2022年XX医院IT基础架构建设-解决方案v2.pdf

《2022年XX医院IT基础架构建设-解决方案v2.pdf》由会员分享，可在线阅读，更多相关《2022年XX医院IT基础架构建设-解决方案v2.pdf（46页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、XXXIT 基础架构建设解决方案精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 1 页，共 46 页 - - - - - - - - - - 目录1 整体架构设计 . 错误!未定义书签。综述 . 错误!未定义书签。内网架构设计 . 错误!未定义书签。外网架构设计 . 错误!未定义书签。无线网络架构设计. 错误!未定义书签。信息点统计表 . 错误!未定义书签。2 网络及安全方案设计. 错误!未定义书签。网络虚拟化设计. 错误!未定义书签。安全虚拟化设计. 错误!未定义书签。虚拟交换机设计. 错误!未定义书签

2、。数据库审计设备. 错误!未定义书签。防火墙设备 . 错误!未定义书签。入侵防御设备 . 错误!未定义书签。运维堡垒机 . 错误!未定义书签。互联网出口 . 错误!未定义书签。3 业务系统虚拟化方案设计 . 错误!未定义书签。刀片服务器设计. 错误!未定义书签。计算虚拟化设计. 错误!未定义书签。数据中心管理设计. 错误!未定义书签。4 综合管理系统设计. 错误!未定义书签。网络管理设计 . 错误!未定义书签。业务监控设计 . 错误!未定义书签。终端管理设计 . 错误!未定义书签。5 无线系统设计 . 错误!未定义书签。无线标准选择 . 错误!未定义书签。无线医疗业务 . 错误!未定义书签。病

3、房区域无线覆盖设计. 错误!未定义书签。门诊区域无线覆盖设计. 错误!未定义书签。内网认证方式 . 错误!未定义书签。外网认证方式 . 错误!未定义书签。精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 2 页，共 46 页 - - - - - - - - - - 6 产品清单 . 错误!未定义书签。1整体架构设计1.1综述如上图所示， 为本次项目整体架构示意图。 分为内外及外网两个部分。 两张网络之间通过 H3C SecPath F1070综合安全网关进行隔离防护，只允许有权限的业务访问。内外主要用于医院

4、内部业务系统的支撑，包括网络设备，存储系统，服务器设备。 外网主要用于医院进行对互联网的访问以及连接省市医保专线。内网设计原则为千兆到桌面， 万兆骨干的方式。 外网设计原则为千兆到桌面，千兆骨干的方式。 内外之间通过千兆以太网链路连接到综合安全网关。设计方案将依据XXX 信息化系统建设要求及河南省数字化医院评审标准进行设计。原则上符合上述两个文件的指导精神。1.2内网架构设计内部网络核心交换机为两台H3C S7506E 核心交换机，单台配置冗余主控，冗余电源模块， 3块16端口万兆以太网光接口模块， 1块24端口千兆以太网电接口 +4端口万兆以太网光接口模块， 配置相应光模块及连接电缆。 万兆

5、链路用于连接楼宇接入交换机，连接刀片服务器系统，连接存储系统。通过万兆链路实现IRF2虚拟化互联，支持跨设备的链路聚合技术。 通过千兆以太网电接口连接H3C F1070综合安全网关。楼宇接入交换机为 H3C S5130-EI系列交换机。根据弱电分布图（见本章节末统计表）的统计情况， 本次项目共计 34个弱电井， 每个弱电井对应的信息点不尽相同。共计使用 H3C S5130-52S-EI交换机 15台，H3C S5130-28S-EI交换机 26台。每个弱电井内部署 1台上行交换机，采用两个万兆以太网光接口分别上联至两台核心交换机。通过跨设备的链路聚合技术，达到上行链路带宽20G ，故障切换时间

6、200ms 的最佳冗余配置。 H3C S5130-52S-EI交换机单台提供 48个千兆以太网电精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 3 页，共 46 页 - - - - - - - - - - 接口， 4个万兆以太网光接口。 H3C S5130-28S-EI交换机单台提供 24个千兆以太网电接口， 4个万兆以太网光接口。配置相应数量光模块。每个弱电井其余交换机均采用万兆电缆连接至上行交换机业务服务器采用 1台H3C UIS 8000刀片式服务器，搭载 4台B390 服务器和 2台B590服务器

7、。 B390服务器单台配置 2个E5-2620v3 CPU （主频， 6核心）， 64GB 高性能内存， 2块300GB-10K 硬盘， 2个10GE Flex Fabric 网卡。 Fabric 网卡支持 1:4链路虚拟化技术，可以将物理网卡随意划分为指定带宽。B590服务器单台配置 2个E5-4620v3 CPU （主频， 8核心）， 32GB 高性能内存， 2块300GB-10K 硬盘， 2个10GE Flex Fabric网卡。 Fabric 网卡支持 1:4 链路虚拟化技术，可以将物理网卡随意划分为指定带宽。 B390服务器配合 H3C CAS 虚拟化系统，完成医疗应用业务的承载，

8、B590 服务器配合 H3C CAS 虚拟化系统，完成应用数据库业务的承载。H3C UIS 8000刀片服务器机箱搭载两块OA 管理模块， 10个航空级冗余风扇模块，6个航空级冗余电源模块， 1+1冗余管理模块， 2个FlexFabric 10 24端口刀片系统的 VC 模块。 VC 模块配置有 8个万兆上行端口和 16个万兆下行端口。上行端口直接连接到核心交换机，下行端口通过无源背板连接到刀片服务器。2个VC 模块之间通过内部端口互联，实现冗余保障。VC 模块支持 1:4 链路虚拟化技术，可以将物理网卡随意划分为指定带宽，实现灵活的业务链路部署。存储系统为一套 H3C FlexStorage

9、 P5730 IP存储系统。配置有 25个900GB 10000转SAS 硬盘， 4个千兆以太网电接口， 2个万兆以太网光接口。可用空间为。存储系统用于实现核心业务数据的存储以及虚拟化业务系统的共享存储。存储系统通过万兆以太网链路直接连接到核心交换机，实现同业务系统之间的数据交互。业务系统承载于 H3C CAS 虚拟化管理系统之上。 H3C CAS 虚拟化管理系统融合了计算、网络、存储资源的虚拟化，形成弹性的数据中心资源池，实现资源的自动化调度，更好地为上层应用服务。 通过虚拟化后，虚机之间为完全隔离状态，具有独立 CPU 、内存、磁盘 I/O 、网络 I/O ，即任何一个虚机发生故障时，同一

10、物理机上的其他虚机不受其影响， 每个虚机具有独立的用户管理权限，可安装独立操作系统，不同虚机间操作系统可以异构。完全基于B/S架构的管理控制台，不仅让您轻松组织和快速部署整个IT环境，而且还能对包括 CPU 、内存、磁盘 I/O 、精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 4 页，共 46 页 - - - - - - - - - - 网络I/O 等重要资源在内的关键元件进行全面的性能监测，为管理员实施合理的资源规划提供详尽的数据资料。H3C CAS 虚拟化管理系统为虚拟机中运行的应用程序提供简单易用

11、、 成本效益高的高可用性功能。 硬件故障导致的服务器或虚拟机宕机再也不会造成灾难性的后果，H3C CAS 提供的资源智能调度能力会自动重新为这些服务器或虚拟机选择最佳的运行位置。认证管理方案，采用 H3C EIA终端智能接入组件为内网用户提供接入认证。限制用户随意进入内网， 符合等保要求。 本次项目中， 认证系统采用 Portal 认证方式， Portal 网关部署于核心交换机。为每用户提供账号与口令，绑定IP地址，绑定MAC 地址，实现统一接入认证。Portal 认证方式也非常适合于无线医疗终端接入到网络中，为日后医院实现无线医疗全覆盖打好基础。为保证内网信息化安全， 符合数字化医院对于信息

12、安全建设要求，为内网部署堡垒机以及数据库审计系统。通过千兆以太网电接口的方式直连核心交换机。堡垒机用于日常运维审计管理平台，记录运维行为， 统一对账号进行管理。 数据库审计系统用于对数据库的操作进行安全防护及记录审计。上述两套系统配合使用，实现医院日常业务管理的同时，可以兼顾“反统方”工作的开展。1.3外网架构设计外网核心交换机为 1台H3C S7506E-S 核心交换机。单台配置冗余电源模块，冗余主控模块， 1块48端口千兆以太网电接口模块， 1块48端口千兆以太网光接口模块，配置相应的光模块。 通过千兆以太网光接口连接外网楼宇接入交换机，通过千兆以太网电接口连接综合安全网关，医保前置机，

13、出口安全网关， 防火墙等设备。外网接入交换机为 H3C S5110 系列千兆交换机。外网信息点较为分散，故所有接入交换机均通过千兆以太网光接口上行到核心交换机。通过对信息点的统计分析，配置有 H3C S5110-28P 接入交换机 12台，H3C S5110-52P 接入交换机 18台。配置相应光模块。 H3C S5110-28P接入交换机单台配置有 24个千兆以太网电接口，4个千兆以太网光接口， H3C S5110-52P接入交换机单台配置有 48个千兆以太网电接口， 4个千兆以太网光接口。外网互联网出口部署一台 H3C ACG-1000-M 出口安全网关。 单台配置有 16个千精品资料 -

14、 - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 5 页，共 46 页 - - - - - - - - - - 兆以太网电接口， 4个复用的千兆以太网光接口，冗余电源模块。 提供3年特征库升级服务。 提供管理软件。 出口安全网关提供全院 NAT 功能，支持链路负载均衡，能对网络中的网络社区、 P2P/IM带宽滥用、网络游戏、炒股、网络多媒体、非法网站访问等行为进行精细化识别和控制。利用智能流控、 智能阻断、 智能路由等技术，配合创新的社交网络行为管理功能、清晰易管理日志等功能， 可以提供业界最全面、完善的上网行为管理解

15、决方案。 从而保障网络关键应用和服务的带宽，对网络流量、 用户上网行为进行深入分析与全面的审计，为用户全面了解网络应用模型和流量趋势， 优化其带宽资源， 开展各项业务提供有力的支撑。满足公安部82号令的同时，实现对网络流量的精细化管理。部署一台 H3C F1050 综合安全网关用于连接省市医保专线。提供16个千兆以太网电接口， 8个千兆以太网光接口，支持2个扩展槽位。支持多种 VPN 业务，如L2TP VPN 、GRE VPN 、IPSec VPN 和SSL VPN 等。采用了先进的最新 64位多核高性能处理器和高速存储器。支持H3C SCF 虚拟化技术，可将多台设备虚拟化为一台逻辑设备， 对

16、外呈现为一个网络节点， 资源统一管理， 完成业务备份同时提高系统整体性能。支持吞吐量为5GB 。部署一台 H3C F1070 综合安全网关作为内外网隔离屏障。搭载防病毒功能，提供3年特征库升级。提供 16个千兆以太网电接口， 8个千兆以太网光接口， 2个万兆以太网光接口。支持2个扩展槽位。支持多维一体化安全防护，可从用户、应用、时间、五元组等多个维度，对流量展开IPS、AV 、DLP 等一体化安全访问控制，能够有效的保证网络的安全。支持吞吐量为8GB 。1.4无线网络架构设计本次无线网络的设计将采用同一套AP ，分别连接内网和外网的部署方式。内网部署 PoE 交换机，提供无线 AP 供电。要求

17、无线 AP 具备有两个独立的千兆以太网电接口，可以分别连接内网和外网。 通过两个端口分别分配给不同的VLAN ，实现对内网和外网的隔离。 同一个 AP 提供不同的 SSID，通过认证系统保证内网用户不能够接入外网 SSID，外网用户不能够接入内网的SSID 。无线医疗业务主要应用范围在住院病房，主要应用包括无线查房， 无线输液，无线医嘱等内容， 相对而言， 公网应用较少。 对于门诊部分和人员较为密集的大精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 6 页，共 46 页 - - - - - - - - -

18、 - 厅，主要应用是公网应用。 医院不应当允许陪护人员可以随意访问公网，这并不符合数字化医院的要求，只能够访问到医院指定的微信平台或是公网业务平台。无线网络的详细设计将在后文展现。1.5信息点统计表内网信息点统计表楼宇西南弱电井东南弱电井西北弱电井东北弱电井24 口交换机48 口交换机1F9276443062F4286630143F64442440144F52701826155F162226F22027F2622118F2622119F26221110F26221111F26221112F26221113F162211屋顶21总计2502762823221526外网信息点统计表楼宇西南弱电井东

19、南弱电井西北弱电井东北弱电井24 口交换机48 口交换机1F44332F33433F3424F12435F651126F324627F444728F444729F4447210F4447211F4447212F44472精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 7 页，共 46 页 - - - - - - - - - - 13F16242总计783234181218精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第

20、 8 页，共 46 页 - - - - - - - - - - 2网络及安全方案设计2.1网络虚拟化设计面向园区网横向业务整合的需求，S7500E 支持IRF2（第二代智能弹性架构）技术，将多台高端设备虚拟化为一台逻辑设备，是业界首款支持4框虚拟化的核心交换机产品，在可靠性、分布性和易管理性方面具有强大的优势。IRF（Intelligent Resilient Framework，智能弹性架构）是 H3C 自主研发，用于在网络中同层设备之间进行整合的虚拟化技术。它的核心思想是将多台设备连接在一起， 进行必要的配置后， 虚拟化成一台设备。 使用这种虚拟化技术可以集合多台设备的硬件资源和软件处理能

21、力，实现多台设备的协同工作、 统一管理和不间断维护。IRF主要具有以下优点：简化管理。IRF形成之后，用户通过任意成员设备的任意端口都可以登录IRF系统，对 IRF内所有成员设备进行统一管理。高可靠性。IRF的高可靠性体现在多个方面， 例如：IRF由多台成员设备组成，主设备负责 IRF的运行、管理和维护，从设备在作为备份的同时也可以处理业务。一旦主设备故障， 系统会迅速自动选举新的主设备，以保证业务不中断， 从而实现了设备的 1:N备份；此外，成员设备之间的IRF链路支持聚合功能， IRF和上、下层设备之间的物理链路也支持聚合功能，多条链路之间可以互为备份也可以进行负载分担，从而进一步提高了I

22、RF的可靠性。强大的网络扩展能力。通过增加成员设备，可以轻松自如的扩展IRF的端口数、带宽。因为各成员设备都有CPU ，能够独立处理协议报文、进行报文转发，所以IRF还能轻松自如的扩展处理能力。使用IRF后，汇聚层的多个设备成为了一个单一的逻辑设备，接入设备直接连接到这个虚拟设备。 这种简化后的组网不再需要使用MSTP 、VRRP 协议，简化了网络配置。 同时依靠跨设备的链路聚合，在成员出现故障时不再依赖MSTP 、VRRP等协议的收敛，提高了可靠性。通过IRF还可以扩展系统的处理能力和带宽。当精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 -

23、- - - - - - - - -第 9 页，共 46 页 - - - - - - - - - - 原有设备的处理能力不能满足需求时，通过新增多台设备形成IRF来提高总体处理能力。2.2安全虚拟化设计安全集群架构 （SCF ）为杭州华三通信技术有限公司( 以下简称 H3C) 自主研发的安全设备软件虚拟化技术。它的核心思想是将多台安全设备连虚拟为一台设备。可以集合多台安全设备的软件处理能力，实现多台安全设备的协同工作、统一管理和不间断维护。SCF 主要具有以下优点：1. 简化管理。 SCF 形成之后，用户通过任意成员设备的任意端口都可以登录SCF 系统，对 SCF 内所有成员设备进行统一管理。2

24、. 高可靠性。 SCF 的高可靠性体现在多个方面， 例如：SCF 由多台成员设备组成，主设备负责 SCF 的运行、管理和维护，从设备在作为备份的同时也可以处理业务。一旦主设备故障，系统会迅速自动选举新的主设备，以保证业务不中断，从而实现了设备的 1:N备份；此外，成员设备之间的SCF 链路支持聚合功能， SCF和上、下层设备之间的物理链路也支持聚合功能，多条链路之间可以互为备份也可以进行负载分担，从而进一步提高了SCF 的可靠性。3. 强大的网络扩展能力。通过增加成员设备，可以轻松自如的扩展SCF 的端口数、带宽。因为各成员设备都有CPU ，能够独立处理协议报文、进行报文转发，所以SCF 还能

25、轻松自如的扩展处理能力。SCF 的部署方式全面突破了机框的限制，在简化管理和部署的基础上同时实现了安全业务和安全性能的弹性扩展，可以实现业务流量经过一组SCF 系统的自动负载分担和冗余备份。SCF 组中每台设备都称为成员设备。 成员设备按照功能不同， 分为两种角色：1. 主用设备（简称为主设备）：负责管理整个SCF 系统。2. 从属设备（简称为从设备）：作为主设备的备份设备运行。当主设备故障时，系统会自动在从设备中选举一个新的主设备接替原主设备工作。SOP 技术杭州华三通信技术有限公司( 以下简称 H3C)自主研发的安全设备软件虚拟化技术。 它的核心思想是将一台安全设备连虚拟为多台台设备。可以

26、为多精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 10 页，共 46 页 - - - - - - - - - - 个安全出口分配独立的处理能力和配置。实现专享的安全策略。F5000采用创新的基于容器的虚拟化技术实现了真正意义上的虚拟防火墙，即安全 ONE 平台（ SOP ）。每一个安全 ONE 平台均完全继承 F5000设备的所有特性。SOP 之间实现了基于进程的真正相互隔离，而不是传统的通过路由方式的隔离。每一个 SOP 系统都有自己独立的运行空间，包括管理平面、控制平面、数据平面、以及完整的安全业务

27、功能。每一个SOP 均可以独立的启动、暂停和关闭，单个SOP 故障不会对其他 SOP 和整个物理系统产生任何影响。SOP 通过统一的 OS 内核可以对系统的静态及动态的资源进行细粒度的划分。其中，静态资源有内存、硬盘、接口、TCAM 等，与此相关的逻辑资源包括并发会话、VPN 隧道、安全策略、安全域、动态路由、VLAN 等；动态资源有 CPU ，与此相关的逻辑资源包括吞吐量、新建速率、抗攻击能力、VPN 处理能力等。SOP 数量可以按照系统需求的变化动态调整。基于SOP 的全分布式处理能力，在单个 SOP 能力不变的前提下， 可以通过增加业务板的方式来扩展系统SOP 数量的上限。SOP 能力可

28、以根据用户需求动态的进行调整，当业务需求变更时可以在不重启SOP 的前提下在线平滑调整 CPU 、 内存等资源，从而保障用户业务完全不受影响。SOP 能力可以基于 SCF 能力至少， F5000设备可以选择先使用 SCF 技术完成 N:1的虚拟化，在此基础之上，使用SOP 技术完成 1:N的虚拟化。2.3虚拟交换机设计本次项目中， 医院将采用虚拟化技术完成对所有业务系统的虚拟化部署。虚拟化技术中，虚拟交换机是非常重要的一个环节。H3C 的虚拟化交换机能够兼容VMware 平台，实现现有资源的统一管理。H3C S1010V 是H3C 公司面向企业和行业数据中心虚拟化环境推出的一款智能软件交换机产

29、品，适用于VMware ESXi 企业增强版环境。通过与 VMware 公司密切合作， H3C S1010V 能够与 VMware 虚拟基础设施完全集成，其中，包括VMware vCenter 和VMware ESXi，并替代 VMware 的基本虚拟交换机，为虚拟机提供功能增强型的分布式虚拟交换能力。H3C S1010V 在设计上遵循 OpenFlow 标准体系架构， 实现控制平面与转发平面精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 11 页，共 46 页 - - - - - - - - - - 分

30、离的可编程网络技术。整个产品包括VCE 、VFE 和Plugin 三个部分。装和运行在 ESXi服务器上，是 VMware ESXi 内核的一部分，能够完全取代VMware 虚拟交换机的功能。从定位上看， 相当于OpenFlow 标准中的 OpenFlow 交换机，扮演数据转发平面的角色，实现虚拟网络端口的流量控制与转发。VFE 接收到数据包后，首先在本地的OpenFlow 流表中查找转发目的端口，如果没有匹配，则把数据包转发给VCE模块，由控制层决定转发策略和转发端口。部署在多个 ESXi上的VFE 组成一个跨物理主机的分布式软件虚拟交换机。当虚拟机发生迁移的时候，虚拟网卡上的网络策略能够在

31、各个服务器上同步。? VCE（Virtual Controller Engine，虚拟控制引擎）以标准的 OVF （Open Virtualization Format，开放虚拟化格式）虚拟机格式交付，通过 VMware vCenter提供的 OVF 模板部署功能安装在一台单独的虚拟机上。从定位上看， 相当于 OpenFlow 标准中的控制器 （Controller），通过Web GUI界面，实现VFE 的集中管理和配置。? Plugin （插件）运行在 VMware vCenter Server 上的一个插件，是 H3C S1010V 专为VMware 定制开发的第三方管理接口，主要提供端口

32、策略组的配置界面。2.4数据库审计设备数据库审计设备将通过千兆以太网电接口连接到核心交换机。数据库审计设备的部署位置和功能实现并无关联， 只需要到数据库的 IP地址可达就足够了。H3C SecPath D2020 数据库审计设备吞吐量为2GB ，峰值事物处理能力为 2万条/ 秒，日志存储量为 4亿条。数据库是任何商业和公共安全中最具有战略性的资产，通常都保存着重要的商业伙伴和客户信息， 这些信息需要被保护起来， 以防止竞争者和其他非法者获取。 互联网的急速发展使得企业数据库信息的价值及可访问性得到了提升，同时，也致使数据库信息资产面临严峻的挑战，概括起来主要表现在以下三个层面：管理层面：主要表

33、现为人员的职责、 流程有待完善， 内部员工的日常操作有待规范，第三方维护人员的操作监控失效等等，致使安全事件发生时， 无法追溯精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 12 页，共 46 页 - - - - - - - - - - 并定位真实的操作者。技术层面：现有的数据库内部操作不明，无法通过外部的任何安全工具（比如：防火墙、 IDS、IPS等）来阻止内部用户的恶意操作、滥用资源和泄露企业机密信息等行为。审计层面：现有的依赖于数据库日志文件的审计方法，存在诸多的弊端, 比如: 数据库审计功能的开启

34、会影响数据库本身的性能、数据库日志文件本身存在被篡改的风险，难于体现审计信息的真实性。伴随着数据库信息价值以及可访问性提升，使得数据库面对来自内部和外部的安全风险大大增加， 如违规越权操作、 恶意入侵导致机密信息窃取泄漏，但事后却无法有效追溯和审计。为了解决数据库信息安全领域的深层次、应用及业务逻辑层面的安全问题及审计需求，华三公司在多年数据库安全的理论和实践经验积累的基础上，成功推出了业界首创的、 面向政府、企业核心数据库的安全产品- 华三数据库审计系统，该产品重点实现细粒度审计、精准化行为回溯、全方位风险控制，为您的核心数据库提供全方位、细粒度的保护功能，可帮助用户带来如下价值点：全面记录

35、数据库访问行为，识别越权操作等违规行为，并完成追踪溯源跟踪敏感数据访问行为轨迹，建立访问行为模型，及时发现敏感数据泄漏检测数据库配置弱点、发现SQL 注入等漏洞、提供解决建议为数据库安全管理与性能优化提供决策依据提供符合法律法规的报告，满足等级保护、企业内控等审计要求2.5防火墙设备本次项目选用的是 NGFW下一代防火墙作为出口安全(H3C SecPath F1050-8GB吞吐量 ) 以及内外网隔离设备（ H3C SecPath F1070-12GB 吞吐量）。防火墙设备的部署位置包括同医保互联的出口防火墙和内外网隔离用的综合安全防火墙。其中， 隔离用防火墙配置有 IPS- 入侵防御及 AV

36、-防病毒的功能授权以及 3年的特征库升级。综合安全防火墙通过万兆以太网光接口分别连接到内网核心交换机及外网核心交换机 .H3C SecPath F10X0 系列防火墙是杭州华三通信技术有限公司（以下简称H3C公司）伴随时代的到来并结合当前安全与网络深入融合的技术趋势，针对中小型精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 13 页，共 46 页 - - - - - - - - - - 企业、园区网互联网出口以及广域网分支市场推出的下一代高性能防火墙产品。H3C SecPath F10X0 系列防火墙支持

37、多维一体化安全防护，可从用户、应用、时间、五元组等多个维度，对流量展开IPS、AV 、DLP 等一体化安全访问控制，能够有效的保证网络的安全； 支持多种 VPN 业务，如L2TP VPN 、GRE VPN 、IPSec VPN和SSL VPN 等，与智能终端对接实现移动办公；提供丰富的路由能力，支持RIP/OSPF/BGP/ 路由策略及基于应用与 URL 的策略路由；支持 IPv4/IPv6 双协议栈同时，可实现针对 IPV6的状态防护和攻击防范。H3C SecPath F10X0系列防火墙采用互为冗余备份的双电源（11备份），同时支持双机集群化部署的SCF 技术，充分满足高性能网络的可靠性要

38、求；同时F10X0 产品在 1U 高的设备上可提供至少 24个千兆接口、 2个万兆的固定接口。2.6入侵防御设备入侵防御设备通过插卡的形式直接部署在核心交换机上。通过背板互联。 用于数据中心的安全防护。不需要额外的连接配置。当IPS板卡出现故障时，可以通过自动旁路的方式对流量进行保护。本次部署两台，单个IPS插卡的吞吐量为10GB 。SecBlade IPS是业界唯一集成漏洞库、专业病毒库、应用协议库的IPS模块。配合H3C FIRST （Full Inspection with Rigorous State Test，基于精确状态的全面检测）专有引擎技术，能精确识别并实时防范各种网络攻击和滥

39、用行为。SecBlade IPS 通过了国际权威组织 CVE(Common Vulnerabilities & Exposures，通用漏洞披露 ) 的兼容性认证，在系统漏洞研究和攻击防御方面达到了业界顶尖水平。 集成卡巴斯基防病毒引擎和病毒库。 采用第二代启发式代码分析、 iChecker实时监控和独特的脚本病毒拦截等多种最尖端的反病毒技术，能实时查杀各种文件型、网络型和混合型病毒； 并采用新一代虚拟脱壳和行为判断技术，准确查杀各种变种病毒、未知病毒。H3C 专业安全团队密切跟踪全球知名安全组织和厂商发布的安全漏洞公告，通过准确的分析，快速生成保护操作系统、应用系统以及数据库漏洞的特征库；H

40、3C 通过了微软的 MAPP (Microsoft Active Protections Program，微软主动防御计划 ) 认证，可以提前获得微软的漏洞信息。同时，通过部署于全球的蜜罐系统，实时掌握最新的攻击技术和趋势，以定期（每周）和紧急（当重大安全漏洞精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 14 页，共 46 页 - - - - - - - - - - 被发现）两种方式发布，并自动或手动地分发到SecBlade IPS模块中，使用户的SecBlade IPS 模块快速具备防御零时差攻击的能

41、力。2.7运维堡垒机运维堡垒机通过千兆以太网电接口直接连接到核心交换机。运维堡垒机的部署位置同实际功能无关。随着信息系统规模不断扩大， 企事业单位需要管理的设备数量和类型都越来越多、数据的敏感性越来越高、 管理人员也越来越复杂， 由此带来了一系列的困难和安全隐患。 如内部管理人员越权操作设备，导致数据泄漏， 设备密码由于修改工作量过大而长期不修改等。H3C SecPath A2020及A2100是面向运营商及行业市场的高性能、高可管理的运维审计系统，硬件上机遇X86处理架构， A2020 为1U 的独立盒式设备，提供 6个千兆以太电口，单电源设计，支持交流电源。A2100 为2U 的独立盒式设

42、备，提供 4个千兆以太电口 2个千兆以太光口，并提供一个扩展槽位用于进行端口及业务扩充双电源设计，支持交流电源。在功能方面， SecPath A2020 及A2100 为用户提供了全面的运维管理体系和运维能力，支持资产管理、用户管理、双因子认证、命令阻断、访问控制、自动改密、审计等功能，能够有效的保障运维过程的安全。在协议方面， SecPath A2020及A2100 全面支持 SSH/TELNET/RDP（远程桌面）/FTP/SFTP/VNC ， 并可通过应用中心 remoteapp技术扩展支持 VMware/XEN 等虚拟机管理、 oracle 等数据库管理、 HTTP/HTTPS 、小型

43、机管理等。2.8互联网出口互联网出口主要作用是提供全院的公网访问。包括患者就医产生的公网流量以及医院内部对外的互联网流量。为满足公安部82号令以及数字化医院的要求，增加互联网出口网关。 ACG1000-M 设备吞吐量为 800MB ，支持同 H3C EIA认证系统进行配合，实现基于用户名或微信账号的审计。H3C SecPath ACG 1000 是H3C 公司新一代应用控制网关，ACG 1000 引入了全方位上网行为管理要素，是面向客户业务而量身定制的全业务网关产品。H3C SecPath ACG 1000能对网络中的网络社区、 P2P/IM带宽滥用、网络游戏、精品资料 - - - 欢迎下载

44、- - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 15 页，共 46 页 - - - - - - - - - - 炒股、网络多媒体、非法网站访问等行为进行精细化识别和控制。利用智能流控、智能阻断、 智能路由等技术， 配合创新的社交网络行为管理功能、清晰易管理日志等功能， 可以提供业界最全面、 完善的上网行为管理解决方案。从而保障网络关键应用和服务的带宽， 对网络流量、用户上网行为进行深入分析与全面的审计，为用户全面了解网络应用模型和流量趋势，优化其带宽资源， 开展各项业务提供有力的支撑。精品资料 - - - 欢迎下载 - - - - -

45、- - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 16 页，共 46 页 - - - - - - - - - - 3业务系统虚拟化方案设计3.1刀片服务器设计H3C FlexServer UIS8000刀片机箱采用了一系列全新的技术，提供了简化的管理、强大的处理能力、超强的网络带宽、更高效的供电和散热。1个UIS8000刀片机箱可以支持 16块半高刀片服务器或 8块全高刀片服务器。 H3C FlexServer UIS8000机箱可提供模块化服务器、互连模块和存储组件、电源模块、散热模块及网络模块。 该机箱 10U 高，可容纳 16块半高刀片服务器或 8块全

46、高刀片服务器以及可选的冗余网络和存储互连模块。它内置一个共享的中置背板， 可将刀片服务器一次性连接到网络和共享存储设备。通过OA 管理模块和远程管理模块来管理服务器，并可实现全面地控制。节能技术：与动态功率封顶的精确测量和控制相结合，可在无损性能的前提下节能和回收闲置电能。互联架构：连线一次便可动态添加、 替换或恢复刀片服务器， 不影响网络和存储或产生其他操作。中置背板：无单点故障，可使用户业务正常运行。板载管理：提供了实用的管理工具并简化了日常管理，问题告警， 便于用户问题定位及恢复高性能和高度灵活的网络连接： UIS8000刀片机箱背板带宽高达 7TB ，可以支持多种不同的网络类型。冗余设

47、计： UIS8000刀片机箱采用模块化设计，所有组件都支持热插拔。UIS8000刀片机箱背板是完全没有活动组件的背板，并且服务器和网络互联模块之间采用冗余的链路连接，避免了单点失效的可能。UIS8000刀片机箱采用了由多个Active Cool风扇组成的冗余热插拔散热系统。简化的初始安装和管理：创新的板载LCD 管理面板可在短时间之内快速完成服务器的安装和配置， 不管是在本地或远程管理， 采用向导式的管理界面都可以大大减化日常工作，加快故障的判断和修复。精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 17

48、 页，共 46 页 - - - - - - - - - - 更高效率：和传统机架式服务器相比，更低的功耗，占用空间更少，连接线缆的数量更少。模块化热插拔组件： 刀片服务器、 存储和其他模块化组件可以在不断电的情况下方便地添加或移除。管理灵活：对刀片模块和网络连接模块的管理不局限于一个刀片机箱内，系统可以允许跨刀片机箱的资源整合和共享。集成共享的电源和散热系统： 刀片系统可以提供最佳的能耗比和最佳的冷却效率。简单的管理方式：不需要复杂的规划就可以完成数据中心的系统冗余、电源、冷却和管理等方面的设计， 模块化扩展的服务器、 存储和网络设备全部可以通过一个控制台来进行管理。投资保护：刀箱中可以安装多

49、种不同规格的服务器和网络设备。下表为基本性能参数列表：设备托架最多支持 16 块半高刀片服务器最多支持 8 块全高刀片服务器支持混合配置互联托架可以支持 8 个网络互联模块电源机箱内集成，最多可以配置6 个单相电源风扇集中冗余风扇，最多可以配置10 个主动智能散热风扇管理冗余 OA管理模块 -LAN 和串行访问支持本地 KVM连接尺寸( 宽) ( 深) ( 高)满配重量204Kg输入电压交流额定电压范围：200V240V AC，50/60Hz直流额定电压范围：-36V-72V DC工作环境温度10o C35o C工作环境湿度10% 90%下表为网络模块列表：Flex-10 26端口 VC模块端

50、口形态下行口： 16*10GE上行口： 10*10GE堆叠口： 4*10GE网络特性支持端口虚拟化为4 个虚端口；支持无状态计算；精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 18 页，共 46 页 - - - - - - - - - - FlexFabric 24端口 VC模块端口形态下行口： 16*10GE上行口： 8*10GE（其中 4 个可切换为 8Gb FC口）堆叠口： 2*10GE网络特性支持端口虚拟化为4 个虚端口；支持无状态计算；支持 FCOE ；B6300XLG以太网模块端口形态下行口