




版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
xx隊(duì)組網(wǎng)大賽方案設(shè)計(jì)書二零一零年八月目錄TOC\o"1-5"\h\z一、 需求分析 3\o"CurrentDocument"1.1工程項(xiàng)目概況 3\o"CurrentDocument"1.2需求分析 3\o"CurrentDocument"二、 方案設(shè)計(jì)原則 4\o"CurrentDocument"三、 網(wǎng)絡(luò)方案設(shè)計(jì) 5\o"CurrentDocument"3.1網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)介紹 5\o"CurrentDocument"3.2網(wǎng)絡(luò)拓?fù)鋱D 6\o"CurrentDocument"3.3方案項(xiàng)目建設(shè)重點(diǎn)問題處理 6\o"CurrentDocument"3.4網(wǎng)絡(luò)設(shè)計(jì) 7\o"CurrentDocument"3.4.1廣域網(wǎng)互連設(shè)計(jì) 7\o"CurrentDocument"3.4.2骨干核心層網(wǎng)絡(luò)設(shè)計(jì) 8\o"CurrentDocument"3.4.3匯聚層網(wǎng)絡(luò)設(shè)計(jì) 8\o"CurrentDocument"3.4.4接入層網(wǎng)絡(luò)設(shè)計(jì) 83.4.5網(wǎng)絡(luò)安全設(shè)計(jì) 9\o"CurrentDocument"3.4.6冗余/負(fù)載均衡設(shè)計(jì) 9\o"CurrentDocument"3.4.6.1線路冗余 10\o"CurrentDocument"設(shè)備冗余/負(fù)載均衡設(shè)計(jì) 11\o"CurrentDocument"服務(wù)器冗余設(shè)計(jì) 11\o"CurrentDocument"3.4.10IP地址規(guī)劃原則 12\o"CurrentDocument"四、 網(wǎng)絡(luò)安全及管理機(jī)制 13\o"CurrentDocument"完善的安全機(jī)制 13\o"CurrentDocument"GSN全局安全網(wǎng)絡(luò) 14\o"CurrentDocument"解決安全威脅 14\o"CurrentDocument"VPN(虛擬專用網(wǎng)) 14\o"CurrentDocument"六、 配置清單 15\o"CurrentDocument"七、 方案的擴(kuò)展性考慮 15
需求分析、需求分析工程項(xiàng)目概況華山醫(yī)院是衛(wèi)生部直屬?gòu)?fù)旦大學(xué)(原上海醫(yī)科大學(xué))附屬的一所綜合性教學(xué)醫(yī)院。建院于1907年,前身是中國(guó)紅十字會(huì)總院,是上海地區(qū)中國(guó)人最早創(chuàng)辦的醫(yī)院,1992年首批通過國(guó)家三級(jí)甲等醫(yī)院評(píng)審,目前已成為一所國(guó)家高層次的醫(yī)療機(jī)構(gòu),并為全國(guó)醫(yī)療、預(yù)防、教學(xué)、科研相結(jié)合的技術(shù)中心,在國(guó)內(nèi)外享有較高的聲譽(yù)。隨著醫(yī)療行業(yè)信息化的發(fā)展,為了認(rèn)真貫徹衛(wèi)生部召開的關(guān)于加快醫(yī)衛(wèi)系統(tǒng)信息化建設(shè)及管理的會(huì)議精神,進(jìn)一步推進(jìn)我院的信息化建設(shè),了解國(guó)際醫(yī)療信息化發(fā)展動(dòng)態(tài),吸收新的技術(shù)和管理經(jīng)驗(yàn),提高我院信息化應(yīng)用的管理水平,使我院經(jīng)濟(jì)效益和社會(huì)效益雙豐收,逐步加快醫(yī)院的信息化建設(shè)步伐。在選取“飛”的翅膀時(shí),計(jì)算機(jī)網(wǎng)絡(luò)解決方案的選取是關(guān)鍵。你所代表的網(wǎng)絡(luò)公司以其卓越的產(chǎn)品性能、豐富的產(chǎn)品種類和完善的服務(wù)體系,綜合考慮了華山對(duì)網(wǎng)絡(luò)安全、網(wǎng)絡(luò)管理、可靠性、可管理性、可擴(kuò)展性和高性能的特殊需要,精選出適合華山醫(yī)院的網(wǎng)絡(luò)建設(shè)的解決方案。具體要求:1) 網(wǎng)絡(luò)設(shè)計(jì)采用先進(jìn)、可靠、成熟、高性能、可擴(kuò)展的網(wǎng)絡(luò)架構(gòu)及技術(shù),從硬件設(shè)備、軟件策略控制兩個(gè)方面來保證核心、骨干網(wǎng)絡(luò)的高可靠、高性能及易維護(hù)性;2) 網(wǎng)絡(luò)設(shè)計(jì)充分考慮該醫(yī)院網(wǎng)絡(luò)的特殊性,以及不同業(yè)務(wù)、不同部門之間的數(shù)據(jù)安全,綜合考慮網(wǎng)絡(luò)設(shè)計(jì)的邏輯結(jié)構(gòu)以及區(qū)域劃分;3) 網(wǎng)絡(luò)設(shè)計(jì)充分考慮避免環(huán)路;4) 網(wǎng)絡(luò)設(shè)計(jì)要解決校內(nèi)用戶對(duì)外部網(wǎng)絡(luò)的訪問需求,且要實(shí)現(xiàn)社保局、醫(yī)保、銀行、干保四條vpn出口;5) 網(wǎng)絡(luò)設(shè)計(jì)需對(duì)DoS攻擊、ARP欺騙/攻擊、廣播風(fēng)暴等網(wǎng)絡(luò)攻擊行為有較強(qiáng)的防范能力;需求分析華山醫(yī)院的網(wǎng)絡(luò)系統(tǒng)建設(shè)應(yīng)在實(shí)用的前提下,應(yīng)當(dāng)在投資保護(hù)及長(zhǎng)遠(yuǎn)性方面做適當(dāng)考慮,在技術(shù)上系統(tǒng)能力上要保持五年左右的先進(jìn)性。并且從用戶的利益出發(fā),一個(gè)好的系統(tǒng)應(yīng)當(dāng)給用戶一定的自由度,而不是束縛住他們的手腳,從技術(shù)上講應(yīng)該采用標(biāo)準(zhǔn)、開放、可擴(kuò)充的、能與其它廠商產(chǎn)品配套使用的設(shè)計(jì)。根據(jù)以上種種特性需求,網(wǎng)絡(luò)設(shè)備核心層、匯聚層、接入層產(chǎn)品,選擇銳捷網(wǎng)絡(luò)。銳捷網(wǎng)絡(luò)是國(guó)內(nèi)領(lǐng)先的網(wǎng)絡(luò)廠商,其對(duì)醫(yī)療行業(yè)有著深刻的了解,其產(chǎn)品、方案與服務(wù)在醫(yī)療行業(yè)有成熟和廣泛的應(yīng)用,而且能通過智能、安全及可靠的網(wǎng)絡(luò)設(shè)備連為一體,來構(gòu)建網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)目標(biāo),保障其順利進(jìn)行。根據(jù)以上描述,結(jié)合實(shí)際建網(wǎng)情況和前期網(wǎng)絡(luò)建設(shè),在充分研究了目前國(guó)內(nèi)外網(wǎng)絡(luò)界對(duì)園區(qū)網(wǎng)設(shè)計(jì)所采用的各種網(wǎng)絡(luò)主干技術(shù),并充分考慮到技術(shù)發(fā)展的主流和趨勢(shì)后,建議選擇萬兆以太網(wǎng)為目標(biāo),構(gòu)建華山醫(yī)院的網(wǎng)絡(luò)建設(shè),設(shè)計(jì)“萬兆核心、千兆支干、千兆交換桌面”的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),根據(jù)需求分析,結(jié)合對(duì)應(yīng)用系統(tǒng)的考慮,提出本期網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)目標(biāo):高性能、高可靠性、高穩(wěn)定性、高安全性、可管理、可增值的智能安全網(wǎng)絡(luò)。二、 方案設(shè)計(jì)原則本方案的設(shè)計(jì)將在追求性能優(yōu)越、經(jīng)濟(jì)實(shí)用的前提下,本著嚴(yán)謹(jǐn)、慎重的態(tài)度,從系統(tǒng)結(jié)構(gòu)、技術(shù)措施、設(shè)備選擇、系統(tǒng)應(yīng)用、技術(shù)服務(wù)和實(shí)施過程等方面綜合進(jìn)行系統(tǒng)的總體設(shè)計(jì),力圖使該系統(tǒng)真正成為符合該醫(yī)院的網(wǎng)絡(luò)系統(tǒng)。從技術(shù)措施角度來講,在網(wǎng)絡(luò)的設(shè)計(jì)和實(shí)現(xiàn)中,本方案嚴(yán)格遵守了以下原則:實(shí)用性和集成性系統(tǒng)的軟硬件設(shè)計(jì)、還是集成,均以適用為第一宗旨,在系統(tǒng)充分適應(yīng)醫(yī)院信息化的需求的基礎(chǔ)上進(jìn)而再來考慮其他的性能。該系統(tǒng)所包含的內(nèi)容很多,必須能將各種先進(jìn)的軟硬件設(shè)備有效地集成在一起,使系統(tǒng)的各個(gè)組成部分能充分發(fā)揮作用,協(xié)調(diào)一致的進(jìn)行高效工作。標(biāo)準(zhǔn)性和開往性只有支持標(biāo)準(zhǔn)性和開放性的系統(tǒng),才能支持與其它開放型系統(tǒng)一起協(xié)同工作,在網(wǎng)絡(luò)中采用的硬件設(shè)備及軟件產(chǎn)品應(yīng)該支持國(guó)際工作標(biāo)準(zhǔn)或事實(shí)上的標(biāo)準(zhǔn),以便能和不同廠家的開放性產(chǎn)品在同一網(wǎng)絡(luò)中同時(shí)共存。通信中應(yīng)采用標(biāo)準(zhǔn)的通信協(xié)議以使不同的操作系統(tǒng)與不同的網(wǎng)絡(luò)系統(tǒng)及不同的網(wǎng)絡(luò)之間順利進(jìn)行通訊。先進(jìn)性和安全性系統(tǒng)所有的組成要素均應(yīng)充分地考慮其先進(jìn)性。不能一味地追求實(shí)用而忽略先進(jìn),只有將當(dāng)今最先進(jìn)的技術(shù)和我們的實(shí)際應(yīng)用要求緊密結(jié)合,才能獲得最大的系統(tǒng)性能和效益。網(wǎng)絡(luò)的安全是事關(guān)重要的,在某些情況下,寧可犧牲系統(tǒng)的部分功能也必須保證系統(tǒng)的安全。成熟性和高可靠性作為信息系統(tǒng)基礎(chǔ)的網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)絡(luò)設(shè)備的配置及帶寬應(yīng)能充分地滿足網(wǎng)絡(luò)通信的需要。網(wǎng)絡(luò)硬件體系結(jié)構(gòu)在實(shí)際應(yīng)用中能經(jīng)過較長(zhǎng)時(shí)間的考驗(yàn),在運(yùn)行速度和性能上都應(yīng)是穩(wěn)定可靠的、擁有完善的、實(shí)用的解決方案,并通到較多的第三方開發(fā)商和用戶在全球的廣泛支持和使用。同時(shí),應(yīng)從長(zhǎng)遠(yuǎn)的技術(shù)發(fā)展來選擇具有很好前景的、較為先進(jìn)的技術(shù)和產(chǎn)品,以適應(yīng)系統(tǒng)未來的發(fā)展需要??煽啃砸彩呛饬恳粋€(gè)計(jì)算機(jī)應(yīng)用系統(tǒng)的重要標(biāo)準(zhǔn)之一。在確保系統(tǒng)網(wǎng)絡(luò)環(huán)境中單獨(dú)設(shè)備穩(wěn)定、可靠運(yùn)行的前提下,還需要考慮網(wǎng)絡(luò)整體的容錯(cuò)能力、安全性及穩(wěn)定性,使系統(tǒng)出現(xiàn)問題和故障時(shí)能迅速地修復(fù)。因此需要采取一定的預(yù)防措施,如對(duì)關(guān)鍵應(yīng)用的主干設(shè)備考慮有適當(dāng)?shù)娜哂?。?yīng)急處理信息系統(tǒng)能夠全天候工作,達(dá)到每周7*24小時(shí)工作的要求。一個(gè)高可用性的系統(tǒng)才能使用戶的投資真正得到回報(bào)??删S護(hù)性和可管理性整個(gè)信息網(wǎng)絡(luò)系統(tǒng)中的互連設(shè)備,應(yīng)是使用方便、操作簡(jiǎn)單易學(xué),并便于維護(hù)。對(duì)復(fù)雜和龐大的網(wǎng)絡(luò),要求有強(qiáng)有力的網(wǎng)絡(luò)管理手段,以便合理的管理網(wǎng)絡(luò)資源,監(jiān)視網(wǎng)絡(luò)狀態(tài)及控制網(wǎng)絡(luò)的運(yùn)行,因此,網(wǎng)絡(luò)所選的網(wǎng)絡(luò)設(shè)備應(yīng)支持多種協(xié)議,管理員能方便進(jìn)行網(wǎng)絡(luò)管理、維護(hù)甚至修復(fù)。在設(shè)計(jì)和實(shí)現(xiàn)時(shí),必須充分考慮整個(gè)系統(tǒng)的便于維護(hù)性,以使系統(tǒng)萬一發(fā)生故障時(shí)能提供有效手段及時(shí)進(jìn)行恢復(fù),盡量減少損失??蓴U(kuò)充性和兼容性網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)應(yīng)具有可擴(kuò)展性即網(wǎng)絡(luò)聯(lián)結(jié)必須在系統(tǒng)結(jié)構(gòu)、系統(tǒng)容量與處理能力、物理接連、產(chǎn)品支持等方面具有擴(kuò)充與升級(jí)換代的可能,采用的產(chǎn)品要遵循通用的工業(yè)標(biāo)準(zhǔn),以便不同的設(shè)備能方便靈活地接連入網(wǎng)并滿足系統(tǒng)規(guī)模擴(kuò)充的要求。為了使所實(shí)現(xiàn)系統(tǒng)能夠在應(yīng)用發(fā)生變化的情況下保護(hù)原有的開發(fā)投資,在設(shè)計(jì)系統(tǒng)時(shí),應(yīng)將系統(tǒng)按功能做成模塊化的,可根據(jù)需要增加和刪除功能模塊三、網(wǎng)絡(luò)方案設(shè)計(jì)3.1網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)介紹在此次醫(yī)療網(wǎng)的設(shè)計(jì)中,我們采用層次化模型來設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。所謂“層次化”模型,就是將復(fù)雜的網(wǎng)絡(luò)設(shè)計(jì)分成幾個(gè)層次,每個(gè)層次著重于某些特定的功能,這樣就能夠使一個(gè)復(fù)雜的大問題變成許多簡(jiǎn)單的小問題。層次模型既能夠應(yīng)用于局域網(wǎng)的設(shè)計(jì),也能夠應(yīng)用于廣域網(wǎng)的設(shè)計(jì)。在大中型校園網(wǎng)設(shè)計(jì)中,使用層次化模型有許多好處,列舉如下:1、 節(jié)省成本在采用層次模型之后,各層次各司其職,不再在同一個(gè)平臺(tái)上考慮所有的事情。層次模型模塊化的特性使網(wǎng)絡(luò)中的每一層都能夠很好地利用帶寬,減少了對(duì)系統(tǒng)資源的浪費(fèi)。2、 易于理解層次化設(shè)計(jì)使得網(wǎng)絡(luò)結(jié)構(gòu)清晰明了,可以在不同的層次實(shí)施不同難度的管理,降低了管理成本。3、 易于擴(kuò)展在網(wǎng)絡(luò)設(shè)計(jì)中,模塊化具有的特性使得網(wǎng)絡(luò)增長(zhǎng)時(shí)網(wǎng)絡(luò)的復(fù)雜性能夠限制在子網(wǎng)中,而不會(huì)蔓延到網(wǎng)絡(luò)的其他地方。4、 易于排錯(cuò)層次化設(shè)計(jì)能夠使網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)分解為易于理解的子網(wǎng),網(wǎng)絡(luò)管理者能夠輕易地確定網(wǎng)絡(luò)故障的范圍,從而簡(jiǎn)化了排錯(cuò)過程。
3.2網(wǎng)絡(luò)拓?fù)鋱D說.!951,SS750EiG-m].J600lS5750.RG-S86ia557MS5750S57S0海正管理萬兆鎖路\art-Vie?-干疝疑路,■3.2網(wǎng)絡(luò)拓?fù)鋱D說.!951,SS750EiG-m].J600lS5750.RG-S86ia557MS5750S57S0海正管理萬兆鎖路\art-Vie?-干疝疑路,■銀行于保圖1網(wǎng)絡(luò)拓?fù)鋱D3.3方案項(xiàng)目建設(shè)重點(diǎn)問題處理本方案很好地解決了用戶要求的五個(gè)問題,即網(wǎng)絡(luò)高可靠、高性能問題,安全問題,帶寬問題,穩(wěn)定性問題,兼容性、可擴(kuò)充性問題問題。網(wǎng)絡(luò)高可靠、高性能、穩(wěn)定性問題處理:由于該網(wǎng)絡(luò)為承載新醫(yī)院數(shù)字化運(yùn)行的基礎(chǔ)骨干,核心、骨干設(shè)備一旦出現(xiàn)問題會(huì)影響到全網(wǎng),使的網(wǎng)絡(luò)效率下降,甚至造成全網(wǎng)的宕機(jī)。因此,我們采用:(1) 雙出口+策略路由+鏈路互備+VRRP的技術(shù);雙出口:核心層運(yùn)用雙核心結(jié)構(gòu),減少了核心層交換機(jī)各自的負(fù)擔(dān),提高了網(wǎng)絡(luò)流量的控制管理度和安全度。策略路由:在內(nèi)部網(wǎng)絡(luò)通往廣域網(wǎng)上,運(yùn)用策略路由技術(shù)使內(nèi)部不同的用戶通過不同的路有器出口出去,減少了核心路由器的負(fù)載,使整個(gè)網(wǎng)絡(luò)更加順暢流通。鏈路互備:整個(gè)網(wǎng)絡(luò)各層鏈路都采用了鏈路備份,既提高了設(shè)備的利用率,也保證了各個(gè)網(wǎng)絡(luò)的管理、安全、順暢。VRRP+MSTP:這種技術(shù)讓路由器組提供了一個(gè)冗余網(wǎng)關(guān)地址,它保證網(wǎng)絡(luò)的主路由器失效時(shí),可以及時(shí)的由備分來實(shí)現(xiàn)路由器來替代,從而保持通訊的連續(xù)性和可靠性。(2) Qos服務(wù)體系:提高網(wǎng)絡(luò)通信質(zhì)量、保障關(guān)鍵應(yīng)用,使整個(gè)網(wǎng)絡(luò)運(yùn)營(yíng)暢通。網(wǎng)絡(luò)安全問題處理:(1)采用GSN系統(tǒng):GSN全局安全網(wǎng)絡(luò)中運(yùn)用SMP(安全管理平臺(tái))、SAM(安全認(rèn)證管理)、SEP(安全修復(fù)平臺(tái))、CA服務(wù)系統(tǒng)等等安全管理系統(tǒng)大大提高了整個(gè)網(wǎng)絡(luò)的安全管理,并且能夠?qū)θW(wǎng)的所有安全事件、網(wǎng)絡(luò)病毒攻擊行為、用戶行為和用戶主機(jī)安全信息進(jìn)行深入分析和全局監(jiān)控。能夠?qū)θW(wǎng)的所有安全事件、網(wǎng)絡(luò)病毒攻擊行為、用戶行為和用戶主機(jī)安全信息進(jìn)行深入分析和全局監(jiān)控,同時(shí)在核心層、匯聚層、樓層匯聚層所使用的產(chǎn)品全部具有網(wǎng)絡(luò)病毒和攻擊的防護(hù)能力,且NFPP、CPP、防DDOS攻擊、非法數(shù)據(jù)包檢測(cè)、數(shù)據(jù)加密、防源IP地址欺騙等等,避免了傳統(tǒng)軟件實(shí)現(xiàn)方式對(duì)整機(jī)性能的影響,SSHv1/v2的加密登陸和管理功能,避免管理信息明文傳輸引發(fā)的潛在威脅。(2) 采用了RG-IDS入侵檢測(cè)設(shè)備:本方案還分別在核心交換機(jī)和服務(wù)器群旁應(yīng)采用了RG-IDS入侵檢測(cè)設(shè)備。這種設(shè)計(jì)不但保證了外部與內(nèi)部數(shù)據(jù)安全的傳輸,同時(shí)也為服務(wù)器群提供了良好的工作環(huán)境,從而保證了內(nèi)部局域網(wǎng)和外部網(wǎng)絡(luò)在不同的環(huán)境中做到安全防護(hù),足以應(yīng)對(duì)突發(fā)事件,保持網(wǎng)絡(luò)穩(wěn)定、通暢。(3) 防火墻HA技術(shù):在通往廣域網(wǎng)上采用兩個(gè)防火墻〃雙機(jī)熱備〃,"雙機(jī)互備〃技術(shù),大大提高了整個(gè)網(wǎng)絡(luò)的安全性和可靠性。(4) 防病毒服務(wù)器和防火墻/VPN網(wǎng)關(guān):入侵檢測(cè)、攻擊預(yù)警、網(wǎng)絡(luò)病毒防范、訪問控制、用戶監(jiān)控、安全郵件代理等多種網(wǎng)絡(luò)安全及網(wǎng)絡(luò)管理功能,同時(shí)集成了IPSecVPN模塊,為企業(yè)建立遠(yuǎn)程內(nèi)部網(wǎng)絡(luò)提供了完善的一體化解決方案。管理計(jì)費(fèi)問題:統(tǒng)一認(rèn)證,針對(duì)校園網(wǎng)開放式的信息點(diǎn)造成的安全隱患,全網(wǎng)接入采用統(tǒng)一認(rèn)證技術(shù)。(1) 基于端口的認(rèn)證就是將AAA認(rèn)證與端口保護(hù)相結(jié)合,保證了只有合法授權(quán)的用戶才能使用網(wǎng)絡(luò)或外部網(wǎng)絡(luò),而且還能對(duì)網(wǎng)絡(luò)的使用情況進(jìn)行審計(jì)。(2) RG-NTD配合日志審計(jì)服務(wù)器還可以方便的實(shí)現(xiàn)基于用戶身份的網(wǎng)絡(luò)訪問行為的日志、設(shè)備日志、應(yīng)用日志的管理與分析,為安全事件的審計(jì)提供準(zhǔn)確可信的數(shù)據(jù)支持帶寬問題:使用萬兆互連雙核心結(jié)構(gòu),使網(wǎng)絡(luò)核心設(shè)備不但可以互相備份,而且有效的減輕流量負(fù)荷,使設(shè)備時(shí)刻保持穩(wěn)定和高效。?兼容性、開放性和可擴(kuò)充性問題:銳捷網(wǎng)絡(luò)系列交換機(jī)遵循所有的國(guó)際標(biāo)準(zhǔn),其核心交換機(jī)采用模塊化設(shè)計(jì),完全滿足與其它廠商硬件、軟件的兼容性要求,只需簡(jiǎn)單地添加相應(yīng)的端口模塊即可實(shí)現(xiàn)網(wǎng)絡(luò)的擴(kuò)容,從而滿足校園網(wǎng)不斷增長(zhǎng)的應(yīng)用需求,使用戶投資得到充分利用。核心層使用的銳捷網(wǎng)絡(luò)RS-8606E路由交換機(jī)有良好的擴(kuò)展性,可以為將來的網(wǎng)絡(luò)實(shí)現(xiàn)輕松擴(kuò)展。3.4網(wǎng)絡(luò)設(shè)計(jì)3.4.1廣域網(wǎng)互連設(shè)計(jì)RG-WALL1600E防火墻采用銳捷網(wǎng)絡(luò)自主開發(fā)的RG-SecOS和獨(dú)創(chuàng)的分類算法使得它的高速性能不受策略數(shù)和會(huì)話數(shù)多少的影響,產(chǎn)品安裝前后絲毫不會(huì)影響網(wǎng)絡(luò)速度;同時(shí),RG-WAL1600E在內(nèi)核層處理所有數(shù)據(jù)包的接收、分類、轉(zhuǎn)發(fā)工作,因此不會(huì)成為網(wǎng)絡(luò)流量的瓶頸。另外,RG-WALL具有入侵監(jiān)測(cè)功能,可判斷攻擊并且提供解決措施,且入侵監(jiān)測(cè)功能不會(huì)影響防火墻的性能。RG-WALL1600E支持深度狀態(tài)檢測(cè)、外部攻擊防范、內(nèi)網(wǎng)安全、流量監(jiān)控、郵件過濾、網(wǎng)頁(yè)過濾、應(yīng)用層過濾等功能,能夠有效的保證網(wǎng)絡(luò)的安全;提供多種智能分析和管理手段,支持郵件告警,支持多種日志,提供網(wǎng)絡(luò)管理監(jiān)控,協(xié)助網(wǎng)絡(luò)管理員完成網(wǎng)絡(luò)的安全管理;支持PPTP、L2TP、IPSec和SSL等多種全面的VPN業(yè)務(wù),可以構(gòu)建多種形式的VPN;提供強(qiáng)大的路由能力,支持靜態(tài)/RIP/OSPF/路由策略及策略路由;支持雙機(jī)狀態(tài)熱備,支持Active/Active和Active/Standby兩種工作模式以及豐富的QoS特性,充分滿足客戶對(duì)網(wǎng)絡(luò)高可靠性的要求。3.4.2骨干核心層網(wǎng)絡(luò)設(shè)計(jì)RG-S8606是高性能、大容量的級(jí)核心路由交換機(jī),其采用世界最先進(jìn)的硬件技術(shù),使其能夠提供100G平臺(tái)高速包處理技術(shù)來增強(qiáng)海量業(yè)務(wù)處理能力,從業(yè)務(wù)驅(qū)動(dòng)的角度實(shí)現(xiàn)IP核心網(wǎng)絡(luò)質(zhì)的飛躍。同時(shí)強(qiáng)大的安全穩(wěn)定保障:關(guān)鍵部件的安全穩(wěn)定;采用硬件方式提供多種病毒和攻擊防護(hù)。設(shè)備管理安全提供NFPP、CPP、防DDOS攻擊、非法數(shù)據(jù)包檢測(cè)、數(shù)據(jù)加密、防源IP地址欺騙等等,避免了傳統(tǒng)軟件實(shí)現(xiàn)方式對(duì)整機(jī)性能的影響。優(yōu)秀的接入安全功能,使得RG-S8606核心路由交換機(jī)成為了核心層網(wǎng)絡(luò)的不二選擇。在骨干核心層中,我們采用兩臺(tái)銳捷RG-S8606核心路由交換機(jī)組成一個(gè)環(huán)形多機(jī)熱備份的核心交換機(jī)系統(tǒng)解決方案。為提高核心網(wǎng)絡(luò)的健壯性,實(shí)現(xiàn)鏈路的安全保障,本方案骨干核心層環(huán)網(wǎng)中可以采用VRRP(虛擬路由器冗余協(xié)議)和動(dòng)態(tài)負(fù)載均衡技術(shù)。對(duì)于各個(gè)業(yè)務(wù)VLAN可以指向這個(gè)虛擬的IP地址作為網(wǎng)關(guān),因此應(yīng)用VRRP技術(shù)為核心交換機(jī)提供一個(gè)可靠的網(wǎng)關(guān)地址,以實(shí)現(xiàn)在核心層核心交換機(jī)之間進(jìn)行設(shè)備的硬件冗余,一主一備,共用一個(gè)虛擬的IP地址和MAC地址,通過內(nèi)部的協(xié)議傳輸機(jī)制可以自動(dòng)進(jìn)行工作角色的切換。進(jìn)而雙引擎、雙電源的設(shè)計(jì)為網(wǎng)絡(luò)高效處理大集中數(shù)據(jù)提供了可靠的保障。3.4.3匯聚層網(wǎng)絡(luò)設(shè)計(jì)匯聚層網(wǎng)絡(luò)主要完成各樓層和相關(guān)部門的內(nèi)接入交換機(jī)的匯聚及數(shù)據(jù)交換和VLAN終結(jié),在本方案中采用銳捷網(wǎng)絡(luò)的RG-S5750交換機(jī)多層交換機(jī)作為匯聚層面的交換機(jī)。RG-S5750交換機(jī)在提供高密度千兆端口接入的同時(shí)還能夠滿足匯聚層智能高速處理的需要并能夠加靈活的部署在網(wǎng)絡(luò)邊緣的各個(gè)位置。能夠同時(shí)提供多個(gè)高速專用堆疊端口和百兆、千兆光口/電口。這些交換機(jī)都具備較強(qiáng)的多業(yè)務(wù)提供能力,可支持包括智能的CCL、MPLS、組播在內(nèi)的各種業(yè)務(wù)。為用戶提供豐富、高性價(jià)比的組網(wǎng)選擇。網(wǎng)絡(luò)時(shí)間協(xié)議保證交換機(jī)時(shí)間的準(zhǔn)確性,并與網(wǎng)絡(luò)中時(shí)間服務(wù)器時(shí)間統(tǒng)一化,方便日志信息和流量信息的分析、故障診斷等管理。Syslog方便各種日志信息的統(tǒng)一收集、維護(hù)、分析、故障定位、備份,便于管理員網(wǎng)絡(luò)維護(hù)和管理。3.4.4接入層網(wǎng)絡(luò)設(shè)計(jì)以往傳統(tǒng)醫(yī)院網(wǎng)絡(luò)接入層的建設(shè)中并不關(guān)注于安全控制和QOS提供能力,而將網(wǎng)絡(luò)的安全防御措施和QOS保障依賴于網(wǎng)絡(luò)的匯聚層或骨干層設(shè)備,這給匯聚層和骨干層設(shè)備帶來了巨大的壓力,往往內(nèi)網(wǎng)病毒泛濫成災(zāi)后導(dǎo)致骨干層設(shè)備癱機(jī),使網(wǎng)絡(luò)沒有QOS服務(wù)質(zhì)量保障。RG-S2951XG是一款全線速可堆疊千兆智能交換機(jī),提供智能的流分類和完善的服務(wù)質(zhì)量(QoS)以及組播管理特性,并可以實(shí)施靈活多樣的ACL訪問控制??赏ㄟ^SNMP、Telnet、Web和Console口等多種方式提供豐富的管理。S2126S以極高的性價(jià)比為各類型網(wǎng)絡(luò)提供完善的端到端的服務(wù)質(zhì)量、靈活豐富的安全設(shè)置和基于策略的網(wǎng)管,最大化滿足高速、安
全、智能的醫(yī)院網(wǎng)新需求。3.4.5網(wǎng)絡(luò)安全設(shè)計(jì)RG-IDS入侵檢測(cè)設(shè)備本方案分別在核心交換機(jī)和服務(wù)器群旁應(yīng)用7RG-IDS入侵檢測(cè)設(shè)備。這種設(shè)計(jì)不但保證了外部與內(nèi)部數(shù)據(jù)安全的傳輸,同時(shí)也為服務(wù)器群提供了良好的工作環(huán)境,從而保證了內(nèi)部局域網(wǎng)和外部網(wǎng)絡(luò)的正常運(yùn)行。RG-WALL1600千兆防火墻/VPN網(wǎng)關(guān)RG-WALL2000是一種針對(duì)大型園區(qū)網(wǎng)、醫(yī)院網(wǎng)與電信服務(wù)運(yùn)營(yíng)商而設(shè)計(jì)的業(yè)界領(lǐng)先的集成多種安全功能的千兆線速硬件防火墻。它可以在提供強(qiáng)大的安全功能并維持300萬個(gè)并發(fā)連接地情況下,依然能夠?qū)Σ煌笮〉陌3智д拙€速吞吐能力。其功能包括防火墻、基于IPsec的VPN、內(nèi)容過濾、應(yīng)用代理等。這些特性使得它可以為醫(yī)院和服務(wù)提供商的網(wǎng)絡(luò)提供安全防護(hù)服務(wù)。GSN全局安全解決方案GSN全局安全網(wǎng)絡(luò)中運(yùn)用SMP(安全管理平臺(tái))、SAM(安全認(rèn)證管理)、SEP(安全修復(fù)平臺(tái))、CA服務(wù)系統(tǒng)等等安全管理系統(tǒng)大大提高了整個(gè)網(wǎng)絡(luò)的安全管理,并且能夠?qū)θW(wǎng)的所有安全事件、網(wǎng)絡(luò)病毒攻擊行為、用戶行為和用戶主機(jī)安全信息進(jìn)行深入分析和全局監(jiān)控。GSN自動(dòng)學(xué)習(xí)GSN功能:自育(網(wǎng)絡(luò)行為,安全策略的自學(xué)習(xí))安席.策略服務(wù)器隔離區(qū)域用戶摟入網(wǎng)絡(luò)
安席.策略服務(wù)器隔離區(qū)域安全客戶端會(huì)將用戶的制陌安全客戶端會(huì)將用戶的制陌網(wǎng)培訪間行為自動(dòng)通知安全管理平臺(tái)①B、通過郵件,每日安全管理呼白I志報(bào)煎關(guān)■醒氣建員RG-SA銳捷安全客戶端RG-SMPRG-SA銳捷安全客戶端RG-SMP安全管理平臺(tái)SG-RES(安全修筮蔡統(tǒng))囪自、妾全管理呼臺(tái)自動(dòng)進(jìn)行網(wǎng)絡(luò)環(huán)境泠③安生臆略的自學(xué)習(xí),針時(shí)相同的玄全行為計(jì)安全信息將自動(dòng)四配相同的安全策略3.4.6冗余/負(fù)載均衡設(shè)計(jì)冗余設(shè)計(jì)是網(wǎng)絡(luò)設(shè)計(jì)的重要部分,是保證網(wǎng)絡(luò)整體可靠性能的重要手段。但是投資也將增加。部分醫(yī)院網(wǎng)絡(luò)在早期的建設(shè)中由于成本的原因并未在設(shè)計(jì)中考慮冗余問題,而在優(yōu)化工作中則需從網(wǎng)絡(luò)鏈路和網(wǎng)絡(luò)設(shè)備兩方面著手。冗余設(shè)計(jì)可以貫穿整個(gè)層次化結(jié)構(gòu),每個(gè)冗余設(shè)計(jì)都有針對(duì)性,可以選擇其中一部分或幾部分應(yīng)用到網(wǎng)絡(luò)中以針對(duì)重要的應(yīng)用。萬一網(wǎng)絡(luò)中某條路徑失效時(shí),冗余鏈路可以提供另一條物理路徑??刹捎肎EC鏈路聚合(IEEE802.3ad)實(shí)現(xiàn)端口級(jí)冗余,以克服某個(gè)端口或線路引起的故障。也可采用生成樹協(xié)議(IEEE802.1d)提供設(shè)備級(jí)的冗余連接。此外,我們?cè)谠O(shè)計(jì)中提供不同物理方向的雙歸屬、雙路由保護(hù)。線路冗余在醫(yī)院網(wǎng)骨干核心層,醫(yī)院網(wǎng)絡(luò)邊界拓?fù)浣Y(jié)構(gòu)由于采用了環(huán)形多機(jī)熱備份的核心交換機(jī)系統(tǒng)解決方案,所以在線路冗余方面的要求較高,對(duì)于線路的冗余要求,我們采用100GE線路對(duì)兩臺(tái)醫(yī)院網(wǎng)骨干核心層設(shè)備進(jìn)行環(huán)行雙向備份,并使用業(yè)界領(lǐng)先的VRRP(虛擬路由器冗余協(xié)議)來對(duì)其作為冗余線路的協(xié)議保障。以GEC作為N*1000M主干鏈路,通過這個(gè)鏈路連接骨干網(wǎng)交換機(jī),具備萬兆擴(kuò)展能力;接入交換機(jī)采用10/100/1000M自適應(yīng)端口連接桌面系統(tǒng),多千兆鏈路連接到匯聚層。GEC路具有鏈路聚合和冗余保證兩大特性,下面我們將對(duì)它們依次進(jìn)行介紹鏈路聚合:DEC鏈路聚合IEEE802.3ad示意如圖:襯嗟?斧忸j'襯嗟?斧忸j'AggregaieLink圖解:可使用一條物理鏈路在不同品牌交換機(jī)之間、交換機(jī)和服務(wù)器間提供聚合的高速通道,在不增加投資的情況下,擴(kuò)大交換帶寬,使關(guān)鍵連接的傳輸效率更高冗余保證:鏈路聚合中,成員互相動(dòng)態(tài)備份。當(dāng)某一鏈路中斷時(shí),其它成員能夠迅速接替其工作。與生成樹協(xié)議不同,鏈路聚合啟用備份的過程對(duì)聚合之外是不可見的,而且啟用備份過程只在聚合鏈路內(nèi),與其它鏈路無關(guān),切換可在數(shù)毫秒內(nèi)完成。綜合分析以上各主流方案的優(yōu)缺點(diǎn),從性能與成本及拓展性等方面的綜合考慮出發(fā),我們決定采用GEC骨干核心網(wǎng)絡(luò)100GE拓展的方式作為其鏈路選擇及備份選擇。設(shè)備冗余/負(fù)載均衡設(shè)計(jì)負(fù)載均衡建立在現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)之上,它提供了一種廉價(jià)有效的方法擴(kuò)展服務(wù)器帶寬和增加吞吐量,加強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)處理能力,提高網(wǎng)絡(luò)的靈活性和可用性。它主要完成以下任務(wù)解決網(wǎng)絡(luò)擁塞問題,服務(wù)就近提供,實(shí)現(xiàn)地理位置無關(guān)性;為用戶提供更好的訪問質(zhì)量;提高服務(wù)器響應(yīng)速度;提高服務(wù)器及其他資源的利用效率;避免了網(wǎng)絡(luò)關(guān)鍵部位出現(xiàn)單點(diǎn)失效。在此方案中,在網(wǎng)絡(luò)的每個(gè)關(guān)鍵結(jié)點(diǎn),我們?cè)谠O(shè)計(jì)時(shí)都做到了對(duì)其有效的冗余備份和負(fù)載均衡。在網(wǎng)絡(luò)的骨干核心層上。我們采用了兩臺(tái)銳捷網(wǎng)絡(luò)的RG-S8606高密度多業(yè)務(wù)IPV6核心路由交換機(jī)組建高性能的核心網(wǎng)絡(luò)平臺(tái),在對(duì)骨干核心層提供足夠的網(wǎng)絡(luò)接點(diǎn)和接入需求的同時(shí)最大限度的為網(wǎng)絡(luò)提供了有效的冗余保障和負(fù)載均衡。在核心層的每個(gè)區(qū)塊,我們都采用了兩臺(tái)銳捷網(wǎng)絡(luò)的RG-S8606度多業(yè)務(wù)IPV6核心路由交換機(jī)做到冗余與負(fù)載均衡。在匯聚層的每個(gè)區(qū)塊,我采用了多臺(tái)銳捷網(wǎng)絡(luò)的RG-S5750和STAR-S4909多層交換機(jī)做到冗余與負(fù)載均衡。在本方案的設(shè)計(jì)中,出現(xiàn)了兩個(gè)以上的交換區(qū)塊和需要提供冗余連接的時(shí)候,我們采用了雙核心配置。如下圖,我們給出了從接入層到匯聚層再到核心層的雙核心配置。立怏舊肆I雙核心拓?fù)浣Y(jié)構(gòu)提供了兩條等代價(jià)路徑和雙倍的帶寬。每個(gè)核心交換機(jī)連接著數(shù)目相同的子網(wǎng)到第三層匯聚設(shè)備上。每個(gè)交換區(qū)塊都有冗余的連接到核心交換機(jī)上,因此形成兩條不同的,但是等代價(jià)的連接。如果一條核心設(shè)備發(fā)生故障,還是能夠收斂,因?yàn)閰R聚層設(shè)備的路由選擇表中還有另一條到核心設(shè)備的路由。第3層路由選擇協(xié)議在核心中起鏈路選擇的作用,VRRP提供快速錯(cuò)誤恢復(fù)。核心層不需要STP,因?yàn)樵诤诵慕粨Q機(jī)間沒有冗余的第2層連接。服務(wù)器冗余設(shè)計(jì)醫(yī)院網(wǎng)中服務(wù)器、大型機(jī),如網(wǎng)絡(luò)存儲(chǔ)服務(wù)器,SQLServer服務(wù)器,其存儲(chǔ)的數(shù)據(jù)對(duì)于醫(yī)院來說致關(guān)重要,一些核心數(shù)據(jù)被視為醫(yī)院的生命。一方面它對(duì)醫(yī)院重要性毋庸質(zhì)疑,另一方面,由于這些數(shù)據(jù)的性質(zhì)決定了其較大的被訪問量,這個(gè)對(duì)服務(wù)器提出了穩(wěn)定和快速的要求。如果宕機(jī),后果是技術(shù)是保障計(jì)算機(jī)系統(tǒng)的可靠性是重中之重。為此,我們采用的是雙機(jī)熱備技術(shù),此技術(shù)能夠有效的滿足核心服務(wù)器高效,穩(wěn)定的高要求。而且相對(duì)于其它成本技術(shù)來說,這是比較有經(jīng)濟(jì)價(jià)成效的技術(shù)。
Server1Server2Server1Server2服務(wù)器雙機(jī)熱備技術(shù)具體技術(shù)實(shí)現(xiàn):每個(gè)核心服務(wù)器均具有兩個(gè)以太網(wǎng)接口(可以通過安裝雙網(wǎng)卡實(shí)現(xiàn)),在此基礎(chǔ)上,以上圖為例,DB服務(wù)器A與DB服務(wù)器B先分別利用自己的一個(gè)以太網(wǎng)接口實(shí)現(xiàn)兩個(gè)服務(wù)器之間的直連,每個(gè)服務(wù)器另外的一個(gè)接口則與服務(wù)器區(qū)的網(wǎng)絡(luò)實(shí)現(xiàn)互連,以達(dá)到雙機(jī)熱備的目的。因此增加服務(wù)器的穩(wěn)定性與高效性。本網(wǎng)絡(luò)中應(yīng)具有多臺(tái)服務(wù)器設(shè)備,包括DBSERVER數(shù)據(jù)庫(kù)服務(wù)器,WEB,CATALOG等應(yīng)用服務(wù)器,NEWS,MAIL等通訊服務(wù)器及多媒體服務(wù)器等。3.4.10IP地址規(guī)劃原則我們?cè)趯?duì)醫(yī)院網(wǎng)IP地址編址設(shè)計(jì)和分配利用時(shí),遵循了以下幾個(gè)原則:1) 、自治:整個(gè)醫(yī)療網(wǎng)絡(luò)被劃分成幾個(gè)大的自治區(qū)域,每個(gè)大自治區(qū)域中又被劃分成幾個(gè)小的自治區(qū)域。2) 、有序:我們按照自治原則將網(wǎng)絡(luò)進(jìn)行邏輯劃分后,就根據(jù)地域、設(shè)備分布及區(qū)域內(nèi)用戶數(shù)量來進(jìn)行子網(wǎng)規(guī)劃。我們?cè)诰幹吩O(shè)計(jì)選擇的順序是自上而下的順序,即采用了業(yè)界領(lǐng)先的自頂向下網(wǎng)絡(luò)設(shè)計(jì)(Top-DownNetworkDesign)方法。3) 、可持續(xù)性:考慮到園區(qū)內(nèi)網(wǎng)絡(luò)用戶數(shù)將持續(xù)高速增長(zhǎng),網(wǎng)絡(luò)所要承載的業(yè)務(wù)量和業(yè)務(wù)種類越來越多,這使得網(wǎng)絡(luò)需要頻頻進(jìn)行技術(shù)升級(jí)、改造和擴(kuò)容。所以,在進(jìn)行地址分配時(shí)我們?yōu)榫W(wǎng)絡(luò)的每個(gè)部分留有部分地址冗余,這樣保證網(wǎng)絡(luò)的可持續(xù)發(fā)展。4) 、可聚合:在路由表急劇膨脹情況下,可聚合原則是網(wǎng)絡(luò)地址分配時(shí)所必須遵守的最高原則,可聚合原則要求在進(jìn)行地址規(guī)劃時(shí),應(yīng)提供足夠的路由冗余功能。5) 、盡量節(jié)約IPv4地址:由于IPv4地址越來越少,所以對(duì)于IPv4地址的使用需要格外節(jié)約°IPv4地址的節(jié)約可以通過動(dòng)態(tài)編址技術(shù)和NAT技術(shù)等來實(shí)現(xiàn)。6) 、閑置IP地址回收利用:對(duì)于已分配出去的靜態(tài)IP地址進(jìn)行定期追蹤管理,對(duì)長(zhǎng)時(shí)間閑置的IP地址可經(jīng)過確認(rèn)后回收重復(fù)利用。此次方案的設(shè)計(jì),我們決定采用一個(gè)內(nèi)部私有C類地址()對(duì)醫(yī)院的網(wǎng)絡(luò)設(shè)備編址。由于從方案本身的網(wǎng)絡(luò)拓?fù)鋱D采用了典型的層次化設(shè)計(jì),所以對(duì)ip地址的編址設(shè)計(jì)也應(yīng)采取層次化的設(shè)計(jì)來完成,并采用VLSM來拓展有限的IP地址。位置信息點(diǎn)VLAN編號(hào)IP地址段默認(rèn)網(wǎng)關(guān)網(wǎng)絡(luò)管理中心2008/2454/24一樓15010/2454/24二樓20020/2454/24三樓20030/2454/24四樓20040/2454/24五樓20050/2454/24六樓15060/2454/24七樓10070/2454/24八樓10080/2454/24九樓10090/2454/24十樓100100/2454/24十一樓100110/2454/24十二樓100120/2454/24十三樓220130/2454/24十四樓330140/2354/23十五樓320150/2354/23十六樓300160/2354/23十七樓260170/2354/23十八樓100180/2454/24四、網(wǎng)絡(luò)安全及管理機(jī)制5.1 完善的安全機(jī)制醫(yī)院各樓層交換機(jī)通過內(nèi)在的多種安全機(jī)制可有效防止和控制病毒傳播和網(wǎng)絡(luò)流量攻擊,控制非法用戶使用網(wǎng)絡(luò),保證合法用戶合理化使用網(wǎng)絡(luò),如端口安全、端口隔離、ACL、端口ARP報(bào)文合法性檢查、基于數(shù)據(jù)流的帶寬限速、六元素綁定等等,滿足醫(yī)院網(wǎng)加強(qiáng)對(duì)訪問者進(jìn)行控制、限制非授權(quán)用戶通信的需求;在匯聚、核心交換設(shè)備設(shè)置由硬件實(shí)現(xiàn)ACL,對(duì)病毒進(jìn)行過濾,我們選用的匯聚、核心交換設(shè)備都支持SPOH,所以在使用ACL時(shí)將不會(huì)影響整個(gè)交換機(jī)的性能。硬件實(shí)現(xiàn)端口與MAC地址和用戶IP地址的綁定,嚴(yán)格限定端口上用戶接入;通過PrivateVLAN可以在交換機(jī)的同一VLAN中提供端口之間的通訊或安全隔離,確保數(shù)據(jù)流進(jìn)入有效端口,而不會(huì)被發(fā)送到其它端口,即解決了因傳統(tǒng)802.1QVLAN造成全網(wǎng)VID資源不夠的問題,同時(shí)又無需利用安全規(guī)則資源即能達(dá)到隔離不同用戶以及不同組用戶之間通訊的功能,充分保護(hù)用戶隱私;支持業(yè)界特有的IGMP源端口檢查,有效杜絕非法組播源播放和大量占用大量網(wǎng)絡(luò)帶寬,提高網(wǎng)絡(luò)安全性;提供極為有效的PortBlocking功能,避免端口受到其它端口發(fā)送的廣播包、多播包等報(bào)文的干擾,有效減輕端口負(fù)載負(fù)擔(dān),提高端口帶寬,保護(hù)用戶PC更高效安全地運(yùn)行;基于源IP地址控制的Telnet和Web設(shè)備訪問控制,增強(qiáng)了設(shè)備網(wǎng)管的安全性,避免黑客惡意攻擊和控制設(shè)備;提供加密傳輸SecureShell(SSH),保證管理設(shè)備信息的安全性,防止黑客攻擊和控制設(shè)備;可靈活控制2-7層數(shù)據(jù)報(bào)文,使得任何一個(gè)用戶PC上的任何一種應(yīng)用報(bào)文通過網(wǎng)絡(luò)都能得到有效控制,充分保障了網(wǎng)絡(luò)的安全和合理化使用。GSN全局安全網(wǎng)絡(luò)GSN系統(tǒng)能夠?qū)θW(wǎng)的所有安全事件、網(wǎng)絡(luò)病毒攻擊行為、用戶行為和用戶主機(jī)安全信息進(jìn)行深入分析和全局監(jiān)控。通過這種實(shí)時(shí)全網(wǎng)偵測(cè),可以在第一時(shí)間內(nèi)將網(wǎng)絡(luò)異?,F(xiàn)象通過接入層隔離出網(wǎng)絡(luò),使得網(wǎng)絡(luò)異?,F(xiàn)象完全不影響核心網(wǎng)絡(luò);在發(fā)現(xiàn)安全問題后能自動(dòng)對(duì)用戶進(jìn)行安全事件告警,并迅速根據(jù)用戶身份選擇將用戶隔離到安全修復(fù)區(qū)域或自動(dòng)阻斷異常數(shù)據(jù)流。這一方案目前在包括集美大學(xué)在內(nèi)的各醫(yī)院取得了較好的應(yīng)用效果,例證之一就是:盛極一時(shí)并造成巨大影響的熊貓燒香病毒,在這些學(xué)校都悄然無聲。此外,通過部署GSN全局安全,還能輕松的進(jìn)行主機(jī)信息獲?。粚?shí)現(xiàn)主機(jī)完整性(HI)規(guī)則(通過一系列規(guī)則的定義,約定了對(duì)用戶主機(jī)的準(zhǔn)入標(biāo)準(zhǔn));利用先進(jìn)的“免疫性”ARP防病毒防攻擊技術(shù),徹底解決ARP木馬等病毒/攻擊帶來的網(wǎng)絡(luò)中斷事故的影響。解決安全威脅在醫(yī)院網(wǎng)絡(luò)已經(jīng)成為公司生產(chǎn)運(yùn)營(yíng)的重要組成部分的今天,現(xiàn)代醫(yī)院網(wǎng)絡(luò)必須要有一整套從用戶接入控制,病毒報(bào)文識(shí)別到主動(dòng)抑制的一系列安全控制手段,才能有效的保證醫(yī)院網(wǎng)絡(luò)的穩(wěn)定運(yùn)行。防沖擊波病毒隨著蠕蟲病毒等的攻擊手段呈多元化發(fā)展,單一的防護(hù)措施已經(jīng)無能為力保衛(wèi)校園網(wǎng)絡(luò)安全。IDS只能根據(jù)預(yù)先定義的策略進(jìn)行檢測(cè),對(duì)新的攻擊方式無能為力,或者當(dāng)IDS偵測(cè)到某終端用戶感染病毒后,只能將相關(guān)信息形成報(bào)告通知網(wǎng)管人員,等待處理。然而,此時(shí)受感染的用戶可能已經(jīng)通過網(wǎng)絡(luò)散播到了校園網(wǎng)絡(luò)的各個(gè)角落。來自網(wǎng)絡(luò)內(nèi)部的惡意或誤操作攻擊據(jù)相關(guān)數(shù)字顯示,目前,網(wǎng)絡(luò)遭受的惡意攻擊90%以上是來自于內(nèi)部,諸如竊取他人密碼等重要信息、盜打IP電話、校園一卡通金額被盜等事件時(shí)有發(fā)生。對(duì)此,如果僅僅倚靠被動(dòng)的監(jiān)測(cè)方式,就給事后追查“嫌疑人”的網(wǎng)管人員制造了難以逾越的瓶頸。VPN(虛擬專用網(wǎng))虛擬專用網(wǎng)(virtualpr
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 二零二五年度全新轉(zhuǎn)讓合同:網(wǎng)絡(luò)直播平臺(tái)運(yùn)營(yíng)權(quán)出讓協(xié)議
- 2025年度汽車租賃代駕與網(wǎng)約車平臺(tái)合作協(xié)議
- 二零二五年度親友間代持房產(chǎn)購(gòu)房協(xié)議
- 二零二五年度施工安全責(zé)任協(xié)議書(含風(fēng)險(xiǎn)評(píng)估)
- 二零二五年度實(shí)習(xí)生實(shí)習(xí)期間企業(yè)文化建設(shè)合作合同
- 2025年度購(gòu)房合同解除及物業(yè)管理協(xié)議
- 婦幼保健員職業(yè)定位試題及答案
- 二零二五年度征收國(guó)有土地房屋拆遷安置合同
- 二零二五年度城市中心區(qū)三方合租公寓租賃協(xié)議
- 二零二五年度土地承包經(jīng)營(yíng)權(quán)權(quán)屬變更合同
- 《電子商務(wù)》專升本考試復(fù)習(xí)考題庫(kù)(匯總600題)
- 內(nèi)部審計(jì)工作規(guī)范手冊(cè)
- 傳承紅色基因 做革命接班人-清明節(jié)緬懷先烈-高中下學(xué)期主題班會(huì)
- 2023年皖西衛(wèi)生職業(yè)學(xué)院?jiǎn)握新殬I(yè)適應(yīng)性測(cè)試題庫(kù)及答案解析
- 2022年R1快開門式壓力容器操作考試題及R1快開門式壓力容器操作考試題庫(kù) -1
- 六字訣傳統(tǒng)健身功法
- YY/T 1293.2-2022接觸性創(chuàng)面敷料第2部分:聚氨酯泡沫敷料
- GA 923-2011公安特警專用車輛外觀制式涂裝規(guī)范
- 9潤(rùn)滑油基礎(chǔ)油的生產(chǎn)
- 第2章化學(xué)工藝基礎(chǔ)《化學(xué)工藝學(xué)(第二版)》米鎮(zhèn)濤課件
- 文物建筑保護(hù)工程施工組織設(shè)計(jì)編制要求
評(píng)論
0/150
提交評(píng)論