1. MAC地址过滤法

　　MAC地址是网络设备在全球的唯一编号，它也就是我们通常所说的:物理地址、硬件地址、适配器地址或网卡地址。MAC地址可用于直接标识某个网络设备，是目前网络数据交换的基础。

      现在大多数的二层交换机都可以支持基于物理端口配置MAC地址过滤表，用于限定只有与MAC地址过滤表中规定的一些网络设备有关的数据包才能够使用该端口进行传递。通过MAC地址过滤技术可以保证授权的MAC地址才能对网络资源进行访问。

　　如下图所示，在服务器B所联接的交换机网络端口的MAC地址列表中上只配置了MAC a和MAC b两个工作站的MAC地址，因此只有这两台工作站可以访问服务器B，而MAC c就不能访问了，但是在服务器A中却没有配置MAC地址表，交换机就默认可以与所有同一网段的工作站连接，这样MAC a、MAC b、MAC c三个工作站都可以与服务器A连接了。

　　由于MAC地址过滤是基于网络设备唯一ID的，因此通过MAC地址过滤，可以从根本上限制使用网络资源的使用者。基于MAC地址的过滤对交换设备的要求不高，并且基本对网络性能没有影响，配置命令相对简单，比较适合小型网络，规模较大的网络不是适用。

      因为使用MAC地址过滤技术要求网络管理员必须明确网络中每个网络设备的MAC地址，并要根据控制要求对各端口的过滤表进行配置;且当某个网络设备的网卡发生变化，或是物理位置变化时要对系统进行重新配置，所以采用MAC地址过滤方法，对于网管员来说，其负担是相当重的，而且随着网络设备数量的不断扩大，它的维护工作量也不断加大。

　　另外，还存在一个安全隐患，那就是现在许多网卡都支持MAC地址重新配置，非法用户可以通过将自己所用网络设备的MAC地址改为合法用户MAC地址的方法，使用MAC地址“欺骗”，成功通过交换机的检查，进而非法访问网络资源。

　2. VLAN隔离法

　　VLAN(虚拟局域网)技术是为了避免当一个网络系统中网络设备数量增加到一定程度后，众多的网络广播报文消耗大量的网络带宽，使得真正的数据传递受到很大的影响;确保部分安全性比较敏感的部门数据不被随意访问浏览而采用一种划分相互隔离子网的方法。在此仅对VLAN技术实现访问控制的一些基本方面作一简单介绍。

　　通过VALN技术，可以把一个网络系统中的众多网络设备分成若干个虚拟的“工作组”，组和组之间的网络设备在二层上互相隔离，形成不同的广播域，进而将广播流量限制在不同的广播域中。

　　由于VALN技术是基于二层和三层之间的隔离技术，被广泛应用于网络安全方面，可以通过将不同的网络用户与网络资源进行分组，通过支持VLAN的交换机阻隔不同组内网络设备间的数据交换来达到网络安全的目的。该方式允许同一VLAN上的用户互相通信，而处于不同VLAN的用户之间在链路层上是断开的，只能通过三层路由器才能访问。

　　如下图所示，右从左至右工作站的编号为1~6。在该图中将编号为1、3、5的工作站划分到一个VLAN中，将编号为2、4、6的工作站划分到另一个VLAN中，这样编号为1、3、5的工作站之间可以相互通信，编号为2、4、6的工作站之间也可以相互通信，但两个组之间不可以直接通信，这样可以确保本组资源只能由本组用户访问。

　　目前基于VLAN隔离方式的访问控制方法，在一些中小型企业中也得到广泛应用。如企业中的人事部和财务部等部门都是相对来说安全性要求更高一些的，通常不允许其它部门用户随意访问、查阅相关资料，通过VLAN方式划分后，两个部门的网络数据就不会被其他用户访问了，虽然他们与其它部门一样同处一个网络。还有一点要注意的是，虽然别的用户不能随意访问VLAN组用户，但VLAN组用户却可随意访问其它非VLAN组用户，除非也做了访问限制配置。

　　不同的交换机VLAN划分的方法不尽相同，可以分别基于端口、MAC、IP地址进行，具体因篇幅关系，在此不作详细介绍。

　　虽然我们说VLAN隔离方式具有比较明显的优点，但同时也有一个非常明显的缺点，那就是要求网络管理员必须明确交换机每一物理端口上所联接的设备的MAC地址或是IP地址，并要根据不同的工作组对交换机进行VLAN配置。当某一网络终端的网卡、IP地址或是物理位置发生变化时，需要对整个网络系统中的多个相关的网络设备进行重新配置，这同样对于网管来说负担是相当重的，所以只适用于在小型网络中使用。

　　在安全性方面也存在隐患，VLAN技术可以保证网络设备间的隔离，但对于同一台服务器，只能做到同时向多个VLAN组全面开放或是只向某个VLAN组全面开放，而不能针对个别用户进行限制。而在通常情况下，一台服务器会提供多种服务，担当多种服务器角色，同时为多个VLAN组用户提供不同的服务，这样带来了一定的安全隐患。

　　例如一个数据库服务器中可能存有财务数据，也可能同时担当市场部电子商务中服务器角色，存有客户的数据，这样这台服务器就得同时向财务人员与市场人员开放，单纯采用VLAN技术就无法避免市场人员查看财务数据的情况发生。当然这种安全隐患可通过其它途经来解决。

　3. ACL访问控制列表法

　　访问控制列表在路由器中被广泛采用，它是一种基于包过滤的流向控制技术。标准访问控制列表通过把源地址、目的地址以及端口号作为数据包检查的基本元素，并可以规定符合检查条件的数据包是允许通过，还是不允许通过。访问控制列表通常应用在企业网络的出口控制上，例如企业通过实施访问控制列表，可以有效地部署企业网络出网策略。

　　如控制哪些员工可以访问Internet;员工可以访问哪些Internet站点;员工可以在什么时候访问Internet;员工可以利用Internet收发电子邮件而不可以进行其它活动等。从而保证宝贵的网络资源不至于被浪费，而且使员工在上班时精力集中。

[1] [2] 下一页