《医院网络方案.doc》由会员分享,可在线阅读,更多相关《医院网络方案.doc(25页珍藏版)》请在三一文库上搜索。
1、网络解决方案目录1.概述51.1.应用需求分析51.2.物理连接需求61.2.1.桌面接入61.2.2.骨干传输61.2.3.链路需求分析62.网络设计方案62.1.技术方案总体设计目标62.1.1.总体规划、逐步实施62.1.2.实用性与先进性结合62.1.3.实现可靠性和稳定性62.1.4.高度重视安全性72.1.5.强调扩充性和延展性72.1.6.具有简洁性和灵活性:82.1.7.强调易管理和维护性:82.1.8.虚拟网功能:82.2.技术方案设计原则82.2.1.层次化原则82.2.2.标准化原则92.3.具体设计说明102.3.1.局域网设计102.3.2.广域网设计102.4.VP
2、N网络构架拓朴图:11中心:12分区:132.4.1.技术性能说明132.5.IP 地址规划142.5.1.IP地址规划背景142.5.2.IP地址分配原则143.网络安全技术方案设计153.1.网络安全设计概述153.2.设备自身安全的保护163.3.网络基础设施安全防护193.4.网络基础设施集成的安全防护技术203.4.1.端口安全控制技术Port Security203.4.2.DHCP窥探保护DHCP Snooping213.4.3.IP源地址保护技术IP Source Guard233.4.4.基于网络的应用识别定位病毒NBAR244.网络平台概述244.1.网络特点及功能24 1
3、. 概述 如今的信息网络已经成为非常复杂的系统工程,包括各种技术和设备,如网络设备、服务器、微机及专用设备、各种系统软件、通信软件、教学培训软件、办公管理 软件以及多媒体应用等,它们受到整个项目的功能要求、工作环境、可靠性、扩展性、经费预算、开发周期等具体情况的制约,需要有针对性地选用适宜的设备(品 牌、型号、规格、指标、价格等),同时运用恰当的技术手段和依据一定的规范,把它们有机地组合与集成起来,收到总体最佳的效果。 由于计算机网络地位和作用,各企业对计算机的功能和网络性能要求越来越高,系统结构、技术设计、设备供货、安装调试和售后服务的复杂程度和技术难度都大为 提高,必须运用系统工程的思想,
4、借助全面的技术和丰富的工程经验,密切针对实际需求,通过系统集成来综合选择设备,配置系统,才能取得最佳的性能、最有效 的价格和长期的效益。 1.1. 应用需求分析 医院的网络同时承载着多样的网络应用:日常网络办公,门诊挂号内部数据服务器的文件交互,各区间数据采集交互。要求网络具有高性能、高可用性和高安全性。 通过internet 的高速连接,数据的上传与下载传输、门诊病历应用服务器对外提供相关的业务应用,为县区数据应用提供快速、安全的有效连接。 能对不同用户的使用情况加以策略控制,例如到Internet 的访问或者相关服务器,对于不同的时间段加以管理。对服务器访问控制保障了敏感数据的安全性,对i
5、nternet访问的合理控制,保障了内部网络的安全性。 另外针对一些特属的应用能进行记录,以便事后查看,能够定位到IP地址以及用户所连接的端口和使用的PC机。同时要求基于不同的应用:网络下载、在线医疗视频点播等一些应用提供速率限制。 另外在设备支持上要求:网络设备集成的安全性的IPsec VPN,要求第2 层和第3 层的QoS;网络规模在不断扩大中,用户数在持续增加,要求网络具有很好的扩展性以及高效的稳定性。1.2. 物理连接需求1.2.1. 桌面接入随着桌面PC及多种业务的高速发展,PC提供10/100M接入保障局域网内无阻塞高速数据访问。1.2.2. 骨干传输医院网络系统内部传输主干的数据
6、主要来自服务器存贮应用间的交互,中心网络随着今后分支点不断扩增数据流大,因此线路负载大,产品需成熟可靠。1.2.3. 链路需求分析a)网络系统中心位于医院住院部三楼,通过电信租用光纤固定IP地址接入Internet。b)门诊楼为整个建筑的裙楼。垂直系统采用6芯多模光缆,水平系统采用超五类双绞线。楼层工作间每层都有,中心机房预留电信运营商接口。2. 网络设计方案2.1. 技术方案总体设计目标2.1.1. 总体规划、逐步实施根据需求和投资力度,充分考虑到当前组网最新技术,确定建网规模和组网方案,依据轻重缓急分阶段逐步实施。2.1.2. 实用性与先进性结合网络系统设计应能满足当前的业务需要,同时又要
7、考虑到未来的发展。要使网络系统为应用系统提供统一的接口,屏蔽因具体计算机硬件和网络不同而造成的差异。同时要考虑易于操作性,确保使用技术成熟的网络设备和通信技术,同时要考虑对现有设备和资源的充分利用,保护原有的投资。在满足适用性的基础上,网络系统设计尽量采用先进的网络技术及通信设备,以适应内部大量数据传输以及多媒体信息的传输。所采用的网络技术应具有长足的发展潜力,以适应未来新的应用系统和网络技术的发展。2.1.3. 实现可靠性和稳定性网络可靠性和稳定性直接关系到应用的好坏,网络系统的故障可能直接给应用带来灾难性的损失。网络系统要有较高的可靠性,各级网络应具有网络监督和管理能力,要充分考虑设备和线
8、路的容错机制和冗余,能够在线修复、更换和扩充。网络的可靠性主要是防止在网络上出现单个破损点,即避免因某一点出现故障,如某一个设备或某条线路出现故障而对整个应用系统产生影响。支持多媒体信息传送、INTERNET浏览、应用系统的应用服务器时时连接等信息系统运行的局域网是县医院网络系统的重要基础设施,必须保证全天候不间断地工作。2.1.4. 高度重视安全性在网络信息安全措施上,绝对保证数据在传输和处理过程的安全性,做到不丢失、不泄露、不损坏。利用防火墙,对信息进行过滤,高度重视网络的安全问题,防止黑客的入侵对网络应用造成的破坏。网络安全性包括:网络层的安全性;系统的安全性;用户的安全性;应用程序的安
9、全性;数据的安全性。我国对网络安全高度重视,对防火墙系统、网关、代理服务器和路由器等都有相应的安全技术要求。办公楼网络要具有多层次的、基于策略的安全保护措施。2.1.5. 强调扩充性和延展性可扩充性和可延展性主要包括两个方面的内容:一是为网络将扩充新节点和新分支预先作好硬件、软件和管理接口。二是网络必须具有升级能力,能够适应网络新技术发展的要求,从而为将来全部网络升级到其他更新的网络技术作好准备。在保证网络系统的有效性和实用性的同时,应充分考虑到网络的可扩展性,即保证网络若干年不落后。因此在设计网络时,并不是一味追求高配置、高速率,而是在保证网络先进性的同时,选择具有良好扩展性和升级能力的网络
10、设备,设计出具有良好扩展性的网络拓扑,以保证整个网络系统的扩展性和升级能力。这具体表现在以下几个方面:选用了具有良好开放性的网络协议和平台,易于扩充、升级。用户端的网络操作系统选用了适合于多种媒体访问技术和多种高层协议的系统。用户端系统采用结构化布线,并利用交换机(Switch)组网。这样可方便地通过交换机(Switch)端口的级联、插板以及堆叠等方式增加网络工作站,并通过更换提高网络的传输速率。随着网络应用的规划扩大,系统应能在不影响用户使用的前提下扩充网络规模。通过增加或更换网络设备的个别模块或软件,即可方便地升级到更高的主干速率、新的广域网连接方式等技术,与未来新的国际标准平滑衔接。采用
11、支持国际标准及工业标准化的产品,能与当今世界上主要网络厂商的主流产品互连。2.1.6. 具有简洁性和灵活性:网络拓扑结构简洁,软硬件按需灵活配置;2.1.7. 强调易管理和维护性:对于这样一个复杂的系统,其网络的维护和管理十分重要,这直接关系到整个网络的稳定性和可靠性。网络设计时,应采用统一的建网模式、采用结构清晰的网络拓扑外,采用一套具有强有力的网络管理能力的网络管理软件,实现全网的监测、资源分配管理、负荷调节、故障定位等功能,并具有良好的人机操作界面。2.1.8. 虚拟网功能:由于医院网络系统有多个部门和应用系统,而且有些单位业务相同,但地理是分布的,所以网络系统的设计应能实现虚拟网的划分
12、,并且虚拟网的划分应能基于多种方法以便灵活配置,这样才能很好地保证网络系统及应用系统的安全性、数据可靠性等。2.2. 技术方案设计原则2.2.1. 层次化原则在未来网络架构设计中,为了实现一个可管理的、可靠的、高性能网络,我们将采用层次化的方法,将网络分为核心层、汇聚层和接入层三个层次进行设计。这种层次结构划分方法也是目前国内外网络建设中普遍采用的网络拓扑结构。在这种结构下,三个层次的网络设备各司其职又相互协同工作,从而有效保证了整个网络的高可靠性、高性能、高安全性和灵活的扩展性。拓扑结构如下图所示:其每一层的网络设备功能描述如下: 核心层:提供高速的三层交换骨干核心层不进行终端系统的连接;核
13、心层少用或不实施影响高速交换性能的ACL等功能。 汇聚层:作为接入层和核心层的分界层,分布层完成以下的功能:本功能区VLAN 间的路由;IP地址或路由区域的汇聚; 接入层:提供Layer2或Layer3的网络接入,通过VLAN定义实现接入的隔离。网络接入层具有以下特点:接入层接入端口规划容量根据实际使用情况具有一定的扩展性;2.2.2. 标准化原则网络设计中所用的各种管理信令、接口规程、协议须符合国际标准,便于扩展和网络的互连互通。支持国际上各种通用标准的网络协议和标准等,支持大型的动态路由协议,支持策略路由功能。保证与其它网络(如互联网等)之间的平滑连接。 2.3. 具体设计说明2.3.1.
14、 局域网设计中心主干网络设备的选择是非常关键的。网络设备的选择关系到整个系统的投资是否得到有效的保护、将来的升级能力和系统的兼容性。而且要满足大数据流和多业务流的传输,使主干不会成为网络的瓶颈。因此,我们建议中心交换机选用cisco6506。其他各接入层交换机作为二级接入,中心交换机与各楼层交换机的连接均为1000Mbps相连。主干网络的设计主要包括两方面的内容:一个好的网络拓朴结构可大大提高整体网络的性能、可靠性和效率。根据机房业务需求和地理集中的特点,建议采用星状网络拓朴结构,中心交换,逐级分层。即保证了网络的可扩展性,又提高了网络的稳定性。对于网络技术,尽量选用成熟而先进的网络技术,另外
15、其性能价格比也是一个重要的因素。目前千兆以太网和Wan专线技术是当今常用的主干网络技术,但Wan专线价格高昂,而千兆以太网是建立在以太网协议上,速度在快速以太网基础之上又提高了10倍,即1000Mbps,这一介质访问控制和物理接口(PHY)已成为局域网主干和服务器连接的标准。 千兆以太网的主要技术特点:1)从数据链路层往上,千兆以太网与以太网是相同的;千兆以太网只是在物理层通过结合IEEE802.3以太网和ANSI X3T11光纤通道技术,来使速度达到1Gbps;2)IEEE802.3以太网帧格式向后兼容,并支持全双工模式;3)目前交换机与交换机之间的连接的规范是采用光纤传输介质: 在多模光纤
16、上的短波激光 (1000Base SX)传输;4)目前千兆以太网(核心交换机)用作主干的唯一的不足是传输距离有限,但对于范围有限的服务器应用系统来说是非常合适的。根据机房的实际情况及客户的要求,我们建议主干网采用千兆以太网技术。2.3.2. 广域网设计系统网络中心:县医院数据中心新申请一条光纤接入Internet,现有企业接入4-10M不等,或者更高的带宽。县区门诊机构:考虑的线路成本问题,我们采用DSL线路,ADSL现为普通的接入Internet 方法,线路费用比较便宜。新建立的VPN隧道只负责本次业务流量,各地的VPN路由器可采购比较低但不失安全及扩展性,价格较低。ADSL的线路县医院稳定
17、性还可以,其它地市的的稳定性待考查,另有些运营商会在特定的时间段时强制中断ADSL线路一次,造成ADSL的重新连接。不可保证24小无中断,VPN隧道的稳定性以ADSL的稳定性为基础。2.4. VPN网络构架拓朴图:中心:分区:2.4.1. 技术性能说明方案中选用的Cisco设备主要性能说明如下:交换机:主干交换机Catalyst3560具有最高达32Gbps交换矩阵,L2/L3分组转发率达13Mpps,两上联光口槽。安全部分:ASA5500防火墙交换处理能力达750Mbps,AIP-SSM入侵检测模块在线处理能力达650Mbps,最大会话数650,000。VPN接入部分:Cisco2800路由
18、器, 集成的100M以太网接口。2.5. IP 地址规划良好的网络拓扑结构和网络地址规划是网络稳定、安全、高速、高效运行的基础,合理、统一地规划和分配IP地址和子网,以利于网络路由的迭合,减少路由表的大小和复杂性,提高三层路由的效率以及网络的性能和稳定性。2.5.1. IP地址规划背景IP地址是TCP/IP协议族中的网络层逻辑地址,它被用来唯一地标识网络中的一个节点,TCP/IP协议已经成为计算机网络的事实上的国际标准。为了保证全球的IP地址唯一性,所有想与Internet连接的企业需要向Internet的地址分配组织:IANA(InternetAssignedNumberAuthority)
19、申请合法的IP地址或使用IANA分配的专有IP地址;Internet的地址分配组织:IANA在地址的分配中,保留了三个IP地址块作为企业的专有地址:10.0.0.0-10.255.255.255172.16.0.0-172.31.255.255192.168.0.0-192.168.255.2552.5.2. IP地址分配原则 IP地址的分配应遵循以下几个原则:唯一性:一个IP网络中不能有两个主机采用相同的IP地址简单性:地址分配应简单易于管理,降低网络扩展的复杂性,简化路由表的款项连续性:连续地址在层次结构网络中易于进行路径叠合,大大缩减路由表,提高路由算法的效率可扩展性:地址分配在每一层次
20、上都要留有余量,在网络规模扩展时能保证地址叠合所需的连续性灵活性:地址分配应具有灵活性,以满足多种路由策略的优化,充分利用地址空间良好的IP网络地址规划主要有以下优点:便于网络的统一管理、监控,提高网络的安全性和可靠性便于网络的扩展,在网络的扩展过程中只需对网络拓扑进行局部的改动,不会对整个网络产生任何影响。便于网络路由聚类,减少路由表的数量,提高网络的运行效率,减少对路由器CPU、内存的消耗。网络IP地址规划的建议为了有效地利用地址空间,我们可以对IP地址进行子网划分,可采用变长子网掩码技术(VLSM VariableLengthSubnetMask)和路径叠合技术(RouteSummari
21、zation) , 有效地利用地址空间, 同时能满足路由协议的要求,提高路由算法的效率,加快路由变化的收敛速度。 对于网络 IP地址的规划也应遵循层次式分配原则,按照连续地址块划分。使用变长子网掩码 (VLSM) 技术,对地址块进行层层分割,然后逐层分配给各个楼层和业务区域 。这样,一方面可以充分利用IP地址资源,满足各项业务的需要,另一方面也便于通过路由汇聚压缩路由表尺寸,提高交换机的效率,限制路由变化的影响范围,从而提高路由的稳定性。3. 网络安全技术方案设计3.1. 网络安全设计概述从系统角度来看,网络安全不是一个简单的产品问题,网络安全首先是个系统问题。从技术角度而言,网络安全主要应考
22、虑以下几个方面:设备安全网络中应该重点保护的设备,设备出现安全问题时对整个网络的影响力,以及设备本身对安全攻击的抵抗和处理能力。 身份鉴别与授权身份包括鉴别和授权。鉴别回答了“你是谁”和“你在哪?”这两个问题,授权回答“你可以访问什么”。需要对身份机制谨慎部署,否则即便是最严谨的安全策略也有可能被避开。 边界安全边界安全涉及到防火墙种类的功能,决定网络的不同区域允许或拒绝何种业务,特别是在Internet和主干网或拨入网之间。 数据的保密性和完整性数据的保密性指的是确保只有获准能够阅读数据的实体以有效的形式阅读数据,而数据完整性指的是确保数据在传输过程中未被改动。 安全监测为检验安全基础设施的
23、有效性,应经常进行定期的安全审查,包括新系统安装检查,发现恶意入侵行为,出现的特殊问题(拒绝业务攻击)以及对安全策略是否全面遵守等方面。 策略管理由于网络安全涉及到以上的多个方面,每一个方面都使用多种产品和技术,对这些产品进行集中有效的管理可以帮助网络管理者有效地部署和更新自己的安全策略。具有一个统一的安全策略对安全防范的实施非常有帮助,Cisco在网络方面提出一个完整的安全解决方案。3.2. 设备自身安全的保护根据此次项目涉及的网络设备,建议需要重点考虑保护的设备为核心路由器和核心层交换机。对设备本身的安全保护建议作如下考虑:用户口令的认证,可通过Cisco设备进行本地认证或Radius、T
24、ACACS用户级别的划分,将可进入到设备的管理用户分为多个级别,对不同级别的用户具有不通的访问权限。设置log记录,对网络设备的任何有效配置和改动均需要相应的记录。为了阻止伪装成特定类型的控制数据包直插网络心脏的类似威胁,Cisco IOS软件在路由器上提供了可编程的监管功能,以限制目的地为控制层面处理器的流量的速度。这个名为“控制层面监管(CoPP)”的特性可用于识别特定类型的流量并对其进行完全或一定程度的限制,防止路由处理器CPU过载死机。对于用户口令安全方面的考虑,建议采用集中管理的方式,在企业信息中心配置CiscoSecure访问控制器,所有设备的用户名、口令、权限控制都统一管理,避免
25、因分散式管理带来的安全漏洞和管理的复杂性。在用户的资格认证方面,有四种常用的认证方式,分别是:固定用户名/口令;时效用户名/口令;一次性口令;令牌卡/软令牌。这四种方式中,在资格认证的可靠性方面,以第一种最低,第四种最高,在使用的方便性方面,则以第四种最低,第一种最高。可见安全和易用是一对矛盾体,要获得较高的安全性,就需要牺牲一些易于使用性。企业启用ERP和MES系统后,对网络安全性的要求会更高,因此我们建议采用安全性较高的令牌卡或软令牌方式,对企业管理人员,特别是高级管理用户进行严格的资格认证,保证系统的安全性。在资格认证上,为防止他人非法盗用、破坏口令,除采用高可靠性的令牌卡方式外,还可以
26、设置拨入者在输入N次口令仍失败后帐户失效,并及时向系统管理员通知。内部局域网的安全性保证在局域网内部的安全性考虑,主要体现在对企业内部访问的权限控制上,如允许哪些下端网点计算机访问哪些网上节点及哪些应用等,这可以通过路由器或第三层交换机的访问控制功能实现。内部安全性还包括对路由器等网络设备的访问与配置修改。一般来说,局域网中在安全方面的基本功能是VLAN(虚拟局域网)的划分和子网之间的基于包过滤的隔离,这已经是非常成熟的技术,在实际环境中有大量的应用。思科的交换机产品完全支持这些局域网中基本的安全控制功能,可以根据交换机端口MAC地址进行VLAN的划分,并通过访问控制列表等技术对于VLAN之间
27、的通讯进行基于IP地址、网段、TCP/UDP端口号等进行过滤,还提供PVLAN的技术,提供VLAN内部通讯包过滤的手段。此外,对于在布线室内或管理控制台接入进程中的核实身份,思科还提供以下各种技术方案,使用户可以根据需要,灵活使用。端口安全性:能够将交换端口视为特定的MAC地址,如果未授权的设备连接上来,交换机会切断连接并向网络管理工作站发出一个陷井(Trap)信息。用户注册:与DHCP User Registration Tracking(URT)动态链路相连,与DNS/DNCP服务器动态链接,可以按用户的网络地址及其物理网络位置跟踪用户,从而大大减少了解决问题时所费的时间。与微软公司的Mi
28、crsoft NT的主域控制服务器相集成:URT内部的网络注册流程与Microsoft的Primary Domain Control Server(主域控制服务器,简称PDCS)全面集成。这种集成加强了建立注册帐户所需要的管理工作,充分利用了市场上越来越多的人使用PDCS的有利条件。自动化交换机端口配置:URT根据用户登录上网的逻辑联系,使交换机端口配置全面自动化,大大减低了因园区网络移动性较强而产生的管理费用。跟踪并鉴别与CWSI的链接:URT提供与Cisco用户跟踪应用相连的链路,以便根据用户的登录名称迅速识别其位置。冗余结构:URT拥有全面冗余的结构,这对于每天24小时、每周7天地不间断
29、保证登录和交换机端口重新配置十分重要。TACACS+和Radius Authentication:将鉴别和认证植入网络设备的命令行接口(CLI),通过跟踪用户登录,对进入CLI的访问进行记帐。IP特许表:使网络管理人员可以限定只能从某些特定IP网络地址进入CLI、系统控制台和SNMP。SNMPv3:提供加密的用户身份鉴别,用于网络管理的SNMP加密串。MD5路由鉴别:提供加密的路由表更新,防止非法或未授权的路由表信息,因为它们可能会引起网络不稳定或崩溃。数据安全保证在网络中,需要对不同安全等级的数据采取不同的安全保证策略。5个安全等级的定义如下:安全等级一级为数据发送和接收端应有包过滤器(二层
30、和三层)对数据包进行检验,在数据包传输中应有128位数据加密并保证传输中数据的完整性、可靠性和真实性;安全等级二级为数据发送和接收端应有包过滤器(三层)对数据包进行检验,在数据包传输中应有64位数据加密并保证传输中数据的完整性、可靠性和真实性;安全等级三级为数据发送和接收端应有包过滤器(三层)对数据包进行检验,在数据包传输中应有64位数据加密;安全等级四级为数据发送和接收端应有包过滤器(三层)对数据包进行检验;安全等级五级为普通数据传输,无任何要求。Cisco相应的网络设备在局域网接入上支持二层和三层的包过滤机制,在骨干和广域网接入上均支持三层过滤和IP Sec加密,完全可以满足数据安全保证的
31、要求。3.3. 网络基础设施安全防护思科网络自身安全解决方案,通过网络基础架构的主要组成部分网络设备的安全保护,各自分工,系统协作,全面部署,从网络到主机,从核心层到分布层、接入层,我们要采取全面的企业安全策略来保护整个网络基础构架和其所连接的系统,即使当攻击,蠕虫和病毒发生时,思科的网络基础设施要具备相当的抵抗和承受能力,在自动适应“变化”的基础上,充分利用网络基础平台的优势,协助专门的安全系统,定位问题,提供数据,有效隔离,快速清楚,确保整体网络的稳定运行。3.4. 网络基础设施集成的安全防护技术针对上一节所描述安全威胁的在Cisco Catalyst 智能交换系列内建的安全特性针对这类攻
32、击提供了全面的解决方案,这些解决方案主要基于下面的几个关键的技术。Port SecurityDHCP Snooping IP Source GuardPVLANNBAR通过部署这些技术可以防止在交换环境中的“中间人”攻击、MAC/CAM攻击、DHCP攻击、地址欺骗等,更具意义的是通过运用上面的技术可以简化地址管理,直接跟踪用户IP和对应的交换机端口,防止IP地址冲突。同时对于大多数具有地址扫描、欺骗等特征的病毒可以有效的报警和隔离。以下章节将主要说明如何在思科交换机上组合运用和部署上述网络基础设施自身集成的安全技术:3.4.1. 端口安全控制技术Port SecurityMAC泛滥攻击的原理和
33、危害交换机主动学习客户端的MAC地址,并建立和维护端口和MAC地址的对应表以此建立交换路径,这个表就是通常我们所说的CAM表。CAM表的大小是固定的,不同的交换机的CAM表大小不同。MAC/CAM攻击是指利用工具产生欺骗MAC,快速填满CAM表,交换机CAM表被填满。黑客发送大量带有随机源MAC地址的数据包,这些新MAC地址被交换机CAM学习,很快塞满MAC地址表,这时新目的MAC地址的数据包就会广播到交换机所有端口,交换机就像共享HUB一样工作,黑客可以用sniffer工具监听所有端口的流量。此类攻击不仅造成安全性的破坏,同时大量的广播包降低了交换机的性能。防范方法限制单个端口所连接MAC地
34、址的数目可以有效防止类似macof工具和SQL蠕虫病毒发起的攻击,macof可被网络用户用来产生随机源MAC地址和随机目的MAC地址的数据包,可以在不到10秒的时间内填满交换机的CAM表。Cisco Catalyst交换机的端口安全 (Port Security) 和动态端口安全功能可被用来阻止MAC泛滥攻击。例如交换机连接单台工作站的端口,可以限制所学MAC地址数为1;连接IP电话和工作站的端口可限制所学MAC地址数为3:IP电话、工作站和IP电话内的交换机。通过端口安全功能,网络管理员也可以静态设置每个端口所允许连接的合法MAC地址,实现设备级的安全授权。动态端口安全则设置端口允许合法MA
35、C地址的数目,并以一定时间内所学习到的地址作为合法MAC地址。通过配置Port Security可以控制:端口上最大可以通过的MAC地址数量端口上学习或通过哪些MAC地址 对于超过规定数量的MAC处理进行违背处理端口上学习或通过哪些MAC地址,可以通过静态手工定义,也可以在交换机自动学习。交换机动态学习端口MAC,直到指定的MAC地址数量,交换机关机后重新学习。目前较新的技术是Sticky Port Security,交换机将学到的mac地址写到端口配置中,交换机重启后配置仍然存在。对于超过规定数量的MAC处理进行处理一般有三种方式 :Shutdown:端口关闭。Protect:丢弃非法流量,
36、不报警。Restrict:丢弃非法流量,报警。3.4.2. DHCP窥探保护DHCP Snooping采用DHCP server可以自动为用户设置网络IP地址、掩码、网关、DNS、WINS等网络参数,简化了用户网络设置,提高了管理效率。但在DHCP管理使用上也存在着一些另网管人员比较问题,常见的有:DHCP server 的冒充。DHCP server的DOS攻击。有些用户随便指定地址,造成网络地址冲突。由于DHCP 的运作机制,通常服务器和客户端没有认证机制,如果网络上存在多台DHCP服务器将会给网络照成混乱。由于不小心配置了DHCP服务器引起的网络混乱也非常常见。黑客利用类似Goobler
37、的工具可以发出大量带有不同源MAC地址的DHCP请求,直到DHCP服务器对应网段的所有地址被占用,此类攻击既可以造成DOS的破坏,也可和DHCP服务器欺诈结合将流量重指到意图进行流量截取的恶意节点。DHCP服务器欺诈可能是故意的,也可能是无意启动DHCP服务器功能,恶意用户发放错误的IP地址、DNS服务器信息或默认网关信息,以此来实现流量的截取。DHCP Snooping技术DHCP Snooping技术是DHCP安全特性,通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息,这些信息是指来自不信任区域的DHCP信息。通过截取一个虚拟局域网内的DHCP信息,交换机可以在用户
38、和DHCP服务器之间担任就像小型安全防火墙这样的角色,“DHCP监听”功能基于动态地址分配建立了一个DHCP绑定表,并将该表存贮在交换机里。在没有DHCP的环境中,绑定条目可能被静态定义,每个DHCP绑定条目包含客户端地址(一个静态地址或者一个从DHCP服务器上获取的地址)、客户端MAC地址、端口、VLAN ID、租借时间、绑定类型(静态的或者动态的)。如下表所示:CatHQ1#sh ip dhcp snooping bindingMacAddress IpAddress Lease(sec) Type VLAN Interface- - - - - -00:0D:60:2D:45:0D 10
39、.149.3.13 600735 dhcp-snooping 100 GigabitEthernet1/0/7这张表不仅解决了DHCP用户的IP和端口跟踪定位问题,为用户管理提供方便,而且还供给动态ARP检测 (DAI) 和IP Source Guard使用。防范方法为了防止这种类型的攻击,Catalyst DHCP侦听 (DHCP Snooping) 功能可有效阻止此类攻击,当打开此功能,所有用户端口除非特别设置,被认为不可信任端口,不应该作出任何DHCP响应,因此欺诈DHCP响应包被交换机阻断,合法的DHCP服务器端口或上连端口应被设置为信任端口。首先定义交换机上的信任端口和不信任端口,对
40、于不信任端口的DHCP报文进行截获和嗅探,DROP掉来自这些端口的非正常DHCP响应应报文。3.4.3. IP源地址保护技术IP Source Guard常见的欺骗攻击的种类和目的黑客经常使用的另一手法是IP地址欺骗。常见的欺骗种类有MAC欺骗、IP欺骗、IP/MAC欺骗,其目的一般为伪造身份或者获取针对IP/MAC的特权。此方法也被广泛用作DOS攻击,目前较多的攻击是:Ping Of Death、Syn flood、ICMP Unreacheable Storm。如黑客冒用A地址对B地址发出大量的ping包,所有ping应答都会返回到B地址,通过这种方式来实施拒绝服务 (DoS) 攻击,这样
41、可以掩盖攻击系统的真实身份。富有侵略性的TCP SYN洪泛攻击来源于一个欺骗性的IP地址,它是利用TCP三次握手会话对服务器进行颠覆的又一种攻击方式。一个IP地址欺骗攻击者可以通过手动修改地址或者运行一个实施地址欺骗的程序来假冒一个合法地址。另外病毒和木马的攻击也会使用欺骗的源IP地址。互联网上的蠕虫病毒也往往利用欺骗技术来掩盖它们真实的源头主机。防范方法Catalyst IP源地址保护 (IP Source Guard) 功能打开后,可以根据DHCP侦听记录的IP绑定表动态产生PVACL,强制来自此端口流量的源地址符合DHCP绑定表的记录,这样攻击者就无法通过假定一个合法用户的IP地址来实施
42、攻击了,这个功能将只允许对拥有合法源地址的数据保进行转发,合法源地址是与IP地址绑定表保持一致的,它也是来源于DHCP Snooping绑定表。因此,DHCP Snooping功能对于这个功能的动态实现也是必不可少的,对于那些没有用到DHCP的网络环境来说,该绑定表也可以静态配置。IP Source Guard不但可以配置成对IP地址的过滤也可以配置成对MAC地址的过滤,这样,就只有IP地址和MAC地址都于DHCP Snooping绑定表匹配的通信包才能够被允许传输。此时,必须将 IP源地址保护IP Source Guard与端口安全Port Security功能共同使用,并且需要DHCP服务
43、器支持Option 82时,才可以抵御IP地址MAC地址的欺骗。3.4.4. 基于网络的应用识别定位病毒NBAR当攻击,蠕虫和病毒发生时,网络基础设施具备相当的抵抗和承受能力,不管是设备级还是网络级,再协助与专门的安全系统,定位问题,确认攻击源,有效隔离,快速响应,确保整体网络的稳定运行和业务的持续发展。我们只要能够通过各种网络技术定位传播源,过滤传播扫描数据包,限制被感染终端的接入,同样也会大大增强整个网络的抵抗能力基于网络的应用识别 (NBAR) 是Cisco IOS 软件中的分类引擎,可以通过URL/多目的互联网邮件扩展 (MIME) 类型和使用动态端口分配技术的协议识别多种应用级协议,
44、包括HTTP。NBAR对流量进行分类之后,可以将相应的服务质量 (QoS) 策略应用到流量等级。NBAR能识别CRv1和CRv2 URL请求,但不能识别Code-Red红色代码 II URL请求,因为Code-Red红色代码 II通过多个分组传播GET请求,而NBAR目前只检查第一个分组。与NIDS不同,NBAR可以立即对CRv1和CRv2流量进行分类,并在流量到达服务器之前丢弃分组。另外,NBAR还可以双向使用,减轻Code-Red红色代码的危害。4. 网络平台概述 4.1. 网络特点及功能以上几节我们对整个网络方案进行了比较详细的介绍,下面具体对网络的特点及功能进行描述:1)完整网络结构基
45、于不同厂家公司高性能产品的解决方案 从上几节介绍的网络方案,可以看出整个网络系统解决方案的产品均来自于公司的产品,包括防火墙、交换机、网管理软件等。采用同一公司产品完全消除了设备配置不协调的问题,有统一的方案配置。此外由于所选网络设备品牌在网络领域的领先地位,可使投资得到最大的保护。2)高可靠性和容错性在主干网中,核心交换机采用多层多业务交换机。核心设备可采用冗余,以保证可靠性。 各二级交换机可用双光纤线路分别与核心交换机相连接,一条作连接,另一条作备份。当主线路发生故障,备份线路工作,以提高线路连接的可靠性。3)虚拟网的实现VLAN是逻辑上属于一个集合而物理上可能分布于网络的各个角落的一组工
46、作站,每一个VLAN就是一个广播域。在传统路由和桥接技术中,用户被从物理上分成不同的段,而在一个VLAN中,用户并不被局限在某一个物理区域内,而是可以分布在网络的不同部分。VLAN使得建立大型的基于交换的网络成为可能,并且通过VLAN来实现广播控制。 4)网络的扩充升级能力 网络的建设要立足于现在,展望到未来,即不仅要满足于现有应用,而且要考虑到将来新的应用、网络规模增长和技术更新的需求,特别是对未来发展的考虑。因此要具有相当强的扩充升级能力。这些主要表现在以下几方面:带宽的扩充系统所配设备均留有充足的扩展空间,当带要求提高时,只需增加相应模块即可。 端口的可扩展性当网络规模增长,对网络端口数量的要求就会增多。增加网络端口数量可利用交换机现有的空槽插入相应的接口模块就可达到目的。当交换机的空槽数量不能满足要求时,可利用交换机之间的级连扩充足够数量的插槽。交换机间的级链根据需要可采用快速以太通道功能。5)网络良好的可管理性方案中建议的网络设备主要为交换机。对这类设备的管理通常都可以通过软件控制来实现。所有网络设备的配置都存储于非易失性存储器中,即使掉电也不会丢失。通常有三种方法可以查看和修改配置:带外(Out of Band)方式。在相应网络设备控制端口(通常为RS/232端口)上连接Null-Modem电缆,再连接到一