远离病毒威胁 磊科教你如何打造安全网络 （1）

目前在局域网内有大量的病毒在危害着网络，例如ARP欺骗，网络剪刀手、无赖服务器攻击、窃取用户资料木马等导致网络连通性出现问题。

　　保护有线网络可以从以下方面去考虑和实施：

　　－改变登陆设备和远程访问默认的口令

　　－安装最新的固化软件升级程序

　　－用VLAN隔离广播域，减小受害面积

　　－带宽管理保护网络设备

　　－使用ARP与MAC绑定、ACL、URL过滤/封锁功能

　　－启用防火墙、SPI检测

　　－启用防止DDOS攻击服务

　　－使用认证服务器


　　以下主要讲述新款7324NSW配合高端路由器解决网络安全问题。

　　MAC地址的泛洪攻击
　　－病毒原理：由于交换机内部的MAC地址表空间是有限的，正常情况下，空间是足够的，一般情况下，是不会发生MAC地址表被占满的情况。但是如果有人恶意向交换机发送大量非法源MAC地址的数据包，进行MAC地址泛洪攻击，则在很短的时间内交换机的内部MAC地址表会被占满，使得交换机无法进行MAC地址学习。那么原来按照MAC地址转发的单播机制由于MAC地址表被占满的情况下，所有的交换机端口变成在一个广播域里面了，因此转发变成了广播，所有端口可以收到其它端口的数据，变成一个HUB，传输没有了安全保障。

　　－防范手段： 在Netcore7324NSW交换机上使用MAC地址管理系列功能实现防御

　　首先进行MAC地址的绑定，将合法的MAC绑定在端口上，然后关闭每个端口的MAC地址学习，这样交换机不进行MAC学习，只按照绑定的条目进行数据转发。当关闭了MAC地址学习功能以后，交换机不转发非法源MAC地址的数据帧，不转发泛洪的数据。