【正文】 。這種系統(tǒng)使醫(yī)護(hù)人員可以更加準(zhǔn)確、快速和高效地制定決策和采取相應(yīng)的措施，具體體現(xiàn)如下： ? 電子病歷訪問(wèn) /查看 ? 醫(yī)生處方輸入和藥物治療匹配 ? 護(hù)士呼叫系統(tǒng) ? 患者床邊服務(wù) ? 對(duì)重要的統(tǒng)計(jì)數(shù)據(jù)的監(jiān)控 ? 。 第 4章 無(wú)線應(yīng)用設(shè)計(jì) 無(wú)線業(yè)務(wù)需求分析 大多數(shù)醫(yī)院的網(wǎng)絡(luò)目前都是有線網(wǎng)絡(luò)，但有線網(wǎng)絡(luò)沒(méi)有解決空間覆蓋的問(wèn)題，同時(shí)也不能解決信息實(shí)時(shí)收集的問(wèn)題，在將來(lái)的醫(yī)院網(wǎng)絡(luò)趨于實(shí)時(shí)、數(shù)字化網(wǎng)絡(luò)，同時(shí)還可以為醫(yī)院的病人提供增值服務(wù)。此時(shí)，交換機(jī)將關(guān)閉該端口，使其不再接收任何報(bào)文，從而避免大量 ARP 報(bào)文攻擊設(shè)備。 ARP報(bào)文限速功能 H3C 接入交換機(jī)支持端口 ARP 報(bào)文限速功能，使受到攻擊的端口暫時(shí)關(guān)閉，來(lái)避免此類攻擊對(duì) CPU 第 24 頁(yè) , 共 51 頁(yè) 的沖擊。當(dāng) ARP 報(bào)文中的源 IP 地址及源 MAC 地址的綁定關(guān)系與DHCP Snooping 表項(xiàng)或者手工配置的 IP 靜態(tài)綁定表項(xiàng)匹配，且 ARP 報(bào)文的入端口及其所屬 VLAN 與DHCP Snooping表項(xiàng)或者手工配置的 IP 靜態(tài)綁定表項(xiàng)一致，則為合法 ARP 報(bào)文，進(jìn)行轉(zhuǎn)發(fā)處理。 ? 不信任端口接收到 DHCP 服務(wù)器響應(yīng)的 DHCPACK 和 DHCPOFFER 報(bào)文后，丟棄該報(bào)文，從而防止了 DHCP 客戶端獲得錯(cuò)誤的 IP 地址。 通過(guò)監(jiān)聽(tīng) DHCP 報(bào)文，記錄 DHCP 客戶端 IP 地址與 MAC 地址的對(duì)應(yīng)關(guān)系； 通過(guò)設(shè)置 DHCP Snooping信任端口，保證客戶端從合法的服務(wù)器獲取 IP 地址。通過(guò)接 第 23 頁(yè) , 共 51 頁(yè) 入交換機(jī)上開(kāi)啟 DHCP Snooping功能、配置 IP 靜態(tài)綁定表項(xiàng)、 ARP 入侵檢測(cè)功能和 ARP 報(bào)文限速功能，可以防御常見(jiàn)的 ARP 攻擊，如 表 1。 G a t e w a y S w i t c hH o s t AH o s t CH o s t B ( 攻 擊 者 )偽 造 的 A R P 應(yīng) 答 報(bào) 文偽 造 的 A R P 應(yīng) 答 報(bào) 文 ARP“中間人 ”攻擊示意圖 ARP報(bào)文泛洪攻擊 惡意用戶利用工具構(gòu)造大量 ARP 報(bào)文發(fā)往交換機(jī)的某一端口，導(dǎo)致 CPU 負(fù)擔(dān)過(guò)重，造成其他功能無(wú)法正常運(yùn)行甚至設(shè)備癱瘓。此后， Host A 和 Host C之間看似 “直接 ”的通信，實(shí)際上都是通過(guò)黑客所在的主機(jī)間接進(jìn)行的，即 Host B擔(dān)當(dāng)了 “中間人 ”的角色，可以對(duì)信息進(jìn)行了竊取和篡改。如圖所示， Host A和 Host C通過(guò) Switch 進(jìn)行通信。這樣一來(lái)，網(wǎng)段內(nèi)的其他主機(jī)發(fā)給該用戶的所有數(shù)據(jù)都被重定向到錯(cuò)誤的 MAC地址，同網(wǎng)段內(nèi)的用戶無(wú)法正?；ピL。這樣一來(lái)，網(wǎng)關(guān)發(fā)給該用戶的所有數(shù)據(jù)全部重定向到一個(gè)錯(cuò)誤的 MAC 地址，導(dǎo)致該用戶無(wú)法正常訪問(wèn)外網(wǎng)。這樣一來(lái)，主機(jī)訪問(wèn)網(wǎng)關(guān)的流量，被重定向到一個(gè)錯(cuò)誤的 MAC 地址，導(dǎo)致該用戶無(wú)法正常訪問(wèn)外網(wǎng)。這樣可以減少網(wǎng)絡(luò)上過(guò)多的 ARP 數(shù)據(jù)通信，但也為 “ARP欺騙 ”創(chuàng)造了條件。根據(jù) ARP 攻擊的特點(diǎn)，我們?cè)?辦公 網(wǎng)絡(luò)中給出 DHCP 監(jiān)控模式下的防 ARP 攻擊解決方案，可以有效的防御 “仿冒網(wǎng)關(guān) ”、 “欺騙網(wǎng)關(guān) ”、 “欺騙終端用戶 ”、 “ARP中間人攻擊 ”、 “ARP 泛洪攻擊 ”等園區(qū)網(wǎng)中常見(jiàn)的 ARP 攻擊方式；且不需要終端用戶安裝額外的客戶端軟件，簡(jiǎn)化網(wǎng)絡(luò)配置。 攻擊類型 攻擊行為 交換機(jī)安全特性 資源耗盡型攻擊 MAC 表攻擊 端口 MAC 數(shù)限制 禁止某個(gè) VLAN 的 MAC 地址學(xué)習(xí) ＋ 靜態(tài) MAC 表 端口安全 MAC + IP + 端口綁定 , DHCP DOS 攻擊 DHCP Relay Option 82 DHCP Snooping Option 82 DHCP 報(bào)文限速 CPU 惡意沖擊 ARP 限速 防范攻擊的其它特性 廣播風(fēng)暴抑制 環(huán)路檢測(cè) EAD 特性 端口安全特性 假冒偽裝型攻擊 ARP 欺騙攻擊 ARP 入侵檢測(cè) 端口隔離 第 20 頁(yè) , 共 51 頁(yè) IsolateUserVLAN MAC/IP 欺騙攻擊 DHCP relay Security IP 源地址保護(hù) DHCP 服務(wù)器欺騙攻擊 DHCP Snooping Trust 根橋偽裝攻擊 STP 根保護(hù) BPDU 保護(hù) TCN 攻擊 TCBPDU 報(bào)文非立即處理機(jī)制 路由源偽裝攻擊 OSPF/RIP 路由 MD5 驗(yàn)證 設(shè)備控制權(quán)攻擊 用戶信息嗅探 SNMPv3 SFTP 管理人員泄密 遠(yuǎn)程管理終端限制 (Tel VTY 配置 ACL) 用戶分級(jí) 暴力嘗試攻擊 遠(yuǎn)程管理終端限制 (Tel VTY 配置 ACL) ARP攻擊簡(jiǎn)介 許多網(wǎng)絡(luò)都出現(xiàn)了 ARP 攻擊現(xiàn)象。同時(shí)，由于提供了 Client功能，可以在本設(shè)備上安全登錄到遠(yuǎn)程設(shè)備，進(jìn)行文件的安全傳輸。 安全接入控制 H3C 交換機(jī)支持 ，能夠基于端口或者 MAC 方式進(jìn)行接入控制，實(shí)現(xiàn)局域網(wǎng)絡(luò)的安全接入。 支持安全審計(jì) H3C 交換機(jī)提供基本的安全審計(jì)功能。 第 19 頁(yè) , 共 51 頁(yè) 支持安全的遠(yuǎn)程管理 H3C 交換機(jī)支持 SSH 協(xié)議。 1） OSPF 協(xié)議，支持鄰居路由器之間的明文 /MD5 認(rèn)證和 OSPF 區(qū)域內(nèi)的明文 /MD5 認(rèn)證； 2） ISIS 協(xié)議，支持接口間 Level1 明文 /MD5 認(rèn)證、接口 Level2 明文 /MD5 認(rèn)證、 ISIS 區(qū)域內(nèi)明文 /MD5 認(rèn)證和 ISIS 路由域上的明文 /MD5 認(rèn)證； 3） BGP 協(xié)議，支持鄰居路由器之間和 BGP 區(qū)域內(nèi)的 MD5 認(rèn)證； 4） RIPv2 協(xié)議，支持鄰居路由器之間的明文 /MD5 認(rèn)證 設(shè)備管理層面的安全能力 管理用戶分級(jí)分權(quán) H3C 交換機(jī)對(duì)登錄用戶采取分級(jí)機(jī)制，權(quán)限從低到高分為四級(jí)，依次為：訪問(wèn)級(jí)、監(jiān)視級(jí)、系統(tǒng)級(jí)、管理級(jí)。 路由協(xié)議攻擊防護(hù)能力 路由協(xié)議攻擊是指向不進(jìn)行路由認(rèn)證的路由器發(fā)送錯(cuò)誤的路由更新 報(bào)文，使路由表中出現(xiàn)錯(cuò)誤的路由，嚴(yán)重的情況可以造成網(wǎng)絡(luò)癱瘓，高明的攻擊者可以用來(lái)進(jìn)行更深層次的攻擊實(shí)施。 H3C 交換機(jī)具有防范非法用戶盜用地址上網(wǎng)的能力。 地址盜用防護(hù)能力 所謂地址盜用，是指一個(gè)非法用戶仿冒合法用戶的 IP 地址，盜用合法用戶的 IP 地址進(jìn)行上網(wǎng)。 H3C 交換機(jī)考慮到網(wǎng)絡(luò)頻繁變化的特殊情況，在收到第一個(gè)網(wǎng)絡(luò)拓?fù)涓淖兿r(shí)，會(huì)進(jìn)行相應(yīng)處理。通過(guò) MAC 地址修改ARP 表項(xiàng)，能夠防止三層轉(zhuǎn)發(fā)時(shí)出現(xiàn)的丟包現(xiàn)象。在收到 TC/TCN 報(bào)文時(shí)，設(shè)備會(huì)刪除MAC 地址表項(xiàng)， 但不會(huì)刪除 ARP 表項(xiàng)。但是當(dāng)網(wǎng)絡(luò)中 TC或者 TCN 報(bào)文很多，頻繁刪除 MAC 地址表和 ARP 表項(xiàng)，會(huì)導(dǎo)致二層轉(zhuǎn)發(fā)報(bào)文在 VLAN 第 18 頁(yè) , 共 51 頁(yè) 內(nèi)廣播，三層轉(zhuǎn)發(fā)報(bào)文出現(xiàn)丟包，也會(huì)影響業(yè)務(wù)正常運(yùn)行。 TC/TCN攻擊防護(hù)能力 在啟用 STP 情況下， 當(dāng)網(wǎng)絡(luò)中某臺(tái)設(shè)備端口的 STP 狀態(tài)發(fā)生變化，會(huì)產(chǎn)生 TC（網(wǎng)絡(luò)拓?fù)涓淖儯┗蛘?TCN（網(wǎng)絡(luò)拓?fù)涓淖兺ㄖ﹫?bào)文。地址沖突報(bào)文是通知對(duì)端主機(jī)或者設(shè)備，該地址已經(jīng)被占用；免費(fèi) ARP 廣播報(bào)文，是通知本網(wǎng)段內(nèi)其他主機(jī)和網(wǎng)絡(luò)設(shè)備，糾正本網(wǎng)段內(nèi)其他主機(jī)或者網(wǎng)絡(luò)設(shè)備的 ARP 表項(xiàng)，防止 ARP 表項(xiàng)指向錯(cuò)誤的 MAC 地址。當(dāng) H3C 交換機(jī)收 到 ARP 報(bào)文時(shí)，會(huì)判斷該報(bào)文的源 IP 地址和本網(wǎng)段接口 IP 地址是否相同。 地址沖突檢測(cè)能力 所謂地址沖突，是指網(wǎng)絡(luò)設(shè)備下掛的主機(jī)或者對(duì)接的其他網(wǎng)絡(luò)設(shè)備設(shè)置的 IP 地址和該網(wǎng)絡(luò)設(shè)備的接口 IP 地址沖突，網(wǎng)絡(luò)設(shè)備如果無(wú)法檢測(cè)到地址沖突，該網(wǎng)絡(luò)設(shè)備下掛的其他主機(jī)的網(wǎng)關(guān) ARP 地址有可能會(huì)被更新，導(dǎo)致下掛主機(jī)無(wú)法正常上網(wǎng)。當(dāng)檢 測(cè)到單位時(shí)間內(nèi) CPU收包出現(xiàn)丟包且某些固定源 MAC 地址的主機(jī)超出一定限度，認(rèn)為該主機(jī)在進(jìn)行 ARP 攻擊。當(dāng)攻擊者采用某個(gè)或者某幾個(gè)固定的攻擊源，向設(shè)備發(fā)送大量的 ARP 報(bào)文進(jìn)行攻擊時(shí)， H3C 交換機(jī)能夠檢測(cè)并且防范這種 ARP 協(xié)議報(bào)文的攻擊。 控制信令層面的安全能力 ARP協(xié)議攻擊防護(hù)能力 ARP 協(xié)議沒(méi)有任何驗(yàn)證方式，而 ARP 在數(shù)據(jù)轉(zhuǎn)發(fā)中又是至關(guān)重要的，攻擊者常偽造 ARP 報(bào)文進(jìn)行攻擊。在 URPF功能啟動(dòng)后，通過(guò)獲取報(bào)文的源地址和入接口，交換機(jī)以源地址為目的地址在轉(zhuǎn)發(fā)表中查找路由，如果查到的路由出接口和接收該報(bào)文的入接口不匹配，交換機(jī)認(rèn)為該報(bào)文的源地址是偽裝的，丟棄該報(bào)文。 第 17 頁(yè) , 共 51 頁(yè) URPF（單播反向路徑查找）檢查能力 所謂 URPF，即單播反向路徑查找，主要用于防止基于源地址欺騙的網(wǎng)絡(luò)攻擊行為。管理者可以在端口、 VLAN 或者全局模式下設(shè)置相應(yīng)的 ACL 規(guī)則， 以滿足不同的需要。 H3C 核心交換機(jī)提供強(qiáng)大而豐富的 ACL 功能，能夠?qū)?bào)文的數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層各字段進(jìn)行識(shí)別、限流和過(guò)濾。用戶可以通過(guò)配置靜態(tài) MAC 地址表項(xiàng)，保證二層數(shù)據(jù)報(bào)文正確的轉(zhuǎn)發(fā)；用戶還可以通過(guò)配置靜態(tài) ARP 表項(xiàng)，綁定 MAC 地址和 IP 地址，確保 IP 地址不會(huì)被偽用戶盜用。在設(shè)置端口 MAC 地址最大學(xué)習(xí)數(shù)目時(shí)，還可以選擇超過(guò)部分是否轉(zhuǎn)發(fā)，防止未知單播報(bào)文 VLAN 內(nèi)廣播，對(duì)其他設(shè)備造成沖擊。 H3C 交換機(jī)提供設(shè)置單個(gè)端口或者單個(gè) VLAN 允 許學(xué)習(xí)的最大 MAC 地址數(shù)目的功能。由于 MAC 地址表容量是有限的，當(dāng) MAC 地址表項(xiàng)達(dá)到最大容量后，正常報(bào)文的 MAC 地址學(xué)習(xí)將無(wú)法完成。同時(shí)，還可以通過(guò) ACL 規(guī)則設(shè)置特定端口廣播、組播和未知單播報(bào)文允許通過(guò)的速率。 H3C 交換機(jī)具有強(qiáng)大的廣播和組播報(bào)文過(guò)濾功能。 廣播 /組播報(bào)文速率限制 網(wǎng)絡(luò)中存在大量的廣播或者組播報(bào)文，會(huì)占用寶貴的網(wǎng)絡(luò)帶寬，從而嚴(yán)重影響網(wǎng)絡(luò)設(shè)備的轉(zhuǎn)發(fā)性能。 核心交換機(jī)能夠抵御 IP Spoofing、 Land、 Smurf 等常見(jiàn) DoS 攻擊，確保某種協(xié)議遭受攻擊時(shí)不會(huì)影響到其他協(xié)議 的正常運(yùn)行和業(yè)務(wù)的正常轉(zhuǎn)發(fā)。因?yàn)橹饕轻槍?duì)服務(wù)器的，目的是使服務(wù)器拒絕合法用戶的請(qǐng)求，所以叫拒絕服務(wù)攻擊。 Comware網(wǎng)絡(luò)系統(tǒng)平臺(tái)提供相應(yīng)的配置命令，用于控制設(shè)備的地址掃描攻擊防護(hù)功能是否啟用。否則，經(jīng)過(guò)一段時(shí)間后丟棄表項(xiàng)自動(dòng)老化。當(dāng)交換機(jī)收到目的 IP 是直連網(wǎng)段的報(bào)文時(shí)，如果該目的 IP 的 ARP 表項(xiàng)不存在，會(huì)發(fā)送一個(gè) ARP 請(qǐng)求報(bào)文，并針對(duì)目的地址下一條丟棄表項(xiàng)，以防止后續(xù)報(bào)文持續(xù)沖擊 CPU。如果直連網(wǎng)段較大，攻擊流量足夠大時(shí)，會(huì)消耗網(wǎng)絡(luò)設(shè)備較多的 CPU 和內(nèi)存資源，可能引起網(wǎng)絡(luò)中斷。 第 3章 整網(wǎng)安全防護(hù)設(shè)計(jì) 地址掃描攻擊防護(hù)能力 地址掃描攻擊是攻擊者向攻擊目標(biāo)網(wǎng)絡(luò)發(fā)送大量的目的地址不斷變化的 IP 報(bào)文。 出口路由器選用 SR6602， SR6600是業(yè)界首款基于多核多線程的高端 路由器，具備高性能、易編程、靈活的 L4L7層業(yè)務(wù)應(yīng)用等特點(diǎn)。提供郵件告警、攻擊日志、流日志和網(wǎng)絡(luò)管理監(jiān)控等功能，協(xié)助用戶進(jìn)行網(wǎng)絡(luò)管理。能提供外部攻擊防范、內(nèi)網(wǎng)安全、流量監(jiān)控、 URL 過(guò)濾、應(yīng)用層過(guò)濾等功能，有效的保證網(wǎng)絡(luò)的安全。 在 核心層 ，選用 S7506E 作為外網(wǎng)的核心交換機(jī)， S7500E 作為高端多業(yè)務(wù) 路由交換機(jī)，融合了 MPLS、IPv網(wǎng)絡(luò)安全、無(wú)線、無(wú)源光網(wǎng)絡(luò)等多種業(yè)務(wù)，提供不間斷轉(zhuǎn)發(fā)、優(yōu)雅重啟、環(huán)網(wǎng)保護(hù)等多種高可靠技術(shù)，在提高用戶生產(chǎn)效率的同時(shí)，保證了網(wǎng)絡(luò)最大正常運(yùn)行時(shí)間，從而降低了客戶的總擁有成本（ TCO）。 在 接入層 ，選用 （ S3600SI)系列百兆 三 層智能彈性交換機(jī)， 分別具備 24 個(gè) 10/100BaseTX 以太網(wǎng)端口，2 個(gè) 1000BaseX SFP 千兆以太網(wǎng)端口， 2 個(gè) 10/100/1000BaseT 以太網(wǎng)端口 ； 48 個(gè) 10/100BaseTX以太網(wǎng)端口， 4 個(gè) 1000BaseX SFP 千兆以太網(wǎng)端口。管理員無(wú)需重新搭建 IT 管理平臺(tái)，即可在原有的有線網(wǎng)絡(luò)管理系統(tǒng)中增加無(wú)線管理功能，與有線管理平臺(tái)統(tǒng)一部署，節(jié)省用戶投入，節(jié)約維護(hù)成本。同時(shí)，將無(wú)線控制器（ AC）旁掛于核心交換機(jī)，通過(guò) IP 可達(dá)來(lái)實(shí)現(xiàn)對(duì)所有 AP 的配置和管理。將 AP 放置在過(guò)道可以滿足覆蓋每一個(gè)房間。 醫(yī)院 初期規(guī)劃有 多臺(tái)服務(wù)器的容量，建議 采用服務(wù)器 接入 交換機(jī) S512024PEI，一方面分區(qū)建立專門的服務(wù)器區(qū)，保護(hù)醫(yī)院重要資源的安全，另一方面，有利于今后醫(yī)院業(yè)務(wù)的擴(kuò)展，直接增加服務(wù)器而不必對(duì)網(wǎng)絡(luò)結(jié)構(gòu)和核心設(shè)備配置產(chǎn)生影響， 從而構(gòu)建具備高可靠性、易擴(kuò)展性和易管理性的新型智能網(wǎng)絡(luò)。 匯聚層交換機(jī)萬(wàn)兆上聯(lián)至核心交換機(jī)，千兆下行連接千兆桌面交換機(jī)，起到醫(yī)療網(wǎng)絡(luò)中非常重要的上承啟下的作