1某醫院網絡的現狀分析

目前醫院網絡現存主要問題是ARP病毒的泛濫，表現形式是:雖然網絡連接正常，卻無法打開網頁;計算機網絡經常斷線，同時網絡速度變慢。這些都是由于存在ARP問題，所表現出來的網絡故障情況。

ARP欺騙攻擊不僅影響網絡穩定，更嚴重的是利用ARP欺騙攻擊可進行中間人攻擊，欺騙整個局域網內所有主機和網關，導致所有網絡流量都經過攻擊者主機進行轉發，攻擊者通過截得獲取的信息可得到相關用戶名和口令。ARP是把IP翻譯成MAC的一種協議，通過它交換機完成數據報文的快速轉發，所以交換機要學習IP和MAC的對應關系，形成ARP表項，存儲在計算機和網絡設備的內存中。因歷史原因，ARP設計并沒有考慮安全性，于是現實中出現了問題:局域網上的一臺主機，如果接收到一個ARP報文，即使該報文不是該主機所發送的ARP請求的應答報文，該主機也會將ARP報文中的發送者的MAC地址和IP地址更新或加入到ARP表中。

2某醫院網絡改造方案

根據前面與醫院的交流，本次網絡改造主要解決目前網絡當中存在的ARP攻擊欺騙為主，兼顧流量分析、終端管理等網絡維護管理內容。設計本方案的基礎是，網絡因為無法再重新布線，需要維持原有網絡拓撲，將原先的接入交換機和核心交換機替換為H3C全系列支持ARP攻擊防御解決方案的接入交換機H3C3100EI及核心插卡式高端交換機H3CS7502E系列交換機。業界常用解決方案是在接入交換機上配置命令做網關IP和MAC的綁定，防御網關仿冒，H3C也可以實現此方案，但這種方案局限性較大，僅適用某些特定網絡場景和一種ARP攻擊的防御，不夠全面。下面以H3C交換機為例為該醫院出現的一些問題進行設計介紹。

2．1全面的ARP攻擊防御解決方案

根據該醫院ARP攻擊的特點，在DHCP監控模式下的防ARP攻擊解決方案。通過接入交換機上開啟DHCPSnooping功能、配置IP靜態綁定表項、ARP入侵檢測功能和ARP報文限速功能，可以防御常見的ARP攻擊。1)DHCPSnooping功能。通過監聽DHCP報文，記錄DHCP客戶端IP地址與MAC地址的對應關系，并且所有重要服務器的IP的綁定關系將由H3CCAMS認證服務器發布到計算機終端，避免被ARP攻擊欺騙。2)ARP入侵檢測功能。H3C接入交換機根據接收到的ARP報文重定向到CPU，綜合DHCPSnooping安全特性判斷合法性且進行處理。3)ARP報文限速功能。H3C接入交換機支持端口ARP報文限速功能，受到攻擊時則臨時關閉，避免該類攻擊對CPU的影響。4)杜絕靜態IP地址更改及ACL訪問控制列表實施。5)綁定唯一對應MAC和IP地址，只要有任何用戶嘗試修改其他地址，都將視為非法行為，產生網絡中斷，保證其安全性。這樣對網絡的訪問，可挑選在接入及核心交換機上實施，很大程度上減輕出口防火墻的壓力。不僅對于外網訪問能做規則策略，對于內網網段之間同樣可根據具體情況和需求實施不同訪問控制。

2．2終端接入安全及管理

在該醫院網絡建設的過程中，如何提供安全的資源共享，有效的對訪問網絡資源的人員進行安全管理，成為網絡管理人員越來越關注的焦點。目前，網絡管理人員關注的問題主要有以下幾個方面:①誰是你可信賴的用戶?②這些用戶應該看到什么?③他們允許在網絡的資源上用到什么?④他們是否可以接入到信息資源?⑤他們什么時候可以獲得操作權?⑥怎么管理這些移動的或分散于全省各地的用戶?⑦這些用戶對網絡資源的訪問是否符合該醫院所設定的安全規范?進入隔離區的用戶，只有通過一系列安裝系統補丁、檢查終端系統信息等操作，才能通過網絡安全策略的檢驗。

3實施

3．1部門IP分配

由于網絡地址為192．168．60．X到192．168．65．X，其中192．168．60．X是可以上醫保網的網段，所以對名醫堂、兒科、門診大廳只能在網段192．168．60．X，藥庫、病案樓、新病房樓放入內網網段192．168．61．X和192．168．62．X，其余的部門放入外網網段，需要2個外網網段，最后192．168．65．X作為給分醫院的。

3．2EAD部署說明

用戶終端須安裝iNode客戶端，在上網前首先進行802．1x和安全認證，否則將不能接入網絡或者只能訪問隔離區的資源。其中，隔離區是指在交換機中配置的一組ACL，一般包括EAD安全代理服務器、補丁服務器、防病毒服務器、DNS、DHCP等服務器的IP地址。其中EAD安全代理服務器和防病毒服務器必須部署于隔離區，殺毒軟件可以選擇瑞星殺毒軟件、金山毒霸2013、Norton防病毒、趨勢防病毒、安博士防病毒、CAKill安全甲胄、McAFee防病毒以及江民KV防病毒軟件。

3．3實施效果

合法用戶接入網絡后，其訪問權限受交換機中的ACL控制。特定的服務器只能由被授權的用戶訪問。用戶之間的互訪權限也同樣受ACL控制，不同角色的用戶分屬不同的VLAN，不可跨VLAN訪問。必須在通過安全客戶端的檢查后，保證沒有感染病毒才能安全接入網絡。而且病毒庫版本和補丁得到及時升級。

4結束語

最后，本網絡改造設計根據該醫院的實際情況，從網絡改造方案來針對問題提出解決方法，以H3C交換機為例從ARP攻擊的防御到終端的安全管理的實施來解決該醫院存在的ARP攻擊嚴重的問題，以期對ARP防御工作有所幫助。

作者：陳磊 單位：江蘇省廣電有線信息網絡股份有限公司常州分公司