二、網(wǎng)絡(luò)交換機(jī)安全特性

交換機(jī)作為醫(yī)院基礎(chǔ)網(wǎng)絡(luò)最核心的設(shè)備，需要具備一定的全安特性，并通過合理的配置能夠有效避免基礎(chǔ)網(wǎng)絡(luò)層面相關(guān)的攻擊、破壞，同時(shí)也能夠有效防止利用網(wǎng)絡(luò)對終端、服務(wù)器、業(yè)務(wù)系統(tǒng)所進(jìn)行的惡意行為。在交換機(jī)設(shè)備選型時(shí)，針對安全特性建議如下。

1.靈活完備的安全控制策略

（1）通過多種內(nèi)在的安全機(jī)制可有效防止和控制病毒傳播和網(wǎng)絡(luò)流量攻擊，控制非法用戶使用網(wǎng)絡(luò)，保證合法用戶合理化使用網(wǎng)絡(luò)，如端口靜態(tài)和動態(tài)的安全綁定、端口隔離、多種類型的硬件ACL控制、基于數(shù)據(jù)流的帶寬限速、用戶接入控制的多元素綁定等。

（2）支持Web認(rèn)證模式，用戶使用瀏覽器即可完成認(rèn)證過程。而認(rèn)證后仍能實(shí)現(xiàn)IP、MAC交換機(jī)端口號等元素的綁定信息，保證只有合法的用戶才能進(jìn)入網(wǎng)絡(luò)。

（3）支持客戶端的認(rèn)證模式（802.1x），在實(shí)現(xiàn)網(wǎng)絡(luò)安全的同時(shí)，可通過客戶端深入用戶主機(jī)實(shí)現(xiàn)主機(jī)安全，跟Web認(rèn)證不同的是，802.1x適用于嚴(yán)格控制網(wǎng)絡(luò)安全的區(qū)域；銳捷獨(dú)有的“客戶端自動分發(fā)”功能則可在此模式下輕松完成802.1x客戶端的分發(fā)。

（4）支持靈活實(shí)現(xiàn)對進(jìn)入網(wǎng)絡(luò)的用戶劃分訪問權(quán)限，并且通過用戶完整性檢查將對網(wǎng)絡(luò)安全有威脅的用戶隔離到安全區(qū)域，避免個(gè)別用戶的行為導(dǎo)致整網(wǎng)斷網(wǎng)，從而保護(hù)全網(wǎng)的安全。

（5）ARP檢測功能有效遏制了網(wǎng)絡(luò)中日益泛濫的ARP網(wǎng)關(guān)欺騙和ARP主機(jī)欺騙的現(xiàn)象，保障了用戶的正常上網(wǎng)。無論在動態(tài)分配IP環(huán)境下，還是靜態(tài)分配IP環(huán)境下，均可實(shí)現(xiàn)自動綁定工作，大大地節(jié)省了人力成本，降低了管理開銷。

2.高可靠性

（1）基礎(chǔ)網(wǎng)絡(luò)保護(hù)通過將報(bào)文分類限速（如管理類、轉(zhuǎn)發(fā)類、協(xié)議類），并對報(bào)文進(jìn)行攻擊監(jiān)測，雙重保障保護(hù)CPU和信道帶寬資源免受攻擊煩擾，保證報(bào)文的正常轉(zhuǎn)發(fā)以及協(xié)議狀態(tài)的正常，維護(hù)網(wǎng)絡(luò)的穩(wěn)定。

（2）支持生成樹協(xié)議802.1D、802.1w、802.1s，完全保證快速收斂，提高容錯(cuò)能力，保證網(wǎng)絡(luò)的穩(wěn)定運(yùn)行和鏈路的負(fù)載均衡，合理使用網(wǎng)絡(luò)通道，提供冗余鏈路利用率；PortFast大大縮減了標(biāo)準(zhǔn)的30～50s生成樹協(xié)議收斂時(shí)間，而BPDU Guard功能則避免了生成樹協(xié)議環(huán)路的出現(xiàn)。

（3）可快速檢測鏈路的通斷和光纖鏈路的單向性，并支持端口下的環(huán)路檢測功能，防止端口下因私接Hub等設(shè)備形成的環(huán)路而導(dǎo)致網(wǎng)絡(luò)故障的現(xiàn)象。

3.方便易用易管理

（1）支持線纜檢測特性，可在網(wǎng)線有斷路時(shí)自動檢測出，并給出斷路點(diǎn)離端口的距離，網(wǎng)管人員可根據(jù)此信息輕松排除網(wǎng)絡(luò)故障。

（2）多端口同步監(jiān)控，通過一個(gè)端口即可同時(shí)監(jiān)控多個(gè)端口的數(shù)據(jù)流，還可只監(jiān)控輸入幀或只監(jiān)控輸出幀或雙向幀，大大提高維護(hù)效率。

（3）Syslog方便各種日志信息的統(tǒng)一收集、維護(hù)、分析、故障定位、備份，便于管理員進(jìn)行網(wǎng)絡(luò)維護(hù)和管理。

（4）支持使用Web瀏覽器配置交換機(jī)，無須了解復(fù)雜的命令行和終端模擬程序，允許簡單、快速地配置交換機(jī)，從而降低部署成本。

（5）基于網(wǎng)絡(luò)的安全準(zhǔn)入系統(tǒng)?；诰W(wǎng)絡(luò)的安全準(zhǔn)入是目前醫(yī)院信息化建設(shè)的一個(gè)熱門技術(shù)。通過部署安全準(zhǔn)入系統(tǒng)能夠有效防止醫(yī)院目前面臨的主要安全威脅。基于網(wǎng)絡(luò)的安全準(zhǔn)入系統(tǒng)能夠有效解決如下問題：非法人員隨意訪問網(wǎng)絡(luò)、業(yè)務(wù)系統(tǒng)；非法主機(jī)惡意連入網(wǎng)絡(luò)，對業(yè)務(wù)系統(tǒng)、終端造成破壞；主機(jī)運(yùn)行惡意程序，通過網(wǎng)絡(luò)對業(yè)務(wù)系統(tǒng)或敏感信息進(jìn)行攻擊、破壞。