医院网络方案

　网

　络

　解

　决

　方

　案

　目录

　1. 概述 ··································································································· 5 1.1. 应用需求分析 ··················································································· 5 1.2. 物理连接需求 ··················································································· 6 1.2.1. 桌面接入 ················································································ 6 1.2.2. 骨干传输 ················································································ 6 1.2.3. 链路需求分析 ·········································································· 6

　2. 网络设计方案 ······················································································ 6 2.1. 技术方案总体设计目标 ······································································· 6 2.1.1. 总体规划、逐步实施 ································································· 6 2.1.2. 实用性与先进性结合 ································································· 6 2.1.3. 实现可靠性和稳定性 ································································· 6 2.1.4. 高度重视安全性 ······································································· 7 2.1.5. 强调扩充性和延展性 ································································· 7 2.1.6. 具有简洁性和灵活性：

　······························································ 8 2.1.7. 强调易管理和维护性：

　······························································ 8 2.1.8. 虚拟网功能：

　·········································································· 8 2.2. 技术方案设计原则 ············································································· 8 2.2.1. 层次化原则 ············································································· 8 2.2.2. 标准化原则 ············································································· 9 2.3. 具体设计说明 ··············································································· 10 2.3.1. 局域网设计 ············································································ 10 2.3.2. 广域网设计 ············································································ 10 2.4. VPN 网络构架拓朴图：

　···································································· 11 中心：

　····································································································· 12 分区：

　····································································································· 13 2.4.1. 技术性能说明 ········································································· 13 2.5. IP 地址规划 ···················································································· 14 2.5.1. IP 地址规划背景 ······································································ 14 2.5.2. IP 地址分配原则 ······································································ 14 3. 网络安全技术方案设计 ··············································································· 15 3.1. 网络安全设计概述 ············································································ 15 3.2. 设备自身安全的保护 ········································································· 16 3.3. 网络基础设施安全防护 ······································································ 19 3.4. 网络基础设施集成的安全防护技术 ······················································· 20 3.4.1. 端口安全控制技术 Port Security ··················································· 20 3.4.2. DHCP 窥探保护 DHCP Snooping ················································· 21 3.4.3. IP 源地址保护技术 IP Source Guard ·············································· 23 3.4.4. 基于网络的应用识别定位病毒 NBAR ··········································· 24 4. 网络平台概述 ··························································································· 24 4.1. 网络特点及功能 ············································································ 24

　 1. 概述

　如今的信息网络已经成为非常复杂的系统工程，包括各种技术和设备，如网络设备、服务器、微机及专用设备、各种系统软件、通信软件、教学培训软件、办公管理 软件以及多媒体应用等，它们受到整个项目的功能要求、工作环境、可靠性、扩展性、经费预算、开发周期等具体情况的制约，需要有针对性地选用适宜的设备（品 牌、型号、规格、指标、

　价格等），同时运用恰当的技术手段和依据一定的规范，把它们有机地组合与集成起来，收到总体最佳的效果。

　 由于计算机网络地位和作用，各企业对计算机的功能和网络性能要求越来越高，系统结构、技术设计、设备供货、安装调试和售后服务的复杂程度和技术难度都大为 提高，必须运用系统工程的思想，借助全面的技术和丰富的工程经验，密切针对实际需求，通过系统集成来综合选择设备，配置系统，才能取得最佳的性能、最有效 的价格和长期的效益。

　 1.1. 应用需求分析  医院的网络同时承载着多样的网络应用：日常网络办公，门诊挂号内部数据服务器的文件交互，各区间数据采集交互。要求网络具有高性能、高可用性和高安全性。

　 通过internet 的高速连接，数据的上传与下载传输、门诊病历应用服务器对外提供相关的业务应用，为县区数据应用提供快速、安全的有效连接。

　 能对不同用户的使用情况加以策略控制，例如到Internet 的访问或者相关服务器，对于不同的时间段加以管理。对服务器访问控制保障了敏感数据的安全性，对internet访问的合理控制，保障了内部网络的安全性。

　 另外针对一些特属的应用能进行记录，以便事后查看，能够定位到IP地址以及用户所连接的端口和使用的PC机。同时要求基于不同的应用：网络下载、在线医疗视频点播等一些应用提供速率限制。

　 另外在设备支持上要求：网络设备集成的安全性的IPsec VPN，要求第2 层和第3 层的QoS；网络规模在不断扩大中，用户数在持续增加，要求网络具有很好的扩展性以及高效的稳定性。

　1.2. 物理连接需求 1.2.1. 桌面接入 随着桌面 PC 及多种业务的高速发展，PC 提供 10/100M 接入保障局域网内无阻塞高速数据访问。

　1.2.2. 骨干传输 医院网络系统内部传输主干的数据主要来自服务器存贮应用间的交互，中心网络随着今后分支点不断扩增数据流大，因此线路负载大，产品需成熟可靠。

　1.2.3. 链路需求分析

　a)网络系统中心位于医院住院部三楼，通过电信租用光纤固定 IP 地址接入Internet。

　b)门诊楼为整个建筑的裙楼。垂直系统采用 6 芯多模光缆，水平系统采用超五类双绞线。楼层工作间每层都有，中心机房预留电信运营商接口。

　 2. 网络设计方案

　2.1. 技术方案总体设计目标 2.1.1. 总体规划、逐步实施 根据需求和投资力度，充分考虑到当前组网最新技术，确定建网规模和组网方案，依据轻重缓急分阶段逐步实施。

　2.1.2. 实用性与先进性结合 网络系统设计应能满足当前的业务需要，同时又要考虑到未来的发展。要使网络系统为应用系统提供统一的接口，屏蔽因具体计算机硬件和网络不同而造成的差异。同时要考虑易于操作性，确保使用技术成熟的网络设备和通信技术，同时要考虑对现有设备和资源的充分利用，保护原有的投资。

　在满足适用性的基础上，网络系统设计尽量采用先进的网络技术及通信设备，以适应内部大量数据传输以及多媒体信息的传输。所采用的网络技术应具有长足的发展潜力，以适应未来新的应用系统和网络技术的发展。

　2.1.3. 实现可靠性和稳定性 网络可靠性和稳定性直接关系到应用的好坏，网络系统的故障可能直接给应用带来灾难性的损失。网络系统要有较高的可靠性，各级网络应具有网络监督和管理能力，要充分考虑设备和线路的容错机制和冗余，能够在线修复、更换和扩充。网络的可靠性主要是防止在网络上出现单个破损点，即避免因某一点出现故障，如某一个设备或某条线路出现故障而对整个应用系统产生影响。支持多媒体信息传送、INTERNET 浏览、应用系统的应用服务器时时连接等信息系统运行的局域网是县医院网络系统的重要基础设施，必须保证全天候不间断地工作。

　2.1.4. 高度重视安全性 在网络信息安全措施上，绝对保证数据在传输和处理过程的安全性，做到不丢失、不泄露、不损坏。利用防火墙，对信息进行过滤，高度重视网络的安全

　问题，防止黑客的入侵对网络应用造成的破坏。网络安全性包括：网络层的安全性；系统的安全性；用户的安全性；应用程序的安全性；数据的安全性。我国对网络安全高度重视，对防火墙系统、网关、代理服务器和路由器等都有相应的安全技术要求。办公楼网络要具有多层次的、基于策略的安全保护措施。

　2.1.5. 强调扩充性和延展性 可扩充性和可延展性主要包括两个方面的内容：一是为网络将扩充新节点和新分支预先作好硬件、软件和管理接口。二是网络必须具有升级能力，能够适应网络新技术发展的要求，从而为将来全部网络升级到其他更新的网络技术作好准备。

　在保证网络系统的有效性和实用性的同时，应充分考虑到网络的可扩展性，即保证网络若干年不落后。因此在设计网络时，并不是一味追求高配置、高速率，而是在保证网络先进性的同时，选择具有良好扩展性和升级能力的网络设备，设计出具有良好扩展性的网络拓扑，以保证整个网络系统的扩展性和升级能力。这具体表现在以下几个方面：

　选用了具有良好开放性的网络协议和平台，易于扩充、升级。

　用户端的网络操作系统选用了适合于多种媒体访问技术和多种高层协议的系统。

　用户端系统采用结构化布线，并利用交换机(Switch)组网。这样可方便地通过交换机(Switch)端口的级联、插板以及堆叠等方式增加网络工作站，并通过更换提高网络的传输速率。

　随着网络应用的规划扩大，系统应能在不影响用户使用的前提下扩充网络规模。通过增加或更换网络设备的个别模块或软件，即可方便地升级到更高的主干速率、新的广域网连接方式等技术，与未来新的国际标准平滑衔接。采用支持国际标准及工业标准化的产品，能与当今世界上主要网络厂商的主流产品互连。

　2.1.6. 具有简洁性和灵活性：

　网络拓扑结构简洁，软硬件按需灵活配置； 2.1.7. 强调易管理和维护性：

　对于这样一个复杂的系统，其网络的维护和管理十分重要，这直接关系到整个网络的稳定性和可靠性。网络设计时，应采用统一的建网模式、采用结构清

　晰的网络拓扑外，采用一套具有强有力的网络管理能力的网络管理软件，实现全网的监测、资源分配管理、负荷调节、故障定位等功能，并具有良好的人机操作界面。

　2.1.8. 虚拟网功能：

　由于医院网络系统有多个部门和应用系统，而且有些单位业务相同，但地理是分布的，所以网络系统的设计应能实现虚拟网的划分，并且虚拟网的划分应能基于多种方法以便灵活配置，这样才能很好地保证网络系统及应用系统的安全性、数据可靠性等。

　2.2. 技术方案设计原则 2.2.1. 层次化原则

　在未来网络架构设计中，为了实现一个可管理的、可靠的、高性能网络，我们将采用层次化的方法，将网络分为核心层、汇聚层和接入层三个层次进行设计。这种层次结构划分方法也是目前国内外网络建设中普遍采用的网络拓扑结构。在这种结构下，三个层次的网络设备各司其职又相互协同工作，从而有效保证了整个网络的高可靠性、高性能、高安全性和灵活的扩展性。

　拓扑结构如下图所示：

　其每一层的网络设备功能描述如下：

　 核心层：提供高速的三层交换骨干核心层不进行终端系统的连接； 核心层少用或不实施影响高速交换性能的 ACL 等功能。

　 汇聚层：作为接入层和核心层的分界层，分布层完成以下的功能：

　本功能区 VLAN 间的路由；IP 地址或路由区域的汇聚；  接入层：提供 Layer2 或 Layer3 的网络接入，通过 VLAN 定义实现接入的隔离。网络接入层具有以下特点：

　接入层接入端口规划容量根据实际使用情况具有一定的扩展性；

　2.2.2. 标准化原则

　网络设计中所用的各种管理信令、接口规程、协议须符合国际标准，便于扩展和网络的互连互通。支持国际上各种通用标准的网络协议和标准等，支持大型的动态路由协议，支持策略路由功能。保证与其它网络（如互联网等）之间的平滑连接。

　 2.3. 具体设计说明

　 2.3.1. 局域网设计 中心主干网络设备的选择是非常关键的。网络设备的选择关系到整个系统的投资是否得到有效的保护、将来的升级能力和系统的兼容性。而且要满足大数据流和多业务流的传输，使主干不会成为网络的瓶颈。因此，我们建议中心交换机选用 cisco6506。

　其他各接入层交换机作为二级接入，中心交换机与各楼层交换机的连接均为1000Mbps 相连。

　主干网络的设计主要包括两方面的内容：

　一个好的网络拓朴结构可大大提高整体网络的性能、可靠性和效率。根据机房业务需求和地理集中的特点，建议采用星状网络拓朴结构，中心交换，逐级分层。即保证了网络的可扩展性，又提高了网络的稳定性。

　对于网络技术，尽量选用成熟而先进的网络技术，另外其性能价格比也是一

　个重要的因素。目前千兆以太网和 Wan 专线技术是当今常用的主干网络技术，但Wan 专线价格高昂，而千兆以太网是建立在以太网协议上，速度在快速以太网基础之上又提高了 10 倍，即 1000Mbps，这一介质访问控制和物理接口（PHY）已成为局域网主干和服务器连接的标准。

　 千兆以太网的主要技术特点：

　1）从数据链路层往上，千兆以太网与以太网是相同的；千兆以太网只是在物理层通过结合IEEE802.3以太网和ANSI X3T11光纤通道技术，来使速度达到1Gbps； 2）IEEE802.3 以太网帧格式向后兼容，并支持全双工模式； 3）目前交换机与交换机之间的连接的规范是采用光纤传输介质：

　在多模光纤上的短波激光 (1000Base SX)传输； 4）目前千兆以太网（核心交换机）用作主干的唯一的不足是传输距离有限，但对于范围有限的服务器应用系统来说是非常合适的。根据机房的实际情况及客户的要求，我们建议主干网采用千兆以太网技术。

　2.3.2. 广域网设计 系统网络中心：

　县医院数据中心新申请一条光纤接入 Internet,现有企业接入 4-10M 不等，或者更高的带宽。

　县区门诊机构：

　考虑的线路成本问题，我们采用 DSL 线路，ADSL 现为普通的接入 Internet 方法，线路费用比较便宜。

　新建立的 VPN 隧道只负责本次业务流量，各地的 VPN 路由器可采购比较低但不失安全及扩展性，价格较低。

　ADSL 的线路县医院稳定性还可以，其它地市的的稳定性待考查，另有些运营商会在特定的时间段时强制中断 ADSL 线路一次，造成 ADSL 的重新连接。不可保证 24 小无中断，VPN 隧道的稳定性以 ADSL 的稳定性为基础。

　 2.4. VPN 网络构架拓朴图：

　VPN 网络整体框架示意图更新日期制图审核Internet静态地址ADSL互联网ADSL接入/光纤路由器VPN 隧道县医院中心防火墙县区门诊

　 中心：

　分区：

　县城各区门诊网络架构中国电信静态IP ADSLPOSFirewall-5505-50-BUN-K9

　2.4.1. 技术性能说明 方案中选用的 Cisco 设备主要性能说明如下：

　交换机：

　主干交换机 Catalyst3560 具有最高达 32Gbps 交换矩阵，L2/L3 分组转发率达13Mpps，两上联光口槽。

　安全部分：

　ASA5500 防火墙交换处理能力达 750Mbps，AIP-SSM 入侵检测模块在线处理能力达 650Mbps，最大会话数 650,000。

　VPN 接入部分：

　Cisco2800 路由器， 集成的 100M 以太网接口。

　 2.5. IP 地址规划 良好的网络拓扑结构和网络地址规划是网络稳定、安全、高速、高效运行的基础，合理、统一地规划和分配 IP 地址和子网，以利于网络路由的迭合，减少路由表的大小和复杂性，提高三层路由的效率以及网络的性能和稳定性。

　2.5.1. IP 地址规划背景 IP 地址是 TCP/IP 协议族中的网络层逻辑地址，它被用来唯一地标识网络中的一个节点，TCP/IP 协议已经成为计算机网络的事实上的国际标准。为了保证全球的 IP 地址唯一性，所有想与 Internet 连接的企业需要向 Internet 的地址分配组织：IANA(InternetAssignedNumberAuthority)申请合法的 IP 地址或使用 IANA 分配的专有 IP 地址；Internet 的地址分配组织：IANA 在地址的分配中，保留了三个 IP地址块作为企业的专有地址：

　10.0.0.0-----10.255.255.255 172.16.0.0---172.31.255.255 192.168.0.0---192.168.255.255 2.5.2. IP 地址分配原则

　IP 地址的分配应遵循以下几个原则：

　唯一性：一个 IP 网络中不能有两个主机采用相同的 IP 地址 简单性：地址分配应简单易于管理，降低网络扩展的复杂性，简化路由表的款项 连续性：连续地址在层次结构网络中易于进行路径叠合，大大缩减路由表，提高路由算法的效率 可扩展性：地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址叠合所需的连续性

　灵活性：地址分配应具有灵活性，以满足多种路由策略的优化，充分利用地址空间 良好的 IP 网络地址规划主要有以下优点：

　便于网络的统一管理、监控，提高网络的安全性和可靠性 便于网络的扩展，在网络的扩展过程中只需对网络拓扑进行局部的改动，不会对整个网络产生任何影响。

　便于网络路由聚类，减少路由表的数量，提高网络的运行效率，减少对路由器CPU、内存的消耗。

　网络 IP 地址规划的建议 为了有效地利用地址空间，我们可以对 IP 地址进行子网划分，可采用变长子网掩 码 技 术 (VLSM VariableLengthSubnetMask) 和 路 径 叠 合 技 术(RouteSummarization) ， 有效地利用地址空间， 同时能满足路由协议的要求，提高路由算法的效率，加快路由变化的收敛速度。

　对于网络 IP 地址的规划也应遵循层次式分配原则，按照连续地址块划分。使用变长子网掩码 (VLSM) 技术，对地址块进行层层分割，然后逐层分配给各个楼层和业务区域 。这样，一方面可以充分利用 IP 地址资源，满足各项业务的需要，另一方面也便于通过路由汇聚压缩路由表尺寸，提高交换机的效率，限制路由变化的影响范围，从而提高路由的稳定性。

　3. 网络安全技术方案设计 3.1. 网络安全设计概述 从系统角度来看，网络安全不是一个简单的产品问题，网络安全首先是个系统问题。从技术角度而言，网络安全主要应考虑以下几个方面：

　设备安全——网络中应该重点保护的设备，设备出现安全问题时对整个网络的影响力，以及设备本身对安全攻击的抵抗和处理能力。

　 身份鉴别与授权——身份包括鉴别和授权。鉴别回答了“你是谁”和“你在哪？”这两个问题，授权回答“你可以访问什么”。需要对身份机制谨慎部署，否则即便是最严谨的安全策略也有可能被避开。

　 边界安全——边界安全涉及到防火墙种类的功能，决定网络的不同区域允许

　或拒绝何种业务，特别是在 Internet 和主干网或拨入网之间。

　 数据的保密性和完整性——数据的保密性指的是确保只有获准能够阅读数据的实体以有效的形式阅读数据，而数据完整性指的是确保数据在传输过程中未被改动。

　 安全监测——为检验安全基础设施的有效性，应经常进行定期的安全审查，包括新系统安装检查，发现恶意入侵行为，出现的特殊问题(拒绝业务攻击)以及对安全策略是否全面遵守等方面。

　 策略管理——由于网络安全涉及到以上的多个方面，每一个方面都使用多种产品和技术，对这些产品进行集中有效的管理可以帮助网络管理者有效地部署和更新自己的安全策略。具有一个统一的安全策略对安全防范的实施非常有帮助，Cisco 在网络方面提出一个完整的安全解决方案。

　3.2. 设备自身安全的保护 根据此次项目涉及的网络设备，建议需要重点考虑保护的设备为核心路由器和核心层交换机。对设备本身的安全保护建议作如下考虑：

　用户口令的认证，可通过 Cisco 设备进行本地认证或 Radius、TACACS 用户级别的划分，将可进入到设备的管理用户分为多个级别，对不同级别的用户具有不通的访问权限。

　设置 log 记录，对网络设备的任何有效配置和改动均需要相应的记录。

　为了阻止伪装成特定类型的控制数据包直插网络心脏的类似威胁，Cisco IOS 软

　件在路由器上提供了可编程的监管功能，以限制目的地为控制层面处理器的流量的速度。这个名为“控制层面监管(CoPP)”的特性可用于识别特定类型的流量并对其进行完全或一定程度的限制，防止路由处理器 CPU 过载死机。

　对于用户口令安全方面的考虑，建议采用集中管理的方式，在企业信息中心配置CiscoSecure 访问控制器，所有设备的用户名、口令、权限控制都统一管理，避免因分散式管理带来的安全漏洞和管理的复杂性。

　在用户的资格认证方面，有四种常用的认证方式，分别是：

　固定用户名/口令； 时效用户名/口令； 一次性口令； 令牌卡/软令牌。

　这四种方式中，在资格认证的可靠性方面，以第一种最低，第四种最高，在使用的方便性方面，则以第四种最低，第一种最高。可见安全和易用是一对矛盾体，要获得较高的安全性，就需要牺牲一些易于使用性。

　企业启用 ERP 和 MES 系统后，对网络安全性的要求会更高，因此我们建议采用安全性较高的令牌卡或软令牌方式，对企业管理人员，特别是高级管理用户进行严格的资格认证，保证系统的安全性。

　在资格认证上，为防止他人非法盗用、破坏口令，除采用高可靠性的令牌卡方式外，还可以设置拨入者在输入 N 次口令仍失败后帐户失效，并及时向系统管理员通知。

　内部局域网的安全性保证 在局域网内部的安全性考虑，主要体现在对企业内部访问的权限控制上，如允许哪些下端网点计算机访问哪些网上节点及哪些应用等，这可以通过路由器或第三层交换机的访问控制功能实现。内部安全性还包括对路由器等网络设备的访问与配置修改。

　一般来说，局域网中在安全方面的基本功能是 VLAN（虚拟局域网）的划分和子网之间的基于包过滤的隔离，这已经是非常成熟的技术，在实际环境中有大量的应用。思科的交换机产品完全支持这些局域网中基本的安全控制功能，可以根据交换机端口\MAC 地址进行 VLAN 的划分，并通过访问控制列表等技术对于

　VLAN 之间的通讯进行基于 IP 地址、网段、TCP/UDP 端口号等进行过滤，还提供 PVLAN 的技术，提供 VLAN 内部通讯包过滤的手段。

　此外，对于在布线室内或管理控制台接入进程中的核实身份，思科还提供以下各种技术方案，使用户可以根据需要，灵活使用。

　端口安全性：能够将交换端口视为特定的 MAC 地址，如果未授权的设备连接上来，交换机会切断连接并向网络管理工作站发出一个陷井(Trap)信息。

　用户注册：与 DHCP User Registration Tracking(URT)动态链路相连，与DNS/DNCP 服务器动态链接，可以按用户的网络地址及其物理网络位置跟踪用户，从而大大减少了解决问题时所费的时间。

　与微软公司的 Micrsoft NT 的主域控制服务器相集成：URT 内部的网络注册流程与 Microsoft 的 Primary Domain Control Server(主域控制服务器，简称 PDCS)全面集成。这种集成加强了建立注册帐户所需要的管理工作，充分利用了市场上越来越多的人使用 PDCS 的有利条件。

　自动化交换机端口配置：URT 根据用户登录上网的逻辑联系，使交换机端口配置全面自动化，大大减低了因园区网络移动性较强而产生的管理费用。

　跟踪并鉴别与 CWSI 的链接：URT 提供与 Cisco 用户跟踪应用相连的链路，以便根据用户的登录名称迅速识别其位置。

　冗余结构：URT 拥有全面冗余的结构，这对于每天 24 小时、每周 7 天地不间断保证登录和交换机端口重新配置十分重要。

　TACACS+和 Radius Authentication：将鉴别和认证植入网络设备的命令行接口(CLI)，通过跟踪用户登录，对进入 CLI 的访问进行记帐。

　IP 特许表：使网络管理人员可以限定只能从某些特定 IP 网络地址进入 CLI、系统控制台和 SNMP。

　SNMPv3：提供加密的用户身份鉴别，用于网络管理的 SNMP 加密串。

　MD5 路由鉴别：提供加密的路由表更新，防止非法或未授权的路由表信息，因为它们可能会引起网络不稳定或崩溃。

　数据安全保证 在网络中，需要对不同安全等级的数据采取不同的安全保证策略。5 个安全等级

　的定义如下：

　安全等级一级为数据发送和接收端应有包过滤器（二层和三层）对数据包进行检验，在数据包传输中应有 128 位数据加密并保证传输中数据的完整性、可靠性和真实性； 安全等级二级为数据发送和接收端应有包过滤器（三层）对数据包进行检验，在数据包传输中应有 64 位数据加密并保证传输中数据的完整性、可靠性和真实性； 安全等级三级为数据发送和接收端应有包过滤器（三层）对数据包进行检验，在数据包传输中应有 64 位数据加密； 安全等级四级为数据发送和接收端应有包过滤器（三层）对数据包进行检验； 安全等级五级为普通数据传输，无任何要求。

　Cisco 相应的网络设备在局域网接入上支持二层和三层的包过滤机制，在骨干和广域网接入上均支持三层过滤和 IP Sec 加密，完全可以满足数据安全保证的要求。

　3.3. 网络基础设施安全防护

　思科网络自身安全解决方案，通过网络基础架构的主要组成部分－网络设备的安全保护，各自分工，系统协作，全面部署，从网络到主机，从核心层到分布层、接入层，我们要采取全面的企业安全策略来保护整个网络基础构架和其所连接的系统，即使当攻击，蠕虫和病毒发生时，思科的网络基础设施要具备相当的抵抗和承受能力，在自动适应“变化”的基础上，充分利用网络基础平台的优势，协助专门的安全系统，定位问题，提供数据，有效隔离，快速清楚，确保整体网络的稳定运行。

　3.4. 网络基础设施集成的安全防护技术

　针对上一节所描述安全威胁的在 Cisco Catalyst 智能交换系列内建的安全特性针对这类攻击提供了全面的解决方案，这些解决方案主要基于下面的几个关键的技

　术。

　Port Security DHCP Snooping

　IP Source Guard PVLAN NBAR 通过部署这些技术可以防止在交换环境中的“中间人”攻击、MAC/CAM 攻击、DHCP 攻击、地址欺骗等，更具意义的是通过运用上面的技术可以简化地址管理，直接跟踪用户 IP 和对应的交换机端口，防止 IP 地址冲突。同时对于大多数具有地址扫描、欺骗等特征的病毒可以有效的报警和隔离。

　以下章节将主要说明如何在思科交换机上组合运用和部署上述网络基础设施自身集成的安全技术：

　3.4.1. 端口安全控制技术 Port Security MAC 泛滥攻击的原理和危害 交换机主动学习客户端的 MAC 地址，并建立和维护端口和 MAC 地址的对应表以此建立交换路径，这个表就是通常我们所说的 CAM 表。CAM 表的大小是固定的，不同的交换机的 CAM 表大小不同。MAC/CAM 攻击是指利用工具产生欺骗 MAC，快速填满 CAM 表，交换机 CAM 表被填满。黑客发送大量带有随机源MAC 地址的数据包，这些新 MAC 地址被交换机 CAM 学习，很快塞满 MAC 地址表，这时新目的 MAC 地址的数据包就会广播到交换机所有端口，交换机就像共享 HUB 一样工作，黑客可以用 sniffer 工具监听所有端口的流量。此类攻击不仅造成安全性的破坏，同时大量的广播包降低了交换机的性能。

　防范方法 限制单个端口所连接 MAC 地址的数目可以有效防止类似 macof 工具和 SQL 蠕虫病毒发起的攻击，macof 可被网络用户用来产生随机源 MAC 地址和随机目的MAC 地址的数据包，可以在不到 10 秒的时间内填满交换机的 CAM 表。Cisco Catalyst 交换机的端口安全 (Port Security) 和动态端口安全功能可被用来阻止MAC 泛滥攻击。例如交换机连接单台工作站的端口，可以限制所学 MAC 地址数为 1；连接 IP 电话和工作站的端口可限制所学 MAC 地址数为 3：IP 电话、工

　作站和 IP 电话内的交换机。

　通过端口安全功能，网络管理员也可以静态设置每个端口所允许连接的合法MAC 地址，实现设备级的安全授权。动态端口安全则设置端口允许合法 MAC地址的数目，并以一定时间内所学习到的地址作为合法 MAC 地址。

　通过配置 Port

　Security 可以控制：

　端口上最大可以通过的 MAC 地址数量 端口上学习或通过哪些 MAC 地址

　 对于超过规定数量的 MAC 处理进行违背处理 端口上学习或通过哪些 MAC 地址，可以通过静态手工定义，也可以在交换机自动学习。交换机动态学习端口 MAC，直到指定的 MAC 地址数量，交换机关机后重新学习。目前较新的技术是 Sticky Port

　Security，交换机将学到的 mac 地址写到端口配置中，交换机重启后配置仍然存在。

　对于超过规定数量的 MAC 处理进行处理一般有三种方式 ：

　Shutdown：端口关闭。

　Protect：丢弃非法流量，不报警。

　Restrict：丢弃非法流量，报警。

　3.4.2. DHCP 窥探保护 DHCP Snooping 采用 DHCP server 可以自动为用户设置网络 IP 地址、掩码、网关、DNS、WINS 等网络参数，简化了用户网络设置，提高了管理效率。但在 DHCP 管理使用上也存在着一些另网管人员比较问题，常见的有：

　DHCP server 的冒充。

　DHCP server 的 DOS 攻击。

　有些用户随便指定地址，造成网络地址冲突。

　由于 DHCP 的运作机制，通常服务器和客户端没有认证机制，如果网络上存在多台 DHCP 服务器将会给网络照成混乱。

　由于不小心配置了 DHCP 服务器引起的网络混乱也非常常见。

　黑客利用类似Goobler的工具可以发出大量带有不同源MAC地址的DHCP请求，直到 DHCP 服务器对应网段的所有地址被占用，此类攻击既可以造成 DOS 的破坏，也可和 DHCP 服务器欺诈结合将流量重指到意图进行流量截取的恶意节点。

　DHCP 服务器欺诈可能是故意的，也可能是无意启动 DHCP 服务器功能，恶意用户发放错误的 IP 地址、DNS 服务器信息或默认网关信息，以此来实现流量的截取。

　DHCP Snooping 技术 DHCP Snooping 技术是 DHCP 安全特性，通过建立和维护 DHCP Snooping 绑定表过滤不可信任的 DHCP 信息，这些信息是指来自不信任区域的 DHCP 信息。

　通过截取一个虚拟局域网内的 DHCP 信息，交换机可以在用户和 DHCP 服务器之间担任就像小型安全防火墙这样的角色，“DHCP 监听”功能基于动态地址分配建立了一个 DHCP 绑定表，并将该表存贮在交换机里。在没有 DHCP 的环境中，绑定条目可能被静态定义，每个 DHCP 绑定条目包含客户端地址（一个静态地址或者一个从 DHCP 服务器上获取的地址）、客户端 MAC 地址、端口、VLAN ID、租借时间、绑定类型（静态的或者动态的）。如下表所示：

　CatHQ1#sh ip dhcp snooping binding MacAddress

　IpAddress

　 Lease(sec)

　Type

　VLAN

　Interface ------------------

　---------------

　----------

　-------

　----

　-------------------- 00:0D:60:2D:45:0D

　 10.149.3.13

　600735

　dhcp-snooping

　100

　 GigabitEthernet1/0/7 这张表不仅解决了 DHCP 用户的 IP 和端口跟踪定位问题，为用户管理提供方便，而且还供给动态 ARP 检测 (DAI) 和 IP Source Guard 使用。

　防范方法 为了防止这种类型的攻击，Catalyst DHCP 侦听 (DHCP Snooping) 功能可有效阻止此类攻击，当打开此功能，所有用户端口除非特别设置，被认为不可信任端口，不应该作出任何 DHCP 响应，因此欺诈 DHCP 响应包被交换机阻断，合法的DHCP 服务器端口或上连端口应被设置为信任端口。

　首先定义交换机上的信任端口和不信任端口，对于不信任端口的 DHCP 报文进行截获和嗅探，DROP 掉来自这些端口的非正常 DHCP 响应应报文。

　3.4.3. IP 源地址保护技术 IP Source Guard

　常见的欺骗攻击的种类和目的 黑客经常使用的另一手法是 IP 地址欺骗。常见的欺骗种类有 MAC 欺骗、IP 欺骗、IP/MAC 欺骗，其目的一般为伪造身份或者获取针对 IP/MAC 的特权。此方法也被广泛用作 DOS 攻击，目前较多的攻击是：Ping Of Death、Syn flood、ICMP Unreacheable Storm。如黑客冒用 A 地址对 B 地址发出大量的 ping 包，所有 ping应答都会返回到 B 地址，通过这种方式来实施拒绝服务 (DoS) 攻击，这样可以掩盖攻击系统的真实身份。富有侵略性的 TCP SYN 洪泛攻击来源于一个欺骗性的 IP 地址，它是利用 TCP 三次握手会话对服务器进行颠覆的又一种攻击方式。一个 IP 地址欺骗攻击者可以通过手动修改地址或者运行一个实施地址欺骗的程序来假冒一个合法地址。

　另外病毒和木马的攻击也会使用欺骗的源 IP 地址。互联网上的蠕虫病毒也往往利用欺骗技术来掩盖它们真实的源头主机。

　防范方法 Catalyst IP 源地址保护 (IP Source Guard) 功能打开后，可以根据 DHCP 侦听记录的 IP 绑定表动态产生 PVACL，强制来自此端口流量的源地址符合 DHCP 绑定表的记录，这样攻击者就无法通过假定一个合法用户的 IP 地址来实施攻击了，这个功能将只允许对拥有合法源地址的数据保进行转发，合法源地址是与 IP 地址绑定表保持一致的，它也是来源于 DHCP Snooping 绑定表。因此，DHCP Snooping 功能对于这个功能的动态实现也是必不可少的，对于那些没有用到DHCP 的网络环境来说，该绑定表也可以静态配置。

　IP Source Guard不但可以配置成对IP地址的过滤也可以配置成对MAC地址的过滤，这样，就只有 IP 地址和 MAC 地址都于 DHCP Snooping 绑定表匹配的通信包才能够被允许传输。此时，必须将 IP 源地址保护 IP Source Guard 与端口安全Port Security 功能共同使用，并且需要 DHCP 服务器支持 Option 82 时，才可以抵御 IP 地址＋MAC 地址的欺骗。

　3.4.4. 基于网络的应用识别定位病毒 NBAR 当攻击，蠕虫和病毒发生时，网络基础设施具备相当的抵抗和承受能力，不管是设备级还是网络级，再协助与专门的安全系统，定位问题，确认攻击源，有效隔离，快速响应，确保整体网络的稳定运行和业务的持续发展。

　我们只要能够通过各种网络技术定位传播源，过滤传播扫描数据包，限制被感染终端的接入，同样也会大大增强整个网络的抵抗能力 基于网络的应用识别 (NBAR) 是 Cisco IOS® 软件中的分类引擎，可以通过 URL/多目的互联网邮件扩展 (MIME) 类型和使用动态端口分配技术的协议识别多种应用级协议，包括HTTP。NBAR 对流量进行分类之后，可以将相应的服务质量 (QoS) 策略应用到流量等级。NBAR 能识别 CRv1 和 CRv2 URL 请求，但不能识别 Code-Red 红色代码 II URL 请求，因为 Code-Red 红色代码 II 通过多个分组传播 GET 请求，而 NBAR 目前只检查第一个分组。与 NIDS 不同，NBAR 可以立即对 CRv1 和 CRv2 流量进行分类，并在流量到达服务器之前丢弃分组。另外，NBAR 还可以双向使用，减轻 Code-Red 红色代码的危害。

　4.

　网络平台概述

　 4.1. 网络特点及功能 以上几节我们对整个网络方案进行了比较详细的介绍，下面具体对网络的特点及功能进行描述：

　1)完整网络结构基于不同厂家公司高性能产品的解决方案

　 从上几节介绍的网络方案，可以看出整个网络系统解决方案的产品均来自于公司的产品，包括防火墙、交换机、网管理软件等。采用同一公司产品完全消除了设备配置不协调的问题，有统一的方案配置。此外由于所选网络设备品牌在网络领域的领先地位，可使投资得到最大的保护。

　2)高可靠性和容错性 在主干网中，核心交换机采用多层多业务交换机。核心设备可采用冗余，以保证可靠性。

　 各二级交换机可用双光纤线路分别与核心交换机相连接，一条作连接，另一条作备份。当主线路发生故障，备份线路工作，以提高线路连接的可靠性。

　3）虚拟网的实现 VLAN 是逻辑上属于一个集合而物理上可能分布于网络的各个角落的一组工作站，每一个 VLAN 就是一个广播域。在传统路由和桥接技术中，用户被从物理上分成不同的段，而在一个 VLAN 中，用户并不被局限在某一个物理区域内，而

　是可以分布在网络的不同部分。VLAN 使得建立大型的基于交换的网络成为可能，并且通过 VLAN 来实现广播控制。

　 4）网络的扩充升级能力

　 网络的建设要立足于现在，展望到未来，即不仅要满足于现有应用，而且要考虑到将来新的应用、网络规模增长和技术更新的需求，特别是对未来发展的考虑。因此要具有相当强的扩充升级能力。这些主要表现在以下几方面：

　带宽的扩充 系统所配设备均留有充足的扩展空间，当带要求提高时，只需增加相应模块即可。

　 端口的可扩展性 当网络规模增长，对网络端口数量的要求就会增多。增加网络端口数量可利用交换机现有的空槽插入相应的接口模块就可达到目的。当交换机的空槽数量不能满足要求时，可利用交换机之间的级连扩充足够数量的插槽。交换机间的级链根据需要可采用快速以太通道功能。

　5）网络良好的可管理性 方案中建议的网络设备主要为交换机。对这类设备的管理通常都可以通过软件控制来实现。

　所有网络设备的配置都存储于非易失性存储器中，即使掉电也不会丢失。通常有三种方法可以查看和修改配置：

　带外（Out of Band）方式。在相应网络设备控制端口（通常为 RS/232 端口）上连接 Null-Modem 电缆，再连接到一台 PC 机的串行口上，然后在 PC 上以仿真终端方式即可用命令行来查看和更改配置。

　带内（In Band）方式。当网络连通时，从任何一台网上的工作站通过网络Telnet 到设备上，即可用命令行查看更改配置。

　SNMP 方式。当网络连通时，从网管工作站上，通过 SNMP 协议，即可以图形化方式查看和更改配置。

　通过管理软件可以实现对全网范围内的网络设备进行管理。它具有友好的图形界面，通过它可以实现对全网范围内路有器的管理，独特的拖放功能使设置和维护变得十分容易。同时又能够保持全网范围内的统一。此外它还可以实现对其

　它网络设备的监控、网络拓朴的建立及网上数据流的监测、对网络重要逻辑部件的实时监控等许多功能。

　综上所述，本方案建议的网络结构及网络产品实现的网络工程、及其所支持的应用系统具有很好的可靠性、安全性、灵活性、产品互通性以及良好的系统性能。

　思科设备选型参数：

　 型号 描述 数量 单价 总价 路由器 CISCO2811 2811 w/ AC PWR,2FE,4HWICs,2PVDMs,1NME,2AIMS,IP BASE,64F/256D 1 ￥7,700

　￥7,700

　防火墙 ASA5520-BUN-K9 ASA 5520 Appliance with SW, HA, 4GE+1FE, 3DES/AES 1 ￥27,500

　￥27,500

　核心交换机（门诊五楼）

　WS-C3560-48TS-E Catalyst 3560 48 10/100 + 4 SFP IPS Image 1 ￥22,019

　￥22,019

　门诊一，二，三，四，六，住院一到六楼接入交换机 WS-C2960-48TT-L Catalyst 2960 48 10/100 + 2 1000BT LAN Base Image 4 ￥7,900

　￥31,600

　分布县城诊所用防火墙 ASA5505-50-BUN-K8 ASA 5505 Appliance with SW, 50 Users, 8 ports, DES 10 ￥4,615

　￥46,150

　 ￥134,969

　华为设备选型参数：

　 型号 描述 数量 单价 总价

　 路由器 AR 28-31 Quidway AR 28-31路由器主机(220VAC)(2FE/3Slots) 1 ￥5786 ￥5,786

　防火墙 NS-SecPath F100-A-AC H3C SecPath F100-A 主机-交流电源(7FE/1Slot) 1 ￥19800 ￥19,800

　核心交换机（门诊五楼）

　LS-S5348TP-SI-AC S5348TP-SI-AC 主机(48个10/100/1000Base-T,4个1000Base-X Combo 口,不含堆叠插卡,交流供电) 1 ￥12540 ￥12,540

　门诊一，二，三，四，六，住院一到六楼LS-S2352P-EI-AC S2352P-EI 主机(48个10/100BASE-T,2个百兆/千兆SFP 上行口(100/1000 4 ￥3608 ￥14,432

　接入交换机 BASE-X),2个千兆 SFP 上行口(SFP Req.),交流供电) 分布县城诊所用防火墙 NS-SecPath F100-C-AC H3C SecPath F100-C 主机-交流电源(10M+4FE) 10 ￥1,760

　￥17,600

　合计 ￥70,158

推荐访问:医院 方案 网络