不安全的地方

　　由于局域網中采用廣播方式，因此，若在某個廣播域中可以偵聽到所有的信息包，黑客就對可以對信息包進行分析，那么本廣播域的信息傳遞都會暴露在黑客面前。

　　網絡分段

　　網絡分段是保證安全的一項重要措施，同時也是一項基本措施，其指導思想在于將非法用戶與網絡資源相互隔離，從而達到限制用戶非法訪問的目的。

　　網絡分段可分為物理分段和邏輯分段兩種方式：

　　物理分段通常是指將網絡從物理層和數據鏈路層（ISO/OSI模型中的第一層和第二層）上分為若干網段，各網段相互之間無法進行直接通訊。目前，許多交換機都有一定的訪問控制能力，可實現對網絡的物理分段。邏輯分段則是指將整個系統在網絡層（ISO/OSI模型中的第三層）上進行分段。例如，對于TCP/IP網絡，可把網絡分成若干IP子網，各子網間必須通過路由器、路由交換機、網關或防火墻等設備進行連接，利用這些中間設備（含軟件、硬件）的安全機制來控制各子網間的訪問。在實際應用過程中，通常采取物理分段與邏輯分段相結合的方法來實現對網絡系統的安全性控制。

　　VLAN的實現

　　虛擬網技術主要基于近年發展的局域網交換技術(ATM和以太網交換)。交換技術將傳統的基于廣播的局域網技術發展為面向連接的技術。因此，網管系統有能力限制局域網通訊的范圍而無需通過開銷很大的路由器。

　　以太網從本質上基于廣播機制，但應用了交換器和VLAN技術后，實際上轉變為點到點通訊，除非設置了監聽口，信息交換也不會存在監聽和插入（改變）問題。

　　由以上運行機制帶來的網絡安全的好處是顯而易見的：

　　信息只到達應該到達的地點。因此、防止了大部分基于網絡監聽的入侵手段。

　　通過虛擬網設置的訪問控制，使在虛擬網外的網絡節點不能直接訪問虛擬網內節點。

　　但是，虛擬網技術也帶來了新的安全問題：

　　執行虛擬網交換的設備越來越復雜，從而成為被攻擊的對象?；诰W絡廣播原理的入侵監控技術在高速交換網絡內需要特殊的設置。基于MAC的VLAN不能防止MAC欺騙攻擊。

　　采用基于MAC的VLAN劃分將面臨假冒MAC地址的攻擊。因此，VLAN的劃分最好基于交換機端口。但這要求整個網絡桌面使用交換端口或每個交換端口所在的網段機器均屬于相同的VLAN。

　　VLAN之間的劃分原則

　　VLAN的劃分方式的目的是保證系統的安全性。因此，可以按照系統的安全性來劃分VLAN;可以將總部中的服務器系統單獨劃作一個VLAN,如數據庫服務器、電子郵件服務器等。也可以按照機構的設置來劃分VLAN，如將領導所在的網絡單獨作為一個Leader VLAN(LVLAN), 其他司局（或下級機構）分別作為一個VLAN,并且控制LVLAN與其他VLAN之間的單向信息流向，即允許LVLAN查看其他VLAN的相關信息，其他VLAN不能訪問LVLAN的信息。VLAN之內的連接采用交換實現， VLAN與VLAN之間采用路由實現。由于路由控制的能力有限，不能實現LVLAN與其他VLAN之間的單向信息流動，需要在LVLAN與其他VLAN之間設置一個Gauntlet防火墻作為安全隔離設備，控制VLAN與VLAN之間的信息交流。