Selv ikke en sølvkule, bør du vurdere bruken av " beskyttede porter " eller " privat VLAN " eller " VLAN ACL " i nettverket ditt. Det fine med disse relativt nye sikkerhetsmekanismer er at du kan implementere politikk på lag 2 uten å konfigurere din IP subnetting ordningen (som du ville ha å gjøre hvis du setter noen enheter på den andre siden av en tradisjonell lag tre firewall). Og, kan du implementere disse retningslinjene på brytere i stedet for å legge til enheter til nettverket ditt som du da har for å opprettholde og administrere. Og husk, vanligvis lavere i OSI-stakken du går, jo raskere. Det betyr at lag 2 drift vil vanligvis betydelig utkonkurrere lag 3 drift, men leverandørene har hatt år på å finpusse sine lag 3 kontroller, slik at deres implementering triks kan negere noen av forestillingen får du ville se. Selvfølgelig betyr lag 2 drift også du kan vanligvis glemme å bruke eventuelle applikasjonslaget filtrering regler.

Et eksempel på en god bruk for disse sikkerhetsmekanismene kan være en typisk bedriftsapplikasjoner, der brukerne har et webgrensesnitt på en server som kommuniserer med en database server, men brukerne har ingen grunn til å koble til databaseserveren. Isolere databaseserveren gir noen beskyttelse ved å hindre brukere fra å gå direkte til databaseserveren og potensielt visning rådata trenger du ikke vil at de skal se. Det beskytter også serveren fra potensiell orm og virus trafikk fra infiserte kontorbrukere.

Tom Lancaster, CCIE # 8829 CNX # 1105, er en konsulent med 15 års erfaring i nettverksbygging industrien, og medforfatter av flere bøker om nettverk, sist, etter CCSP ^{TM.: Secure PIX og sikker VPN Study Guide utgitt av Sybex}