■ 福建省漳州市中醫(yī)院 黃飛

編者按：自筆者單位的臨床技能實驗訓(xùn)練中心建成后，筆者主要負(fù)責(zé)管理臨床技能實驗訓(xùn)練中心（簡稱實訓(xùn)中心）。因此在改造過程中積累了關(guān)于網(wǎng)絡(luò)和安全部署的經(jīng)驗，以供參考。

實訓(xùn)中心網(wǎng)絡(luò)存在的問題

問題一：客戶端電子設(shè)備多，監(jiān)控產(chǎn)生的流量較大，并且都在同一網(wǎng)段，巨大的廣播域容易產(chǎn)生廣播風(fēng)暴。

問題二：SADP設(shè)備搜索軟件可搜索到同一網(wǎng)段內(nèi)的所有?？翟O(shè)備的IP地址，并且可以修改前端監(jiān)控鏡頭的IP、端口號，子網(wǎng)掩碼、網(wǎng)關(guān)甚至監(jiān)控設(shè)備的密碼等。如果?？档谋O(jiān)控系統(tǒng)沒有劃分為獨立的vlan，一旦被黑客利用控制，會給網(wǎng)絡(luò)監(jiān)控系統(tǒng)的帶來安全隱患。

問題三：客戶端業(yè)務(wù)電腦開放U口，很容易讓學(xué)生將U盤中帶有病毒的數(shù)據(jù)在實訓(xùn)網(wǎng)絡(luò)中傳播，或者在電腦上隨意安裝其他游戲軟件。

問題四：整個網(wǎng)絡(luò)沒有殺毒軟件，沒有硬件防火墻，沒有入侵檢測系統(tǒng)、沒有銳捷RG-ESS準(zhǔn)入認(rèn)證系統(tǒng)。

問題五：實訓(xùn)中心醫(yī)學(xué)教育學(xué)習(xí)考核與管理系統(tǒng)軟件需要部署到臨床各個科室讓規(guī)培學(xué)員和帶教老師使用，同時又要能在實訓(xùn)考試基地舉行集中考試，這就需要將實訓(xùn)中心網(wǎng)絡(luò)與醫(yī)院網(wǎng)絡(luò)聯(lián)網(wǎng)，而該方案尚未部署。

問題六：機房雖然配有供電半個小時的UPS和電池組，然而卻安裝了普通格力空調(diào)，這就使得一旦短時間停電，服務(wù)器有UPS供電不會立馬停機，但是空調(diào)卻停機了，如果遇到周末，沒有人發(fā)現(xiàn)，會造成機房溫度過高，設(shè)備損壞。

問題七：由于該項目已經(jīng)完工，如果要申請來電自啟動空調(diào)、硬件防火墻等大金額產(chǎn)品，也需要等到來年的采購計劃才能購買，然而實訓(xùn)網(wǎng)絡(luò)中心要求短期內(nèi)投入使用。

部署主機安全

1.禁用每臺電腦的U口，禁用U口分為兩種情況：

第一種，如果電腦使用ps/2的鼠標(biāo)，直接在主板cmos禁用U口即可。

第二種情況，如果電腦使用U口鼠標(biāo)，需要在bios上設(shè)置前端U口禁用，和后端禁止USB存儲功能。同時修改Winodws注冊表，HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesusbstor的start值為 dword ：00000004，禁止USB存儲。

然后禁用注冊表。通過注冊表和bios雙層設(shè)置，并且設(shè)置bios密碼增加破解的難度，從源頭上杜絕未經(jīng)殺毒的U盤隨意接入實訓(xùn)中心網(wǎng)絡(luò)，提高安全性。

2.禁用光驅(qū)和無線網(wǎng)卡。打開電腦主機箱，拔掉光驅(qū)的數(shù)據(jù)線和電源線。

與此同時，拔掉無線網(wǎng)卡，可以防止學(xué)生通過光驅(qū)隨意安裝游戲軟件，或者通過手機熱點來上網(wǎng)，可以有效防止電腦中木馬病毒的風(fēng)險。

3.電腦安裝冰點還原系統(tǒng)。只要電腦一重啟，就恢復(fù)系統(tǒng)原先的配置。

4.電腦操作系統(tǒng)安裝免費360殺毒軟件，同時給系統(tǒng)打補丁，修補漏洞。

部署交換機安全

1.為了防止未經(jīng)授權(quán)的外接筆記本電腦私自通過網(wǎng)線接入交換機端口或者拔掉實訓(xùn)中心電腦的網(wǎng)線連入使用，對于別有用心的黑客想通過該手段竊取數(shù)據(jù)等行為。需要對交換機做了全局綁定IP+MAC地址綁定。一旦綁定之后，沒有在交換機的IP+MAC地址表里頭的設(shè)備是無法連入網(wǎng)絡(luò)使用的。

在銳捷交換機設(shè)置如下：

Ruijie>enable

Ruijie#configure terminal

Ruijie(config)#addre ss-bind 192.168.1.10 54c4.151b.a1c3

配置IP 地址和MAC 地址的綁定關(guān)系

Ruijie(config)#addre ss-bind uplink Gi 0/24

配置地址綁定的例外端口（上聯(lián)端口）

Ruijie(config)#addre ss-bind install

使IP 和MAC 地址綁定生效

Ruijie(config)#end

Ruijie#write

確認(rèn)配置正確，保存配置

2.在交換機上開啟arpcheck，可以有效的防范arp欺騙。

在全局IP+MAC地址綁定的基礎(chǔ)上開啟arp校驗功能，可以有效的防范ARP欺騙。 開啟ARP-CHECK后，交換機針對端口上收到的每個ARP報文都做校驗，與交換機創(chuàng)建好的安全地址數(shù)據(jù)庫做比對，如果ARP報文的Send/target的各字段與安全地址里面的一致，那么就轉(zhuǎn)發(fā)這份ARP報文，否則直接丟棄這份ARP報文，這樣非法的ARP報文無法通過交換機的某個端口進(jìn)行轉(zhuǎn)發(fā)，擴散的話，就無法發(fā)送給網(wǎng)絡(luò)中的其他主機或者網(wǎng)關(guān)設(shè)備，這樣就能徹底防ARP欺騙了。

3.升級交換機的版本。由于交換機軟件的舊版本穩(wěn)定性較差，并且存在一定的bug。通過反復(fù)測試發(fā)現(xiàn)，NBS5652XG型號的交換機舊版本存在以下問題：一旦做了全局IP+MAC地址綁定之后，開啟ARP-CHECK 功能后，主機可以ping通交換機，但是彼此之間卻無法ping通。和銳捷交換機技術(shù)專家分析后，認(rèn)為是RGNBS5652XG型號的交換機軟件bug問題引起的，需要進(jìn)行軟件版本升級。

4.交換機開啟rldp防環(huán)檢測功能。RLDP全稱是Rapid Link Detection Protocol，是銳捷網(wǎng)絡(luò)開發(fā)的一個用于快速檢測以太網(wǎng)鏈路故障的鏈路協(xié)議。由于接入層交換機部署在各個教室的機柜，為了防止維護(hù)人員或者學(xué)生將交換機連成環(huán)路，增加問題排查的難度，因此在接入層交換機各個接終端用戶開啟rldp協(xié)議。RLDP環(huán)路檢查主要應(yīng)用在如圖1所示的兩種場景。

配置命令如下：

Rujijie#configure terminal

Rujijie(config)#rldp enable

全局開啟RLDP功能

Rujijie(config)#inter face range g0/1-24

對于下聯(lián)PC或HUB的端口需要開啟，不要在接入交換機的上聯(lián)口開啟該功能

Rujijie(config-ifrange)#rldp port loopdetect shutdown-port

圖1 配置客戶端

接口開啟RLDP功能，如果檢測出環(huán)路后shutdown該端口

Rujijie(config-ifrange)#exit

Rujijie(config)#errd isable recovery interval 1800

如果端口被RLDP檢測并shutdown，再過半小時后會自動恢復(fù)，重新檢測是否有環(huán)路

Rujijie(config)#end

Rujijie#wr

開啟rldp后一旦端口出現(xiàn)環(huán)路，該端口就被關(guān)閉，不會影響整體的業(yè)務(wù)進(jìn)行，但是每隔半小時環(huán)路會再次出現(xiàn)，然后rldp協(xié)議會再次關(guān)閉端口，恢復(fù)業(yè)務(wù)，將交換機恢復(fù)rldp檢測時間設(shè)置為半個小時，可以有充足的時間讓技術(shù)員進(jìn)行排查。通過查看端口的rldp狀態(tài)可以很方便的發(fā)現(xiàn)問題。

命令如下：

Ruijie#show rldp

rldp state :enable

enable表示已開啟RLDP功能

rldp hello interval:3

探測時間

rldp max hello : 2

探測間隔

rldp local bridge :0074.9c66.0fba

本機MAC地址

GigabitEthernet 0/1

port state : error

端口當(dāng)前狀態(tài)

neighbor bridge :0074.9c66.0fba

鄰居MAC

neighborport:GigabitEthernet 0/3

鄰居接口

loopdetectinformation:

action: shutdown-port

故障處理方式

state : error

檢測類型狀態(tài)

如上所示，一旦出現(xiàn)環(huán)路，很容易發(fā)現(xiàn)是在交換機1口和3口產(chǎn)生了環(huán)路。

5.在接入層交換機的所有端口，除了上聯(lián)口開啟防網(wǎng)關(guān)arp欺騙。

防網(wǎng)關(guān)ARP欺騙配置后，可以在邏輯端口上檢查ARP報文的源IP是否是我們配置的網(wǎng)關(guān)IP，防止用戶收到錯誤的ARP響應(yīng)報文。其它PC發(fā)送的假冒網(wǎng)關(guān)ARP響應(yīng)報文將被交換機過濾。

Ruijie（config）#interface gi0/1-47

Ruijie(configif)#anti-arp-spoofingip 192.168.1.215

6.在核心交換機開啟防DOS流量攻擊。

由于TCP協(xié)議存在漏洞：假設(shè)主機A和B建立TCP連接，要進(jìn)行三次握手。針對TCP協(xié)議的攻擊原理是：TCP協(xié)議三次握手沒有完成的時候，被請求端B一般都會重試（即再給A發(fā)送SYN+ACK報文）并等待一段時間，通過發(fā)送大量半連接請求，耗費CPU和內(nèi)存資源，直至服務(wù)器崩潰。服務(wù)器一旦遭受Dos攻擊可能導(dǎo)致癱瘓，業(yè)務(wù)停止。配置如下：

(1)在核心交換機上開啟防自身消耗攻擊。

ip deny invalid-14port

(2)開啟防非法TCP報文攻擊功能

ip deny invalid-tcp

(3)開啟防land攻擊

ip deny land

在Land攻擊中，一個特別打造的SYN包中的源地址和目標(biāo)地址都被設(shè)置成某一個服務(wù)器地址，這時將導(dǎo)致接受服務(wù)器向它自己的地址發(fā)送SYN-ACK消息，結(jié)果這個地址又發(fā)回ACK消息并創(chuàng)建一個空連接，每個這樣的連接都將保留直到超時掉。

7.交換機設(shè)置console口密碼、telnet密碼和進(jìn)入特權(quán)模式密碼。并且對密碼進(jìn)行加密保護(hù)。

命令如下：

Ruijie（config）#service passwordencryption

在交換機配置模式下輸入show running-config可以看到交換機所有設(shè)置的密碼顯示為密文。

實訓(xùn)中心網(wǎng)絡(luò)組網(wǎng)方案

1.醫(yī)學(xué)教育學(xué)習(xí)考核與管理系統(tǒng)軟件部署方案。實訓(xùn)中心核心交換機通過光纖與醫(yī)院信息科機房的防火墻對接，采用三層路由轉(zhuǎn)發(fā)的模式。兩個局域網(wǎng)對接前，需要將實訓(xùn)中心的網(wǎng)絡(luò)重新部署：第一，實訓(xùn)中心的網(wǎng)絡(luò)IP地址不能和醫(yī)院的任何網(wǎng)段沖突，IP需要重新規(guī)劃。第二，需要在雙方核心交換機或者防火墻就行路由配置。第三，基于安全等因素的考慮，筆者將實訓(xùn)中心網(wǎng)絡(luò)增加了vlan劃分。

2.劃分vlan，需求分析：實訓(xùn)中心需要承接大型國家考試，必須安裝網(wǎng)絡(luò)監(jiān)控系統(tǒng)。系統(tǒng)監(jiān)控設(shè)備覆蓋每層技能考試教室和走廊各個區(qū)域，按照前端監(jiān)控攝像機以大約4MB碼流計算，僅前端攝像機就有超過400MB的流量在網(wǎng)絡(luò)中傳輸。在加上網(wǎng)絡(luò)中還有大量的廣播數(shù)據(jù)包，如果服務(wù)器和這些設(shè)備在同一網(wǎng)段，服務(wù)器網(wǎng)卡會接收到多余的網(wǎng)絡(luò)廣播數(shù)據(jù)包并進(jìn)行處理，從而造成CPU的負(fù)擔(dān)?？紤]到這些因素，劃分vlan可以有效的減少廣播域，提升網(wǎng)絡(luò)性能，加快傳輸速度，保障網(wǎng)絡(luò)安全。

3.設(shè)計思路：7臺服務(wù)器單獨一個vlan，劃分網(wǎng)段vlan2：192.168.2.0網(wǎng) 段。監(jiān)控系統(tǒng)包括磁盤陣列、監(jiān)控攝像頭、錄播主機等劃分網(wǎng) 段 vlan3 ：192.168.3.0。其他安裝應(yīng)用軟件電腦劃分網(wǎng)段 vlan1：192.168.1.0網(wǎng)段。將服務(wù)器區(qū)獨立劃分一個vlan可以有效保障服務(wù)器的安全，一旦局域網(wǎng)絡(luò)中出現(xiàn)廣播風(fēng)暴，服務(wù)器將不受影響，同時也可以減少服務(wù)器處理多余數(shù)據(jù)包耗費的CPU資源。

4.交換機配置。實訓(xùn)網(wǎng)絡(luò)中心總共有8臺交換機，7臺銳捷交換機，連接服務(wù)器區(qū)是一臺華為交換機。

（1）核心交換機是一臺RG-NBS5652XG型號的交換機，配置增加三個vlan，網(wǎng)關(guān)IP分別為 192.168.1.215，192.168.2.214，192.168.3.12。在鏈路層和接入層交換機上創(chuàng)建vlan3。與監(jiān)控設(shè)備連接的所有接口劃入vlan3，其他連接PC的接口默認(rèn)劃入vlan1：

Ruijie(config-if)#switchport access vlan 3。

（2）所有交換機連接端口分別打上trunk模式。

Ruijie(configif-GigabitEthernet0/48)switchport trunk encapsulation dot1q

Ruijie(config-if-GigabitEthernet 0/48)switchport mode trunk

（3）服務(wù)器區(qū)連接的華為交換機創(chuàng)建vlan2，和vlan3。7臺服務(wù)器劃分為vlan2，監(jiān)控存儲的磁盤陣列劃分為vlan3。配置命令如下：

[huawei]system-view

[huawei]lvan2

[huawei-vlan2]port Ethernet 1/0/2

進(jìn)入vlan2，將1/0/2接口劃入vlan2，依次類推。將48端口設(shè)置為trunk，并允許vlan2和vlan3通過。

[huawei-Ethernet1/0/48]portlink-typetrunk

[huawei-Ethernet1/0/48]porttrunkallow-passvlan23

[huawei-Ethernet1/0/48]commit

（3）路由設(shè)置。在核心交換機RG-NBS5652XG上的Gig0/2接口開啟路由功能，并設(shè)置ip為192.96.10.2，信息科防火墻連接端的接口設(shè)置IP為192.96.10.1，并開啟路由功能。配置命令如下：

Ruijie(config)#ip routing

全局下開啟路由功能

Ruijie(config)#ip address 192.96.10.2 255.255.255.0

設(shè)置出口ip地址

配置靜態(tài)路由

Ruijie(config)#ip route 192.168.130.0255.255.255.0192.96.10.1

信息科防火墻需要增加三條靜態(tài)路由

iproute192.168.1.0255.255.255.0192.96.10.2

iproute192.168.2.0255.255.255.0192.96.10.2 iproute192.168.3.0255.255.255.0192.96.10.2

通過反復(fù)測試，實訓(xùn)網(wǎng)絡(luò)中心可ping通醫(yī)院網(wǎng)絡(luò)，并對醫(yī)學(xué)教育學(xué)習(xí)考核與管理軟件在全院進(jìn)行客戶端軟件安裝。軟件實施后正常運作。

5.服務(wù)器安全

（1）服務(wù)器磁盤開啟raid1鏡像功能，達(dá)到數(shù)據(jù)冗余備份，確保數(shù)據(jù)不會因為磁盤故障而丟失。服務(wù)器有兩塊磁盤以上，在磁盤管理添加鏡像卷。系統(tǒng)在將數(shù)據(jù)存儲在鏡像卷時，會將一份相同的數(shù)據(jù)同時存儲到兩個成員中。當(dāng)有一個磁盤發(fā)生故障時，系統(tǒng)仍然可以使用另一個正常磁盤內(nèi)的數(shù)據(jù)，因此具備排錯功能。在讀取鏡像卷數(shù)據(jù)時，系統(tǒng)可以同時從兩個磁盤來讀取不同部分的數(shù)據(jù)，因此可以減少讀取時間，提高讀取的效率。

（2） 數(shù)據(jù)安全。對于較為重要的軟件數(shù)據(jù)，除了在服務(wù)器磁盤開啟數(shù)據(jù)鏡像冗余功能之外，額外增加一份遠(yuǎn)程數(shù)據(jù)備份；增加數(shù)據(jù)庫和服務(wù)器的登錄密碼的復(fù)雜度；同時檢查并要求所有業(yè)務(wù)軟件具備防止SQL注入功能，確保數(shù)據(jù)安全。

6.機房安全

對于實訓(xùn)網(wǎng)絡(luò)中心機房的普通格力空調(diào)進(jìn)行改造，使其能夠達(dá)到來電自啟動。安裝海控空調(diào)來電自啟動控制器，將紅外線發(fā)射頭對準(zhǔn)空調(diào)接收面板，在控制器上設(shè)置學(xué)習(xí)模式，當(dāng)停電再來電時，控制器延時60秒發(fā)射開機指令，此時空調(diào)按照停電前預(yù)置好的工作模式（模式、溫度、風(fēng)速、風(fēng)向等）運行，實訓(xùn)中心網(wǎng)絡(luò)機房實現(xiàn)了空調(diào)來電自啟動，達(dá)到了機房自動化無人值守的管理模式。