医疗影像诊断中心网络整改

医疗影像诊断中心网络整改摘要：国内网络安全形势日益严峻，为应对日益严峻的网络安全形势，国家近年来提出了相应的指导意见和相关的政策方针。从2017年的网络安全法实施，到最近出台的网络安全等保2.0条例，都表明国家在追求信息技术发展的同时，同样非常重视网络安全工作。本文首先分析了医疗行业的现时的网络形势，以及国家最近出台的相关规定。然后从业务需要、安全需求和规定要求等方面去分析目前医疗行业目前的网络整改需求。最后根据企业的具体情况选择最合适的整改措施。基于部分企业网络运维人员只重视业务需求，对网络安全方面的知识和重视程度不够，本人在实际接触医疗影像中心具体网络规划后提出了几点建议：（1）了解具体业务需求，避免开放多余的服务，端口和权限。（2）对于新增的业务做好规划整合，对于删减的业务及时回收权限和关闭服务和端口。（3）加强管理，定期做好备份。关键字:网络安全，医疗行业，等保2.0NetworkrectificationofmedicalimagediagnosiscenterAbstract:Thesituationofdomesticnetworksecurityisbecomingincreasinglysevere.Insuchanenvironment,thestatehascontinuouslyissuedrelevantnormsandpolicies.Fromtheimplementationofthenetworksecuritylawin2017totherecentlyissuedregulationsofnetworksecuritylevelprotection2.0,itshowsthatthestateattachesgreatimportancetothenetworksecurityworkwhilepursuingthedevelopmentofinformationtechnology.Thispaperfirstanalyzesthecurrentnetworksituationofthemedicalindustry,aswellastherelevantregulationsrecentlyissuedbythestate.Thenfromthebusinessneeds,securityneedsandregulatoryrequirementstoanalyzethecurrentnetworkrectificationneedsofthemedicalindustry.Finally,themostappropriaterectificationmeasuresareselectedaccordingtothespecificsituationoftheenterprise.Basedonthefactthatsomeenterprisenetworkoperationandmaintenancepersonnelonlypayattentiontothebusinessneedsandlackofknowledgeandattentiontonetworksecurity,Iputforwardseveralsuggestionsafteractuallycontactingthespecificnetworkplanningofmedicalimagingcenter:(1)understandthespecificbusinessneedsandavoidopeningredundantservices,portsandauthorities.(2)Planandintegratenewbusinesses,reclaimauthorityandcloseservicesandportsintimefordeletedbusinesses.(3)Strengthenmanagementandmakeregularbackup.Keywords:Networksecurity,medicalindustry,levelprotection2.0目录1绪论 绪论1.1研究背景和意义2011年伊朗核电站震网病毒事件，震网病毒造成伊朗20%的离心机因感染病毒而失灵甚至是完全报废。2015年乌克兰电网被网络攻击造成大停电事件，约有60座变电站被攻击。黑客首先操作恶意软件将电力公司的主控电脑与变电站断连，随后又在系统中植入病毒，让电脑全体瘫痪。2019年委内瑞拉电网被网络攻击造成大停电事件，委内瑞拉23个州中的21个州的医院和诊所、工业、运输和供水服务因这次停电收到影响。现在的网络攻击针对性越来越强，有特殊目的的攻击行动时常发生。近年来，有攻击团伙长期以我国政府部门、基础设施、事业单位、科研院为主要目标进行网络攻击。国家互联网应急中心抽样监测发现，我国境内联网工业设备、系统、平台等遭受恶意嗅探、网络攻击的次数明显提高，工业控制系统子漏洞库收录数量持续攀升。虽未发生重大安全事件，但需提高警惕，引起重视。作为事关国家安全、社会稳定和经济发展的战略资源，国家关键信息基础设施保护的工作尤为重要。当前，应用广泛的基础软硬件安全漏洞不断被挖掘和披露，具有特殊目的的黑客组织不断对我国关键信息基础设施进行网络攻击，我国关键信息基础设施面临的安全风险不断加大。高级可持续威胁攻击活动持续活跃，我国多个重要行业被攻击。随着关键信息基础设施承载的信息价值越来越大，针对国家关键信息基础设施的网络攻击将会愈演愈烈。国内网络安全形势日益严峻，为应对日益严峻的网络安全形势，国家近年来提出了相应的指导意见和相关的政策方针。从2017年的网络安全法实施，到最近出台的网络安全等保2.0条例，都表明国家在追求信息技术发展的同时，同样非常重视网络安全工作。作为企业应根据现时的网络形势，以及国家最近出台的相关规定。然后从业务需要、安全需求和规定要求等方面去分析目前医疗行业目前的网络整改需求。最后按企业的具体情况选择最合适的整改措施。1.2研究内容本课题设计与规划的基本是医疗影像诊断中心的网络优化和服务器、PC机的安全加固。主要用到计算机基础、计算机网络的基础、网络安全和路由交换知识，使用华为的设备和协议进行配置。在满足日常办公及业务的情况下，按客户要求对其原有网络架构进行优化和对其服务器和PC机进行安全加固，从而满足企业业务开展以及安全需求。因此，对我方负责的网络网络整改有以下几点要求：(1)按照部门进行VLAN划分，从而满足不同部门的不同要求，隔离冲突域和广播域，通过ACL控制VLAN间的访问，设立不同等级的权限，有助于简化网络管理、控制流量、提高网络的安全性。(2)对网络设备进行登记记录，制作资产表和拓扑图。(3)全区网络内部采用网络地址转换技术，因为NAT技术不仅适应局域网内的PC客户端的多变性，同时也可以节省IP地址，还能有效地避免来自其它网络的恶意攻击，掩盖内网ip地址、保护内部网络。(4)为方便员工上网及ip地址的规范和合理使用，部分流动性大的部门ip地址的分配使用DHCP技术，这样一定程度上避免因园区人员手动配置ip而出现帮公效率低、地址错误等问题，也可以避免一些不必要的IP地址浪费；其余部门采用静态ip，进行MAC地址绑定，对每台设备做好记录，提高管理效率，防止ARP攻击。（5）对服务器和PC机进行安全加固，修改管理员账号和密码，卸载多余软件和停止多余服务和关闭多余端口，提高服务器和PC机安全。

（6）尽可能避免使用明文传输的协议，选择使用安全性较高的协议。2需求与分析2.1企业背景医疗影像诊断中心共有14个部门分别在七层的不同办公区域，共有120台PC机、17台服务器、两台汇聚核心交换机和其他二层网络设备。主要在三层网络设备上做配置实现网络优化和安全加固。2.2网络整改的需求该企业在增加业务和网络设备时有些工作没有按照规范来，现需对其网络做以下整改：盘点网络设备，制作资产表。理清网络设备间的连线，打好标签，做好记录。更新交换机配置实现网络根据不同的业务需求进行隔离和互访，规范交换机配置和网络设备命名。对企业网络设备按要求进行安全加固，对其账户权限、账户安全、屏幕保护、文件系统保护、日志审计、数据安全等多方面进行整改。关闭停止多余的服务和端口。尽可能避免使用明文传输的协议，选择使用安全性较高的协议。及时更新补丁和杀毒。2.3网络整改的原则网络整改必须针对现网络系统存在的问题兼顾稳定性和安全性进行整改，提高可管理性，尽量采用先进的技术以提高系统的效率和可靠性。稳定性:整改的网络系统一般都是已经投入使用的网络设备，整改时需保证其正常运行为首要准则，保障基础的网络联通，然后在满足企业的基本要求下再进行其它方面的整改。在必须要中断业务时，需提前做好沟通协商和整改、试运行准备，选择在闲时用最短的时间完成整改，以达到对业务影响最小。2、安全性：安全性是网络整改中十分重要的一环，企业内部各个部门的信息安全性都应做出较为具体完整的规则：对领导层的所有信息全部开放，对公司其他员工则根据级别大小依据权限查看相关信息，不能为了便利而忽视安全；同时，网络系统的设计上也应该提供网络的保护，采用先进的技术和实用性相结合，尽可能避免使用明文传输的协议，选择使用安全性较高的协议。尽量以保证计算机网络与互联网进行互联时网络信息传输的安全。更新各软件和系统到最新的稳定版本，以减少漏洞带来的安全隐患。3、可靠性：从网络传输的设备、骨干网络、网络技术等多方面考虑，保障整个企业网络数据传输的安全可靠。整改需保证整个网络的硬件基本架构要能在生产环境中可以长时间运行，提供不间断的服务，在运行速度维持高效的同时，也能保证其性能稳定可靠。4、流量的负载均衡：在企业原网络的设计，对其进行优化，时期具有多链路选择、路由数据备份的能力，这样可以有效防止企业网络因网络单一链路的损坏而造成企业全网不能正常通信的问题。5、可管理性：整个网络中的主要三层网络设备设置有管理vlan，对其规则进行整理优化，同时互连设配尽可能遵循使用方便、操作简单、便于维护的原则。网络搭建的设配要能支持多种协议，以便网络管理员更加简单、便捷的管理网络和网络产生故障时及时修复网络，将损失尽量减到最少。2.4网络整改的分析医疗影像诊断中心的网络是由核心层、汇聚层、接入层组成的现有网络体系，是由防火墙，多台交换机组成，为医疗影像诊断中心信息化的发展和与日俱增的各类服务设备，以及满足网络长久稳定运行，具体需求分析如下:医疗影像诊断中心vlan划分整改需求分析：vlan即虚拟局域网技术，医疗影像诊断中心原有网络规划中已采用vlan技术对各种网络设备和不同部门进行划分。由于后续业务和网络设备的增加时操作不规范导致出现部分设备所在vlan不合理，vlan间规则不规范的问题。现对需其进行整改，使其不仅可以用于控制各个部门之间的通信、使网络拓扑结构变得十分灵活、提高员工的工作效率，还可以起到防范广播风暴的作用，增强医疗影像诊断中心的安全性和稳定性。2、网络安全性需求分析：网络安全是整个网络规划中重要的一部分，良好的安全性部署可以保证医疗影像诊断中心重要信息、员工和病人隐私不轻易被泄露，但是仅仅在软件层面和网络协议上采用安全的网络协议和软件产品是不能达到生产环境的要求的，同时使用安全性高的硬件设配，并且搭建防火墙是必要的，医疗影像诊断中心是使用华为USG6000系列下一代防火墙作为网关，具有访问控制、管理简单、安全防护、高性能等特点。并对服务器和主机进行安全加固，对其账户权限、账户安全、屏幕保护、文件系统保护、日志审计、数据安全等多方面进行整改。关闭停止多余的服务和端口。尽可能避免使用明文传输的协议，选择使用安全性较高的协议。及时更新补丁和杀毒。3、网络环境可靠性需求分析：网络承载的数据流量负担随着医疗影像诊断中心的日常正常运作、网络设备的老化、业务和用户数量增加发展等因素影响而增加，此时网络通信设备的高可靠、无中断运行显得十分重要，这也是维持医疗影像诊断中心正常运行的基础。为避免因为网络体系不合理而导致的企业业务中断问题，在设计本网络架构的时候汇聚、核心层网络采用两台华为s5720做堆叠，通过交换机堆叠，实现网络高可靠性和网络大数据量转发，同时简化网络管理。两台交换机之间通过使用堆叠实现冗余备份。4、管理需求分析：为实现医疗影像诊断中心各部门按业务需要进行网络互访或隔离，需在网络设备以及相应的核心设备中设置相应的控制访问列表；因医疗影像诊断中心需求需要处理大量的信息量，网络设备数量较多，因此网络管理平台应尽量简便，网络设备可以集中远程登录管理，规范网络设备命名规则。为满足用户网络使用质量，主要接入PC等终端的接入层网络设备采用标准化的网络技术作为主干网直接连接，使用三层交换来替代路由。3网络整改方案设计3.1网络设备整改要求根据医疗影像诊断中心网络功能需求和实际的布线情况，盘点网络设备，制作资产表。优化网络设备配置，理清网络设备间的连线，打好标签，做好记录。3.1.1核心交换机图3-1huaweis5720如图3-1所示，医疗影像诊断中心网络使用Huaweis5720作为汇聚层、核心层交换机，华为S5720-EI系列增强型千兆以太网交换机提供灵活的全千兆光/电/Combo口接入以及增强的万兆上行端口扩展能力，多样的设备级和链路级可靠性保护，智能iStack堆叠，丰富的环网保护技术，更短的故障切换时间。表3-1HuaweiS5720-52X交换机主要参数表产品类型千兆以太交换机应用层级二级/三级交换容量336Gbps/3.36Tbps包转发率144Mpps/166Mpps固定端口48个10/100/1000Base-T，4个万兆SFP+传输模式支持全双工IP路由静态路由、RIPv1/2、RIPng、OSPF、OSPFv3、ECMP、ISIS、ISISv6、BGP、BGP4+网络标准IEEE802.1d3.1.2接入交换机图3-2huaweis1720如图3-2所示，医疗影像诊断中心网络使用HuaweiS1720-28GFR-4TP作为接入交换机，华为S1720-28GWR-PWR-4P拥有128Gbps的背板带宽和最大1000Mbps的传输速率，有24个10/100/1000Base-T以太网端口和4个千兆SFP口。搭配上完备的QoS策略和安全机制，可充分保证医疗影像诊断中心传输效率和网络安全。另外交换机拥有宽范围的工作温度和湿度，可保证其工作的稳定性。3.1.3防火墙图3-3HuaweiUSG6630如图3-2所示，使用HuaweiUSG6630作为防火墙，支持应用识别，集传统防火墙、VPN、入侵防御、防病毒、数据防泄漏、带宽管理、上网行为管理等多种安全功能于一身，为企业提供全面、简单、高效的下一代网络安全防护。3.2网络技术选择3.2.1VLANVLAN（VirtualLocalAreaNetwork）是一种虚拟局域网的技术，它可以把一个物理局域网通过逻辑划分，分成多个广播域。VLAN路由可以通过二层交换机配合路由器来实现，也可以通过三层交换机来实现。VLAN的优势：限制广播域。广播域被限制在各自的VLAN内，节省了带宽，提高了网络处理能力。为医疗影像诊断中网络部署VLAN，可以有效解决因网络中计算机的数量越来越多而出现广播泛滥的问题。网络的安全。增强医疗影像诊断中心网络的安全性，根据实际情况要求，配合acl或路由策略、策略路由，限制目标用户或指定区域主机的网络访问，这样可以降低泄露机密信息的可能性。

改变用户及其终端所属的网络时可以不更换换端口和重新连线，只需修改软件配置即可。劣势：VLAN在限制广播域的同时也限制了不同VLAN间的主机进行二层通信。3.2.2NAT通过使用NAT既可以节省公有合法IP地址、处理地址交叉、增强灵活性、通过地址转换，还可以隐藏内网上主机的真实IP地址等，从而提高网络的安全性。3.2.3ACL1、ACL本质上是定义一组策略，以指导报文在交换机内部的转发行为。2、ACL应用的对象，可以是针对端口上收发的所有报文，也可以是针对符合特征的报文。3、明确策略的行为，动作可以是：限速、转发、丢弃、镜像、重定向、策略路由、修改优先级、修改VLANID、报文统计（流统）等。4、把策略应用到端口上。5、为了方便管理，根据报文的特征值的地方，对ACL的编号范围进行人为规定。3.2.4DHCP技术一个网络如果要正常地运行，则网络中的设备必需要知道某些重要的网络参数，如IP地址、网络掩码等等。在每台设备上都采用手工方式来配置这些参数是非常麻烦的。DHCP的应用，实现了网络参数配置过程的自动化，大大降低了人们使用网络的门槛。提供安全而可靠的配置，可以减少配置管理成本。DHCP租约续订过程有助于确定客户端设备配置需要经常更新的情况，通过客户端设备直接与DHCP服务器通讯可以高效、自动地进行这些更改。IP地址采用租用方式,需要时向DHCP服务器申请IP,用完后释放,使IP地址可以再利用。DHCP服务器数据库是一个动态数据库,向医疗影像诊断中心的办公人员使用的终端提供ip地址，降低管理IP地址的难度,所有医疗影像诊断中心内接入DHCP的人员的网络ip变更都由客户端和服务器自动完成。3.2.5交换机堆叠交换机堆叠支持跨设备的链路聚合功能，实现跨设备的链路冗余备份，提高网络拓展能力。通过增加成员交换机，可以轻松的扩展堆叠系统的端口数、带宽和处理能力；交换机堆叠支持成员交换机热插拔，新加入的成员交换机自动同步主交换机的配置文件和系统软件版本。一方面，用户可以通过任何一台成员交换机登录堆叠系统，对堆叠系统所有成员交换机进行统一配置和管理；另一方面，堆叠形成后，不需要配置复杂的二层破环协议和三层保护倒换协议，简化了网络配置和管理。3.3网络拓扑图设计医疗影像诊断中心网络是通过防火墙连接园区CE设备，防火墙下接入汇聚核心交换机，往下一层是接入交换机、由此来实现整个网络有条不乱的工作。拓扑图如图3-4所示。图3-4医疗影像诊断中心网络拓扑图为了有效的使用医疗影像诊断中心内网，其必须具有良好的稳定性以及可操作性，实施对其进行优化稳定工作，并注重数据流量的控制分流工作，确保整个网络可持续高效稳定的运转，由此，医疗影像诊断中心内网设计内容如下：网络核心层的主要工作是交换数据包和控制路由。核心层作为医疗影像诊断中心整个网络的核心，是保障整个网络的平稳运行的关键。这里选择两台s5720堆叠作为内部网络的核心设备，避免单点故障，而引起的网络瘫痪，同时园区的网关设置在核心层，达到简化路由的目的；也是DHCP服务器接入的设备。网络接入层主要是接入园区企业终端设备。接入层作为园区的用户的连接端，搭建的交换机数量多，则每个交换机相对处理的各项信息量较少，但由于园区办公人数较多，所以采用了S1720系列，保证不影响工作。3.4虚拟局域网及IP规划为了有效的管理医疗影像诊断中心各个部门的网络设备和满足不同业务的需求，分别设置不同的VLAN，并且分别分配IP地址和子网掩码及网关，如表3-3所示：表3-3VLAN分配表部门VLAN号IP地址子网掩码网关信息科VLAN8内网服务器VLAN9财务部VLAN10外网服务器VLAN11医美中心VLAN12体检中心VLAN13网络设备管理地址VLAN144网络设备配置优化和主机安全加固4.1网络设备配置4.1.1核心层交换机的配置为了实现冗余的连接，和简化路由，网络高效运行，预防单点失效。通过采用交换机堆叠网络规划设计，将网络划分为核心层、汇聚层及接入层，采用较为成熟的三层网络和层次化的网络设计，由此缩减其复杂配置和汇聚总路由，提升网络效率。核心层设备汇聚了医疗影像诊断中心网络的主要流量，要实现内部网络中数据信息的有效传输，在设计中注重冗余及链路备份能力、可靠性和高效性的传输，同时网络的控制功能也在核心层上有实现，以实现防火墙冗余。设计中，核心交换机的硬件选择将使用两个三层交换机来进行配置，主要是使用三层的vlan域间路由，这样在路由可达的情况下为网络设备设置管理vlan，便于远程登录管理；使用IP地址和策略划分，拥有良好的灵活性和可扩展性，方便，扩展网络自动化程度高，方便扩展网络规模。具体的设定中内网配置分为7个Vlan，Vlan8～Vlan14分别通过楼层汇聚交换机连至核心交换机。使用Eth-Trunk接口绑定若干物理接口作为一个逻辑接口使用，以达到增加带宽、提高靠性的目的。配置stelnet登录系统便于管理。用使用aaa提供安全服务，认证部分提供了对用户的认证。其中对其原有配置进行了优化，优化其原有的ACL策略；尽可能避免使用明文传输的协议，选择使用安全性较高的协议。交换机具体的配置如下。1.VLAN配置修改为“1.VLAN配置”修改为“1.VLAN配置”根据不同需求划分VLAN限制广播域结合ACL实现按需求划分权限和限制目标用户或指定区域主机的网络访问，提高整体网络的安全性。#interfaceVlanif8ipaddress#interfaceVlanif9ipaddress#interfaceVlanif10ipaddress#interfaceVlanif11ipaddress#interfaceVlanif12ipaddressdhcpselectinterfacedhcpserverexcluded-ip-address0054dhcpserverleaseday0hour12minute0dhcpserverdns-list666#interfaceVlanif13ipaddress#interfaceVlanif14ipaddress2.ACL配置22通过ACL限制目标用户或指定区域主机的网络访问，如限制外网服务器访问内网。#aclnamevlan_acl3999rule4permitipdestination55rule5permitipsource55destinationrule25denyipsource55#3.DHCP配置33通过DHCP给部分活动性强，安全需求相对没那么高的主机动态分配ip地址，从而提高管理效率。#interfaceVlanif12ipaddressdhcpselectinterfacedhcpserverexcluded-ip-address0054dhcpserverleaseday0hour12minute0dhcpserverdns-list666#4.部分Eth-Trunk接口配置#interfaceEth-Trunk1portlink-typetrunkporttrunkallow-passvlan2to4094##interfaceEth-Trunk8portlink-typetrunkporttrunkpvidvlan11porttrunkallow-passvlan2to4094#5.核心交换机部分物理接口配置#interfaceGigabitEthernet0/0/1eth-trunk1#6.核心交换机stelnet登录系统配置配置stelnet登录，提高管理效率。#stelnetserverenablesshuseradminsshuseradminauthentication-typepasswordsshuseradminservice-typestelnetsshuseradminauthorization-cmdaaa#7.避免使用安全性低的协议避免使用http等明文传输的安全性低的协议，提高网络信息传输的安全性。#lldpenable#undohttpserverenable#dhcpenable#diffservdomaindefault#8.aaa使用aaa提供安全服务，认证部分提供了对用户的认证。其中对其原有配置进行了优化，尽可能避免使用明文传输的协议，选择使用安全性较高的协议。通过配置aaa确定使用者的身份以及实现不同用户赋予不同的权限，限制用户可以使用的功能。整个论文正文格式要统一，用格式刷刷，具体参考模板格式，只刷正文，不要刷目录，其他所有地方都要检查。整个论文正文格式要统一，用格式刷刷，具体参考模板格式，只刷正文，不要刷目录，其他所有地方都要检查。#aaaauthentication-schemedefaultauthorization-schemedefaultaccounting-schemedefaultdomaindefaultdomaindefault_adminlocal-useradminpasswordirreversible-cipher%^%#A)#w+#N"6W[U,$IAZiaY*9a65rh`QAdV<7/R{ZU=^lV/)_vtbL#3!cIE[hC>%^%#local-useradminprivilegelevel15local-useradminservice-typeterminalsshhttp#4.1.2接入层交换机的配置接入层目的是让终端用户连接到网络，因此接入层交换机具有低成本和高端口密度特性；使用Eth-Trunk接口绑定若干物理的以太网接口作为一个逻辑接口使用，实现增加带宽提高靠性的目的。配置stelnet登录系统便于管理。使用aaa提供安全服务，认证部分提供了对用户的认证。其中对其原有配置进行了优化，尽可能避免使用明文传输的协议，选择使用安全性较高的协议。1.接入交换机部分接口配置#interfaceEth-Trunk1portlink-typetrunkporttrunkallow-passvlan2to4094#interfaceGigabitEthernet0/0/1portlink-typeaccessportdefaultvlan11#2.接入交换机stelnet登录系统配置配置stelnet登录，提高管理效率。#stelnetserverenablesshuseradminsshuseradminauthentication-typepasswordsshuseradminservice-typestelnetsshuseradminauthorization-cmdaaa#3.aaa使用aaa提供安全服务，认证部分提供了对用户的认证。其中对其原有配置进行了优化，尽可能避免使用明文传输的协议，选择使用安全性较高的协议。通过配置aaa确定使用者的身份以及实现不同用户赋予不同的权限，限制用户可以使用的功能。#aaaauthentication-schemedefaultauthorization-schemedefaultaccounting-schemedefaultdomaindefaultdomaindefault_adminlocal-useradminpasswordcipher%@%@Ch@\6p+YR(f-)E<b7UTG5QBP%@%@local-useradminprivilegelevel15local-useradminservice-typeterminalsshhttp#4.1.3防火墙的配置1.防火墙的作用111、强化安全策略（防火墙作为阻塞点、控制点）。2、有效的记录在互联网上的活动。3、可隐藏重要信息。4、对所有信息进行检测5、具有类似NAT的功能，能实现IP地址变换。2.防火墙的特性1、内部与外部进行通信时必须从防火墙中通过。2、防火墙可以抵制病毒从外部入侵。3、防火墙具有类似ACL的功能，制定访问安全策略。4、防火墙亦存在不能对一些恶意侵入进行拦阻。5、防火墙无法隔离外网连接。6、防火墙无法隔离所有威胁。7、防火墙无法清除互联网PC存在的恶意病毒。3.NAT策略配置22通过NAT，隐藏并保护了内网的主机ip，能有效地防范外网的攻击。#nat-policyrulenamevpndisablesource-zonetrustdestination-zoneuntrustdestination-addressmaskdestination-addressmaskactionno-natrulenameweb1source-zonetrustdestination-zonetrustdestination-addressaddress-setweb1actionsource-nataddress-groupweb1rulenameWAN4source-zonetrustegress-interfaceGigabitEthernet1/0/4actionsource-nateasy-ip#4.安全域33通过设置安全域，实现访问控制，通过在这些安全域间加载独内立的访问控制策略以实现限制不同信任度网络之间的相互访问。#firewallzonelocalsetpriority100#firewallzonetrustsetpriority85addinterfaceGigabitEthernet0/0/0addinterfaceEth-Trunk0addinterfaceVlanif1addinterfaceGigabitEthernet1/0/2#firewallzoneuntrustsetpriority5addinterfaceGigabitEthernet1/0/5addinterfaceDialer0addinterfaceGigabitEthernet1/0/4addinterfaceVirtual-Template0destination-nat3055address54destination-nat3010address54#firewallzonedmzsetpriority50#5.配置黑名单44黑名单是可以动态创建或删除。同基于ACL的包过滤功能相比，黑名单仅仅对IP地址进行识别，因此能以很高的速度匹配黑名单表项，快速有效地屏蔽特定IP地址。当收到黑名单IP地址的报文时，将予以丢弃，从而达到保护网络安全的目的。#firewallblacklistenablefirewallblacklistitemsource-ipfirewallblacklistitemdestination-ip6#6.防火墙acl配置55配置ACL确定特定对象后，需要明确策略的行为，即满足了条件后的报文，做什么动作。#aclnumber3000aclnumber3001rule10permitipsource55destination55rule15permitipsource55destination55aclnumber3010rule5permitudpdestination00destination-portrangehwcc10500aclnumber3055rule5permitudpdestination00destination-portrangehwcc12000#7.aaa66使用aaa提供安全服务，认证部分提供了对用户的认证。其中对其原有配置进行了优化，尽可能避免使用明文传输的协议，选择使用安全性较高的协议。通过配置aaa确定使用者的身份以及实现不同用户赋予不同的权限，限制用户可以使用的功能。#aaaauthentication-schemedefaultauthentication-schemeadmin_localauthentication-schemeadmin_radius_localauthentication-schemeadmin_hwtacacs_localauthentication-schemeadmin_ad_localauthentication-schemeadmin_ldap_localauthentication-schemeadmin_radiusauthentication-schemeadmin_hwtacacsauthentication-schemeadmin_adauthentication-schemeadmin_ldapauthorization-schemedefaultaccounting-schemedefaultservice-schemel2tpSScheme_1521684252023ip-pool80service-schemewebServerScheme1521686822665domaindefaultservice-schemewebServerScheme1521686822665service-typeinternetaccessssl-vpnl2tpikeinternet-accessmodepasswordreferenceusercurrent-domainmanager-useraudit-admin#8.使用安全性高的协议77避免使用http等明文传输的安全性低的协议，提高网络信息传输的安全性。#service-managehttpspermitservice-managepingpermitservice-managesshpermit#4.2安全加固配置用户权限策略，结合要求和实际业务情况，设定不同的账户和账户组，管理员用户，数据库用户，审计用户，来宾用户、删除或禁用系统无关账号，更改默认帐户名，修改密码并按要求配置密码复杂度要求和用户登录失败锁定、开启屏幕保护程序、对文件系统实施保护、配置日志审计策略和文件大小、限制匿名用户远程连接、关闭不必要的服务，功能和端口、卸载无关软件、关闭默认共享、设置共享文件夹访问权限，遵循最小权限共享原则、启用数据执行保护（DEP）、杀毒、漏洞扫描和更新补丁。图4-16用户如图4-1所示，配置用户权限策略，结合要求和实际业务情况，设定不同的账户和账户组，管理员用户，数据库用户，审计用户，来宾用户、删除或禁用系统无关账号，更改默认帐户名，降低被攻击的风险。图4-2密码复杂度如图4-2所示，修改密码并按要求配置密码复杂度要求和用户登录失败锁定，增加攻击成本。图4-3屏幕保护程序如图4-3所示，开启屏幕保护程序，提高主机的安全性。图4-4审核策略如图4-4所示，设置审核策略，记录审核日志来说明是否发生安全事件，记录入侵的重要信息，防范与未然。安全加固可以提高主机的安全性，减少被攻击的风险，增加攻击者的攻击成本，给使用者提高反应的机会。5总结本课题是针对医疗影像诊断中心需求和规模对其网咯进行整改。设计中讲述了课题的意义和目的、公司的背景并收集相关需求，从而根据需求对其进行整改，如对网络设备配置进行优化，对主机、服务器进行安全加固，简要讲解了本项目遇到的网络设备及整改方案整改，且开始进行实施，对医疗影像诊断中心网络做了一个整体的整改方案论述。在整一个整改的过程中，许多的细节问题让我意识到了在网络设计方面的一些规范会导致后期维护过程的麻烦，在刚开始时，我以为网络设计是一个很容易的事情，但在开始整改的过程中，发现设计时应为后期维护考虑很多东西，前期多做一点点东西可以为后期省去很多麻烦。整改过程中难免碰到一些问题，不过这也加深了我对网络设计和网络运维的了解，可以了解到一些平时不太会注意和考虑的知识。在这一次设计中，我首先是查阅了一些关于网络整改的案例，在结合自身从事的工作实际，从而拟出这一次整改的方案.在这个整改过程中，遇到了很多问题。当遇到问题时，我尝试自己去试着解决，或者是上网查询相关资料又或者是咨询老师、同事、同学等有相关经验的人。在这个过程中，我学习到了很多，知识面也得到了拓展。这个方案中是对所学知识的掌握程度的一次考验，和对项目管理、网络设计、网络运维等各个方面的知识深入学习。网络技术的发展是有无止境的，所以我在设计的过程中不仅是对过去所学的知识进行一个巩固，还要不断对新知识进行学习与研究。

参考文献：[1]GB/T25058-2019信息安全技术网络安全等级保护实施指南

[S].[2]GB/T22239-2019信息安全技术网络安全等级保护基本要求[S].[3]GB/T25070-2019信息安全技术网络安全等级保护安全设计技术要求[S].[4]GB/T28448-2019信息安全技术网络安全等级保护测评要求[S].[5]GB/T36958-2018信息安全技术网络安全等级保护安全管理中心技术要求[S].[6]GB/T36627-2018信息安全技术网络安全等级保护测试评估技术指南[S].[7]SwatiKhandelwal.TurnsOutMicrosoftHasAlreadyPatchedExploitsLeakedByShadowBrokers[EB/OL].[8]MSRC.Protectingcustomersandevaluatingrisk[EB/OL].[9]袁春阳,石文昌,梁洪亮,etal.支持增强Linux安全性的多个安全策略模型的统一框架（英文）[J].中国科学院大学学报,2006,23(2):205-212.[10]CheswickWR,BellovinSM,RubinAD.FirewallsandInternetSecurity:RepellingtheWilyHacker[M].Addison-WesleyLongmanPublishingCo.Inc.1994.致谢从18年9月刚踏进学校学习到20年的今天，大学的时光匆匆而过，此时离毕业已不遥远，回首这些时光，我感到非常充实和快乐同时，当然也有许多的遗憾以及不舍。当我写完这篇论文时，我不自觉有许多的感慨。这次论文设计的过程是不容易的，但我得到了很多老师、同事和同学的帮助，首先对于我的论文导师黄长江老师在这个过程中给我的关心和细心指导，我衷心地表示感谢和感恩。长江老师丰富的专业知识，严肃谨慎的工作态度、孜孜不倦的教导，平易和善的人格魅力都对我产生了深远和积极的影响。在整个论文的选题和收集材料，撰写排版和文献资料都给了我很大的帮助和启发。让我有了较为清晰的思路和明确的方向。其次，我要感谢老师、同事和同学对我的帮助。帮助我查阅资料，以及一起对过程中出现的问题进行探讨和排错，能及时给与关键而有效的建议。在此，我再一次诚挚的感谢向帮助过我的老师、同事和同学表示感谢。

HYPERLINK电脑文件整理懒招从来都是不会经常整理文件的，不过时间一长，众多的文档分布在硬盘的各个角落，用目录进行整理保存，工作量大、查看起来也不方便且还会浪费不少的磁盘空闻；用压缩工具打包，尽管可以节约空间但是却无法直接编辑修改或查看压缩包中的文件。这些招，懒人怎么会用，他们自有妙招!再多再乱的文件也能整理得井井有条，关键是不费力哦!

懒招1，自动提取乱中取胜

小张起初将照片、Office文档、电影、音乐等文件一股脑地存放在某一个磁盘分区，刚开始文件少使用起来倒也方便，但随着时间的推移，文件数量剧增，每次找所需的文件都要瞪大眼睛，不过有了MY文档管理器(下载地址：)就不用担心了。

第一步，下载MY文档管理器，解压到任意目录，直接双击其中的可执行性文件即可使用。依次单击“节点操作→添加节点”，分别添加多个节点，如“办公文档”、“电影”等分类，这样做的目的是方便归类。

第二步，在小张的F盘中的TEST目录下有众多的RM、MP3、JPG、DOC、TXT格式的文件，现在他要把JPG格式的文件提取到“照片”类别中。依次单击“系统配置→文件过滤”选项，打开Dialog对话框，输入“*.doc”，单击“添加”按钮，意思是过滤掉所有类型为“.DOC”的文件。然后按照同样的方法，将“*.txt”、“*.rm”、“*.MP3”一一添加进来。

第三步，双击左侧窗格中的“照片”节点，然后依次单击“记录操作→导入记录树”命令，在打开的对话框中单击浏览按钮，打开“F:\test”目录，单击“确定”按钮之后就可以将格式为JPG的文件提取出来并添加到“照片”节点中了。

懒招2，不同的电脑统一的管理

小张是电爱的Fans，工作之余常常为杂志写稿，他写完的和正在处理的稿件一般都存在一个稿件文件夹里。不过时间一长，家里的电脑(PC1)和单位的电脑(PC2)上都有这个文件夹。时常需要通过移动硬盘(U盘)在两台电脑之间传递，使用和管理都很不方便。不过他现在用优盘就可以统一管理了。

第一步，将上文提到的那个MY文档管理器解压后直接拷贝到优盘上。把优盘插到PC1上，并运行软件，依次单击“记录操作→导入记录树”命令，在随后弹出的对话框中设置好“稿件”文件夹的根目录，将“导入深度”设置为“5”，单击“确定”后，稍等片刻，软件就把PC1上的“稿件”导入到MY文档管理器中。

小提示：通过这种方式导入到程序中的仅仅是文件的路径、文件名等属性信息，并不是文件本身。

第二步，把优盘插到PC2上，按照同样的方法导入PC2上的“稿件”文件。以后要编辑“稿件”里的文件，你自己根本不用记住哪台电脑的哪个路径，只要把优盘插入到电脑，运行MY文档管理器，就可以直接编辑了。

第三步，为方便在异地使用，小张决定为当前正在处理的稿件增加一个副本。在需要异地处理的稿件上右键单击，选择“复制文件到(自动添加副本)”命令，在弹出的对话框中将保存目录设置为优盘上的某个目录即可。这样，就可以在优盘上编辑PC1或PC2的稿件了。

小提示：对于PC1、PC2上的同名文件，MY文档管理器以不同的磁盘号+文件路径来标识文件记录，因此，对于不同电脑上的同名文件，甚至是路径和文件名完全相同的文件，程序也可以准确识别哪个是哪个。

懒招3多种文件批量移动

要将文件管理得井然有序，就免不了要进行复制、删除、移动等等操作，如果一个个进行操作，工作量是非常巨大的。这时我们就需要借助于BelvedereAutomated(下载地址：.com/assets/resources/2008/03/Belvedere%200.3.exe)进行批量操作了。例如我们想把“F:\test”目录中的所有照片移动到F盘中的“北京游照片”目录中，可以按以下方法进行。

第一步，建立“F:\test”目录后在“rule”一栏中，单击“+”按钮，建立一个规则。在“Descriptior”文本框中为当前规则起一个名字如“批量整理移动”。单击第一个下拉列表，在这里可以选择Name(文件名)、Extension(扩展名)、Size(大小)等进行操作，这里选择扩展名“Extension”。单击第二个下拉列表，在这里设置的是操作条件，有is(是)、isnot(不是)、contains(包含)等操作可供选择，这里选择的是“is”。接下来，在最后的文本框中输入图片文件的扩展名，示例中是“JPG”。定义的规则合起来的意思就是“扩展名是JPG”。

第二步，在“Dothefollowing”区域设置操作动作，单击第一个下拉列表进行操作动作的选择，有“Movefile(移动)、Renamefile(重命名)、Deletefile(删除)”等动作可供选择，我们要批量移动，那就选择重命名“Movefile(移动文件)”。接下来，单击后面的按钮选择“F:\北京游照片”目录。

第三步，规则设置完毕，单击“Test”按钮应用规则，程序即可一次性地将所有扩展名为“JPG”的图片文件移动到“F:\北京游照片”目录中了。

懒招4提纲挈领一点即得

在前面几大懒招的帮助下，你电脑里的文件应该已经有点类别了吧。如果从此想告别懒人的生活，那就要养成管理文件的好习惯了。

第一步，在你保存资料的电脑分区中，要接类别建立多个文件夹，可以按用途分为：学习、娱乐、暂存、工作、下载，在娱乐下又可以建立二级目录：电影、歌曲、动画等。也可以按照常见的文件性质进行分类，例如分为：图片、电影、电子书、安装文件等，当然也可以按照你的需要再建立二级目录，以后每有文件需要保存就按这个类别保存到相应的目录。

第二步，虽然现在已经把文件分门别类存放了，但时间长了，目录太深，一层一层查找也很麻烦的，在EXCEL里建一个目录就可以统一管理了。运行EXCEL后，新建一个表格，然后按照我们的分类方式隔行输入：图片、电影、电子书，在图片分类下再建立二级目录名，例如明星、汽车、壁纸等。

第三步，右键单击“图片文字”，选择“超链接”，在弹出的对话框中选择电脑里图片目录文件夹，单击“确定”后EXCEL里的“图片”文字就变成彩色。用同样的方法为一级目录的“电影、电子书”和二级目录的“明星、汽车、壁纸”等添加超链接。然后将这个EXCEL文件命名为文件目录，保存到桌面上，以后打开这个文档，直接单击相应的文字，比如单击“壁纸”，就可以切换到壁纸文件夹了。

小提示：如果要更改某个超链接，直接右键单击该文字，选择“编辑超链接”就可以了。本人的电脑分类原则简述如下。

硬盘的第一层(请在自己的件夹中右键“按组排列”查看)

第一位字母表示A生活娱乐B教学C工作D安装程序

第二位字母表示只是流水号

AA影视

AB音乐

AC阅读

AD图片

AE相册

生活娱乐

BA计算机

BB英语

BC运动

BD游戏攻略

BE衣食住行

BF文艺

教学

CA管理制度

CB流程图

CC程序文件

工作

DA娱乐

DB其它

安装程序

硬盘的第二层(进入“AA影视”的文件夹举例)

第一位字母表示只是流水号

第二位字母表示只是流水号

AA电影

BA电视剧

CAMTV

硬盘的第三级(进入“AA电影”的文件夹举例)

第一位字母表示A动作片B剧情片C动画片

第二位字母表示A未看过B已看过

AA导火线

AB尖峰时刻

动作片

BA独自等待

剧情片

CB机器猫

CB狮子王

动画片

利用“字母排序”和“按组排列查看”可以使文件查看和存放简洁明了，结合自己资料的特点和实际需求，给自己定一个分类原则并严格执行。个人电脑资料的资源会得到高效而充分的利用。电脑文件管理八条小技巧

在电脑的内部，在电脑的桌面上，在“资源管理器”中，充斥着无序与混乱,这种虚拟的混乱极大地影响了电脑的性能和我们办公的效率，当大家面临这个问题时，通常认为硬盘空间又不够了，电脑性能又不跟不上了，需要再换一台新的电脑了。事实上，我们真正需要的是坐下来，好好花时间将电脑里的文件真正管理起来，会为自己日后省下更多的时间。

文件管理的真谛在于方便保存和迅速提取，所有的文件将通过文件夹分类被很好地组织起来，放在你最能方便找到的地方。解决这个问题目前最理想的方法就是分类管理，从硬盘分区开始到每一个文件夹的建立，我们都要按照自己的工作和生活需要，分为大大小小、多个层级的文件夹，建立合理的文件保存架构。此外所有的文件、文件夹，都要规范化地命名，并放入最合适的文件夹中。这样，当我们需要什么文件时，就知道到哪里去寻找。

这种方法，对于相当数量的人来说，并不是一件轻松的事，因为他们习惯了随手存放文件和辛苦、茫无头绪地查找文件。

下面，我们将帮你制订一套分类管理的原则，并敦促您养成好的文件管理习惯。以下是我们总结出的一些基本技巧，这些技巧并不是教条，可能并不适合你，但无论如何你必须要有自己的规则，并坚持下来，形成习惯。

一、发挥我的文档的作用

有很多理由让我们好好地利用“我的文档”，它能方便地在桌面上、开始菜单、资源管理器、保存/打开窗口中找到，有利