改造醫院實訓中心網絡和安全部署

■ 福建省漳州市中醫院 黃飛

編者按：自筆者單位的臨床技能實驗訓練中心建成后，筆者主要負責管理臨床技能實驗訓練中心（簡稱實訓中心）。因此在改造過程中積累了關于網絡和安全部署的經驗，以供參考。

實訓中心網絡存在的問題

問題一：客戶端電子設備多，監控產生的流量較大，并且都在同一網段，巨大的廣播域容易產生廣播風暴。

問題二：SADP設備搜索軟件可搜索到同一網段內的所有海康設備的IP地址，并且可以修改前端監控鏡頭的IP、端口號，子網掩碼、網關甚至監控設備的密碼等。如果海康的監控系統沒有劃分為獨立的vlan，一旦被黑客利用控制，會給網絡監控系統的帶來安全隱患。

問題三：客戶端業務電腦開放U口，很容易讓學生將U盤中帶有病毒的數據在實訓網絡中傳播，或者在電腦上隨意安裝其他游戲軟件。

問題四：整個網絡沒有殺毒軟件，沒有硬件防火墻，沒有入侵檢測系統、沒有銳捷RG-ESS準入認證系統。

問題五：實訓中心醫學教育學習考核與管理系統軟件需要部署到臨床各個科室讓規培學員和帶教老師使用，同時又要能在實訓考試基地舉行集中考試，這就需要將實訓中心網絡與醫院網絡聯網，而該方案尚未部署。

問題六：機房雖然配有供電半個小時的UPS和電池組，然而卻安裝了普通格力空調，這就使得一旦短時間停電，服務器有UPS供電不會立馬停機，但是空調卻停機了，如果遇到周末，沒有人發現，會造成機房溫度過高，設備損壞。

問題七：由于該項目已經完工，如果要申請來電自啟動空調、硬件防火墻等大金額產品，也需要等到來年的采購計劃才能購買，然而實訓網絡中心要求短期內投入使用。

部署主機安全

1.禁用每臺電腦的U口，禁用U口分為兩種情況：

第一種，如果電腦使用ps/2的鼠標，直接在主板cmos禁用U口即可。

第二種情況，如果電腦使用U口鼠標，需要在bios上設置前端U口禁用，和后端禁止USB存儲功能。同時修改Winodws注冊表，HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesusbstor的start值為 dword ：00000004，禁止USB存儲。

然后禁用注冊表。通過注冊表和bios雙層設置，并且設置bios密碼增加破解的難度，從源頭上杜絕未經殺毒的U盤隨意接入實訓中心網絡，提高安全性。

2.禁用光驅和無線網卡。打開電腦主機箱，拔掉光驅的數據線和電源線。

與此同時，拔掉無線網卡，可以防止學生通過光驅隨意安裝游戲軟件，或者通過手機熱點來上網，可以有效防止電腦中木馬病毒的風險。

3.電腦安裝冰點還原系統。只要電腦一重啟，就恢復系統原先的配置。

4.電腦操作系統安裝免費360殺毒軟件，同時給系統打補丁，修補漏洞。

部署交換機安全

1.為了防止未經授權的外接筆記本電腦私自通過網線接入交換機端口或者拔掉實訓中心電腦的網線連入使用，對于別有用心的黑客想通過該手段竊取數據等行為。需要對交換機做了全局綁定IP+MAC地址綁定。一旦綁定之后，沒有在交換機的IP+MAC地址表里頭的設備是無法連入網絡使用的。

在銳捷交換機設置如下：

Ruijie>enable

Ruijie#configure terminal

Ruijie(config)#addre ss-bind 192.168.1.10 54c4.151b.a1c3

配置IP 地址和MAC 地址的綁定關系

Ruijie(config)#addre ss-bind uplink Gi 0/24

配置地址綁定的例外端口（上聯端口）

Ruijie(config)#addre ss-bind install

使IP 和MAC 地址綁定生效

Ruijie(config)#end

Ruijie#write

確認配置正確，保存配置

2.在交換機上開啟arpcheck，可以有效的防范arp欺騙。

在全局IP+MAC地址綁定的基礎上開啟arp校驗功能，可以有效的防范ARP欺騙。 開啟ARP-CHECK后，交換機針對端口上收到的每個ARP報文都做校驗，與交換機創建好的安全地址數據庫做比對，如果ARP報文的Send/target的各字段與安全地址里面的一致，那么就轉發這份ARP報文，否則直接丟棄這份ARP報文，這樣非法的ARP報文無法通過交換機的某個端口進行轉發，擴散的話，就無法發送給網絡中的其他主機或者網關設備，這樣就能徹底防ARP欺騙了。

3.升級交換機的版本。由于交換機軟件的舊版本穩定性較差，并且存在一定的bug。通過反復測試發現，NBS5652XG型號的交換機舊版本存在以下問題：一旦做了全局IP+MAC地址綁定之后，開啟ARP-CHECK 功能后，主機可以ping通交換機，但是彼此之間卻無法ping通。和銳捷交換機技術專家分析后，認為是RGNBS5652XG型號的交換機軟件bug問題引起的，需要進行軟件版本升級。

4.交換機開啟rldp防環檢測功能。RLDP全稱是Rapid Link Detection Protocol，是銳捷網絡開發的一個用于快速檢測以太網鏈路故障的鏈路協議。由于接入層交換機部署在各個教室的機柜，為了防止維護人員或者學生將交換機連成環路，增加問題排查的難度，因此在接入層交換機各個接終端用戶開啟rldp協議。RLDP環路檢查主要應用在如圖1所示的兩種場景。

配置命令如下：

Rujijie#configure terminal

Rujijie(config)#rldp enable

全局開啟RLDP功能

Rujijie(config)#inter face range g0/1-24

對于下聯PC或HUB的端口需要開啟，不要在接入交換機的上聯口開啟該功能

Rujijie(config-ifrange)#rldp port loopdetect shutdown-port

圖1 配置客戶端

接口開啟RLDP功能，如果檢測出環路后shutdown該端口

Rujijie(config-ifrange)#exit

Rujijie(config)#errd isable recovery interval 1800

如果端口被RLDP檢測并shutdown，再過半小時后會自動恢復，重新檢測是否有環路

Rujijie(config)#end

Rujijie#wr

開啟rldp后一旦端口出現環路，該端口就被關閉，不會影響整體的業務進行，但是每隔半小時環路會再次出現，然后rldp協議會再次關閉端口，恢復業務，將交換機恢復rldp檢測時間設置為半個小時，可以有充足的時間讓技術員進行排查。通過查看端口的rldp狀態可以很方便的發現問題。

命令如下：

Ruijie#show rldp

rldp state :enable

enable表示已開啟RLDP功能

rldp hello interval:3

探測時間

rldp max hello : 2

探測間隔

rldp local bridge :0074.9c66.0fba

本機MAC地址

GigabitEthernet 0/1

port state : error

端口當前狀態

neighbor bridge :0074.9c66.0fba

鄰居MAC

neighborport:GigabitEthernet 0/3

鄰居接口

loopdetectinformation:

action: shutdown-port

故障處理方式

state : error

檢測類型狀態

如上所示，一旦出現環路，很容易發現是在交換機1口和3口產生了環路。

5.在接入層交換機的所有端口，除了上聯口開啟防網關arp欺騙。

防網關ARP欺騙配置后，可以在邏輯端口上檢查ARP報文的源IP是否是我們配置的網關IP，防止用戶收到錯誤的ARP響應報文。其它PC發送的假冒網關ARP響應報文將被交換機過濾。

Ruijie（config）#interface gi0/1-47

Ruijie(configif)#anti-arp-spoofingip 192.168.1.215

6.在核心交換機開啟防DOS流量攻擊。

由于TCP協議存在漏洞：假設主機A和B建立TCP連接，要進行三次握手。針對TCP協議的攻擊原理是：TCP協議三次握手沒有完成的時候，被請求端B一般都會重試（即再給A發送SYN+ACK報文）并等待一段時間，通過發送大量半連接請求，耗費CPU和內存資源，直至服務器崩潰。服務器一旦遭受Dos攻擊可能導致癱瘓，業務停止。配置如下：

(1)在核心交換機上開啟防自身消耗攻擊。

ip deny invalid-14port

(2)開啟防非法TCP報文攻擊功能

ip deny invalid-tcp

(3)開啟防land攻擊

ip deny land

在Land攻擊中，一個特別打造的SYN包中的源地址和目標地址都被設置成某一個服務器地址，這時將導致接受服務器向它自己的地址發送SYN-ACK消息，結果這個地址又發回ACK消息并創建一個空連接，每個這樣的連接都將保留直到超時掉。

7.交換機設置console口密碼、telnet密碼和進入特權模式密碼。并且對密碼進行加密保護。

命令如下：

Ruijie（config）#service passwordencryption

在交換機配置模式下輸入show running-config可以看到交換機所有設置的密碼顯示為密文。

實訓中心網絡組網方案

1.醫學教育學習考核與管理系統軟件部署方案。實訓中心核心交換機通過光纖與醫院信息科機房的防火墻對接，采用三層路由轉發的模式。兩個局域網對接前，需要將實訓中心的網絡重新部署：第一，實訓中心的網絡IP地址不能和醫院的任何網段沖突，IP需要重新規劃。第二，需要在雙方核心交換機或者防火墻就行路由配置。第三，基于安全等因素的考慮，筆者將實訓中心網絡增加了vlan劃分。

2.劃分vlan，需求分析：實訓中心需要承接大型國家考試，必須安裝網絡監控系統。系統監控設備覆蓋每層技能考試教室和走廊各個區域，按照前端監控攝像機以大約4MB碼流計算，僅前端攝像機就有超過400MB的流量在網絡中傳輸。在加上網絡中還有大量的廣播數據包，如果服務器和這些設備在同一網段，服務器網卡會接收到多余的網絡廣播數據包并進行處理，從而造成CPU的負擔。考慮到這些因素，劃分vlan可以有效的減少廣播域，提升網絡性能，加快傳輸速度，保障網絡安全。

3.設計思路：7臺服務器單獨一個vlan，劃分網段vlan2：192.168.2.0網 段。監控系統包括磁盤陣列、監控攝像頭、錄播主機等劃分網 段 vlan3 ：192.168.3.0。其他安裝應用軟件電腦劃分網段 vlan1：192.168.1.0網段。將服務器區獨立劃分一個vlan可以有效保障服務器的安全，一旦局域網絡中出現廣播風暴，服務器將不受影響，同時也可以減少服務器處理多余數據包耗費的CPU資源。

4.交換機配置。實訓網絡中心總共有8臺交換機，7臺銳捷交換機，連接服務器區是一臺華為交換機。

（1）核心交換機是一臺RG-NBS5652XG型號的交換機，配置增加三個vlan，網關IP分別為 192.168.1.215，192.168.2.214，192.168.3.12。在鏈路層和接入層交換機上創建vlan3。與監控設備連接的所有接口劃入vlan3，其他連接PC的接口默認劃入vlan1：

Ruijie(config-if)#switchport access vlan 3。

（2）所有交換機連接端口分別打上trunk模式。

Ruijie(configif-GigabitEthernet0/48)switchport trunk encapsulation dot1q

Ruijie(config-if-GigabitEthernet 0/48)switchport mode trunk

（3）服務器區連接的華為交換機創建vlan2，和vlan3。7臺服務器劃分為vlan2，監控存儲的磁盤陣列劃分為vlan3。配置命令如下：

[huawei]system-view

[huawei]lvan2

[huawei-vlan2]port Ethernet 1/0/2

進入vlan2，將1/0/2接口劃入vlan2，依次類推。將48端口設置為trunk，并允許vlan2和vlan3通過。

[huawei-Ethernet1/0/48]portlink-typetrunk

[huawei-Ethernet1/0/48]porttrunkallow-passvlan23

[huawei-Ethernet1/0/48]commit

（3）路由設置。在核心交換機RG-NBS5652XG上的Gig0/2接口開啟路由功能，并設置ip為192.96.10.2，信息科防火墻連接端的接口設置IP為192.96.10.1，并開啟路由功能。配置命令如下：

Ruijie(config)#ip routing

全局下開啟路由功能

Ruijie(config)#ip address 192.96.10.2 255.255.255.0

設置出口ip地址

配置靜態路由

Ruijie(config)#ip route 192.168.130.0255.255.255.0192.96.10.1

信息科防火墻需要增加三條靜態路由

iproute192.168.1.0255.255.255.0192.96.10.2

iproute192.168.2.0255.255.255.0192.96.10.2 iproute192.168.3.0255.255.255.0192.96.10.2

通過反復測試，實訓網絡中心可ping通醫院網絡，并對醫學教育學習考核與管理軟件在全院進行客戶端軟件安裝。軟件實施后正常運作。

5.服務器安全

（1）服務器磁盤開啟raid1鏡像功能，達到數據冗余備份，確保數據不會因為磁盤故障而丟失。服務器有兩塊磁盤以上，在磁盤管理添加鏡像卷。系統在將數據存儲在鏡像卷時，會將一份相同的數據同時存儲到兩個成員中。當有一個磁盤發生故障時，系統仍然可以使用另一個正常磁盤內的數據，因此具備排錯功能。在讀取鏡像卷數據時，系統可以同時從兩個磁盤來讀取不同部分的數據，因此可以減少讀取時間，提高讀取的效率。

（2） 數據安全。對于較為重要的軟件數據，除了在服務器磁盤開啟數據鏡像冗余功能之外，額外增加一份遠程數據備份；增加數據庫和服務器的登錄密碼的復雜度；同時檢查并要求所有業務軟件具備防止SQL注入功能，確保數據安全。

6.機房安全

對于實訓網絡中心機房的普通格力空調進行改造，使其能夠達到來電自啟動。安裝海控空調來電自啟動控制器，將紅外線發射頭對準空調接收面板，在控制器上設置學習模式，當停電再來電時，控制器延時60秒發射開機指令，此時空調按照停電前預置好的工作模式（模式、溫度、風速、風向等）運行，實訓中心網絡機房實現了空調來電自啟動，達到了機房自動化無人值守的管理模式。