網(wǎng)絡(luò)搭建方案設(shè)計(jì)書

xx隊(duì)組網(wǎng)大賽方案設(shè)計(jì)書二零一零年八月目錄TOC\o"1-5"\h\z一、 需求分析 3\o"CurrentDocument"1.1工程項(xiàng)目概況 3\o"CurrentDocument"1.2需求分析 3\o"CurrentDocument"二、 方案設(shè)計(jì)原則 4\o"CurrentDocument"三、 網(wǎng)絡(luò)方案設(shè)計(jì) 5\o"CurrentDocument"3.1網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)介紹 5\o"CurrentDocument"3.2網(wǎng)絡(luò)拓?fù)鋱D 6\o"CurrentDocument"3.3方案項(xiàng)目建設(shè)重點(diǎn)問題處理 6\o"CurrentDocument"3.4網(wǎng)絡(luò)設(shè)計(jì) 7\o"CurrentDocument"3.4.1廣域網(wǎng)互連設(shè)計(jì) 7\o"CurrentDocument"3.4.2骨干核心層網(wǎng)絡(luò)設(shè)計(jì) 8\o"CurrentDocument"3.4.3匯聚層網(wǎng)絡(luò)設(shè)計(jì) 8\o"CurrentDocument"3.4.4接入層網(wǎng)絡(luò)設(shè)計(jì) 83.4.5網(wǎng)絡(luò)安全設(shè)計(jì) 9\o"CurrentDocument"3.4.6冗余/負(fù)載均衡設(shè)計(jì) 9\o"CurrentDocument"3.4.6.1線路冗余 10\o"CurrentDocument"設(shè)備冗余/負(fù)載均衡設(shè)計(jì) 11\o"CurrentDocument"服務(wù)器冗余設(shè)計(jì) 11\o"CurrentDocument"3.4.10IP地址規(guī)劃原則 12\o"CurrentDocument"四、 網(wǎng)絡(luò)安全及管理機(jī)制 13\o"CurrentDocument"完善的安全機(jī)制 13\o"CurrentDocument"GSN全局安全網(wǎng)絡(luò) 14\o"CurrentDocument"解決安全威脅 14\o"CurrentDocument"VPN（虛擬專用網(wǎng)） 14\o"CurrentDocument"六、 配置清單 15\o"CurrentDocument"七、 方案的擴(kuò)展性考慮 15

需求分析、需求分析工程項(xiàng)目概況華山醫(yī)院是衛(wèi)生部直屬?gòu)?fù)旦大學(xué)（原上海醫(yī)科大學(xué)）附屬的一所綜合性教學(xué)醫(yī)院。建院于1907年，前身是中國(guó)紅十字會(huì)總院，是上海地區(qū)中國(guó)人最早創(chuàng)辦的醫(yī)院，1992年首批通過國(guó)家三級(jí)甲等醫(yī)院評(píng)審，目前已成為一所國(guó)家高層次的醫(yī)療機(jī)構(gòu)，并為全國(guó)醫(yī)療、預(yù)防、教學(xué)、科研相結(jié)合的技術(shù)中心，在國(guó)內(nèi)外享有較高的聲譽(yù)。隨著醫(yī)療行業(yè)信息化的發(fā)展，為了認(rèn)真貫徹衛(wèi)生部召開的關(guān)于加快醫(yī)衛(wèi)系統(tǒng)信息化建設(shè)及管理的會(huì)議精神，進(jìn)一步推進(jìn)我院的信息化建設(shè)，了解國(guó)際醫(yī)療信息化發(fā)展動(dòng)態(tài)，吸收新的技術(shù)和管理經(jīng)驗(yàn)，提高我院信息化應(yīng)用的管理水平，使我院經(jīng)濟(jì)效益和社會(huì)效益雙豐收，逐步加快醫(yī)院的信息化建設(shè)步伐。在選取“飛”的翅膀時(shí)，計(jì)算機(jī)網(wǎng)絡(luò)解決方案的選取是關(guān)鍵。你所代表的網(wǎng)絡(luò)公司以其卓越的產(chǎn)品性能、豐富的產(chǎn)品種類和完善的服務(wù)體系，綜合考慮了華山對(duì)網(wǎng)絡(luò)安全、網(wǎng)絡(luò)管理、可靠性、可管理性、可擴(kuò)展性和高性能的特殊需要，精選出適合華山醫(yī)院的網(wǎng)絡(luò)建設(shè)的解決方案。具體要求：1） 網(wǎng)絡(luò)設(shè)計(jì)采用先進(jìn)、可靠、成熟、高性能、可擴(kuò)展的網(wǎng)絡(luò)架構(gòu)及技術(shù)，從硬件設(shè)備、軟件策略控制兩個(gè)方面來保證核心、骨干網(wǎng)絡(luò)的高可靠、高性能及易維護(hù)性；2） 網(wǎng)絡(luò)設(shè)計(jì)充分考慮該醫(yī)院網(wǎng)絡(luò)的特殊性，以及不同業(yè)務(wù)、不同部門之間的數(shù)據(jù)安全，綜合考慮網(wǎng)絡(luò)設(shè)計(jì)的邏輯結(jié)構(gòu)以及區(qū)域劃分；3） 網(wǎng)絡(luò)設(shè)計(jì)充分考慮避免環(huán)路；4） 網(wǎng)絡(luò)設(shè)計(jì)要解決校內(nèi)用戶對(duì)外部網(wǎng)絡(luò)的訪問需求，且要實(shí)現(xiàn)社保局、醫(yī)保、銀行、干保四條vpn出口；5） 網(wǎng)絡(luò)設(shè)計(jì)需對(duì)DoS攻擊、ARP欺騙/攻擊、廣播風(fēng)暴等網(wǎng)絡(luò)攻擊行為有較強(qiáng)的防范能力；需求分析華山醫(yī)院的網(wǎng)絡(luò)系統(tǒng)建設(shè)應(yīng)在實(shí)用的前提下，應(yīng)當(dāng)在投資保護(hù)及長(zhǎng)遠(yuǎn)性方面做適當(dāng)考慮，在技術(shù)上系統(tǒng)能力上要保持五年左右的先進(jìn)性。并且從用戶的利益出發(fā)，一個(gè)好的系統(tǒng)應(yīng)當(dāng)給用戶一定的自由度，而不是束縛住他們的手腳，從技術(shù)上講應(yīng)該采用標(biāo)準(zhǔn)、開放、可擴(kuò)充的、能與其它廠商產(chǎn)品配套使用的設(shè)計(jì)。根據(jù)以上種種特性需求，網(wǎng)絡(luò)設(shè)備核心層、匯聚層、接入層產(chǎn)品，選擇銳捷網(wǎng)絡(luò)。銳捷網(wǎng)絡(luò)是國(guó)內(nèi)領(lǐng)先的網(wǎng)絡(luò)廠商，其對(duì)醫(yī)療行業(yè)有著深刻的了解，其產(chǎn)品、方案與服務(wù)在醫(yī)療行業(yè)有成熟和廣泛的應(yīng)用，而且能通過智能、安全及可靠的網(wǎng)絡(luò)設(shè)備連為一體，來構(gòu)建網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)目標(biāo)，保障其順利進(jìn)行。根據(jù)以上描述，結(jié)合實(shí)際建網(wǎng)情況和前期網(wǎng)絡(luò)建設(shè)，在充分研究了目前國(guó)內(nèi)外網(wǎng)絡(luò)界對(duì)園區(qū)網(wǎng)設(shè)計(jì)所采用的各種網(wǎng)絡(luò)主干技術(shù),并充分考慮到技術(shù)發(fā)展的主流和趨勢(shì)后，建議選擇萬兆以太網(wǎng)為目標(biāo)，構(gòu)建華山醫(yī)院的網(wǎng)絡(luò)建設(shè)，設(shè)計(jì)“萬兆核心、千兆支干、千兆交換桌面”的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，根據(jù)需求分析，結(jié)合對(duì)應(yīng)用系統(tǒng)的考慮，提出本期網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)目標(biāo)：高性能、高可靠性、高穩(wěn)定性、高安全性、可管理、可增值的智能安全網(wǎng)絡(luò)。二、 方案設(shè)計(jì)原則本方案的設(shè)計(jì)將在追求性能優(yōu)越、經(jīng)濟(jì)實(shí)用的前提下，本著嚴(yán)謹(jǐn)、慎重的態(tài)度，從系統(tǒng)結(jié)構(gòu)、技術(shù)措施、設(shè)備選擇、系統(tǒng)應(yīng)用、技術(shù)服務(wù)和實(shí)施過程等方面綜合進(jìn)行系統(tǒng)的總體設(shè)計(jì)，力圖使該系統(tǒng)真正成為符合該醫(yī)院的網(wǎng)絡(luò)系統(tǒng)。從技術(shù)措施角度來講，在網(wǎng)絡(luò)的設(shè)計(jì)和實(shí)現(xiàn)中，本方案嚴(yán)格遵守了以下原則：實(shí)用性和集成性系統(tǒng)的軟硬件設(shè)計(jì)、還是集成，均以適用為第一宗旨，在系統(tǒng)充分適應(yīng)醫(yī)院信息化的需求的基礎(chǔ)上進(jìn)而再來考慮其他的性能。該系統(tǒng)所包含的內(nèi)容很多，必須能將各種先進(jìn)的軟硬件設(shè)備有效地集成在一起，使系統(tǒng)的各個(gè)組成部分能充分發(fā)揮作用，協(xié)調(diào)一致的進(jìn)行高效工作。標(biāo)準(zhǔn)性和開往性只有支持標(biāo)準(zhǔn)性和開放性的系統(tǒng)，才能支持與其它開放型系統(tǒng)一起協(xié)同工作，在網(wǎng)絡(luò)中采用的硬件設(shè)備及軟件產(chǎn)品應(yīng)該支持國(guó)際工作標(biāo)準(zhǔn)或事實(shí)上的標(biāo)準(zhǔn)，以便能和不同廠家的開放性產(chǎn)品在同一網(wǎng)絡(luò)中同時(shí)共存。通信中應(yīng)采用標(biāo)準(zhǔn)的通信協(xié)議以使不同的操作系統(tǒng)與不同的網(wǎng)絡(luò)系統(tǒng)及不同的網(wǎng)絡(luò)之間順利進(jìn)行通訊。先進(jìn)性和安全性系統(tǒng)所有的組成要素均應(yīng)充分地考慮其先進(jìn)性。不能一味地追求實(shí)用而忽略先進(jìn)，只有將當(dāng)今最先進(jìn)的技術(shù)和我們的實(shí)際應(yīng)用要求緊密結(jié)合，才能獲得最大的系統(tǒng)性能和效益。網(wǎng)絡(luò)的安全是事關(guān)重要的，在某些情況下，寧可犧牲系統(tǒng)的部分功能也必須保證系統(tǒng)的安全。成熟性和高可靠性作為信息系統(tǒng)基礎(chǔ)的網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)絡(luò)設(shè)備的配置及帶寬應(yīng)能充分地滿足網(wǎng)絡(luò)通信的需要。網(wǎng)絡(luò)硬件體系結(jié)構(gòu)在實(shí)際應(yīng)用中能經(jīng)過較長(zhǎng)時(shí)間的考驗(yàn)，在運(yùn)行速度和性能上都應(yīng)是穩(wěn)定可靠的、擁有完善的、實(shí)用的解決方案，并通到較多的第三方開發(fā)商和用戶在全球的廣泛支持和使用。同時(shí)，應(yīng)從長(zhǎng)遠(yuǎn)的技術(shù)發(fā)展來選擇具有很好前景的、較為先進(jìn)的技術(shù)和產(chǎn)品，以適應(yīng)系統(tǒng)未來的發(fā)展需要?？煽啃砸彩呛饬恳粋€(gè)計(jì)算機(jī)應(yīng)用系統(tǒng)的重要標(biāo)準(zhǔn)之一。在確保系統(tǒng)網(wǎng)絡(luò)環(huán)境中單獨(dú)設(shè)備穩(wěn)定、可靠運(yùn)行的前提下，還需要考慮網(wǎng)絡(luò)整體的容錯(cuò)能力、安全性及穩(wěn)定性，使系統(tǒng)出現(xiàn)問題和故障時(shí)能迅速地修復(fù)。因此需要采取一定的預(yù)防措施，如對(duì)關(guān)鍵應(yīng)用的主干設(shè)備考慮有適當(dāng)?shù)娜哂?。?yīng)急處理信息系統(tǒng)能夠全天候工作，達(dá)到每周7*24小時(shí)工作的要求。一個(gè)高可用性的系統(tǒng)才能使用戶的投資真正得到回報(bào)?？删S護(hù)性和可管理性整個(gè)信息網(wǎng)絡(luò)系統(tǒng)中的互連設(shè)備，應(yīng)是使用方便、操作簡(jiǎn)單易學(xué)，并便于維護(hù)。對(duì)復(fù)雜和龐大的網(wǎng)絡(luò)，要求有強(qiáng)有力的網(wǎng)絡(luò)管理手段，以便合理的管理網(wǎng)絡(luò)資源，監(jiān)視網(wǎng)絡(luò)狀態(tài)及控制網(wǎng)絡(luò)的運(yùn)行，因此，網(wǎng)絡(luò)所選的網(wǎng)絡(luò)設(shè)備應(yīng)支持多種協(xié)議，管理員能方便進(jìn)行網(wǎng)絡(luò)管理、維護(hù)甚至修復(fù)。在設(shè)計(jì)和實(shí)現(xiàn)時(shí)，必須充分考慮整個(gè)系統(tǒng)的便于維護(hù)性，以使系統(tǒng)萬一發(fā)生故障時(shí)能提供有效手段及時(shí)進(jìn)行恢復(fù)，盡量減少損失?？蓴U(kuò)充性和兼容性網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)應(yīng)具有可擴(kuò)展性即網(wǎng)絡(luò)聯(lián)結(jié)必須在系統(tǒng)結(jié)構(gòu)、系統(tǒng)容量與處理能力、物理接連、產(chǎn)品支持等方面具有擴(kuò)充與升級(jí)換代的可能，采用的產(chǎn)品要遵循通用的工業(yè)標(biāo)準(zhǔn)，以便不同的設(shè)備能方便靈活地接連入網(wǎng)并滿足系統(tǒng)規(guī)模擴(kuò)充的要求。為了使所實(shí)現(xiàn)系統(tǒng)能夠在應(yīng)用發(fā)生變化的情況下保護(hù)原有的開發(fā)投資，在設(shè)計(jì)系統(tǒng)時(shí)，應(yīng)將系統(tǒng)按功能做成模塊化的，可根據(jù)需要增加和刪除功能模塊三、網(wǎng)絡(luò)方案設(shè)計(jì)3.1網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)介紹在此次醫(yī)療網(wǎng)的設(shè)計(jì)中，我們采用層次化模型來設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。所謂“層次化”模型，就是將復(fù)雜的網(wǎng)絡(luò)設(shè)計(jì)分成幾個(gè)層次，每個(gè)層次著重于某些特定的功能，這樣就能夠使一個(gè)復(fù)雜的大問題變成許多簡(jiǎn)單的小問題。層次模型既能夠應(yīng)用于局域網(wǎng)的設(shè)計(jì)，也能夠應(yīng)用于廣域網(wǎng)的設(shè)計(jì)。在大中型校園網(wǎng)設(shè)計(jì)中，使用層次化模型有許多好處，列舉如下：1、 節(jié)省成本在采用層次模型之后，各層次各司其職，不再在同一個(gè)平臺(tái)上考慮所有的事情。層次模型模塊化的特性使網(wǎng)絡(luò)中的每一層都能夠很好地利用帶寬，減少了對(duì)系統(tǒng)資源的浪費(fèi)。2、 易于理解層次化設(shè)計(jì)使得網(wǎng)絡(luò)結(jié)構(gòu)清晰明了，可以在不同的層次實(shí)施不同難度的管理，降低了管理成本。3、 易于擴(kuò)展在網(wǎng)絡(luò)設(shè)計(jì)中，模塊化具有的特性使得網(wǎng)絡(luò)增長(zhǎng)時(shí)網(wǎng)絡(luò)的復(fù)雜性能夠限制在子網(wǎng)中，而不會(huì)蔓延到網(wǎng)絡(luò)的其他地方。4、 易于排錯(cuò)層次化設(shè)計(jì)能夠使網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)分解為易于理解的子網(wǎng)，網(wǎng)絡(luò)管理者能夠輕易地確定網(wǎng)絡(luò)故障的范圍，從而簡(jiǎn)化了排錯(cuò)過程。

3.2網(wǎng)絡(luò)拓?fù)鋱D說.!951,SS750EiG-m].J600lS5750.RG-S86ia557MS5750S57S0海正管理萬兆鎖路\art-Vie?-干疝疑路,■3.2網(wǎng)絡(luò)拓?fù)鋱D說.!951,SS750EiG-m].J600lS5750.RG-S86ia557MS5750S57S0海正管理萬兆鎖路\art-Vie?-干疝疑路,■銀行于保圖1網(wǎng)絡(luò)拓?fù)鋱D3.3方案項(xiàng)目建設(shè)重點(diǎn)問題處理本方案很好地解決了用戶要求的五個(gè)問題，即網(wǎng)絡(luò)高可靠、高性能問題，安全問題，帶寬問題，穩(wěn)定性問題，兼容性、可擴(kuò)充性問題問題。網(wǎng)絡(luò)高可靠、高性能、穩(wěn)定性問題處理：由于該網(wǎng)絡(luò)為承載新醫(yī)院數(shù)字化運(yùn)行的基礎(chǔ)骨干，核心、骨干設(shè)備一旦出現(xiàn)問題會(huì)影響到全網(wǎng)，使的網(wǎng)絡(luò)效率下降，甚至造成全網(wǎng)的宕機(jī)。因此，我們采用：（1） 雙出口+策略路由+鏈路互備+VRRP的技術(shù)；雙出口：核心層運(yùn)用雙核心結(jié)構(gòu)，減少了核心層交換機(jī)各自的負(fù)擔(dān)，提高了網(wǎng)絡(luò)流量的控制管理度和安全度。策略路由：在內(nèi)部網(wǎng)絡(luò)通往廣域網(wǎng)上，運(yùn)用策略路由技術(shù)使內(nèi)部不同的用戶通過不同的路有器出口出去，減少了核心路由器的負(fù)載，使整個(gè)網(wǎng)絡(luò)更加順暢流通。鏈路互備：整個(gè)網(wǎng)絡(luò)各層鏈路都采用了鏈路備份，既提高了設(shè)備的利用率，也保證了各個(gè)網(wǎng)絡(luò)的管理、安全、順暢。VRRP+MSTP:這種技術(shù)讓路由器組提供了一個(gè)冗余網(wǎng)關(guān)地址，它保證網(wǎng)絡(luò)的主路由器失效時(shí)，可以及時(shí)的由備分來實(shí)現(xiàn)路由器來替代，從而保持通訊的連續(xù)性和可靠性。（2） Qos服務(wù)體系：提高網(wǎng)絡(luò)通信質(zhì)量、保障關(guān)鍵應(yīng)用，使整個(gè)網(wǎng)絡(luò)運(yùn)營(yíng)暢通。網(wǎng)絡(luò)安全問題處理：（1）采用GSN系統(tǒng)：GSN全局安全網(wǎng)絡(luò)中運(yùn)用SMP（安全管理平臺(tái)）、SAM（安全認(rèn)證管理）、SEP（安全修復(fù)平臺(tái)）、CA服務(wù)系統(tǒng)等等安全管理系統(tǒng)大大提高了整個(gè)網(wǎng)絡(luò)的安全管理，并且能夠?qū)θW(wǎng)的所有安全事件、網(wǎng)絡(luò)病毒攻擊行為、用戶行為和用戶主機(jī)安全信息進(jìn)行深入分析和全局監(jiān)控。能夠?qū)θW(wǎng)的所有安全事件、網(wǎng)絡(luò)病毒攻擊行為、用戶行為和用戶主機(jī)安全信息進(jìn)行深入分析和全局監(jiān)控，同時(shí)在核心層、匯聚層、樓層匯聚層所使用的產(chǎn)品全部具有網(wǎng)絡(luò)病毒和攻擊的防護(hù)能力，且NFPP、CPP、防DDOS攻擊、非法數(shù)據(jù)包檢測(cè)、數(shù)據(jù)加密、防源IP地址欺騙等等，避免了傳統(tǒng)軟件實(shí)現(xiàn)方式對(duì)整機(jī)性能的影響，SSHv1/v2的加密登陸和管理功能，避免管理信息明文傳輸引發(fā)的潛在威脅。（2） 采用了RG-IDS入侵檢測(cè)設(shè)備：本方案還分別在核心交換機(jī)和服務(wù)器群旁應(yīng)采用了RG-IDS入侵檢測(cè)設(shè)備。這種設(shè)計(jì)不但保證了外部與內(nèi)部數(shù)據(jù)安全的傳輸，同時(shí)也為服務(wù)器群提供了良好的工作環(huán)境，從而保證了內(nèi)部局域網(wǎng)和外部網(wǎng)絡(luò)在不同的環(huán)境中做到安全防護(hù)，足以應(yīng)對(duì)突發(fā)事件，保持網(wǎng)絡(luò)穩(wěn)定、通暢。（3） 防火墻HA技術(shù)：在通往廣域網(wǎng)上采用兩個(gè)防火墻〃雙機(jī)熱備〃，"雙機(jī)互備〃技術(shù)，大大提高了整個(gè)網(wǎng)絡(luò)的安全性和可靠性。（4） 防病毒服務(wù)器和防火墻/VPN網(wǎng)關(guān)：入侵檢測(cè)、攻擊預(yù)警、網(wǎng)絡(luò)病毒防范、訪問控制、用戶監(jiān)控、安全郵件代理等多種網(wǎng)絡(luò)安全及網(wǎng)絡(luò)管理功能，同時(shí)集成了IPSecVPN模塊，為企業(yè)建立遠(yuǎn)程內(nèi)部網(wǎng)絡(luò)提供了完善的一體化解決方案。管理計(jì)費(fèi)問題：統(tǒng)一認(rèn)證，針對(duì)校園網(wǎng)開放式的信息點(diǎn)造成的安全隱患，全網(wǎng)接入采用統(tǒng)一認(rèn)證技術(shù)。（1） 基于端口的認(rèn)證就是將AAA認(rèn)證與端口保護(hù)相結(jié)合，保證了只有合法授權(quán)的用戶才能使用網(wǎng)絡(luò)或外部網(wǎng)絡(luò)，而且還能對(duì)網(wǎng)絡(luò)的使用情況進(jìn)行審計(jì)。（2） RG-NTD配合日志審計(jì)服務(wù)器還可以方便的實(shí)現(xiàn)基于用戶身份的網(wǎng)絡(luò)訪問行為的日志、設(shè)備日志、應(yīng)用日志的管理與分析，為安全事件的審計(jì)提供準(zhǔn)確可信的數(shù)據(jù)支持帶寬問題：使用萬兆互連雙核心結(jié)構(gòu)，使網(wǎng)絡(luò)核心設(shè)備不但可以互相備份，而且有效的減輕流量負(fù)荷，使設(shè)備時(shí)刻保持穩(wěn)定和高效。?兼容性、開放性和可擴(kuò)充性問題：銳捷網(wǎng)絡(luò)系列交換機(jī)遵循所有的國(guó)際標(biāo)準(zhǔn)，其核心交換機(jī)采用模塊化設(shè)計(jì)，完全滿足與其它廠商硬件、軟件的兼容性要求，只需簡(jiǎn)單地添加相應(yīng)的端口模塊即可實(shí)現(xiàn)網(wǎng)絡(luò)的擴(kuò)容，從而滿足校園網(wǎng)不斷增長(zhǎng)的應(yīng)用需求，使用戶投資得到充分利用。核心層使用的銳捷網(wǎng)絡(luò)RS-8606E路由交換機(jī)有良好的擴(kuò)展性，可以為將來的網(wǎng)絡(luò)實(shí)現(xiàn)輕松擴(kuò)展。3.4網(wǎng)絡(luò)設(shè)計(jì)3.4.1廣域網(wǎng)互連設(shè)計(jì)RG-WALL1600E防火墻采用銳捷網(wǎng)絡(luò)自主開發(fā)的RG-SecOS和獨(dú)創(chuàng)的分類算法使得它的高速性能不受策略數(shù)和會(huì)話數(shù)多少的影響，產(chǎn)品安裝前后絲毫不會(huì)影響網(wǎng)絡(luò)速度；同時(shí)，RG-WAL1600E在內(nèi)核層處理所有數(shù)據(jù)包的接收、分類、轉(zhuǎn)發(fā)工作，因此不會(huì)成為網(wǎng)絡(luò)流量的瓶頸。另外，RG-WALL具有入侵監(jiān)測(cè)功能，可判斷攻擊并且提供解決措施，且入侵監(jiān)測(cè)功能不會(huì)影響防火墻的性能。RG-WALL1600E支持深度狀態(tài)檢測(cè)、外部攻擊防范、內(nèi)網(wǎng)安全、流量監(jiān)控、郵件過濾、網(wǎng)頁(yè)過濾、應(yīng)用層過濾等功能，能夠有效的保證網(wǎng)絡(luò)的安全；提供多種智能分析和管理手段，支持郵件告警，支持多種日志，提供網(wǎng)絡(luò)管理監(jiān)控，協(xié)助網(wǎng)絡(luò)管理員完成網(wǎng)絡(luò)的安全管理;支持PPTP、L2TP、IPSec和SSL等多種全面的VPN業(yè)務(wù)，可以構(gòu)建多種形式的VPN；提供強(qiáng)大的路由能力，支持靜態(tài)/RIP/OSPF/路由策略及策略路由；支持雙機(jī)狀態(tài)熱備，支持Active/Active和Active/Standby兩種工作模式以及豐富的QoS特性，充分滿足客戶對(duì)網(wǎng)絡(luò)高可靠性的要求。3.4.2骨干核心層網(wǎng)絡(luò)設(shè)計(jì)RG-S8606是高性能、大容量的級(jí)核心路由交換機(jī)，其采用世界最先進(jìn)的硬件技術(shù)，使其能夠提供100G平臺(tái)高速包處理技術(shù)來增強(qiáng)海量業(yè)務(wù)處理能力，從業(yè)務(wù)驅(qū)動(dòng)的角度實(shí)現(xiàn)IP核心網(wǎng)絡(luò)質(zhì)的飛躍。同時(shí)強(qiáng)大的安全穩(wěn)定保障：關(guān)鍵部件的安全穩(wěn)定；采用硬件方式提供多種病毒和攻擊防護(hù)。設(shè)備管理安全提供NFPP、CPP、防DDOS攻擊、非法數(shù)據(jù)包檢測(cè)、數(shù)據(jù)加密、防源IP地址欺騙等等，避免了傳統(tǒng)軟件實(shí)現(xiàn)方式對(duì)整機(jī)性能的影響。優(yōu)秀的接入安全功能，使得RG-S8606核心路由交換機(jī)成為了核心層網(wǎng)絡(luò)的不二選擇。在骨干核心層中，我們采用兩臺(tái)銳捷RG-S8606核心路由交換機(jī)組成一個(gè)環(huán)形多機(jī)熱備份的核心交換機(jī)系統(tǒng)解決方案。為提高核心網(wǎng)絡(luò)的健壯性，實(shí)現(xiàn)鏈路的安全保障，本方案骨干核心層環(huán)網(wǎng)中可以采用VRRP（虛擬路由器冗余協(xié)議）和動(dòng)態(tài)負(fù)載均衡技術(shù)。對(duì)于各個(gè)業(yè)務(wù)VLAN可以指向這個(gè)虛擬的IP地址作為網(wǎng)關(guān)，因此應(yīng)用VRRP技術(shù)為核心交換機(jī)提供一個(gè)可靠的網(wǎng)關(guān)地址，以實(shí)現(xiàn)在核心層核心交換機(jī)之間進(jìn)行設(shè)備的硬件冗余，一主一備，共用一個(gè)虛擬的IP地址和MAC地址，通過內(nèi)部的協(xié)議傳輸機(jī)制可以自動(dòng)進(jìn)行工作角色的切換。進(jìn)而雙引擎、雙電源的設(shè)計(jì)為網(wǎng)絡(luò)高效處理大集中數(shù)據(jù)提供了可靠的保障。3.4.3匯聚層網(wǎng)絡(luò)設(shè)計(jì)匯聚層網(wǎng)絡(luò)主要完成各樓層和相關(guān)部門的內(nèi)接入交換機(jī)的匯聚及數(shù)據(jù)交換和VLAN終結(jié)，在本方案中采用銳捷網(wǎng)絡(luò)的RG-S5750交換機(jī)多層交換機(jī)作為匯聚層面的交換機(jī)。RG-S5750交換機(jī)在提供高密度千兆端口接入的同時(shí)還能夠滿足匯聚層智能高速處理的需要并能夠加靈活的部署在網(wǎng)絡(luò)邊緣的各個(gè)位置。能夠同時(shí)提供多個(gè)高速專用堆疊端口和百兆、千兆光口/電口。這些交換機(jī)都具備較強(qiáng)的多業(yè)務(wù)提供能力，可支持包括智能的CCL、MPLS、組播在內(nèi)的各種業(yè)務(wù)。為用戶提供豐富、高性價(jià)比的組網(wǎng)選擇。網(wǎng)絡(luò)時(shí)間協(xié)議保證交換機(jī)時(shí)間的準(zhǔn)確性，并與網(wǎng)絡(luò)中時(shí)間服務(wù)器時(shí)間統(tǒng)一化，方便日志信息和流量信息的分析、故障診斷等管理。Syslog方便各種日志信息的統(tǒng)一收集、維護(hù)、分析、故障定位、備份，便于管理員網(wǎng)絡(luò)維護(hù)和管理。3.4.4接入層網(wǎng)絡(luò)設(shè)計(jì)以往傳統(tǒng)醫(yī)院網(wǎng)絡(luò)接入層的建設(shè)中并不關(guān)注于安全控制和QOS提供能力，而將網(wǎng)絡(luò)的安全防御措施和QOS保障依賴于網(wǎng)絡(luò)的匯聚層或骨干層設(shè)備，這給匯聚層和骨干層設(shè)備帶來了巨大的壓力，往往內(nèi)網(wǎng)病毒泛濫成災(zāi)后導(dǎo)致骨干層設(shè)備癱機(jī)，使網(wǎng)絡(luò)沒有QOS服務(wù)質(zhì)量保障。RG-S2951XG是一款全線速可堆疊千兆智能交換機(jī)，提供智能的流分類和完善的服務(wù)質(zhì)量（QoS）以及組播管理特性，并可以實(shí)施靈活多樣的ACL訪問控制?？赏ㄟ^SNMP、Telnet、Web和Console口等多種方式提供豐富的管理。S2126S以極高的性價(jià)比為各類型網(wǎng)絡(luò)提供完善的端到端的服務(wù)質(zhì)量、靈活豐富的安全設(shè)置和基于策略的網(wǎng)管，最大化滿足高速、安

全、智能的醫(yī)院網(wǎng)新需求。3.4.5網(wǎng)絡(luò)安全設(shè)計(jì)RG-IDS入侵檢測(cè)設(shè)備本方案分別在核心交換機(jī)和服務(wù)器群旁應(yīng)用7RG-IDS入侵檢測(cè)設(shè)備。這種設(shè)計(jì)不但保證了外部與內(nèi)部數(shù)據(jù)安全的傳輸，同時(shí)也為服務(wù)器群提供了良好的工作環(huán)境，從而保證了內(nèi)部局域網(wǎng)和外部網(wǎng)絡(luò)的正常運(yùn)行。RG-WALL1600千兆防火墻/VPN網(wǎng)關(guān)RG-WALL2000是一種針對(duì)大型園區(qū)網(wǎng)、醫(yī)院網(wǎng)與電信服務(wù)運(yùn)營(yíng)商而設(shè)計(jì)的業(yè)界領(lǐng)先的集成多種安全功能的千兆線速硬件防火墻。它可以在提供強(qiáng)大的安全功能并維持300萬個(gè)并發(fā)連接地情況下，依然能夠?qū)Σ煌笮〉陌３智д拙€速吞吐能力。其功能包括防火墻、基于IPsec的VPN、內(nèi)容過濾、應(yīng)用代理等。這些特性使得它可以為醫(yī)院和服務(wù)提供商的網(wǎng)絡(luò)提供安全防護(hù)服務(wù)。GSN全局安全解決方案GSN全局安全網(wǎng)絡(luò)中運(yùn)用SMP（安全管理平臺(tái)）、SAM（安全認(rèn)證管理）、SEP（安全修復(fù)平臺(tái)）、CA服務(wù)系統(tǒng)等等安全管理系統(tǒng)大大提高了整個(gè)網(wǎng)絡(luò)的安全管理，并且能夠?qū)θW(wǎng)的所有安全事件、網(wǎng)絡(luò)病毒攻擊行為、用戶行為和用戶主機(jī)安全信息進(jìn)行深入分析和全局監(jiān)控。GSN自動(dòng)學(xué)習(xí)GSN功能：自育（網(wǎng)絡(luò)行為，安全策略的自學(xué)習(xí)）安席.策略服務(wù)器隔離區(qū)域用戶摟入網(wǎng)絡(luò)

安席.策略服務(wù)器隔離區(qū)域安全客戶端會(huì)將用戶的制陌安全客戶端會(huì)將用戶的制陌網(wǎng)培訪間行為自動(dòng)通知安全管理平臺(tái)①B、通過郵件，每日安全管理呼白I志報(bào)煎關(guān)■醒氣建員RG-SA銳捷安全客戶端RG-SMPRG-SA銳捷安全客戶端RG-SMP安全管理平臺(tái)SG-RES（安全修筮蔡統(tǒng)）囪自、妾全管理呼臺(tái)自動(dòng)進(jìn)行網(wǎng)絡(luò)環(huán)境泠③安生臆略的自學(xué)習(xí)，針時(shí)相同的玄全行為計(jì)安全信息將自動(dòng)四配相同的安全策略3.4.6冗余/負(fù)載均衡設(shè)計(jì)冗余設(shè)計(jì)是網(wǎng)絡(luò)設(shè)計(jì)的重要部分，是保證網(wǎng)絡(luò)整體可靠性能的重要手段。但是投資也將增加。部分醫(yī)院網(wǎng)絡(luò)在早期的建設(shè)中由于成本的原因并未在設(shè)計(jì)中考慮冗余問題，而在優(yōu)化工作中則需從網(wǎng)絡(luò)鏈路和網(wǎng)絡(luò)設(shè)備兩方面著手。冗余設(shè)計(jì)可以貫穿整個(gè)層次化結(jié)構(gòu)，每個(gè)冗余設(shè)計(jì)都有針對(duì)性，可以選擇其中一部分或幾部分應(yīng)用到網(wǎng)絡(luò)中以針對(duì)重要的應(yīng)用。萬一網(wǎng)絡(luò)中某條路徑失效時(shí)，冗余鏈路可以提供另一條物理路徑?？刹捎肎EC鏈路聚合(IEEE802.3ad)實(shí)現(xiàn)端口級(jí)冗余，以克服某個(gè)端口或線路引起的故障。也可采用生成樹協(xié)議(IEEE802.1d)提供設(shè)備級(jí)的冗余連接。此外，我們?cè)谠O(shè)計(jì)中提供不同物理方向的雙歸屬、雙路由保護(hù)。線路冗余在醫(yī)院網(wǎng)骨干核心層，醫(yī)院網(wǎng)絡(luò)邊界拓?fù)浣Y(jié)構(gòu)由于采用了環(huán)形多機(jī)熱備份的核心交換機(jī)系統(tǒng)解決方案，所以在線路冗余方面的要求較高，對(duì)于線路的冗余要求，我們采用100GE線路對(duì)兩臺(tái)醫(yī)院網(wǎng)骨干核心層設(shè)備進(jìn)行環(huán)行雙向備份，并使用業(yè)界領(lǐng)先的VRRP(虛擬路由器冗余協(xié)議)來對(duì)其作為冗余線路的協(xié)議保障。以GEC作為N*1000M主干鏈路，通過這個(gè)鏈路連接骨干網(wǎng)交換機(jī)，具備萬兆擴(kuò)展能力；接入交換機(jī)采用10/100/1000M自適應(yīng)端口連接桌面系統(tǒng)，多千兆鏈路連接到匯聚層。GEC路具有鏈路聚合和冗余保證兩大特性，下面我們將對(duì)它們依次進(jìn)行介紹鏈路聚合：DEC鏈路聚合IEEE802.3ad示意如圖:襯嗟？斧忸j'襯嗟？斧忸j'AggregaieLink圖解：可使用一條物理鏈路在不同品牌交換機(jī)之間、交換機(jī)和服務(wù)器間提供聚合的高速通道，在不增加投資的情況下，擴(kuò)大交換帶寬，使關(guān)鍵連接的傳輸效率更高冗余保證：鏈路聚合中，成員互相動(dòng)態(tài)備份。當(dāng)某一鏈路中斷時(shí)，其它成員能夠迅速接替其工作。與生成樹協(xié)議不同，鏈路聚合啟用備份的過程對(duì)聚合之外是不可見的，而且啟用備份過程只在聚合鏈路內(nèi)，與其它鏈路無關(guān)，切換可在數(shù)毫秒內(nèi)完成。綜合分析以上各主流方案的優(yōu)缺點(diǎn)，從性能與成本及拓展性等方面的綜合考慮出發(fā)，我們決定采用GEC骨干核心網(wǎng)絡(luò)100GE拓展的方式作為其鏈路選擇及備份選擇。設(shè)備冗余/負(fù)載均衡設(shè)計(jì)負(fù)載均衡建立在現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)之上，它提供了一種廉價(jià)有效的方法擴(kuò)展服務(wù)器帶寬和增加吞吐量，加強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)處理能力，提高網(wǎng)絡(luò)的靈活性和可用性。它主要完成以下任務(wù)解決網(wǎng)絡(luò)擁塞問題，服務(wù)就近提供，實(shí)現(xiàn)地理位置無關(guān)性；為用戶提供更好的訪問質(zhì)量;提高服務(wù)器響應(yīng)速度；提高服務(wù)器及其他資源的利用效率；避免了網(wǎng)絡(luò)關(guān)鍵部位出現(xiàn)單點(diǎn)失效。在此方案中，在網(wǎng)絡(luò)的每個(gè)關(guān)鍵結(jié)點(diǎn)，我們?cè)谠O(shè)計(jì)時(shí)都做到了對(duì)其有效的冗余備份和負(fù)載均衡。在網(wǎng)絡(luò)的骨干核心層上。我們采用了兩臺(tái)銳捷網(wǎng)絡(luò)的RG-S8606高密度多業(yè)務(wù)IPV6核心路由交換機(jī)組建高性能的核心網(wǎng)絡(luò)平臺(tái)，在對(duì)骨干核心層提供足夠的網(wǎng)絡(luò)接點(diǎn)和接入需求的同時(shí)最大限度的為網(wǎng)絡(luò)提供了有效的冗余保障和負(fù)載均衡。在核心層的每個(gè)區(qū)塊，我們都采用了兩臺(tái)銳捷網(wǎng)絡(luò)的RG-S8606度多業(yè)務(wù)IPV6核心路由交換機(jī)做到冗余與負(fù)載均衡。在匯聚層的每個(gè)區(qū)塊，我采用了多臺(tái)銳捷網(wǎng)絡(luò)的RG-S5750和STAR-S4909多層交換機(jī)做到冗余與負(fù)載均衡。在本方案的設(shè)計(jì)中，出現(xiàn)了兩個(gè)以上的交換區(qū)塊和需要提供冗余連接的時(shí)候，我們采用了雙核心配置。如下圖，我們給出了從接入層到匯聚層再到核心層的雙核心配置。立怏舊肆I雙核心拓?fù)浣Y(jié)構(gòu)提供了兩條等代價(jià)路徑和雙倍的帶寬。每個(gè)核心交換機(jī)連接著數(shù)目相同的子網(wǎng)到第三層匯聚設(shè)備上。每個(gè)交換區(qū)塊都有冗余的連接到核心交換機(jī)上，因此形成兩條不同的，但是等代價(jià)的連接。如果一條核心設(shè)備發(fā)生故障，還是能夠收斂，因?yàn)閰R聚層設(shè)備的路由選擇表中還有另一條到核心設(shè)備的路由。第3層路由選擇協(xié)議在核心中起鏈路選擇的作用，VRRP提供快速錯(cuò)誤恢復(fù)。核心層不需要STP，因?yàn)樵诤诵慕粨Q機(jī)間沒有冗余的第2層連接。服務(wù)器冗余設(shè)計(jì)醫(yī)院網(wǎng)中服務(wù)器、大型機(jī)，如網(wǎng)絡(luò)存儲(chǔ)服務(wù)器，SQLServer服務(wù)器，其存儲(chǔ)的數(shù)據(jù)對(duì)于醫(yī)院來說致關(guān)重要，一些核心數(shù)據(jù)被視為醫(yī)院的生命。一方面它對(duì)醫(yī)院重要性毋庸質(zhì)疑，另一方面，由于這些數(shù)據(jù)的性質(zhì)決定了其較大的被訪問量，這個(gè)對(duì)服務(wù)器提出了穩(wěn)定和快速的要求。如果宕機(jī)，后果是技術(shù)是保障計(jì)算機(jī)系統(tǒng)的可靠性是重中之重。為此，我們采用的是雙機(jī)熱備技術(shù)，此技術(shù)能夠有效的滿足核心服務(wù)器高效，穩(wěn)定的高要求。而且相對(duì)于其它成本技術(shù)來說，這是比較有經(jīng)濟(jì)價(jià)成效的技術(shù)。

Server1Server2Server1Server2服務(wù)器雙機(jī)熱備技術(shù)具體技術(shù)實(shí)現(xiàn)：每個(gè)核心服務(wù)器均具有兩個(gè)以太網(wǎng)接口（可以通過安裝雙網(wǎng)卡實(shí)現(xiàn)），在此基礎(chǔ)上，以上圖為例，DB服務(wù)器A與DB服務(wù)器B先分別利用自己的一個(gè)以太網(wǎng)接口實(shí)現(xiàn)兩個(gè)服務(wù)器之間的直連，每個(gè)服務(wù)器另外的一個(gè)接口則與服務(wù)器區(qū)的網(wǎng)絡(luò)實(shí)現(xiàn)互連，以達(dá)到雙機(jī)熱備的目的。因此增加服務(wù)器的穩(wěn)定性與高效性。本網(wǎng)絡(luò)中應(yīng)具有多臺(tái)服務(wù)器設(shè)備，包括DBSERVER數(shù)據(jù)庫(kù)服務(wù)器，WEB,CATALOG等應(yīng)用服務(wù)器，NEWS,MAIL等通訊服務(wù)器及多媒體服務(wù)器等。3.4.10IP地址規(guī)劃原則我們?cè)趯?duì)醫(yī)院網(wǎng)IP地址編址設(shè)計(jì)和分配利用時(shí)，遵循了以下幾個(gè)原則：1） 、自治：整個(gè)醫(yī)療網(wǎng)絡(luò)被劃分成幾個(gè)大的自治區(qū)域，每個(gè)大自治區(qū)域中又被劃分成幾個(gè)小的自治區(qū)域。2） 、有序：我們按照自治原則將網(wǎng)絡(luò)進(jìn)行邏輯劃分后，就根據(jù)地域、設(shè)備分布及區(qū)域內(nèi)用戶數(shù)量來進(jìn)行子網(wǎng)規(guī)劃。我們?cè)诰幹吩O(shè)計(jì)選擇的順序是自上而下的順序，即采用了業(yè)界領(lǐng)先的自頂向下網(wǎng)絡(luò)設(shè)計(jì)（Top-DownNetworkDesign）方法。3） 、可持續(xù)性：考慮到園區(qū)內(nèi)網(wǎng)絡(luò)用戶數(shù)將持續(xù)高速增長(zhǎng)，網(wǎng)絡(luò)所要承載的業(yè)務(wù)量和業(yè)務(wù)種類越來越多，這使得網(wǎng)絡(luò)需要頻頻進(jìn)行技術(shù)升級(jí)、改造和擴(kuò)容。所以，在進(jìn)行地址分配時(shí)我們?yōu)榫W(wǎng)絡(luò)的每個(gè)部分留有部分地址冗余，這樣保證網(wǎng)絡(luò)的可持續(xù)發(fā)展。4） 、可聚合：在路由表急劇膨脹情況下，可聚合原則是網(wǎng)絡(luò)地址分配時(shí)所必須遵守的最高原則，可聚合原則要求在進(jìn)行地址規(guī)劃時(shí)，應(yīng)提供足夠的路由冗余功能。5） 、盡量節(jié)約IPv4地址：由于IPv4地址越來越少，所以對(duì)于IPv4地址的使用需要格外節(jié)約°IPv4地址的節(jié)約可以通過動(dòng)態(tài)編址技術(shù)和NAT技術(shù)等來實(shí)現(xiàn)。6） 、閑置IP地址回收利用：對(duì)于已分配出去的靜態(tài)IP地址進(jìn)行定期追蹤管理，對(duì)長(zhǎng)時(shí)間閑置的IP地址可經(jīng)過確認(rèn)后回收重復(fù)利用。此次方案的設(shè)計(jì)，我們決定采用一個(gè)內(nèi)部私有C類地址（）對(duì)醫(yī)院的網(wǎng)絡(luò)設(shè)備編址。由于從方案本身的網(wǎng)絡(luò)拓?fù)鋱D采用了典型的層次化設(shè)計(jì)，所以對(duì)ip地址的編址設(shè)計(jì)也應(yīng)采取層次化的設(shè)計(jì)來完成，并采用VLSM來拓展有限的IP地址。位置信息點(diǎn)VLAN編號(hào)IP地址段默認(rèn)網(wǎng)關(guān)網(wǎng)絡(luò)管理中心2008/2454/24一樓15010/2454/24二樓20020/2454/24三樓20030/2454/24四樓20040/2454/24五樓20050/2454/24六樓15060/2454/24七樓10070/2454/24八樓10080/2454/24九樓10090/2454/24十樓100100/2454/24十一樓100110/2454/24十二樓100120/2454/24十三樓220130/2454/24十四樓330140/2354/23十五樓320150/2354/23十六樓300160/2354/23十七樓260170/2354/23十八樓100180/2454/24四、網(wǎng)絡(luò)安全及管理機(jī)制5.1 完善的安全機(jī)制醫(yī)院各樓層交換機(jī)通過內(nèi)在的多種安全機(jī)制可有效防止和控制病毒傳播和網(wǎng)絡(luò)流量攻擊，控制非法用戶使用網(wǎng)絡(luò)，保證合法用戶合理化使用網(wǎng)絡(luò)，如端口安全、端口隔離、ACL、端口ARP報(bào)文合法性檢查、基于數(shù)據(jù)流的帶寬限速、六元素綁定等等，滿足醫(yī)院網(wǎng)加強(qiáng)對(duì)訪問者進(jìn)行控制、限制非授權(quán)用戶通信的需求；在匯聚、核心交換設(shè)備設(shè)置由硬件實(shí)現(xiàn)ACL，對(duì)病毒進(jìn)行過濾，我們選用的匯聚、核心交換設(shè)備都支持SPOH，所以在使用ACL時(shí)將不會(huì)影響整個(gè)交換機(jī)的性能。硬件實(shí)現(xiàn)端口與MAC地址和用戶IP地址的綁定，嚴(yán)格限定端口上用戶接入；通過PrivateVLAN可以在交換機(jī)的同一VLAN中提供端口之間的通訊或安全隔離，確保數(shù)據(jù)流進(jìn)入有效端口，而不會(huì)被發(fā)送到其它端口，即解決了因傳統(tǒng)802.1QVLAN造成全網(wǎng)VID資源不夠的問題，同時(shí)又無需利用安全規(guī)則資源即能達(dá)到隔離不同用戶以及不同組用戶之間通訊的功能，充分保護(hù)用戶隱私；支持業(yè)界特有的IGMP源端口檢查，有效杜絕非法組播源播放和大量占用大量網(wǎng)絡(luò)帶寬，提高網(wǎng)絡(luò)安全性；提供極為有效的PortBlocking功能，避免端口受到其它端口發(fā)送的廣播包、多播包等報(bào)文的干擾，有效減輕端口負(fù)載負(fù)擔(dān)，提高端口帶寬，保護(hù)用戶PC更高效安全地運(yùn)行；基于源IP地址控制的Telnet和Web設(shè)備訪問控制，增強(qiáng)了設(shè)備網(wǎng)管的安全性，避免黑客惡意攻擊和控制設(shè)備；提供加密傳輸SecureShell(SSH)，保證管理設(shè)備信息的安全性，防止黑客攻擊和控制設(shè)備；可靈活控制2-7層數(shù)據(jù)報(bào)文，使得任何一個(gè)用戶PC上的任何一種應(yīng)用報(bào)文通過網(wǎng)絡(luò)都能得到有效控制，充分保障了網(wǎng)絡(luò)的安全和合理化使用。GSN全局安全網(wǎng)絡(luò)GSN系統(tǒng)能夠?qū)θW(wǎng)的所有安全事件、網(wǎng)絡(luò)病毒攻擊行為、用戶行為和用戶主機(jī)安全信息進(jìn)行深入分析和全局監(jiān)控。通過這種實(shí)時(shí)全網(wǎng)偵測(cè)，可以在第一時(shí)間內(nèi)將網(wǎng)絡(luò)異?，F(xiàn)象通過接入層隔離出網(wǎng)絡(luò)，使得網(wǎng)絡(luò)異?，F(xiàn)象完全不影響核心網(wǎng)絡(luò)；在發(fā)現(xiàn)安全問題后能自動(dòng)對(duì)用戶進(jìn)行安全事件告警，并迅速根據(jù)用戶身份選擇將用戶隔離到安全修復(fù)區(qū)域或自動(dòng)阻斷異常數(shù)據(jù)流。這一方案目前在包括集美大學(xué)在內(nèi)的各醫(yī)院取得了較好的應(yīng)用效果，例證之一就是：盛極一時(shí)并造成巨大影響的熊貓燒香病毒，在這些學(xué)校都悄然無聲。此外，通過部署GSN全局安全，還能輕松的進(jìn)行主機(jī)信息獲?。粚?shí)現(xiàn)主機(jī)完整性（HI）規(guī)則（通過一系列規(guī)則的定義，約定了對(duì)用戶主機(jī)的準(zhǔn)入標(biāo)準(zhǔn)）；利用先進(jìn)的“免疫性”ARP防病毒防攻擊技術(shù)，徹底解決ARP木馬等病毒/攻擊帶來的網(wǎng)絡(luò)中斷事故的影響。解決安全威脅在醫(yī)院網(wǎng)絡(luò)已經(jīng)成為公司生產(chǎn)運(yùn)營(yíng)的重要組成部分的今天，現(xiàn)代醫(yī)院網(wǎng)絡(luò)必須要有一整套從用戶接入控制，病毒報(bào)文識(shí)別到主動(dòng)抑制的一系列安全控制手段，才能有效的保證醫(yī)院網(wǎng)絡(luò)的穩(wěn)定運(yùn)行。防沖擊波病毒隨著蠕蟲病毒等的攻擊手段呈多元化發(fā)展，單一的防護(hù)措施已經(jīng)無能為力保衛(wèi)校園網(wǎng)絡(luò)安全。IDS只能根據(jù)預(yù)先定義的策略進(jìn)行檢測(cè)，對(duì)新的攻擊方式無能為力，或者當(dāng)IDS偵測(cè)到某終端用戶感染病毒后，只能將相關(guān)信息形成報(bào)告通知網(wǎng)管人員，等待處理。然而，此時(shí)受感染的用戶可能已經(jīng)通過網(wǎng)絡(luò)散播到了校園網(wǎng)絡(luò)的各個(gè)角落。來自網(wǎng)絡(luò)內(nèi)部的惡意或誤操作攻擊據(jù)相關(guān)數(shù)字顯示，目前，網(wǎng)絡(luò)遭受的惡意攻擊90%以上是來自于內(nèi)部，諸如竊取他人密碼等重要信息、盜打IP電話、校園一卡通金額被盜等事件時(shí)有發(fā)生。對(duì)此，如果僅僅倚靠被動(dòng)的監(jiān)測(cè)方式，就給事后追查“嫌疑人”的網(wǎng)管人員制造了難以逾越的瓶頸。VPN（虛擬專用網(wǎng)）虛擬專用網(wǎng)（virtualpr