【文章內(nèi)容簡(jiǎn)介】 器進(jìn)行整合。特別是一些大型企業(yè)，建立企業(yè)數(shù)據(jù)中心，購(gòu)買(mǎi)高性能的主機(jī)，對(duì)數(shù)據(jù)集中管理，已成為一種潮流。iMed_HER電子健康檔案信息系統(tǒng)的網(wǎng)絡(luò)服務(wù)器部署推薦集中式。 采用B\S架構(gòu)部署iMed_HER電子健康檔案信息系統(tǒng)采用B\S架構(gòu)，B\S結(jié)構(gòu)（Browser/Server，瀏覽器/服務(wù)器模式），是WEB興起后的一種網(wǎng)絡(luò)結(jié)構(gòu)模式，WEB瀏覽器是客戶(hù)端最主要的應(yīng)用軟件。這種模式統(tǒng)一了客戶(hù)端，將系統(tǒng)功能實(shí)現(xiàn)的核心部分集中到服務(wù)器上，簡(jiǎn)化了系統(tǒng)的開(kāi)發(fā)、維護(hù)和使用?？蛻?hù)機(jī)上只要安裝一個(gè)瀏覽器（Browser），如Netscape Navigator或Internet Explorer，服務(wù)器安裝Oracle、Sybase、Informix或 SQL Server等數(shù)據(jù)庫(kù)。瀏覽器通過(guò)Web Server 同數(shù)據(jù)庫(kù)進(jìn)行數(shù)據(jù)交互。B\S架構(gòu)大大簡(jiǎn)化了客戶(hù)端的安裝操作 網(wǎng)絡(luò)安全技術(shù)部署基于 VLAN的端口隔離交換機(jī)可以由硬件實(shí)現(xiàn)相同 VLAN 中的兩個(gè)端口互相隔離。隔離后這兩個(gè)端口在本設(shè)備內(nèi)不能實(shí)現(xiàn)二、三層互通。當(dāng)相同 VLAN 中的服務(wù)器之間完全沒(méi)有互訪(fǎng)要求時(shí)，可以設(shè)置各自連接的端口為隔離端口。這樣可以更好的保證相同安全區(qū)域內(nèi)的服務(wù)器之間的安全。STP Root/BPDU Guard基于 Root/BPDU Guard(Root/Bridge Protocol Data Unit Guard)方式的二層連接保護(hù)保證 STP/RSTP(Spanning Tree Protocol/ Rapid Spanning Tree Protocol)穩(wěn)定,防止攻擊,保障可靠的二層連接?；贐PDU Guard 對(duì)于接入層設(shè)備，接入端口一般直接與用戶(hù)終端（如 PC 機(jī)）或文件服務(wù)器相連，此時(shí)接入端口被設(shè)置為邊緣端口以實(shí)現(xiàn)這些端口的快速遷移；當(dāng)這些端口接受到配置消息（BPDU 報(bào)文）時(shí)系統(tǒng)會(huì)自動(dòng)將這些端口設(shè)置為非邊緣端口，重新計(jì)算生成樹(shù)，引起網(wǎng)絡(luò)拓?fù)涞恼鹗帯＿@些端口正常情況下應(yīng)該不會(huì)收到生成樹(shù)協(xié)議的配置消息的。如果有人偽造配置消息惡意攻擊交換機(jī)，就會(huì)引起網(wǎng)絡(luò)震蕩。BPDU保護(hù)功能可以防止這種網(wǎng)絡(luò)攻擊。 交換機(jī)上啟動(dòng)了 BPDU 保護(hù)功能以后，如果邊緣端口收到了配置消息，系統(tǒng)就將這些端口 shutdown，同時(shí)通知網(wǎng)管。被 shutdown 的端口只能由網(wǎng)絡(luò)管理人員恢復(fù)。推薦用戶(hù)在配置了邊緣端口的交換機(jī)上配置 BPDU 保護(hù)功能?；赗OOT Guard 由于維護(hù)人員的錯(cuò)誤配置或網(wǎng)絡(luò)中的惡意攻擊，網(wǎng)絡(luò)中的合法根交換機(jī)有可能會(huì)收到優(yōu)先級(jí)更高的配置消息，這樣當(dāng)前根交換機(jī)會(huì)失去根交換機(jī)的地位，引起網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的錯(cuò)誤變動(dòng)。這種不合法的變動(dòng)，會(huì)導(dǎo)致原來(lái)應(yīng)該通過(guò)高速鏈路的流量被牽引到低速鏈路上，導(dǎo)致網(wǎng)絡(luò)擁塞。Root 保護(hù)功能可以防止這種情況的發(fā)生。對(duì)于設(shè)置了 Root 保護(hù)功能的端口，端口角色只能保持為指定端口。一旦這種端口上收到了優(yōu)先級(jí)高的配置消息，即其將被選擇為非指定端口時(shí)，這些端口的狀態(tài)將被設(shè)置為偵聽(tīng)狀態(tài)，不再轉(zhuǎn)發(fā)報(bào)文（相當(dāng)于將此端口相連的鏈路斷開(kāi)）。當(dāng)在足夠長(zhǎng)的時(shí)間內(nèi)沒(méi)有收到更優(yōu)的配置消息時(shí)，端口會(huì)恢復(fù)原來(lái)的正常狀態(tài)。端口安全端口安全（Port Security）的主要功能就是通過(guò)定義各種安全模式，讓設(shè)備學(xué)習(xí)到合法的源 MAC 地址，以達(dá)到相應(yīng)的網(wǎng)絡(luò)管理效果。對(duì)于不能通過(guò)安全模式學(xué)習(xí)到源 MAC 地址的報(bào)文或 認(rèn)證失敗的設(shè)備，當(dāng)發(fā)現(xiàn)非法報(bào)文后，系統(tǒng)將觸發(fā)相應(yīng)特性，并按照預(yù)先指定的方式自動(dòng)進(jìn)行處理，減少了用戶(hù)的維護(hù)工作量，極大地提高了系統(tǒng)的安全性和可管理性。端口安全的特性包括： NTK：NTK（Need To Know）特性通過(guò)檢測(cè)從端口發(fā)出的數(shù)據(jù)幀的目的 MAC 地址，保證數(shù)據(jù)幀只能被發(fā)送到已經(jīng)通過(guò)認(rèn)證的設(shè)備上，從而防止非法設(shè)備竊聽(tīng)網(wǎng)絡(luò)數(shù)據(jù)。Intrusion Protection：該特性通過(guò)檢測(cè)端口接收到的數(shù)據(jù)幀的源 MAC 地址或 認(rèn)證的用戶(hù)名、密碼，發(fā)現(xiàn)非法報(bào)文或非法事件，并采取相應(yīng)的動(dòng)作，包括暫時(shí)斷開(kāi)端口連接、永久斷開(kāi)端口連接或是過(guò)濾此 MAC 地址的報(bào)文，保證了端口的安全性。Device Tracking：該特性是指當(dāng)端口有特定的數(shù)據(jù)包（由非法入侵，用戶(hù)不正常上下線(xiàn)等原因引起）傳送時(shí)，設(shè)備將會(huì)發(fā)送 Trap 信息，便于網(wǎng)絡(luò)管理員對(duì)這些特殊的行為進(jìn)行監(jiān)控。防IP偽裝病毒和非法用戶(hù)很多情況會(huì)偽裝 IP 來(lái)實(shí)現(xiàn)攻擊。偽裝 IP 有三個(gè)用處：216。 本身就是攻擊的直接功能體。比如 smurf攻擊。 216。 麻痹網(wǎng)絡(luò)中的安全設(shè)施。比如繞過(guò)利用源 IP 做的接入控制。 216。 隱藏攻擊源 設(shè)備防止 IP 偽裝的關(guān)鍵在于如何判定設(shè)備接收到的報(bào)文的源 IP 是經(jīng)過(guò)偽裝的。這種判定的方式有三種。分別在內(nèi)網(wǎng)和內(nèi)外網(wǎng)的邊界使用。在Internet出口處過(guò)濾RFC3330和RFC1918所描述的不可能在內(nèi)外網(wǎng)之間互訪(fǎng)的 IP 地址。利用 IP和 MAC的綁定關(guān)系網(wǎng)關(guān)防御，利用 DHCP relay 特性，網(wǎng)關(guān)可以形成本網(wǎng)段下主機(jī)的 IP、MAC 映射表。當(dāng)網(wǎng)關(guān)收到一個(gè) ARP 報(bào)文時(shí)，會(huì)先在映射表中查找是否匹配現(xiàn)有的映射關(guān)系。如果找到則正常學(xué)習(xí)，否則不學(xué)習(xí)該 ARP。這樣偽裝 IP 的設(shè)備沒(méi)有辦法進(jìn)行正常的跨網(wǎng)段通信。利用 IP和 MAC的綁定關(guān)系網(wǎng)關(guān)防御 利用 DHCP relay 特性，網(wǎng)關(guān)可以形成本網(wǎng)段下主機(jī)的 IP、MAC 映射表。當(dāng)網(wǎng)關(guān)收到一個(gè) ARP 報(bào)文時(shí)，會(huì)先在映射表中查找是否匹配現(xiàn)有的映射關(guān)系。如果找到則正常學(xué)習(xí)，否則不學(xué)習(xí)該 ARP。這樣偽裝 IP 的設(shè)備沒(méi)有辦法進(jìn)行正常的跨網(wǎng)段通信。接入設(shè)備防御，利用 DHCP SNOOPING 特性，接入設(shè)備通過(guò)監(jiān)控其端口接收到的 DHCP request、ACK、release 報(bào)文，也可以形成一張端口下 IP、MAC 的映射表。設(shè)備可以根據(jù) IP、MAC、端口的對(duì)應(yīng)關(guān)系，下發(fā) ACL 規(guī)則限制從該端口通過(guò)的報(bào)文源 IP 必須為其從DHCP 服務(wù)器獲取的 IP 地址。UPRF會(huì)檢測(cè)接收到的報(bào)文中的源地址是否和其接收?qǐng)?bào)文的接口相匹配。其實(shí)現(xiàn)機(jī)制如下：設(shè)備接收到報(bào)文后，UPRF 會(huì)比較該報(bào)文的源地址在路由表中對(duì)應(yīng)的出接口是否和接收該報(bào)文的接口一致。如果兩者不一致，則將報(bào)文丟棄。路由協(xié)議認(rèn)證攻擊者也可以向網(wǎng)絡(luò)中的設(shè)備發(fā)送錯(cuò)誤的路由更新報(bào)文，使路由表中出現(xiàn)錯(cuò)誤的路由，從而引導(dǎo)用戶(hù)的流量流向攻擊者的設(shè)備。為了防止這種攻擊最有效的方法就是使用局域網(wǎng)常用路由協(xié)議時(shí)，必須啟用路由協(xié)議的認(rèn)證。另外，在不應(yīng)該出現(xiàn)路由信息的端口過(guò)濾掉所有路由報(bào)文也是解決方法之一。但這種方法會(huì)消耗掉許多 ACL(Access Control List)資源。5 項(xiàng)目實(shí)施計(jì)劃234 項(xiàng)目計(jì)劃及進(jìn)度 為了確保項(xiàng)目清晰有序進(jìn)行，故將整個(gè)項(xiàng)目進(jìn)行分割，分為兩個(gè)階段進(jìn)行，每個(gè)階段作為項(xiàng)目的一個(gè)里程碑，組織對(duì)階段工作進(jìn)行回顧和展望，便于及時(shí)總結(jié)工作，并更好的規(guī)劃下一階段工作。根據(jù)本次項(xiàng)目的實(shí)施內(nèi)容，各階段分解如下：項(xiàng)目階段序號(hào)項(xiàng)目實(shí)施內(nèi)容子項(xiàng)2013年2014年11月12月10日12月1月2月3月第一階段1準(zhǔn)備階段項(xiàng)目組組建需求收集、分析與確認(rèn)（包括第三方系統(tǒng)接口調(diào)研）2系統(tǒng)設(shè)計(jì)系統(tǒng)架構(gòu)設(shè)計(jì)WEB、APP界面設(shè)計(jì)系統(tǒng)功能設(shè)計(jì)系統(tǒng)數(shù)據(jù)庫(kù)設(shè)計(jì)接口設(shè)計(jì)測(cè)試方案制定3系統(tǒng)研發(fā)系統(tǒng)管理上報(bào)管理許可證管理第二階段4系統(tǒng)研發(fā)統(tǒng)計(jì)報(bào)表提醒鎖定功能5系統(tǒng)測(cè)試系統(tǒng)集成測(cè)試測(cè)試修改回歸測(cè)試及修改