设置访问控制列表

    首先根据各单位的需求，制定不同的策略，比如文件的传输、游戏等。在制定策略之前，我们首先要了解什么样的文件依靠计算机上哪个端口来传输。端口大约分为三类：公认端口(0—1023)：它们紧密绑定于一些服务。通常这些端口的通讯明确表明了某种服务的协议。例如：80端口实际上总是HTTP通讯，110端口实际上是pop3通讯。注册端口(1024—49151)：它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口，这些端口同样用于许多其它目的。例如：许多系统处理动态端口从1024左右开始。动态和/或私有端口(49152—65535)：理论上，不应为服务分配这些端口。实际上，机器通常从1024起分配动态端口。但也有例外：SUN的RPC端口从32768开始。例如：

    These ACLs are to block virus attack (这些访问控制列表要堵塞病毒攻击)
    You need to make sure all your expected network service are not blocked by these ACLs
    (你需要确定你的需要的网络服务中不备访问控制列表要堵塞)
    These ACLs' precedence are within 1001 ~ 1500(访问控制列表优先在1001-1500)
    SQL Slammer/MS-SQL Server Worm(病毒)
    create access-list udp1434-d-de udp destination any ip-port 1434 source any
    ip-port any deny ports any precedence 1001(创建数据列表为udp1434-d-de，凡是来源于1434端口的数据包都优先于1001)
    W32/Blaster worm (病毒)
    create access-list udp69-d-de udp destination any ip-port 69 source any ip-port
    any deny ports any precedence 1011(创建数据列表为udp69-d-de udp，凡是来源于69端口的数据包都优先于1011)
    create access-list udp135-d-de udp destination any ip-port 135 source any ip-port
    any deny ports any precedence 1013(创建数据列表为udp135-d-de udp，凡是来源于135端口的数据包都优先于1013)

    端口隔离：使用交换机system-guard检测功能、设置当前最大可检测染毒主机的数目、设置每次地址学习相关参数， system-guard enable (使能system-guard检测功能，在使用防火墙功能前，请确保端口的优先级配置处于缺省状态，即：端口的优先级为0，且交换机对于报文中的cos优先级不信任。)

    system-guard detect-maxnum 5 (设置当前最大可检测的染毒主机数目5台)
    system-guard detect-threshold IP-record-threshold record-times-threshold isolate-time
    (该命令可以设置地址学习数目的上限、重复检测次数的上限和隔离时间。)

    举例来说，在设置了地址学习数目的上限为50、重复检测次数的上限为3、隔离时间为5后，系统如果连续3次检测到来自源IP的地址每次IP地址学习数目都超过了50，系统就认为受到了攻击，将此源IP检测出来，在5倍的老化周期内不学习来自此源IP的报文中的目的IP地址。

    结束语

    随着计算机技术和通信技术的发展，计算机网络将日益成为工业、农业和国防等方面的重要信息交换手段，渗透到社会生活的各个领域。因此，认清网络的脆弱性和潜在威胁，采取强有力的安全策略，对于保障网络的安全性将变得十分重要。