之間就不能通信，因為是網絡層（第 3層）設備負責在多個廣播域之間通信。　　而路由器的包過濾或防火墻的功能可被用來對不同虛擬網間用戶的通信做逐項檢查，通信可以按照網絡管理人員的要求被允許或禁止，從而實現(xiàn)不同部門或不同應用系統(tǒng)間的訪問控制，提高了網絡的安全性。 VLAN的設置步驟　　以 Cisco的 Catalyst交換機為例，在每臺交換機上都要做以下類似的設置?！　?1．設置 VTP域名和模式　　在特權模式下鍵入 vlan database，開始有關的設置?！　? vlan database　　 (vlan) vtp domain 域名 　　 (vlan) vtp {server | client | transparent}　　 (vlan) vtp pruning　　說明：　　（ 1）這一步只在 VLAN要跨交換機時使用。　?。?2） VTP意為 VLAN Trunking Protocol，即VLAN主干協(xié)議，主要用于在交換機間傳遞 VLAN信息?！　。?3） VTP域只有在 server和 transparent模式下才可創(chuàng)建 VLAN，常用的為 server模式，這也是Catalyst交換機的默認域模式?！　?2．將交換機之間的級連口 trunk打開　　在級連口的端口配置模式下使用 switchport mode trunk命令，將級連口 trunk打開?！　≌f明：　?。?1）這一步只在 VLAN要跨交換機時使用?！　。?2）在不同交換機上設置同一個 VLAN時，他們的 VTP域名和 vlan號 必須相同。　?。?3） trunk端口屬于所有的 VLAN?！　?3．添加（創(chuàng)建） VLAN　　在特權模式下鍵入如下命令。　　 vlan database　　 (vlan) vlan vlan號 [name vlan名 ]　　 4．添加端口到 VLAN中　　在端口配置模式下鍵入如下命令。(configif) switchport mode access(configif) switchport access vlan vlan號 　　 5． VLAN之間的路由設置　　在第 3層交換機中，由于 VLAN和路由模塊同處于一臺交換機中， VLAN相當于路由器的直連網段，其路由信息會被直接收集到路由表中，所以 VLAN之間的路由無須人工配制，只要使用如下命令為每個要進行數(shù)據(jù)路由的 VLAN對應的 VLAN接口分配一個惟一的 IP地址，再將相應 VLAN中的各計算機的默認網關設置為該 VLAN接口的 IP地址，即可實現(xiàn) VLAN之間的第三層通信。　　 (config) interface vlan vlan號 　　 (configif) ip address IP地址 子網掩碼 　　 (configif) no shutdown 訪問控制列表訪問控制列表　　路由器（或第三層交換機）上的訪問控制列表（ Access Control List， ACL）功能可實現(xiàn)包過濾的功能。 ACL選擇路由器的端口作為控制點，檢查每一個進出的數(shù)據(jù)包。 ACL是基于網絡層協(xié)議的，支持 IP、 IPX等多種協(xié)議。對于 IP， ACL可檢查 IP包的源地址、目的地址、 TCP和 UDP、 TCP和 UDP上的端口號等深層信息，提供了良好的控制能力?！　⊥ㄟ^交換機上 VLAN功能和路由器的 ACL功能的有機結合，可分離用戶中不同部門的不同應用，保證用戶網的內部訪問安全性?！　“^濾功能可以控制控制數(shù)據(jù)包在網絡中的傳輸，通過包過濾可以限制網絡流量以及增加網絡安全性。包過濾功能對路由器本身產生的數(shù)據(jù)包不起作用。當數(shù)據(jù)包進入某個端口時，路由器首先檢查該數(shù)據(jù)包是否可以通過路由或橋接方式送出去，如果不能，則路由器將丟掉該數(shù)據(jù)包，如果該數(shù)據(jù)包可以傳送出去，則路由器將檢查該數(shù)據(jù)包是否滿足該端口中定義的包過濾規(guī)則，如果包過濾規(guī)則不允許該數(shù)據(jù)包通過，則路由器將丟掉該數(shù)據(jù)包。　　 Cisco路由交換設備中有兩種方式的包過濾規(guī)則：　?。?1）標準包過濾。該種包過濾只對數(shù)據(jù)包中的源地址進行檢查，在要求控制級別較低的情況下使用?！　。?2）擴展包過濾。該種包過濾對數(shù)據(jù)包中的源地址、目的地址、協(xié)議及端口號都進行檢查，常用在更加復雜的控制數(shù)據(jù)包的傳輸，它可以滿足到端口級的要求?！　∨渲冒^濾分為兩個步驟，先定義包（標準或擴展）過濾規(guī)則，然后再引用包過濾規(guī)則?！　?1．定義標準包過濾規(guī)則　　在全局配置狀態(tài)下輸入如下格式的命令?！　?accesslist 標識號碼 deny︱ permit 源地址 通配符 　　 2．定義擴展包過濾規(guī)則　　在全局配置狀態(tài)下輸入如下格式的命令?！　?accesslist 標識號碼 deny︱ permit 協(xié)議標識 源地址 通配符 目地地址 通配符　　 Cisco路由交換設備中 accesslist規(guī)定的標識號碼如下：　　 IP標準包過濾標識號碼范圍為 1～ 99；　　 IP擴展包過濾標識號碼范圍為 100～ 199；　　可以在指定范圍內任意選擇一個標識號碼定義相應的包過濾規(guī)則， deny參數(shù)表示禁止， permit表示允許?！　⊥ㄅ浞矠?32位二進制數(shù)字，并與相應的地址一一對應。路由器將檢查與通配符中的 “0”（ 2進制）位置一樣的地址位，對于通配符中 “1”（ 2進制）位置一致的地址位，將忽略不檢查?！　∪绻獧z查的是一臺主機，通配符可寫為。通配符在書寫上也可看成是子網掩碼的反碼。在命令中地址和通配符的組合可使用 any代表匹配所有地址，使用 host ip地址 代表一臺主機，等同于 ip地址 ?！　∫粋€包過濾規(guī)則可以包含一系列檢查條件，即可以用同一標識號碼定義一系列 accesslist語句，路由器將從最先定義的條件開始依次檢查，如數(shù)據(jù)包滿足某個條件，路由器將不再執(zhí)行下面的包過濾條件，如果數(shù)據(jù)包不滿足規(guī)則中的所有條件，Cisco路由交換設備默認最后一句為 ACL中加入了deny any any，也就是丟棄所有不符合條件的數(shù)據(jù)包。　　 3．引用包過濾規(guī)則　　在需要包過濾功能的端口，輸入如下格式的命令。ip accessgroup 包過濾規(guī)則標識號 in︱ out　　其中 in表示對進入該端口的數(shù)據(jù)包進行檢查，out表示對要從該端口送出的數(shù)據(jù)包進行檢查。如果不進行步驟 3的配置，則所定義的包過濾規(guī)則根本不會執(zhí)行。　　例：標準包過濾配置　　在全局配置模式下，定義標準包過濾規(guī)則accesslist 10 deny host （或 accesslist 10 deny ）　　上面這條命令是將所有來自 數(shù)據(jù)包丟棄。accesslist 10 deny 　　上面這條命令是將來自 所有計算機數(shù)據(jù)包進行過濾丟棄。accesslist 10 permit any　　上面這條命令是允許其他任何地址的計算機進行通信?！　∫冒^濾規(guī)則int vlan 1ip accessgroup 10 out　　在 VLAN 1中引用 10號包過濾規(guī)則，對從該端口送出的數(shù)據(jù)包進行檢查?！　±簲U展包過濾配置　　在全局配置模式下，定義擴展包過濾規(guī)則accesslist 101 deny tcp eq 23　　上面這條命令是不允許主機 tel應用。accesslist 101 permit ip any any　　上面這條命令是允許其他任何地址的計算機進行通信?！　∫冒^濾規(guī)則int s0/0ip accessgroup 101 in　　在 s0/0端口中引用 101號包過濾規(guī)則，對進入該端口的數(shù)據(jù)包進行檢查。 漏洞掃描系統(tǒng)漏洞掃描系統(tǒng)　　漏洞是存在于系統(tǒng)中的一個弱點或者缺點。廣義的漏洞是指非法用戶未經授權獲得訪問或提高其訪問層次的硬件或軟件特征。　　實際上，漏洞可以是任何東西，許多用戶非常熟悉的特殊的硬件和軟件存在漏洞，如 PC機的CMOS口令在 CMOS的電池供電不足、不能供電或被移走情況下會丟失 CMOS信息也是漏洞；操作系統(tǒng)、瀏覽器、 TCP/IP、免費電子郵箱等都存在漏洞。　　微軟對漏洞的明確定義： “漏洞是可以在攻擊過程中利用的弱點，可以是軟件、硬件、程序缺點、功能設計或者配置不當?shù)取?”　　每個系統(tǒng)都有漏洞，不論在系統(tǒng)安全性上投入多少財力，攻擊者仍然可以發(fā)現(xiàn)一些可利用的特征和配置缺陷。現(xiàn)在，安全漏洞所引發(fā)的安全事件愈演愈烈，通過系統(tǒng)漏洞傳播的病毒、針對漏洞進行的攻擊給我們造成了巨大的破壞，而廣大用戶往往在病毒爆發(fā)之后或者安全事件出現(xiàn)之后才想到進行漏洞的彌補，而此時損失已經無法彌補?！　÷┒磼呙枋且环N自動檢測計算機安全脆弱點的技術。掃描程序集中了已知的常用攻擊方法，針對系統(tǒng)可能存在的各種脆弱點進行掃描，輸出掃描結果，以便審查人員分析并發(fā)現(xiàn)系統(tǒng)存在的漏洞。掃描程序還可以通過 TCP/IP端口查詢，記錄目標響應的情況，收集相關的有用信息，以發(fā)現(xiàn)網絡系統(tǒng)的安全漏洞。利用漏洞掃描技術可以快速地在大范圍內發(fā)現(xiàn)已知的系統(tǒng)安全漏洞?！　÷┒磼呙柘到y(tǒng)是在安全事件出現(xiàn)之前就對可能出現(xiàn)問題的漏洞進行偵測、彌補和評估，它指出了哪些攻擊是可能的，因此成為安全方案的一個重要組成部分?！　∧壳?，漏洞掃描產品可以分為基于網絡的掃描和基于主機的掃描這兩種類型?！　?基于網絡的漏洞掃描器 ，就是通過網絡來掃描遠程計算機中的漏洞。一般來說，基于網絡的漏洞掃描工具可以看作為一種漏洞信息收集工具，它根據(jù)不同漏洞的特性，構造網絡數(shù)據(jù)包，發(fā)給網絡中的一個或多個目標服務器，以判斷某個特定的漏洞是否存在?！　?基于主機的漏洞掃描器 ，掃描目標系統(tǒng)的漏洞的原理，與基于網絡的漏洞掃描器的原理類似，但是，兩者的體系結構不一樣?；谥鳈C的漏洞掃描器通常在目標系統(tǒng)上安裝了一個代理（ Agent）或者是服務（ Services），以便能夠訪問所有的文件與進程，這也使得基于主機的漏洞掃描器能夠掃描更多的漏洞。 計算機病毒的防治計算機病毒的防治 計算機病毒概述　　 1．計算機病毒的定義　　計算機病毒 (Virus)在 《 中華人民共和國計算機信息系統(tǒng)安全保護條例 》 中被明確定義，病毒 “指編制或者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù)，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼 ”?！　?2．計算機病毒的產生　　現(xiàn)在流行的病毒是由人為故意編寫的，多數(shù)病毒可以找到作者和產地信息，從大量的統(tǒng)計分析來看，病毒作者主要情況和目的是：一些天才的程序員為了表現(xiàn)自己和證明自己的能力，處于對上司的不滿，為了好奇，為了報復，為了祝賀和求愛，為了得到控制口令，為了軟件拿不到報酬預留的陷阱等．當然也有因政治，軍事，宗教，民族．專利等方面的需求而專門編寫的，其中也包括一些病毒研究機構和黑客的測試病毒。3．計算機病毒的特點（ 1）寄生性（ 2）傳染性（ 3）潛伏性（ 4）隱蔽性（ 5）破壞性（ 6）可觸發(fā)性　　 4．計算機病毒分類　　計算機病毒可以根據(jù)多種屬性進行分類?！　。?1）按照計算機病毒存在的媒體進行分類　　根據(jù)病毒存在的媒體，病毒可以劃分為網絡病毒，文件病毒，引導型病毒?！　∵€有這三種情況的混合型，例如：多型病毒（文件和引導型）感染文件和引導扇區(qū)兩種目標，這樣的病毒通常都具有復雜的算法，它們使用非常規(guī)