网络交换机安全特性

二、网络交换机安全特性

交换机作为医院基础网络最核心的设备，需要具备一定的全安特性，并通过合理的配置能够有效避免基础网络层面相关的攻击、破坏，同时也能够有效防止利用网络对终端、服务器、业务系统所进行的恶意行为。在交换机设备选型时，针对安全特性建议如下。

1.灵活完备的安全控制策略

（1）通过多种内在的安全机制可有效防止和控制病毒传播和网络流量攻击，控制非法用户使用网络，保证合法用户合理化使用网络，如端口静态和动态的安全绑定、端口隔离、多种类型的硬件ACL控制、基于数据流的带宽限速、用户接入控制的多元素绑定等。

（2）支持Web认证模式，用户使用浏览器即可完成认证过程。而认证后仍能实现IP、MAC交换机端口号等元素的绑定信息，保证只有合法的用户才能进入网络。

（3）支持客户端的认证模式（802.1x），在实现网络安全的同时，可通过客户端深入用户主机实现主机安全，跟Web认证不同的是，802.1x适用于严格控制网络安全的区域；锐捷独有的“客户端自动分发”功能则可在此模式下轻松完成802.1x客户端的分发。

（4）支持灵活实现对进入网络的用户划分访问权限，并且通过用户完整性检查将对网络安全有威胁的用户隔离到安全区域，避免个别用户的行为导致整网断网，从而保护全网的安全。

（5）ARP检测功能有效遏制了网络中日益泛滥的ARP网关欺骗和ARP主机欺骗的现象，保障了用户的正常上网。无论在动态分配IP环境下，还是静态分配IP环境下，均可实现自动绑定工作，大大地节省了人力成本，降低了管理开销。

2.高可靠性

（1）基础网络保护通过将报文分类限速（如管理类、转发类、协议类），并对报文进行攻击监测，双重保障保护CPU和信道带宽资源免受攻击烦扰，保证报文的正常转发以及协议状态的正常，维护网络的稳定。

（2）支持生成树协议802.1D、802.1w、802.1s，完全保证快速收敛，提高容错能力，保证网络的稳定运行和链路的负载均衡，合理使用网络通道，提供冗余链路利用率；PortFast大大缩减了标准的30～50s生成树协议收敛时间，而BPDU Guard功能则避免了生成树协议环路的出现。

（3）可快速检测链路的通断和光纤链路的单向性，并支持端口下的环路检测功能，防止端口下因私接Hub等设备形成的环路而导致网络故障的现象。

3.方便易用易管理

（1）支持线缆检测特性，可在网线有断路时自动检测出，并给出断路点离端口的距离，网管人员可根据此信息轻松排除网络故障。

（2）多端口同步监控，通过一个端口即可同时监控多个端口的数据流，还可只监控输入帧或只监控输出帧或双向帧，大大提高维护效率。

（3）Syslog方便各种日志信息的统一收集、维护、分析、故障定位、备份，便于管理员进行网络维护和管理。

（4）支持使用Web浏览器配置交换机，无须了解复杂的命令行和终端模拟程序，允许简单、快速地配置交换机，从而降低部署成本。

（5）基于网络的安全准入系统。基于网络的安全准入是目前医院信息化建设的一个热门技术。通过部署安全准入系统能够有效防止医院目前面临的主要安全威胁。基于网络的安全准入系统能够有效解决如下问题：非法人员随意访问网络、业务系统；非法主机恶意连入网络，对业务系统、终端造成破坏；主机运行恶意程序，通过网络对业务系统或敏感信息进行攻击、破坏。