改造醫(yī)院實訓中心網(wǎng)絡和安全部署

■ 福建省漳州市中醫(yī)院 黃飛

編者按：自筆者單位的臨床技能實驗訓練中心建成后，筆者主要負責管理臨床技能實驗訓練中心（簡稱實訓中心）。因此在改造過程中積累了關于網(wǎng)絡和安全部署的經(jīng)驗，以供參考。

實訓中心網(wǎng)絡存在的問題

問題一：客戶端電子設備多，監(jiān)控產(chǎn)生的流量較大，并且都在同一網(wǎng)段，巨大的廣播域容易產(chǎn)生廣播風暴。

問題二：SADP設備搜索軟件可搜索到同一網(wǎng)段內(nèi)的所有?？翟O備的IP地址，并且可以修改前端監(jiān)控鏡頭的IP、端口號，子網(wǎng)掩碼、網(wǎng)關甚至監(jiān)控設備的密碼等。如果海康的監(jiān)控系統(tǒng)沒有劃分為獨立的vlan，一旦被黑客利用控制，會給網(wǎng)絡監(jiān)控系統(tǒng)的帶來安全隱患。

問題三：客戶端業(yè)務電腦開放U口，很容易讓學生將U盤中帶有病毒的數(shù)據(jù)在實訓網(wǎng)絡中傳播，或者在電腦上隨意安裝其他游戲軟件。

問題四：整個網(wǎng)絡沒有殺毒軟件，沒有硬件防火墻，沒有入侵檢測系統(tǒng)、沒有銳捷RG-ESS準入認證系統(tǒng)。

問題五：實訓中心醫(yī)學教育學習考核與管理系統(tǒng)軟件需要部署到臨床各個科室讓規(guī)培學員和帶教老師使用，同時又要能在實訓考試基地舉行集中考試，這就需要將實訓中心網(wǎng)絡與醫(yī)院網(wǎng)絡聯(lián)網(wǎng)，而該方案尚未部署。

問題六：機房雖然配有供電半個小時的UPS和電池組，然而卻安裝了普通格力空調(diào)，這就使得一旦短時間停電，服務器有UPS供電不會立馬停機，但是空調(diào)卻停機了，如果遇到周末，沒有人發(fā)現(xiàn)，會造成機房溫度過高，設備損壞。

問題七：由于該項目已經(jīng)完工，如果要申請來電自啟動空調(diào)、硬件防火墻等大金額產(chǎn)品，也需要等到來年的采購計劃才能購買，然而實訓網(wǎng)絡中心要求短期內(nèi)投入使用。

部署主機安全

1.禁用每臺電腦的U口，禁用U口分為兩種情況：

第一種，如果電腦使用ps/2的鼠標，直接在主板cmos禁用U口即可。

第二種情況，如果電腦使用U口鼠標，需要在bios上設置前端U口禁用，和后端禁止USB存儲功能。同時修改Winodws注冊表，HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesusbstor的start值為 dword ：00000004，禁止USB存儲。

然后禁用注冊表。通過注冊表和bios雙層設置，并且設置bios密碼增加破解的難度，從源頭上杜絕未經(jīng)殺毒的U盤隨意接入實訓中心網(wǎng)絡，提高安全性。

2.禁用光驅(qū)和無線網(wǎng)卡。打開電腦主機箱，拔掉光驅(qū)的數(shù)據(jù)線和電源線。

與此同時，拔掉無線網(wǎng)卡，可以防止學生通過光驅(qū)隨意安裝游戲軟件，或者通過手機熱點來上網(wǎng)，可以有效防止電腦中木馬病毒的風險。

3.電腦安裝冰點還原系統(tǒng)。只要電腦一重啟，就恢復系統(tǒng)原先的配置。

4.電腦操作系統(tǒng)安裝免費360殺毒軟件，同時給系統(tǒng)打補丁，修補漏洞。

部署交換機安全

1.為了防止未經(jīng)授權的外接筆記本電腦私自通過網(wǎng)線接入交換機端口或者拔掉實訓中心電腦的網(wǎng)線連入使用，對于別有用心的黑客想通過該手段竊取數(shù)據(jù)等行為。需要對交換機做了全局綁定IP+MAC地址綁定。一旦綁定之后，沒有在交換機的IP+MAC地址表里頭的設備是無法連入網(wǎng)絡使用的。

在銳捷交換機設置如下：

Ruijie>enable

Ruijie#configure terminal

Ruijie(config)#addre ss-bind 192.168.1.10 54c4.151b.a1c3

配置IP 地址和MAC 地址的綁定關系

Ruijie(config)#addre ss-bind uplink Gi 0/24

配置地址綁定的例外端口（上聯(lián)端口）

Ruijie(config)#addre ss-bind install

使IP 和MAC 地址綁定生效

Ruijie(config)#end

Ruijie#write

確認配置正確，保存配置

2.在交換機上開啟arpcheck，可以有效的防范arp欺騙。

在全局IP+MAC地址綁定的基礎上開啟arp校驗功能，可以有效的防范ARP欺騙。 開啟ARP-CHECK后，交換機針對端口上收到的每個ARP報文都做校驗，與交換機創(chuàng)建好的安全地址數(shù)據(jù)庫做比對，如果ARP報文的Send/target的各字段與安全地址里面的一致，那么就轉發(fā)這份ARP報文，否則直接丟棄這份ARP報文，這樣非法的ARP報文無法通過交換機的某個端口進行轉發(fā)，擴散的話，就無法發(fā)送給網(wǎng)絡中的其他主機或者網(wǎng)關設備，這樣就能徹底防ARP欺騙了。

3.升級交換機的版本。由于交換機軟件的舊版本穩(wěn)定性較差，并且存在一定的bug。通過反復測試發(fā)現(xiàn)，NBS5652XG型號的交換機舊版本存在以下問題：一旦做了全局IP+MAC地址綁定之后，開啟ARP-CHECK 功能后，主機可以ping通交換機，但是彼此之間卻無法ping通。和銳捷交換機技術專家分析后，認為是RGNBS5652XG型號的交換機軟件bug問題引起的，需要進行軟件版本升級。

4.交換機開啟rldp防環(huán)檢測功能。RLDP全稱是Rapid Link Detection Protocol，是銳捷網(wǎng)絡開發(fā)的一個用于快速檢測以太網(wǎng)鏈路故障的鏈路協(xié)議。由于接入層交換機部署在各個教室的機柜，為了防止維護人員或者學生將交換機連成環(huán)路，增加問題排查的難度，因此在接入層交換機各個接終端用戶開啟rldp協(xié)議。RLDP環(huán)路檢查主要應用在如圖1所示的兩種場景。

配置命令如下：

Rujijie#configure terminal

Rujijie(config)#rldp enable

全局開啟RLDP功能

Rujijie(config)#inter face range g0/1-24

對于下聯(lián)PC或HUB的端口需要開啟，不要在接入交換機的上聯(lián)口開啟該功能

Rujijie(config-ifrange)#rldp port loopdetect shutdown-port

圖1 配置客戶端

接口開啟RLDP功能，如果檢測出環(huán)路后shutdown該端口

Rujijie(config-ifrange)#exit

Rujijie(config)#errd isable recovery interval 1800

如果端口被RLDP檢測并shutdown，再過半小時后會自動恢復，重新檢測是否有環(huán)路

Rujijie(config)#end

Rujijie#wr

開啟rldp后一旦端口出現(xiàn)環(huán)路，該端口就被關閉，不會影響整體的業(yè)務進行，但是每隔半小時環(huán)路會再次出現(xiàn)，然后rldp協(xié)議會再次關閉端口，恢復業(yè)務，將交換機恢復rldp檢測時間設置為半個小時，可以有充足的時間讓技術員進行排查。通過查看端口的rldp狀態(tài)可以很方便的發(fā)現(xiàn)問題。

命令如下：

Ruijie#show rldp

rldp state :enable

enable表示已開啟RLDP功能

rldp hello interval:3

探測時間

rldp max hello : 2

探測間隔

rldp local bridge :0074.9c66.0fba

本機MAC地址

GigabitEthernet 0/1

port state : error

端口當前狀態(tài)

neighbor bridge :0074.9c66.0fba

鄰居MAC

neighborport:GigabitEthernet 0/3

鄰居接口

loopdetectinformation:

action: shutdown-port

故障處理方式

state : error

檢測類型狀態(tài)

如上所示，一旦出現(xiàn)環(huán)路，很容易發(fā)現(xiàn)是在交換機1口和3口產(chǎn)生了環(huán)路。

5.在接入層交換機的所有端口，除了上聯(lián)口開啟防網(wǎng)關arp欺騙。

防網(wǎng)關ARP欺騙配置后，可以在邏輯端口上檢查ARP報文的源IP是否是我們配置的網(wǎng)關IP，防止用戶收到錯誤的ARP響應報文。其它PC發(fā)送的假冒網(wǎng)關ARP響應報文將被交換機過濾。

Ruijie（config）#interface gi0/1-47

Ruijie(configif)#anti-arp-spoofingip 192.168.1.215

6.在核心交換機開啟防DOS流量攻擊。

由于TCP協(xié)議存在漏洞：假設主機A和B建立TCP連接，要進行三次握手。針對TCP協(xié)議的攻擊原理是：TCP協(xié)議三次握手沒有完成的時候，被請求端B一般都會重試（即再給A發(fā)送SYN+ACK報文）并等待一段時間，通過發(fā)送大量半連接請求，耗費CPU和內(nèi)存資源，直至服務器崩潰。服務器一旦遭受Dos攻擊可能導致癱瘓，業(yè)務停止。配置如下：

(1)在核心交換機上開啟防自身消耗攻擊。

ip deny invalid-14port

(2)開啟防非法TCP報文攻擊功能

ip deny invalid-tcp

(3)開啟防land攻擊

ip deny land

在Land攻擊中，一個特別打造的SYN包中的源地址和目標地址都被設置成某一個服務器地址，這時將導致接受服務器向它自己的地址發(fā)送SYN-ACK消息，結果這個地址又發(fā)回ACK消息并創(chuàng)建一個空連接，每個這樣的連接都將保留直到超時掉。

7.交換機設置console口密碼、telnet密碼和進入特權模式密碼。并且對密碼進行加密保護。

命令如下：

Ruijie（config）#service passwordencryption

在交換機配置模式下輸入show running-config可以看到交換機所有設置的密碼顯示為密文。

實訓中心網(wǎng)絡組網(wǎng)方案

1.醫(yī)學教育學習考核與管理系統(tǒng)軟件部署方案。實訓中心核心交換機通過光纖與醫(yī)院信息科機房的防火墻對接，采用三層路由轉發(fā)的模式。兩個局域網(wǎng)對接前，需要將實訓中心的網(wǎng)絡重新部署：第一，實訓中心的網(wǎng)絡IP地址不能和醫(yī)院的任何網(wǎng)段沖突，IP需要重新規(guī)劃。第二，需要在雙方核心交換機或者防火墻就行路由配置。第三，基于安全等因素的考慮，筆者將實訓中心網(wǎng)絡增加了vlan劃分。

2.劃分vlan，需求分析：實訓中心需要承接大型國家考試，必須安裝網(wǎng)絡監(jiān)控系統(tǒng)。系統(tǒng)監(jiān)控設備覆蓋每層技能考試教室和走廊各個區(qū)域，按照前端監(jiān)控攝像機以大約4MB碼流計算，僅前端攝像機就有超過400MB的流量在網(wǎng)絡中傳輸。在加上網(wǎng)絡中還有大量的廣播數(shù)據(jù)包，如果服務器和這些設備在同一網(wǎng)段，服務器網(wǎng)卡會接收到多余的網(wǎng)絡廣播數(shù)據(jù)包并進行處理，從而造成CPU的負擔?？紤]到這些因素，劃分vlan可以有效的減少廣播域，提升網(wǎng)絡性能，加快傳輸速度，保障網(wǎng)絡安全。

3.設計思路：7臺服務器單獨一個vlan，劃分網(wǎng)段vlan2：192.168.2.0網(wǎng) 段。監(jiān)控系統(tǒng)包括磁盤陣列、監(jiān)控攝像頭、錄播主機等劃分網(wǎng) 段 vlan3 ：192.168.3.0。其他安裝應用軟件電腦劃分網(wǎng)段 vlan1：192.168.1.0網(wǎng)段。將服務器區(qū)獨立劃分一個vlan可以有效保障服務器的安全，一旦局域網(wǎng)絡中出現(xiàn)廣播風暴，服務器將不受影響，同時也可以減少服務器處理多余數(shù)據(jù)包耗費的CPU資源。

4.交換機配置。實訓網(wǎng)絡中心總共有8臺交換機，7臺銳捷交換機，連接服務器區(qū)是一臺華為交換機。

（1）核心交換機是一臺RG-NBS5652XG型號的交換機，配置增加三個vlan，網(wǎng)關IP分別為 192.168.1.215，192.168.2.214，192.168.3.12。在鏈路層和接入層交換機上創(chuàng)建vlan3。與監(jiān)控設備連接的所有接口劃入vlan3，其他連接PC的接口默認劃入vlan1：

Ruijie(config-if)#switchport access vlan 3。

（2）所有交換機連接端口分別打上trunk模式。

Ruijie(configif-GigabitEthernet0/48)switchport trunk encapsulation dot1q

Ruijie(config-if-GigabitEthernet 0/48)switchport mode trunk

（3）服務器區(qū)連接的華為交換機創(chuàng)建vlan2，和vlan3。7臺服務器劃分為vlan2，監(jiān)控存儲的磁盤陣列劃分為vlan3。配置命令如下：

[huawei]system-view

[huawei]lvan2

[huawei-vlan2]port Ethernet 1/0/2

進入vlan2，將1/0/2接口劃入vlan2，依次類推。將48端口設置為trunk，并允許vlan2和vlan3通過。

[huawei-Ethernet1/0/48]portlink-typetrunk

[huawei-Ethernet1/0/48]porttrunkallow-passvlan23

[huawei-Ethernet1/0/48]commit

（3）路由設置。在核心交換機RG-NBS5652XG上的Gig0/2接口開啟路由功能，并設置ip為192.96.10.2，信息科防火墻連接端的接口設置IP為192.96.10.1，并開啟路由功能。配置命令如下：

Ruijie(config)#ip routing

全局下開啟路由功能

Ruijie(config)#ip address 192.96.10.2 255.255.255.0

設置出口ip地址

配置靜態(tài)路由

Ruijie(config)#ip route 192.168.130.0255.255.255.0192.96.10.1

信息科防火墻需要增加三條靜態(tài)路由

iproute192.168.1.0255.255.255.0192.96.10.2

iproute192.168.2.0255.255.255.0192.96.10.2 iproute192.168.3.0255.255.255.0192.96.10.2

通過反復測試，實訓網(wǎng)絡中心可ping通醫(yī)院網(wǎng)絡，并對醫(yī)學教育學習考核與管理軟件在全院進行客戶端軟件安裝。軟件實施后正常運作。

5.服務器安全

（1）服務器磁盤開啟raid1鏡像功能，達到數(shù)據(jù)冗余備份，確保數(shù)據(jù)不會因為磁盤故障而丟失。服務器有兩塊磁盤以上，在磁盤管理添加鏡像卷。系統(tǒng)在將數(shù)據(jù)存儲在鏡像卷時，會將一份相同的數(shù)據(jù)同時存儲到兩個成員中。當有一個磁盤發(fā)生故障時，系統(tǒng)仍然可以使用另一個正常磁盤內(nèi)的數(shù)據(jù)，因此具備排錯功能。在讀取鏡像卷數(shù)據(jù)時，系統(tǒng)可以同時從兩個磁盤來讀取不同部分的數(shù)據(jù)，因此可以減少讀取時間，提高讀取的效率。

（2） 數(shù)據(jù)安全。對于較為重要的軟件數(shù)據(jù)，除了在服務器磁盤開啟數(shù)據(jù)鏡像冗余功能之外，額外增加一份遠程數(shù)據(jù)備份；增加數(shù)據(jù)庫和服務器的登錄密碼的復雜度；同時檢查并要求所有業(yè)務軟件具備防止SQL注入功能，確保數(shù)據(jù)安全。

6.機房安全

對于實訓網(wǎng)絡中心機房的普通格力空調(diào)進行改造，使其能夠達到來電自啟動。安裝?？乜照{(diào)來電自啟動控制器，將紅外線發(fā)射頭對準空調(diào)接收面板，在控制器上設置學習模式，當停電再來電時，控制器延時60秒發(fā)射開機指令，此時空調(diào)按照停電前預置好的工作模式（模式、溫度、風速、風向等）運行，實訓中心網(wǎng)絡機房實現(xiàn)了空調(diào)來電自啟動，達到了機房自動化無人值守的管理模式。