设置访问控制列表

　　首先根据各单位的需求，制定不同的策略，比如文件的传输、游戏等。在制定策略之前，我们首先要了解什么样的文件依靠计算机上哪个端口来传输。端口大约分为三类：

　　公认端口(0—1023)：它们紧密绑定于一些服务。通常这些端口的通讯明确表明了某种服务的协议。例如：80端口实际上总是HTTP通讯，110端口实际上是pop3通讯。

　　注册端口(1024—49151)：它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口，这些端口同样用于许多其它目的。例如：许多系统处理动态端口从1024左右开始。

　　动态和/或私有端口(49152—65535)：理论上，不应为服务分配这些端口。实际上，机器通常从1024起分配动态端口。但也有例外：SUN的RPC端口从32768开始。

　　端口隔离：使用交换机system-guard检测功能、设置当前最大可检测染毒主机的数目、设置每次地址学习相关参数，system-guard enable (使能system-guard检测功能，在使用防火墙功能前，请确保端口的优先级配置处于缺省状态，即：端口的优先级为0，且交换机对于报文中的cos优先级不信任。)

　　举例来说，在设置了地址学习数目的上限为50、重复检测次数的上限为3、隔离时间为5后，系统如果连续3次检测到来自源IP的地址每次IP地址学习数目都超过了50，系统就认为受到了攻击，将此源IP检测出来，在5倍的老化周期内不学习来自此源IP的报文中的目的IP地址。

　　结束语

　　随着计算机技术和通信技术的发展，计算机网络将日益成为工业、农业和国防等方面的重要信息交换手段，渗透到社会生活的各个领域。因此，认清网络的脆弱性和潜在威胁，采取强有力的安全策略，对于保障网络的安全性将变得十分重要。