【導(dǎo)讀】醫(yī)院網(wǎng)絡(luò)解決方案技術(shù)建議書

　　

【正文】 ARP 表項，如果該 MAC 地址對應(yīng)有相應(yīng)的 ARP，直接修改 ARP 表項中的出端口信息。通過 MAC 地址修改ARP 表項，能夠防止三層轉(zhuǎn)發(fā)時出現(xiàn)的丟包現(xiàn)象。 網(wǎng)絡(luò)拓撲頻繁改變，會嚴重影響網(wǎng)絡(luò)內(nèi)所有設(shè)備的穩(wěn)定運行。 H3C 交換機考慮到網(wǎng)絡(luò)頻繁變化的特殊情況，在收到第一個網(wǎng)絡(luò)拓撲改變消息時，會進行相應(yīng)處理。后續(xù)收到 TC/TCN 報文，并不立即處理，而是等待一段時間后再判斷這段時間內(nèi)是否收到 TC/TCN 報文，不管這段時間收到多少個 TC/TCN報文，在超時后只 處理一次 MAC 地址刪除操作，起到保護設(shè)備穩(wěn)定運行的作用。 地址盜用防護能力 所謂地址盜用，是指一個非法用戶仿冒合法用戶的 IP 地址，盜用合法用戶的 IP 地址進行上網(wǎng)。網(wǎng)絡(luò)設(shè)備會學(xué)習(xí)到錯誤的 ARP 表項，影響合法用戶的正常上網(wǎng)。 H3C 交換機具有防范非法用戶盜用地址上網(wǎng)的能力。只需要在交換機上面配置 MAC 地址和 IP 地址綁定的安全地址表項，交換機在學(xué)習(xí) ARP 表項時會根據(jù)該安全地址表項進行檢查，滿足條件則學(xué)習(xí) ARP表項，不滿足條件不學(xué)習(xí)。 路由協(xié)議攻擊防護能力 路由協(xié)議攻擊是指向不進行路由認證的路由器發(fā)送錯誤的路由更新 報文，使路由表中出現(xiàn)錯誤的路由，嚴重的情況可以造成網(wǎng)絡(luò)癱瘓，高明的攻擊者可以用來進行更深層次的攻擊實施。 H3C 交換機基于 Comware 路由通用平臺，能夠?qū)κ盏降母鞣N路由協(xié)議進行認證。 1） OSPF 協(xié)議，支持鄰居路由器之間的明文 /MD5 認證和 OSPF 區(qū)域內(nèi)的明文 /MD5 認證； 2） ISIS 協(xié)議，支持接口間 Level1 明文 /MD5 認證、接口 Level2 明文 /MD5 認證、 ISIS 區(qū)域內(nèi)明文 /MD5 認證和 ISIS 路由域上的明文 /MD5 認證； 3） BGP 協(xié)議，支持鄰居路由器之間和 BGP 區(qū)域內(nèi)的 MD5 認證； 4） RIPv2 協(xié)議，支持鄰居路由器之間的明文 /MD5 認證 設(shè)備管理層面的安全能力 管理用戶分級分權(quán) H3C 交換機對登錄用戶采取分級機制，權(quán)限從低到高分為四級，依次為：訪問級、監(jiān)視級、系統(tǒng)級、管理級。對用戶密碼采用加密算法進行保存，并限制一次連接登錄不成功的次數(shù)來防止口令被窮舉得到，并在設(shè)備上設(shè)置警示性的登錄提示。 第 19 頁 , 共 51 頁 支持安全的遠程管理 H3C 交換機支持 SSH 協(xié)議。通過使用 SSH 協(xié)議進行設(shè)備管理，可以保證遠程管理的安全性。 支持安全審計 H3C 交換機提供基本的安全審計功能。包括提供安全告警日志以及用戶操作日志 的能力。 安全接入控制 H3C 交換機支持 ，能夠基于端口或者 MAC 方式進行接入控制，實現(xiàn)局域網(wǎng)絡(luò)的安全接入。 SFTP服務(wù) 所謂 SFTP，是 Secure FTP 的簡稱，它使得用戶可以從遠端安全的登入交換機設(shè)備進行文件管理，這樣使遠程系統(tǒng)升級等需要進行文件傳送的地方，增加了數(shù)據(jù)傳輸?shù)陌踩浴Ｍ瑫r，由于提供了 Client功能，可以在本設(shè)備上安全登錄到遠程設(shè)備，進行文件的安全傳輸。 H3C 交換機支持 SFTP 服務(wù)，可以保證文件傳輸?shù)陌踩浴? 攻擊類型 攻擊行為 交換機安全特性 資源耗盡型攻擊 MAC 表攻擊 端口 MAC 數(shù)限制 禁止某個 VLAN 的 MAC 地址學(xué)習(xí) ＋ 靜態(tài) MAC 表 端口安全 MAC + IP + 端口綁定 , DHCP DOS 攻擊 DHCP Relay Option 82 DHCP Snooping Option 82 DHCP 報文限速 CPU 惡意沖擊 ARP 限速 防范攻擊的其它特性 廣播風(fēng)暴抑制 環(huán)路檢測 EAD 特性 端口安全特性 假冒偽裝型攻擊 ARP 欺騙攻擊 ARP 入侵檢測 端口隔離 第 20 頁 , 共 51 頁 IsolateUserVLAN MAC/IP 欺騙攻擊 DHCP relay Security IP 源地址保護 DHCP 服務(wù)器欺騙攻擊 DHCP Snooping Trust 根橋偽裝攻擊 STP 根保護 BPDU 保護 TCN 攻擊 TCBPDU 報文非立即處理機制 路由源偽裝攻擊 OSPF/RIP 路由 MD5 驗證 設(shè)備控制權(quán)攻擊 用戶信息嗅探 SNMPv3 SFTP 管理人員泄密 遠程管理終端限制 (Tel VTY 配置 ACL) 用戶分級 暴力嘗試攻擊 遠程管理終端限制 (Tel VTY 配置 ACL) ARP攻擊簡介 許多網(wǎng)絡(luò)都出現(xiàn)了 ARP 攻擊現(xiàn)象。嚴重者甚至造成大面積網(wǎng)絡(luò)不能正常訪問外網(wǎng)，許多單位深受其害。根據(jù) ARP 攻擊的特點，我們在 辦公 網(wǎng)絡(luò)中給出 DHCP 監(jiān)控模式下的防 ARP 攻擊解決方案，可以有效的防御 “仿冒網(wǎng)關(guān) ”、 “欺騙網(wǎng)關(guān) ”、 “欺騙終端用戶 ”、 “ARP中間人攻擊 ”、 “ARP 泛洪攻擊 ”等園區(qū)網(wǎng)中常見的 ARP 攻擊方式；且不需要終端用戶安裝額外的客戶端軟件，簡化網(wǎng)絡(luò)配置。 按照 ARP 協(xié)議設(shè)計，一個主機即使收到的 ARP 應(yīng)答并非自身請求 得到的，也會將其 IP 地址和 MAC地址的對應(yīng)關(guān)系添加到自身的 ARP 映射表中。這樣可以減少網(wǎng)絡(luò)上過多的 ARP 數(shù)據(jù)通信，但也為 “ARP欺騙 ”創(chuàng)造了條件。在園區(qū)網(wǎng)中，常見的 ARP 攻擊有如下幾種形式： 仿冒網(wǎng)關(guān) 攻擊者偽造 ARP 報文，發(fā)送源 IP 地址為網(wǎng)關(guān) IP 地址，源 MAC 地址為偽造的 MAC 地址的 ARP 報文給被攻擊的主機，使這些主機更新自身 ARP 表中網(wǎng)關(guān) IP 地址與 MAC 地址的對應(yīng)關(guān)系。這樣一來，主機訪問網(wǎng)關(guān)的流量，被重定向到一個錯誤的 MAC 地址，導(dǎo)致該用戶無法正常訪問外網(wǎng)。 第 21 頁 , 共 51 頁 G a t e w a y S w i t c h攻 擊 者H o s t A網(wǎng) 關(guān) 的 M A C 更 新 了 “仿冒網(wǎng)關(guān) ”攻擊示意圖 欺騙網(wǎng)關(guān) 攻擊者 偽造 ARP 報文，發(fā)送源 IP 地址為同網(wǎng)段內(nèi)某一合法用戶的 IP 地址，源 MAC 地址為偽造的MAC 地址的 ARP 報文給網(wǎng)關(guān)；使網(wǎng)關(guān)更新自身 ARP 表中原合法用戶的 IP 地址與 MAC 地址的對應(yīng)關(guān)系。這樣一來，網(wǎng)關(guān)發(fā)給該用戶的所有數(shù)據(jù)全部重定向到一個錯誤的 MAC 地址，導(dǎo)致該用戶無法正常訪問外網(wǎng)。 G a t e w a y S w i t c h攻 擊 者H o s t AH o s t A 的 M A C 更 新 了 “欺騙網(wǎng)關(guān) ”攻擊示意圖 欺騙終端用戶 攻擊者偽造 ARP 報文，發(fā)送源 IP 地址為同網(wǎng)段內(nèi)某一合法用戶的 IP 地址，源 MAC 地址為偽造的MAC 地址的 ARP 報文給同網(wǎng)段內(nèi)另一臺合法主機；使后者更新自身 ARP 表中原合法用戶的 IP 地址與MAC 地址的對應(yīng)關(guān)系。這樣一來，網(wǎng)段內(nèi)的其他主機發(fā)給該用戶的所有數(shù)據(jù)都被重定向到錯誤的 MAC地址，同網(wǎng)段內(nèi)的用戶無法正?；ピL。 第 22 頁 , 共 51 頁 G a t e w a y S w i t c hH o s t AH o s t C攻 擊 者H o s t A 的 M A C 更 新 了 “欺騙終端用戶 ”攻擊示意圖 “中間人 ”攻擊 ARP “中間人 ”攻擊，又稱為 ARP 雙向欺騙。如圖所示， Host A和 Host C通過 Switch 進行通信。此時，如果有惡意攻擊者（ Host B）想探聽 Host A和 Host C 之間的通信，它可以分別給這兩臺主機發(fā)送偽造的 ARP 應(yīng)答報文，使 Host A和 Host C 用 MAC_B 更新自身 ARP 映射表中與對方 IP 地址相應(yīng)的表項。此后， Host A 和 Host C之間看似 “直接 ”的通信，實際上都是通過黑客所在的主機間接進行的，即 Host B擔(dān)當了 “中間人 ”的角色，可以對信息進行了竊取和篡改。這種攻擊方式就稱作 “中間人（ ManInTheMiddle）攻擊 ”。 G a t e w a y S w i t c hH o s t AH o s t CH o s t B ( 攻 擊 者 )偽 造 的 A R P 應(yīng) 答 報 文偽 造 的 A R P 應(yīng) 答 報 文 ARP“中間人 ”攻擊示意圖 ARP報文泛洪攻擊 惡意用戶利用工具構(gòu)造大量 ARP 報文發(fā)往交換機的某一端口，導(dǎo)致 CPU 負擔(dān)過重，造成其他功能無法正常運行甚至設(shè)備癱瘓。 ARP攻擊防御 H3C 公司根據(jù)園區(qū)網(wǎng) ARP 攻擊的特點，給出了 DHCP 監(jiān)控模式下的防 ARP 攻擊解決方案。通過接 第 23 頁 , 共 51 頁 入交換機上開啟 DHCP Snooping功能、配置 IP 靜態(tài)綁定表項、 ARP 入侵檢測功能和 ARP 報文限速功能，可以防御常見的 ARP 攻擊，如 表 1。 表 1常見網(wǎng)絡(luò)攻擊和防范對照表 攻擊方式 防御方法 動態(tài)獲取 IP 地址的用戶進行 “仿冒網(wǎng)關(guān) ”、 “欺騙網(wǎng)關(guān) ”、 “欺騙終端用戶 ”、 “ARP 中間人攻擊 ” 配置 DHCP Snooping、 ARP 入侵檢測功能 手工配置 IP 地址的用戶進行 “仿冒網(wǎng)關(guān) ”、 “欺騙網(wǎng)關(guān) ”、 “欺騙終端用戶 ”、 “ARP 中間人攻 擊 ” 配置 IP 靜態(tài)綁定表項、 ARP 入侵檢測功能 ARP 泛洪攻擊 配置 ARP 報文限速功能 DHCP Snooping功能 DHCP Snooping是運行在二層接入設(shè)備上的一種 DHCP 安全特性。 通過監(jiān)聽 DHCP 報文，記錄 DHCP 客戶端 IP 地址與 MAC 地址的對應(yīng)關(guān)系； 通過設(shè)置 DHCP Snooping信任端口，保證客戶端從合法的服務(wù)器獲取 IP 地址。 ? 信任端口正常轉(zhuǎn)發(fā)接收到的 DHCP 報文，從而保證了 DHCP 客戶端能夠從 DHCP 服務(wù)器獲取 IP 地址。 ? 不信任端口接收到 DHCP 服務(wù)器響應(yīng)的 DHCPACK 和 DHCPOFFER 報文后，丟棄該報文，從而防止了 DHCP 客戶端獲得錯誤的 IP 地址。 ARP入侵檢測功能 H3C 接入交換機支持將收到的 ARP（請求與回應(yīng)）報文重定向到 CPU，結(jié)合 DHCP Snooping安全特性來判斷 ARP 報文的合法性并進行處理。當 ARP 報文中的源 IP 地址及源 MAC 地址的綁定關(guān)系與DHCP Snooping 表項或者手工配置的 IP 靜態(tài)綁定表項匹配，且 ARP 報文的入端口及其所屬 VLAN 與DHCP Snooping表項或者手工配置的 IP 靜態(tài)綁定表項一致，則為合法 ARP 報文，進行轉(zhuǎn)發(fā)處理。否則視為 非法 ARP 報文，直接丟棄。 ARP報文限速功能 H3C 接入交換機支持端口 ARP 報文限速功能，使受到攻擊的端口暫時關(guān)閉，來避免此類攻擊對 CPU 第 24 頁 , 共 51 頁 的沖擊。 開啟某個端口的 ARP 報文限速功能后，交換機對每秒內(nèi)該端口接收的 ARP 報文數(shù)量進行統(tǒng)計，如果每秒收到的 ARP 報文數(shù)量超過設(shè)定值，則認為該端口處于超速狀態(tài)。此時，交換機將關(guān)閉該端口，使其不再接收任何報文，從而避免大量 ARP 報文攻擊設(shè)備。同時，設(shè)備支持配置端口狀態(tài)自動恢復(fù)功能，對于配置了 ARP 限速功能的端口，在其因超速而被交換機關(guān)閉后，經(jīng)過一段時間可以自動恢復(fù)為開啟 狀態(tài)。 第 4章 無線應(yīng)用設(shè)計 無線業(yè)務(wù)需求分析 大多數(shù)醫(yī)院的網(wǎng)絡(luò)目前都是有線網(wǎng)絡(luò)，但有線網(wǎng)絡(luò)沒有解決空間覆蓋的問題，同時也不能解決信息實時收集的問題，在將來的醫(yī)院網(wǎng)絡(luò)趨于實時、數(shù)字化網(wǎng)絡(luò)，同時還可以為醫(yī)院的病人提供增值服務(wù)。也可以利用無線局域網(wǎng)技術(shù)的移動性、靈活性和高效率在護理點獲取實時的患者信息或者搜索決策支持信息。這種系統(tǒng)使醫(yī)護人員可以更加準確、快速和高效地制定決策和采取相應(yīng)的措施，具體體現(xiàn)如下： ? 電子病歷訪問 /查看 ? 醫(yī)生處方輸入和藥物治療匹配 ? 護士呼叫系統(tǒng) ? 患者床邊服務(wù) ? 對重要的統(tǒng)計數(shù)據(jù)的監(jiān)控 ? 。 。 對于具體的無線工程一般還要滿足以下業(yè)務(wù)需求： ? 針對醫(yī)院的空間要進行全面覆蓋； ? 無線網(wǎng)絡(luò)通過安全認證，保證醫(yī)院信息不能通過無線網(wǎng)絡(luò)對外泄露； ? 用戶在無線區(qū)域內(nèi)移動時，不需要多次重復(fù)認證，實現(xiàn)自動漫游，即業(yè)務(wù)不中斷； 整體無線建網(wǎng)原則 結(jié)合醫(yī)療行業(yè)和 WLAN 的實際應(yīng)用與發(fā)展要求，無線局域網(wǎng) (WLAN)網(wǎng)絡(luò)系統(tǒng)設(shè)計本著建設(shè)功能完整、技術(shù)成熟先進的網(wǎng)絡(luò)系統(tǒng)的前提下，主要遵循以下系統(tǒng)總體原則： ? 高可靠性原則： 網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定可靠是應(yīng)用系統(tǒng)正常運行的關(guān)鍵保證，對于醫(yī)院網(wǎng)絡(luò)來說，更是如此，在網(wǎng)絡(luò)設(shè)計中特別是關(guān)鍵節(jié)點的設(shè)