医院智能化计算机网络系统工程建设方案.doc

医院智能化计算机网络系统工程建设方案1.1需求分析根据昆山中西医结合的建设需求，需要建设物理完全独立的3套网络。医院内网，为满足医院日常办公需求，业务需求，及未来的网络扩容，建设一套高带宽全千兆有线+无线网络。业务外网，为满足互联网业务需要，建设一套高性能的全千兆外网。智能设备网：建设一套智能化设备网，满足IP监控、IP门禁、IP广播等智能化系统网络传输需求。高稳定性的需求：中西医结合医院信息化网络组建投入使用以后是一个要求相对稳定的环境，对网络的稳定性要求相当的高。如果万一出现网络中断的现象，很可能就会对医院业务造成损失，有一些数据可能造成丢失。所以为保证网络的稳定、可靠、高效。用户管理的需求：可对全网设备进行集中管理，时时检测设备的状态与链路状态的管理需求。能够实现全网的安全管理，包括：IP、MAC的盗用问题、防止接入用户的非法DHCP Server、Proxy等用户。对于用户的上网行为能够实现实时的跟踪以及时候的追查。安全管理的需求：由于医院 内部有许多敏感性数据，如何保障网络的安全成为建网时不得不考虑的问题。1.2设计原则1）高性能为了保障全网的高速转发，全网的组网设计的无瓶颈性，主干网为万兆以太网，采用星型的拓扑结构，并可平滑升级到万兆。同时要求核心交换能够提供强大的三层线速交换能力。并具有高性能、高带宽的特点，整网的核心交换要求能够提供无瓶颈的数据交换。2）安全性网络系统可以完成对FTP，TELNET，ARP等数据包进行的过滤。系统可对LAN进行MAC地址的过滤。系统可同时满足对多个端口进行过滤，内网通过采用虚拟局域网（VLAN）、访问控制列表等技术按需实现部门之间、应用系统之间的逻辑隔离，从而实现网络内部数据访问的安全性；通过采用防火墙、认证等技术，有效控制外部用户对内网的访问。3）可靠性全网采用容错设计，即网络设计充分考虑了系统的冗余，对于核心骨干设备做到设备冗余或者引擎冗余，电源冗余，链路冗余；对于接入层做到上连端口的备份。4）适应性 网络系统应满足并兼容所有的以太网协议，包括：1000Mbps快速以太网和10Gbps高速以太网。5）延展性网络系统应可以随着信息系统的用户规模的扩大和网络应用的不断增加而升级，具备很强的扩展功能，保证网络设备的性能随着网络规模的扩大而增加。网络良好的扩展性来自于良好的设计。在网络设计中，采用业务功能模块化和网络拓扑层次化的设计方法，使得网络架构在功能、容量、覆盖能力等各方面具有易扩展能力，以适应快速发展的业务对网络基础架构的要求，为日后的应用扩展奠定坚实的基础。6）先进性所设计的网络信息系统要具有超前性，技术选型应采用当今国际上成熟、先进的技术，同时还要考虑到今后的应用提升、广域连接、网络扩容和向新技术迁移的能力，具有万兆连接能力，从而更好的保护用户的投资利益。7）开放性与标准化本项目的网络信息系统采用开放性体系结构和标准化的协议，所有网络产品支持标准的网络与接口协议，以保证不同厂家产品的互联性和互操作性，同时保障网络的开放性。1.3网络系统设计在昆山中西医结合医院的网络整体架构设计上，为了信息的安全，网络分为管理内网、业务外网、智能设备网3个网络，进行物理隔离划分。根据上述总体设计中的思路，主要设计如下：所有网络都采用两层网络架构，接入层采用千兆到终端。管理内网及业务外网采用双核心万兆并且具有平滑扩容的能力。网络关键节点能够冗余热备保障系统连续稳定运行。具有高带宽、高可靠、高性能、高安全的特性，可靠保障医院HIS、PACS系统的稳定运行。智能设备网采用千兆接入、千兆上行。核心采用模块化高带宽核心交换机。一体化设计，实现一体化硬件、一体化管理、一体化供电。采用网络管理软件管理各网所有网络设备。1.4系统分层设计分层设计方法可为网络带来以下三个优点：A、层次性网络的可扩展性可扩展性是在交换网络连接中使用层次性设计的主要优点。层次性网络具有更多的可扩展性是因为它可以让你用模块化方式扩展网络而不会遇到非层次性网络或平面性网络很快所遇上的问题。B、层次性网络的可管理性网络简单化：通过把网络元素划分为小单元、层次化，降低了整个网络的复杂性。这种网络单元的划分使故障诊断变得清晰和简单了，同时还可以提供防止广播风暴、路由循环等其他潜在问题的内在保护机制。设计更灵活：层次化设计使得骨干网和服务接入网之间的包交换形式更具灵活性。很多网络都得益于使用混合方式来构造整个网络架构。在大多数情况下，可在骨干网部分使用专线而在区域网或本地网接入部分使用包交换服务。网络设备管理更容易；由于层次化网络结构使网络分层，相对缩小的网络区域使网络设备的邻居或对等通信端量减少，因此时网络设备的配置变得简单化。C、 网络更安全通过在骨干网络边缘设备的过滤功能，限制对核心网络数据库的访问。我们将这一网络的结构设计分为两级结构：核心层、接入层。核心层主要作用是提供高速传输和数据的访问。接入层主要完成网络流量的控制机制以使骨干网和用户接入网环境隔离开来。1.5设备选型分析1.5.1核心层设备核心交换部署在信息中心机房，负责医院数据集中和转发，同时也负责与服务器区、网络出口区之间的流量转发。因此核心交换机上还需要配置足够的端口，为各区域网络设备接入核心设备中提供接口。作为整个网络的中心枢纽，几乎80%的网络传输都由核心交换机完成，因此，核心交换机的性能也就决定着整个网络的性能。本方案建议每个网络系统在中心机房处部署高端机箱式交换机，核心交换机应当具有多个业务模块插槽，配置双电源、具备双引擎插槽，充分保证核心网络设备级的可靠性。核心交换机作为网络的核心设备，对整个系统的稳定和性能起着至关重要的作用。建议核心交换机应当具有如下特点：采用先进的CLOS多级多平面交换架构，采用控制引擎和处理引擎相分离，具有多个独交换功能板卡插槽，能提供冗余的交换功能板卡，的可以提供持续的带宽升级能力，支持40GE和100GE以太网标准，本次要求配置核心交换机配置40G以太网光接口板用与2台超万兆核心交换机之间40G互联，实现全网骨干核心的无阻赛交换。核心交换机应该是高性能模块化交换机，支持模块化插槽至少10块以上，插槽采用有力利设备散热和抗压能力的设计。核心设备应当支持虚拟化堆叠技术。能将多台物理设备虚拟化为一台逻辑设备，虚拟组内可以实现一致的转发表项，统一的管理，跨物理设备的链路聚合；核心交换机应当具备多业务能力。支持MPLS VPN、IPv6、应用安全、应用控制网关，功能模块，无线等多种网络业务，提供不间断转发、不间断升级、优雅重启、环网保护等多种高可靠技术，在提高用户生产效率的同时，保证了网络最大正常运行时间，从而降低了客户的总拥有成本（TCO）。在业务特性方面。核心交换机支持丰富的QoS特性，可保障重要业务得到优先转发；支持IPv6，可平稳过渡到下一代网络；并且支持内置、内置无线控制器、负载均衡、应用控制、流量清洗等多种业务功能插卡，可以进行灵活的部署，实现业务的扩展和融合。在安全性方面，核心交换机应采用“最长匹配、逐包转发”模式，能够抵御网络病毒的攻击；支持OSPF、RIPv2 及BGPv4 报文的明文及MD5密文认证；支持IP、VLAN 、MAC和端口等多种组合绑定方式，防范地址盗用；支持广播报文抑制，有效控制ARP等非法广播流量对设备造成冲击；支持URPF，防止IP地址欺骗；支持报文安全过滤，防止非法侵入和恶意报文攻击等。既能保障自身的运行安全，也能通过一些安全机制保障所承载业务的安全。两台核心交换机之间通过一对40G接口进行互联，构成了虚拟化弹性智能组，实现两台核心交换机虚拟化成为一台交换机的目的。这样整个局域网就避免了生成树（STP）的问题，同时由于2台核心交换机构成了虚拟组组，任何设备分别接入两台核心交换机上就像接入到同一台设备上，因此如果是二层的双链路链接则两条链路可以同时工作，完全避免二层的STP问题，使得带宽大大增加。对于三层的双链路则两台在路由的COST值就完全按照一台进行计算。而且两台构成虚拟组的核心交换机在管理方面完全是按照1台设备进行管理。这样即简化了核心交换设备、网络的管理难度，同时也大大提高了核心网络的网络带宽。为了提高整个核心的高可靠性，核心交换机的控制部分和交换部分应该分离，因此核心交换机应具备独立的交换网板，在本系统中配置了独立、冗余的交换网板。同时。单台核心设备的可靠性，配置双电源，在十万兆核心交换机上不建议配置复杂的协议，只需要启动三层路由协议即可。通过2对40G超万兆接口互联链路，配置两台核心交换机实现虚拟化，两台核心交换机实现虚拟化后有居多优势。3.5.2接入层设备楼层接入区主要是负责楼层内的信息点互联起来，为各个信息点提供layer2层接入功能。主要完成以下功能：接入网作为用户终端接入的唯一接口，在为用户终端提供高速、方便的网络接入服务的同时，为网络终端提供千兆接入能力。在安全性方面需要对用户终端进行入网认证，访问权限控制，从而拒绝非法用户使用网络，保证合法用户合理使用网络资源，并有效防止和控制病毒传播和网络攻击，在外网中，还承担这给无线AP提供稳定的POE供电功能；通过VLAN定义实现业务划分；支持801.1P、端口优先级、IP TOS、二到七层流过滤等QoS策略，具备MAC流、IP流、应用流等多层流分类和流控制能力，实现带宽控制、转发优先级等多种流策略；支持IGMP Snooping v1/v2/v3 ，并且支持IGMP组播源端口检查功能，可限定交换机哪些端口可以有组播源信息的播放，从而避免非法组播挤占网络带宽、扰乱计算机网络系统的正常运行；支持内在的多种安全机制，有效防止和控制病毒传播和网络流量攻击，控制非法用户使用计算机网络系统资源，保证合法用户合理化使用计算机网络系统资源，如端口安全、端口隔离、专家级ACL、时间ACL、端口ARP报文合法性检查、基于数据流的带宽限速、六元素绑定等，满足计算机网络系统加强对访问者进行控制、限制非授权用户通信的需求；支持提供加密传输的SSH（Secure Shell），保证管理设备信息的安全性，防止黑客攻击和控制设备。支持SNMP V1/V2，可以通过SNMP远程对设备进行管理。1.6组网方案设计本次中西医结合医院网络解决方案总体设计以高性能、高可靠性、高安全性、良好的可扩展性、可管理性和统一的网管系统为原则，以及考虑到技术的先进性、成熟性，并采用模块化的设计方法。1.6.1管理内网内网主要保障医院内部办公及各项业务功能的网络承载。采用2台高带宽双核心作为承载整个网络平台的核心设备，通过在核心设备上部署IRF2技术，把两台核心设备虚拟为一台统一的逻辑设备，代替传统网络中核心设备的VRRP技术，原有的一主一备的设备只有在主设备发生故障时，才接替主设备承担起核心转发的任务。使用IRF2技术，两台设备在网络中同时工作，大大提高设备的使用效率。从接入到核心，全网采用万兆多模光缆，充分保证的网络的可靠性，减少单点故障给网络带来的损失。接入交换机选用全千兆交换机，万光纤接入核心，千兆到桌面,根据楼层网络点位数量设置为相应24口交换机及48口交换机。全网部署智能管理中心对网络进行统一的管理。1.6.2业务外网外网主要提供医院的对外业务服务功能。采用2台高带宽双核心作为承载整个网络平台的核心设备，通过在核心设备上部署IRF2技术，把两台核心设备虚拟为一台统一的逻辑设备，代替传统网络中核心设备的VRRP技术，原有的一主一备的设备只有在主设备发生故障时，才接替主设备承担起核心转发的任务。使用IRF2技术，两台设备在网络中同时工作，大大提高设备的使用效率。从接入到核心，全网采用千兆多模光缆，充分保证的网络的可靠性，减少单点故障给网络带来的损失。接入交换机选用全千兆交换机，千兆光纤接入核心，千兆到桌面,根据楼层网络点位数量设置为相应24口交换机及48口交换机。全网部署智能管理中心对网络进行统一的管理。1.6.3智能化网采用1台高带宽核心交换机作为承载整个网络平台的核心设备。核心交换机采用双引擎双电源技术，最大限度提高核心交换系统的稳定性，大大提高设备的使用效率，能够支持全楼智能系统的稳定运行。从接入到核心，全网采用双链路冗余设计，充分保证的网络的可靠性，减少单点故障给网络带来的损失。接入交换机选用全千兆交换机，千兆光纤接入核心，千兆到终端设备，根据摄像机、门禁、广播等智能系统的点位设置，每层设置相应数量24口、48口千兆交换机。全网部署智能管理中心对网络进行管理。1.7无线建设方案本次昆山中西医结合医院无线WIFI网络采用先进的基于智能无线交换架构的整体解决方案。可满足医院无线查房、无线护理等业务功能。整个无线网络系统建设需要覆盖整个医院各业务区域。在医院大楼内,每层根据使用功能部署相应AP数量。无线网络系统部署的无线AP都是支持最新无线传输技术801.11ac协议，提供理论上1.5G传输带宽。为建设高可靠、高性能的无线网络系统，此次室内无线AP采用POE供电，通过在每层楼部署千兆POE交换机，为无线AP提供千兆接入的同时，还能通过以太网线对无线AP供电。本无线系统采用瘦AP（FIT）+无线控制器部署方案。无线控制器部联接核心交换机，实现整个无线网络系统的高可靠性。在医院的无线网络建设中我们对接入的用户能实现认证，系统支持801.x和Portal认证。未认证用户上网时，设备强制用户登录到特定站点，用户可以免费访问其中的服务。当用户需要使用网络中的其它信息时，必须在门户网站进行认证，只有认证通过后才可以使用网络资源。这样可以对接入用户的身份进行认证，保证了无关或者非法的用户接入进网络。FIT AP（瘦AP）组网最大的优点在于AP本身零配置，AP上电后会自动从无线控制器下载软件版本和配置文件，同时无线控制器会自动调节AP的工作信道以及发射功率。另外，通过无线控制器的RF扫描探测热点地区Rouge AP，可以及时排除其他AP存在的干扰，保障AP的稳定运行。在网络管理方面，网管可以只通过管理无线控制器设备就可以达到控制AP的效果，极大的减少了无线网络后期维护和管理的工作量。使用无线控制器+FIT AP时，AP在启动后会自动通过DHCP方式获取IP地址，并自动搜寻可关联的无线控制器，在和无线控制器建立CAPWAP隧道之后会自动从无线控制器下载配置文件和更新软件版本。在AP的接入方面，采用智能射频管理，当某一个AP出现故障时，周围的其他AP会自动调整功率，对该部分区域进行重新的信号覆盖，保证信号的良好覆盖。而当有非法AP进入无线网络造成信号干扰时，智能射频管理系统可以定位出该AP的位置，以便及时加以排除。1.8网络安全设计1.8.1网络防火墙部署网络系统建设不但要考虑系统整体可靠性，对于网络系统整体安全性也成为系统建设重要考虑点。本设计方案在核心交换机上层部署防火墙安全设备，来提高整个网络系统安全性能。防火墙能将内网与不安全的外部网络环境隔离开。防火墙具有能三层到四层的防护功能。网络层防火墙可视为一种 IP 封包过滤器，运作在底层的 TCP/IP 协议堆栈上。我们可以以枚举的方式，只允许符合特定规则的封包通过，其余的一概禁止穿越防火墙。这些规则通常可以经由管理员定义或修改。应用层防火墙是在 TCP/IP 堆栈的“应用层”上运作，您使用浏览器时所产生的数据流或是使用 FTP 时的数据流都是属于这一层。应用层防火墙可以拦截进出某应用程序的所有封包，并且封锁其他的封包(通常是直接将封包丢弃)。理论上，防火墙四层防护可以完全阻绝外部的数据流进到受保护的机器里。 防火墙借由监测所有的封包并找出不符规则的内容，可以防范电脑蠕虫或是木马程序的快速蔓延。防火墙支持外部攻击防范、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤等功能，能够有效的保证网络的安全。防火墙可对连接状态过程和异常命令进行检测；提供多种智能分析和管理手段，支持邮件告警，支持多种日志，提供网络管理监控，协助网络管理员完成网络的安全管理；支持多种VPN业务，如GRE VPN 、IPSec VPN、L2TP VPN及SSL VPN等，可以构建多种形式的VPN；提供基本的路由能力，支持RIP/OSPF/BGP/路由策略及策略路由；支持丰富的QoS特性。在防火墙上我们推荐部署如下安全控制策略：防火墙设置为默认拒绝工作方式，保证所有的数据包，如果没有明确的规则允许通过，全部拒绝以保证安全；建议在两台防火墙上设定严格的访问控制规则，配置只有规则允许的IP地址或者用户能够访问数据中心中的指定的资源，严格限制网络用户对服务器的资源，以避免网络用户可能会对服务器的攻击、非授权访问以及病毒的传播，保护服务器中的核心数据信息资产；配置防火墙防DOS/DDOS功能，对Land、Smurf、Fraggle、Ping of Death、Tear Drop、SYN Flood、ICMP Flood、UDP Flood等拒绝服务攻击进行防范，可以实现对各种拒绝服务攻击的有效防范，保证网络带宽；配置防火墙全面攻击防范能力，包括ARP欺骗攻击的防范，提供ARP主动反向查询、TCP报文标志位不合法攻击防范、超大ICMP报文攻击防范、地址/端口扫描的防范、ICMP重定向或不可达报文控制功能、Tracert报文控制功能、带路由记录选项IP报文控制功能等，全面防范各种网络层的攻击行为；根据需要，配置IP/MAC绑定功能，对能够识别MAC地址的主机进行链路层控制，实现只有IP/MAC匹配的用户才能访问数据中心的服务器；其他可选策略：可以启动防火墙身份认证功能，通过内置数据库或者标准Radius属性认证，实现对用户身份认证后进行资源访问的授权，进行更细粒度的用户识别和控制；根据需要，在防火墙上设置流量控制规则，实现对服务器访问流量的有效管理，有效的避免网络带宽的浪费和滥用，保护关键服务器的网络带宽；根据应用和管理的需要，设置有效工作时间段规则，实现基于时间的访问控制，可以组合时间特性，实现更加灵活的访问控制能力；在防火墙上进行设置告警策略，利用灵活多样的告警响应手段（E-mail、日志、SNMP 陷阱等），实现攻击行为的告警，有效监控网络应用；启动防火墙日志功能，利用防火墙的日志记录能力，详细完整的记录日志和统计报表等资料，实现对网络访问行为的有效的记录和统计分析。1.8.2IPS部署今天，各种蠕虫、间谍软件、网络钓鱼等应用层威胁和EMAIL、移动代码结合，形成复合型威胁，使威胁更加危险和难以抵御。这些威胁直接攻击服务器和应用，给业务带来了重大损失；攻击终端用户计算机，给用户带来信息风险甚至财产损失；对网络基础设施进行DoS/DDoS攻击，造成基础设施的瘫痪；更有甚者，像电驴、BT等P2P应用和MSN、QQ等即时通信软件的普及，宝贵的带宽资源被业务无关流量浪费，形成巨大的资源损失。入侵防护系统 (IPS) 倾向于提供主动防护，其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截，避免其造成损失，而不是简单地在恶意流量传送时或传送后才发出警报。IPS是通过直接嵌入到网络流量中实现这一功能的，即通过一个网络端口接收来自外部系统的流量，经过检查确认其中不包含异常活动或可疑内容后，再通过另外一个端口将它传送到内部系统中。这样一来，有问题的数据包，以及所有来自同一数据流的后续数据包，都能在 IPS 设备中被清除掉。IPS可以针对应用流量做深度分析与检测能力，同时配合以精心研究的攻击特征知识库和用户规则，即可以有效检测并实时阻断隐藏在海量网络流量中的病毒、攻击与滥用行为，也可以对分布在网络中的各种流量进行有效管理，从而达到对网络上应用的保护、网络基础设施的保护和网络性能的保护。1.8.3端口安全及绑定技术端口安全（Port Security）是一种对网络接入进行控制的安全机制，是对已有的801.1x认证和MAC地址认证的扩充。Port Security的主要功能就是通过定义各种安全模式，让设备学习到合法的源MAC地址，以达到相应的网络管理效果。对于不能通过安全模式学习到源MAC地址的报文，将被视为非法报文；对于不能通过801.1x认证的事件，将被视为非法事件。当发现非法报文或非法事件后，系统将触发相应特性，并按照预先指定的方式自动进行处理，减少了用户的维护工作量，极大地提高了系统的安全性和可管理性。端口安全的特性包括：NTK：NTK（Need To Know）特性通过检测从端口发出的数据帧的目的MAC地址，保证数据帧只能被发送到已经通过认证的设备上，从而防止非法设备窃听网络数据。Intrusion Protection：该特性通过检测端口接收到的数据帧的源MAC地址或801.1x认证的用户名、密码，发现非法报文或非法事件，并采取相应的动作，包括暂时断开端口连接、永久断开端口连接或是过滤此MAC地址的报文，保证了端口的安全性。Device Tracking：该特性是指当端口有特定的数据包（由非法入侵，用户不正常上下线等原因引起）传送时，设备将会发送Trap信息，便于网络管理员对这些特殊的行为进行监控。通过端口绑定特性，网络管理员可以将合法用户的MAC地址和IP地址绑定到指定的端口上。进行绑定操作后，只有指定MAC地址或IP地址的用户发出的报文才能通过该端口转发，提高了系统的安全性，增强了对网络安全的监控。本次项目中所采用的所有交换机均具有端口安全和端口绑定特性，可以限制所接入电脑所使用的IP、MAC和端口，以解决静态IP地址冲突和IP地址欺骗的问题。1.8.4交换机防ARP欺骗攻击技术优势ARP欺骗攻击的危害性当您的计算机网络连接正常，却无法打开网页；当您的计算机网络出现频繁断线，同时网速变得非常慢。这些都可能是由于存在ARP欺骗攻击及ARP中毒，所表现出来的网络故障情况。ARP欺骗攻击不仅导致联网不稳定，极大影响网络的正常运行，更严重的是利用ARP欺骗攻击可进一步实施中间人攻击。如果局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和网关，让所有网络流量都经过攻击者主机进行转发，攻击者通过截获的信息可得到游戏、网银、文件服务等系统的用户名和口令，这种攻击行为就称为中间人攻击。由此可见，中间人攻击是一种非常恶劣的网络恶意攻击行为。ARP欺骗攻击的原理局域网上的一台主机，如果接收到一个ARP报文，即使该报文不是该主机所发送的ARP请求的应答报文，该主机也会将ARP报文中的发送者的MAC地址和IP地址更新或加入到ARP表中。ARP欺骗攻击就利用了这点，攻击者主动发送ARP报文，发送者的MAC地址为攻击者主机的MAC地址，发送者的IP地址为被攻击主机的IP地址。通过不断发送这些伪造的ARP报文，让局域网上所有的主机和网关ARP表，其对应的MAC地址均为攻击者的MAC地址，这样所有的网络流量都会发送给攻击者主机。由于ARP欺骗攻击导致了主机和网关的ARP表的不正确，这种情况我们也称为ARP中毒。由于ARP中毒后，所有的流量都需要经过攻击者进行转发。如果攻击者具有转发能力，在攻击开始和攻击结束是都会引发一次网络中断，攻击过程中网络速度变慢，网速变慢原因跟发送大量的ARP流量消耗了带宽以及其本身处理能力有限有很大关系；如果攻击者不具有转发能力，网络出现传输中断，直到攻击停止及ARP表恢复正常。ARP欺骗攻击防御由于ARP欺骗攻击，利用了ARP协议的设计缺陷，光靠包过滤、IPMAC端口绑定等传统办法是比较难解决的。通过对ARP欺骗攻击原理的剖析，如果要防御该类型攻击，最理想的办法是在接入层对ARP报文进行内容有效性检查，对于没有通过检查的报文进行丢弃处理。在接入层交换机上采取的这种技术，我们称为ARP入侵检测，此技术可以在访问层区域部署。另外由于ARP欺骗攻击，经常伴随者发送大量的ARP报文，消耗网络带宽资源和交换机CPU资源，造成网络速度的速度降低。因此接入交换机还需要部署ARP报文限速，对每个端口单位时间内接收到的ARP报文进行限制，很好地保障了网络带宽资源和交换机CPU资源。1.8.5 DHCP安全保护在本次工程中，有可能会用到DHCP服务器，为接入电脑进行动态的地址分配。为了避免非法的DHCP的开设和接入，对系统产生影响，建议在交换机上启用DHCP Snooping特性。在配置DHCP服务器后，为了提高DHCP服务的安全性，需要配置DHCP服务的安全功能。DHCP Snooping是DHCP的一种安全特性，具有如下功能：记录DHCP客户端IP地址与MAC地址的对应关系； 出于安全性的考虑，网络管理员可能需要记录用户上网时所用的IP地址，确认用户从DHCP服务器获取的IP地址和用户主机MAC地址的对应关系。DHCP Snooping可以实现该功能。DHCP Snooping通过监听DHCP-REQUEST和信任端口收到的DHCP-ACK广播报文，记录DHCP客户端的MAC地址以及获取到的IP地址。管理员可以通过display dhcp-snooping命令查看DHCP客户端获取的IP地址信息。保证客户端从合法的服务器获取IP地址。在网络中如果有私自架设的DHCP服务器，则可能导致用户得到错误的IP地址。为了使用户能通过合法的DHCP服务器获取IP地址，DHCP Snooping安全机制允许将端口设置为信任端口和不信任端口：信任端口是与合法的DHCP服务器直接或间接连接的端口。信任端口对接收到的DHCP报文正常转发，从而保证了DHCP客户端获取正确的IP地址。不信任端口是不与合法的DHCP服务器连接的端口。如果从不信任端口接收到DHCP服务器响应的DHCP-ACK和DHCP-OFFER报文则会丢弃，从而防止了DHCP客户端获得错误的IP地址。交换机一旦启用DHCP Snooping功能，端口默认为DHCP Snooping untrust 。建议所有的接入交换机均启用此功能，并将连接DHCP服务器的端口设为DHCP Snooping trust。1.8.6IP Source Guard 本项目中所采用的交换机均支持IP Source Guard功能，可以解决解决伪造IP源地址攻击的问题。通过IP Source Guard绑定功能，可以对端口转发的报文进行过滤控制，防止非法IP地址和MAC地址的报文通过端口，提高了端口的安全性。端口接收到报文后查找IP Source Guard绑定表项，如果报文中的特征项与绑定表项中记录的特征项匹配，则端口转发该报文，否则做丢弃处理。1.8.7URPFURPF通过获取报文的源地址和入接口，以源地址为目的地址，在转发表中查找源地址对应的接口是否与入接口匹配，如果不匹配，认为源地址是伪装的，丢弃该报文。通过这种方式，URPF就能有效地防范网络中通过修改源地址而进行的恶意攻击行为的发生。通过URPF，可以防止基于源地址欺骗的网络攻击行为。本项目中所采用的交换机支持URPF功能，可以解决解决伪造IP源地址攻击的问题。1.8.8ARP报文限速工程中所采用的交换机支持端口ARP报文限速功能，使受到攻击的端口暂时关闭，来避免此类攻击对CPU的冲击。开启某个端口的ARP报文限速功能后，交换机对每秒内该端口接收的ARP报文数量进行统计，如果每秒收到的ARP报文数量超过设定值，则认为该端口处于超速状态（即受到ARP报文攻击）。此时，交换机将关闭该端口，使其不再接收任何报文，从而避免大量ARP报文攻击设备。同时，设备支持配置端口状态自动恢复功能，对于配置了ARP限速功能的端口，在其因超速而被交换机关闭后，经过一段时间可以自动恢复为开启状态。1.8.9对流量和连接数的攻击的防范当前的攻击工具、木马、蠕虫和病毒通过泛洪扩散或病毒感染等方式堵塞网络有效带宽，以及发起大量连接堵塞出口的攻击。在本项目中所采用的交换机采用最长匹配、逐包转发的技术，同时，对CPU具有相应的保护技术，可有效的防止网络流量增大导致交换机负载增加。同时，本项目中，核心交换机内置Sflow特性，配合配置的流量分析管理系统，提供网络流量信息统计和分析功能，能够及时了解各种网络应用占用的网络带宽，各种业务消耗的网络资源和网络应用中TopN流量的来源，可以帮助网络管理员及时发现网络瓶颈，防范网络病毒的攻击，并提供丰富的网络流量分析报表。1.8.10对网络设备的安全管理建议通过以下措施，加强对网络设备的安全保护，保证网络稳定的运行。分级设置用户口令登录口令分为4级：参观级、监控级、配置级、管理级，不同的级别所能做的操作都不相同。参观级：网络诊断工具命令（ping、tracert）、从本设备出发访问外部设备的命令（包括：Telnet客户端、SSH客户端、RLOGIN）等，该级别命令不允许进行配置文件保存的操作。监控级：用于系统维护、业务故障诊断等，包括display、debugging命令，该级别命令不允许进行配置文件保存的操作。配置级：业务配置命令，包括路由、各个网络层次的命令，这些用于向用户提供直接网络服务。管理级：关系到系统基本运行，系统支撑模块的命令，这些命令对业务提供支撑作用，包括文件系统、FTP、TFTP、Xmodem下载、配置文件切换命令、电源控制命令、备板控制命令、用户管理命令、级别设置命令、系统内部参数设置命令（非协议规定、非RFC规定）等。建议分级设置登录口令，以便于对于不同的维护人员提供不同的口令。对任何方式的用户登录都进行认证建议对于各种登录设备的方式（通过TELNET、CONSOLE口、AUX口）都进行认证。在默认的情况下，CONSOLE口不进行认证，在使用时建议对于CONSOLE口登录配置上认证。对于安全级别一般的设备，建议认证方式采用本地认证，认证的时候要求对用户名和密码都进行认证，配置密码的时候要采用密文方式。用户名和密码要求足够的强壮。对于安全级别比较高的设备，建议采用AAA方式到RADIUS或TACACS+服务器去认证。H3C交换机支持RADIUS和TACACS+认证协议。关闭危险的服务如果在设备上不使用以下服务的时候，建议将这些服务关闭，防止那些通过这些服务的攻击对设备的影响。禁止HDP(Huawei Discovery Protocol)；禁止其他的TCP、UDP Small服务。路由器提供一些基于TCP和UDP协议的小服务如：echo、chargen和discard。这些小服务很少被使用，而且容易被攻击者利用来越过包过滤机制；禁止Finger、NTP服务。Finger服务可能被攻击者利用查找用户和口令攻击。NTP不是十分危险的，但是如果没有一个很好的认证，则会影响路由器正确时间，导致日志和其他任务出错；建议禁止HTTP服务。路由器操作系统支持Http协议进行远端配置和监视，而针对Http的认证就相当于在网络上发送明文且对于Http没有有效的基于挑战或一次性的口令保护，这使得用Http进行管理相当危险；禁止ICMP协议的IP Unreachables,Redirects,MaskReplies；如果没必要则禁止WINS和DNS服务；禁止从网络启动和自动从网络下载初始配置文件；禁止FTP服务，网络上存在大量的FTP服务，使用不同的用户名和密码进行尝试登录设备，一旦成功登录，就可以对设备的文件系统操作，十分危险。使用SNMP协议时候的安全建议在不使用网管的时候，建议关闭SNMP协议。出于SNMPv1/v2协议自身不安全性的考虑，建议尽量使用SNMPv3，除非网管不支持SNMPv3，只能用SNMPv1/v2。在配置SNMPv3时，最好既鉴别又加密，以更有效地加强安全。鉴别协议可通过MD5或SHA，加密协议可通过DES。在SNMP服务中，提供了ACL过滤机制，该机制适用于SNMPv1/v2/v3三个版本，建议通过访问控制列表来限制SNMP的客户端。SNMP服务还提供了视图控制，可用于SNMPv1/v2/v3。建议使用视图来限制用户的访问权限。在配置SNMPv1/v2的community名字时，建议避免使用public、private这样公用的名字。并且在配置community时，将RO和RW的community分开，不要配置成相同的名字。如果不需要RW的权限，则建议不要配置RW的community。保持系统日志的打开H3C交换机的系统日志会记录设备的运行信息，维护人员做了哪些操作，执行了哪些命令。系统日志建议一直打开，以便于网络异常的时候，查找相关的记录，并能提供以下几种系统信息的记录功能:access-list的log功能：在配置access-list时加入log关键字，可以在交换机处理相应的报文时，记录报文的关键信息；关键事件的日志记录：对于如接口的UP、DOWN以及用户登录成功、失败等信息可以作记录；Debug信息：用来对网络运行出现的问题进行分析。1.9业务功能支撑及存储核心数据库应用：考量节能环保、未来可灵活扩展及营运维护成本等因素，主要数据库应用建议运行于5台高配高性能平台服务器。为了让医院的HIS系统能够稳定运行，需要采用虚拟化的方式，采用2台高配置服务器，构建可灵活扩展的虚拟化平台，并提供更多的虚拟资源，提高整体资源的利用率。医院PACS采用1台高配服务器，其余系统采用1台高配服务器。1.10主要设备介绍1.10.1内网核心交换机技术参数：属 性S7506E交换容量16.36Tbps/25.6TbpsIPv4包转发率2880Mpps/ 12000Mpps槽位数量8业务槽位数量6二层特性支持IEEE 801.1P(CoS优先级)支持IEEE 801.1Q（VLAN）支持IEEE 801.1d（STP）/801.1w（RSTP）/801.1s（MSTP）支持IEEE 801.1ad（QinQ），灵活QinQ和Vlan mapping支持IEEE 801.3x（全双工流控）和背压式流控（半双工）支持IEEE 801.3ad（链路聚合）和跨板链路聚合支持IEEE 801.3（10Base-T）/801.3u（100Base-T）支持IEEE 801.3z（1000BASE-X）/801.3ab（1000BaseT）支持IEEE 801.3ae（10Gbase）支持IEEE 801.3af（PoE）支持IEEE 801.3at（PoE+）支持RRPP（快速环网保护协议）支持跨板端口/流镜像支持端口广播/多播/未知单播风暴抑制支持Jumbo Frame支持基于端口、协议、子网和MAC的VLAN划分支持SuperVLAN支持PVLAN支持Multicast VLAN+支持点到点 单VLAN交叉连接、双VLAN交叉连接全部依靠VLAN-ID进行转发，不涉及MAC地址学习支持最大VLAN MAPING/灵活QinQ表项全面支持VLAN MAPPING能力支持GVRP支持LLDPIPv4路由特性支持ARP Proxy支持DHCP Relay支持DHCP Server支持静态路由支持RIPv1/v2支持OSPFv2支持IS-IS支持BGPv4支持OSPF/IS-IS/BGP GR (Graceful Restart优雅重启)支持等价路由支持策略路由