|
| |
 精品推荐 |
 |
|
| |
|
|
|
|
三层交换机安全策略预防病毒
|
日期:2008年2月3日 作者: 查看:[大字体
中字体 小字体]
|
先于1001)
W32/Blaster worm (病毒)
create access-list udp69-d-de udp destination any ip-port 69 source any ip-port any deny
ports any precedence 1011(创建数据列表为udp69-d-de udp,凡是来源于69端口的数据包都优先于
1011)
create access-list udp135-d-de udp destination any ip-port 135 source any ip-port any
deny ports any precedence 1013(创建数据列表为udp135-d-de udp,凡是来源于135端口的数据包都
优先于1013)
端口隔离:使用交换机system-guard检测功能、设置当前最大可检测染毒主机的数目、设置每次地址学习相关参数,system-guard enable (使能system-guard检测功能,在使用防火墙功能前,请确保端口的优先级配置处于缺省状态,即:端口的优先级为0,且交换机对于报文中的cos优先级不信任。)
system-guard detect-maxnum 5 (设置当前最大可检测的染毒主机数目5台)
system-guard detect-threshold IP-record-threshold record-times-threshold isolate-time
(该命令可以设置地址学习数目的上限、重复检测次数的上限和隔离时间。)
举例来说,在设置了地址学习数目的上限为50、重复检测次数的上限为3、隔离时间为5后,系统如果连续3次检测到来自源IP的地址每次IP地址学习数目都超过了50,系统就认为受到了攻击,将此源IP检测出来,在5倍的老化周期内不学习来自此源IP的报文中的目的IP地址。
结束语
随着计算机技术和通信技术的发展,计算机网络将日益成为工业、农业和国防等方面的重要信息交换手段,渗透到社会生活的各个领域。因此,认清网络的脆弱性和潜在威胁,采取强有力的安全策略,对于保障网络的安全性将变得十分重要。
(出处:清风网络学院)
上一篇:SpyPig:简单的邮件跟踪服务
下一篇:有效管理与维护企业宽带路由器
|
| 相关文章: |
|
|
|
| 相关软件: |
|
|
|
|
