3. 物理地保护网络

虽然物理网络安全常常被忽视，但这与面向互联网的防火墙一样重要。正如你需要抵御黑客攻击、僵尸网络以及病毒，你也需要抵御本地的威胁。

如果你的网络以及所在的建筑物的物理安全没有保障，附近的黑客或者甚至是员工都可以利用你的网络。例如，他们插入一个无线路由器到开放以太网端口，便能够无线访问到你的网络。但如果以太网端口不可见或者断开，这种情况就不会发生。

确保你部署了一个建筑物安全计划，以阻止和防止外部人员进入。然后，确保网络基础设施组件所在的所有配线柜和/或其他位置的安全性，使用门锁和机柜锁。确保以太网电缆不可见，并且不容易接触;无线接入点也是如此。断开未使用的以太网端口，特别是在建筑物的公共区域。

4.考虑MAC地址过滤

有线网络的一个主要安全问题是缺乏快速简便的身份验证和/或加密方法;人们可以随意插入并使用网络。而在无线网络方面，你至少需要WPA2-Personal。

虽然MAC地址过滤可能被攻击者绕过，但它至少可以作为第一道安全防线。它不能完全阻止攻击者，但它可以帮助你防止员工制造严重的安全漏洞，例如允许访客插入到专用网络。它还可以让你更好地控制哪些设备可以连接到网络。但不要让它给你安全的错觉，并保持MAC地址的更新。

5.部署VLAN来隔离流量

如果你正在使用尚未被分割成多个虚拟局域网的小型网络，可以考虑进行改变。你可以利用VLAN来分组跨多个虚拟网络的以太网端口、无线接入点以及用户。

你可以使用VLAN按流量类型(一般接入、VoIP、SAN、DMZ)，或者按照性能或设计原因和/或用户类型(员工、管理层和访客)，以及安全原因来分隔网络。当配置为动态分配时，VLAN特别有用。例如，你可以在网络任何位置或通过Wi-Fi插入你的笔记本，并自动分配VLAN。这可以通过MAC地址标记来实现，更安全的方法是使用802.1X身份验证。

为了使用VLAN，你的路由器和交换机必须支持它：在产品规范中查看是否有IEEE 802.1Q支持。对于无线接入点，你可能想要同时支持VLAN标签和多个SSID的接入点。通过多个SSID，你能够提供多个虚拟WLAN。

(责任编辑：)