提高局域网安全:网络分段与VLAN(1)

　　对于基于以太网技术的局域网而言，影响安全性的最致命因素莫过于其在通讯中采用广播方式，这也造成了广播域中任意一个节点即可以侦听到所有的信息包，恶意攻击者只要会使用Sniffer工具，就可以对抓到的通讯信息包进行分析，从广播域中的信息传递找到进入受保护系统的钥匙，导致安全方面的防护形同虚设。

　　因此，要提高局域网的安全性，首先要从缩小广播域着手。

网络分段:分割广播域

　　网络分段是保证安全的一项重要措施，同时也是一项基本措施，其指导思想在于分割广播域，将非法用户与网络资源相互隔离，从而达到限制用户非法访问的目的。

　　从技术角度看，网络分段可分为物理分段和逻辑分段两种方式:

　　物理分段通常是指将网络从物理层和数据链路层(ISO/OSI模型中的第一层和第二层)上分为若干网段，各网段相互之间无法进行直接通讯。目前，许多交换机都有一定的访问控制能力，可实现对网络的物理分段。

　　逻辑分段则是指将整个系统在网络层(ISO/OSI模型中的第三层)上进行分段。例如，对于TCP/IP网络，可把网络分成若干IP子网，各子网间必须通过路由器、路由交换机、网关或防火墙等设备进行连接，利用这些中间设备(含软件、硬件)的安全机制来控制各子网间的访问。

　　在实际应用过程中，通常采取物理分段与逻辑分段相结合的方法来实现对网络系统的安全性控制。