# These ACLs are to block virus attack （这些访问控制列表要堵塞病毒攻击）
# You need to make sure all your expected network service are not blocked by these ACLs
（你需要确定你的需要的网络服务中不备访问控制列表要堵塞）
# These ACLs' precedence are within 1001 ~ 1500（访问控制列表优先在1001-1500）
SQL Slammer/MS-SQL Server Worm（病毒）
create access-list udp1434-d-de udp destination any ip-port 1434 source any ip-port any deny ports any precedence 1001（创建数据列表为udp1434-d-de，凡是来源于1434端口的数据包都优先于1001）
#W32/Blaster worm （病毒）
create access-list udp69-d-de udp destination any ip-port 69 source any ip-port any deny ports any precedence 1011（创建数据列表为udp69-d-de udp，凡是来源于69端口的数据包都优先于1011）
create access-list udp135-d-de udp destination any ip-port 135 source any ip-port any deny ports any precedence 1013（创建数据列表为udp135-d-de udp，凡是来源于135端口的数据包都优先于1013）
    端口隔离：使用交换机system-guard检测功能、设置当前最大可检测染毒主机的数目、设置每次地址学习相关参数， system-guard enable （使能system-guard检测功能，在使用防火墙功能前，请确保端口的优先级配置处于缺省状态，即：端口的优先级为0，且交换机对于报文中的cos优先级不信任。）
    system-guard detect-maxnum 5 （设置当前最大可检测的染毒主机数目5台）
    system-guard detect-threshold IP-record-threshold record-times-threshold isolate-time
    （该命令可以设置地址学习数目的上限、重复检测次数的上限和隔离时间。）
    举例来说，在设置了地址学习数目的上限为50、重复检测次数的上限为3、隔离时间为5后，系统如果连续3次检测到来自源IP的地址每次IP地址学习数目都超过了50，系统就认为受到了攻击，将此源IP检测出来，在5倍的老化周期内不学习来自此源IP的报文中的目的IP地址。

结束语
随着计算机技术和通信技术的发展，计算机网络将日益成为工业、农业和国防等方面的重要信息交换手段，渗透到社会生活的各个领域。因此，认清网络的脆弱性和潜在威胁，采取强有力的安全策略，对于保障网络的安全性将变得十分重要。

（出处：清风网络学院）

上一页 [1] [2]

上一篇:三层交换在企业中的应用现状分析

下一篇:软交换与3G网络互通关键技术分析

巧用三层交换安全策略预防病毒相关文章：

·IE浏览器再现严重安全漏洞微软紧急发补丁程序

·Windows 2003安全设置大全-IIS、终端服务、FTP、SQL的配置

·企业局域网安全解决方案

·使用Windows的安全802.11网络企业部署一

·巧用Photoshop图层蒙版为照片背景换色彩

巧用三层交换安全策略预防病毒相关软件：

·Kaspersky(卡巴斯基) Internet Security 安全套装 V6.0.2.621 中文版

·美萍安全卫士v12.3

·2007网络安全黄皮书V1.0.0

·360安全卫士v3.2

·6509为主的各种交换机网络配置实例(图)

特别声明：本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载，但请务必注明出处和原始作者。文章版权归文章原始作者所有。对于被本站转载文章的个人和网站，我们表示深深的谢意。如果本站转载的文章有版权问题请联系编辑人员，我们尽快予以更正。
[打印本页] [关闭窗口] 转载请注明来源：http://www.vipcn.net

	\| 帮助(？) \| 版权声明 \| 友情连接 \| 关于我们 \| 信息发布
Copyright 2007 www.vipcn.net All Rights Reserved.	鄂ICP备05000083号Powered by:viphot