医院建筑智能化系统工程网络规划方案(共38页).doc

《医院建筑智能化系统工程网络规划方案(共38页).doc》由会员分享，可在线阅读，更多相关《医院建筑智能化系统工程网络规划方案(共38页).doc（38页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、精选优质文档-倾情为你奉上广东佛山龙江医院建筑智能化系统工程网络规划建议书二九年六月专心-专注-专业目 录计算机网络系统第一章 需求分析计算机网络系统是智能建筑的神经中枢，龙江医院计算机网络系统要求在综合布线系统的基础上，以网络中心作为核心，以IP和Intranet技术为技术主体，在龙江医院构建高宽带的、可冗余的、可路由的、IP交换的、可备份的、安全可靠的计算机宽带网络，保证医院内各种基于网络平台的应用系统的正常运行以及高速访问互联网、保证与社保中心的可靠连接。为了完全保证网络的安全，医院网络将分设为三个相对独立的网络，一个是外网可以和外部进行联系上INTERNET；一个是内网只供医院内部使用

2、，不连互联网；一个则是专门的OA办公系统。 根据这些需求，在设计和确定网络的总体性能及拓扑结构时，既要考虑网络建设的基本理论和原则，又要考虑医院的实际情况、应用需求、资金条件和近、远期目标，使得所实现的网络，既能高效、经济、满足用户近期的应用需求，又能满足网络未来扩展的需要。第二章 设计原则2.1 先进性、成熟性和可扩展性设计立足先进技术，相对成熟可靠，符合网络发展的方向。使整个系统能够最大限度地适应以后技术和业务发展变化的需要，并具有扩展能力，以适应未来网络技术的发展。高性能承载网络性能是人民医院整个办公系统良好运行的基础，设计中必须保障网络及设备的高吞吐能力，保证各种信息（数据、语音、图像

3、）的高质量传输，力争实现透明网络，网络不能成为医院实施业务的瓶颈。2.2 可靠性和稳定性网络的稳定可靠是应用系统正常运行的关键，设计上严格注意如何保证网络系统的可靠性和运行的稳定性，其中包括： 1）网络结构的可靠性和稳定性 在网络拓扑结构的设计上，力求简洁，充分考虑冗余、容错和备份能力，同时合理设计网络架构，制订可靠的网络备份策略，保证网络具有故障自愈的能力，最大限度地支持系统的可靠运行，符合网络发展的方向。 2）网络设备的可靠性选用的网络设备保证在网络设计中选用高可靠性的网络产品设备，尽量避免单点失效。2.3 可管理性在整个网络中，联入网络的网络设备、终端设备多、分布广、网络运行情况复杂，网

4、络设备应具有很好的可管理性，以便于管理和维护。利用先进的网络管理软件，可以通过网管工作站监测整个网络的运行状况、迅速确定网络故障位置、合理分配网络资源、动态配置网络负载等。2.4 安全性作为INTRANET/INTERNET网络，网上存在大量和重要信息，整个网络设计、网络设备选择、网络平台及应用软件设计将安全放在首位，确保网络安全和信息安全。做到业务数据的安全传递和网络设备不受黑客攻击。2.5 开放性和互联性在网络设计过程考虑到与其它系统或网络的互联，因此，网络系统支持多协议、兼容各种拓扑结构、互连性好，能够和医院现有的及未来的网络系统互联。第三章 内网方案设计3.1 设计要点1）99.999

5、%的可靠和可用，保护投资；2）树型结构；3）层次分明：核心层/接入层；4）能防网络病毒，能保护服务器，能防黑客；5）核心交换机必须为多业务平台，以保护投资；6）高速无线网络无盲区全覆盖；3.2 设计思想在整体拓扑结构设计中，考虑扩展冗余特性，通过物理上环形结构但在逻辑上程树型的拓扑结构，最大程度保证网络的健壮和自愈特性。从性能及未来扩展性来考虑，全网采用千兆骨干、百兆到桌面的组网方案。我们本次内网网络采用全星型的网络拓扑，结构上采用接入层直接到核心层的二层折叠组网方式，使网络更加的高效简洁。网络中心的核心交换机组组是整个网络的交换中心，同时也是整网（LAN）的路由中心，全网的第三层、第四层操作

6、都通过该核心组集中进行，其有效性通过核心交换机全线速的多层处理性能以及骨干网的高带宽来实现保证。两台核心交换机互为冗余热备、负载分担。对于内部局域网络，部署核心交换机H3C S7510E，提供768Gbps交换容量、488Mpps转发能力；支持各种高密度业务板，整机可支持高达480个千兆端口，满足核心层设备大容量、高端口密度的要求。H3C S7510E核心交换机基于开放的OAA架构，可以集成IPS模块、应用控制模块、应用加速模块、异常流量监测模块、异常流量清洗模块、负载均衡模块等等功能模块，为以后网络的升级改造预留的广阔的空间。安全方面，此次方案选择了高端千兆防火墙H3C SecPath F1

7、000-C，提供了对千兆网络的支持，并具有两个扩展插槽，最高可支持到12个千兆端口。该防火墙也是基于开放的OAA架构，能够支持防病毒模块、网络流量监控模块等功能模块。无线接入方面，此次方案选择了H3C WA2220-AG-Fit双频双模瘦AP产品，无线管理方面则采用了H3C WX5004无线控制器。瘦AP加无线控制器的组网方式，完美的提供了漫游服务、射频管理、安全检测等功能，能为医院无线查房系统提供强有力的后台保障。H3C WA2220-AG-Fit具有良好广泛的兼容性，能同时对IEEE802.11a、802.11b、802.11g这三种无线规格提供接入服务。H3C WX5004无线控制器是华

8、三公司自主研发的高可靠性无线控制器。具有4个千兆光口，最多能管理到256个AP，可以对4000个无线用户进行控制管理，可以满足未来大型无线网络的部署需求。接入层中，选择了H3C S3100-26TP-EI增强型百兆接入千兆上行二层交换机。最大支持16台设备堆叠。交换机进行环形堆叠后千兆光纤上联到汇聚交换机。此外，支持ARP入侵检测功能，有效防止日益盛行的“ARP欺骗攻击”；支持EAD（端点准入防御）功能，在后台系统的配合下，能提高医院网络整体防御能力；具有VCT电缆检测功能，便于快速定位网络故障点；并支持DLDP单向链路检测协议，可以有效的防止网络中单通故障的发生，大幅提高网络维护效率，切实将

9、设备的易用性带给用户。3.3 有线无线一体化设计作为有线网络的有益补充，无线网络可以解决空间覆盖的问题，同时也能解决信息实时收集的问题，面对将来医院网络趋于实时化、数字化的发展方向，WLAN技术的移动性、灵活性和高效性不仅解决了网络覆盖问题，而且可使医护人员能实时获取患者信息或者搜索决策支持信息，这种系统使医护人员可以更加准确、快速和高效的制定决策和采取相应的措施。FIT AP解决方案无缝与有线网络结合，针对医院的空间进行了全面无线信号覆盖，专业的无线安全认证确保医院信息不外泄，自动三层漫游功能使业务不中断，POE供电技术使无线网络布线变得简单，目前已经实现了电子病例，无线查房等应用，后续护士

10、呼叫系统、患者床边服务、对重要的统计数据的监控等无线网络的应用也可平缓上线。一体化的安全管理全面提高用户满意度：1）有线、无线统一网管2）无线控制器（AC）通过网管软件进行管理3）支持无线业务告警管理系统，专家系统让网络管理变得更容易4）有线、无线统一认证，统一安全策略。3.4 Qos设计在多种业务并存并且可能存在资源瓶颈的地方，都应该考虑相应的QOS保证机制，确保时间敏感的、关键的业务报文能够被及时、正确、有效的转发。在本解决方案中，所有设备都可以支持相应的QOS/COS策略，核心多层交换机支持完善的Diff-Serv/QoS功能。支持流量监管，粒度可精细化到64Kbps；支持流量整形，可基

11、于端口或队列灵活设置；支持报文DSCP优先级、IP优先级、TOS优先级、COS优先级以及Exp优先级的重置功能；支持报文重定向功能，可根据网络流量状况灵活配置报文的转发路径；支持SP、WRR、SP+WRR等多种模式的队列调度机制；支持Tail-Drop、WRED等拥塞避免机制；支持端口镜像、流镜像、流量统计等功能。通过所选用的各层交换机丰富的QoS策略，真正做到业务区分并保证带宽/时延/抖动在限定的范围之内，使网络可以为用户提供具有不同服务质量等级的服务保证，使真正成为同时承载数据、图像、语音和视频业务的综合网络。3.5 内网网络拓朴结构第四章 外网方案设计4.1 设计要点1）99.999%的

12、可靠和可用，保护投资；2）树结构；3）层次分明：核心层/接入层；4）核心用交换式路由，边缘用路由式交换；5）能防网络病毒，能保护服务器，能防黑客；6）核心交换机必须为多业务平台，以保护投资；4.2 设计思想在外网整体拓扑结构设计中，从网络的整体性能和扩展性考虑，外网同内网采用相同的网络结构，即通过树型的拓扑结构，千兆骨干、百兆到桌面的组网方案。网络中心的核心交换机组是整个网络的交换中心，同时也是整网（LAN）的路由中心，全网的第三层、第四层操作都通过该核心组集中进行，此次外网设计计划部署S7503作为外网核心机组，提供384Gbps交换容量、198Mpps转发能力，其有效性通过核心交换机全线速

13、的多层处理性能以及骨干网的高带宽来实现保证。接入层中，选择了H3C S3100-26TP-EI增强型百兆接入千兆上行二层交换机。最大支持16台设备堆叠。交换机进行环形堆叠后千兆光纤上联到汇聚交换机。此外，支持ARP入侵检测功能，有效防止日益盛行的“ARP欺骗攻击”；支持EAD（端点准入防御）功能，在后台系统的配合下，能提高医院网络整体防御能力；具有VCT电缆检测功能，便于快速定位网络故障点；并支持DLDP单向链路检测协议，可以有效的防止网络中单通故障的发生，大幅提高网络维护效率，切实将设备的易用性带给用户。安全方面，选择了高端千兆防火墙H3C SecPath F1000-C，提供了对千兆网络的

14、支持，并具有两个扩展插槽，最高可支持到12个千兆端口。该防火墙也是基于开放的OAA架构，能够支持防病毒模块、网络流量监控模块等功能模块。在网络出口方面，配置了一台多业务高性能路由器H3C MSR 20-21。MSR具有丰富的扩展接口，能够在网络应用不断丰富的形势下将多元业务方便的部署于同一节点，在最大程度避免网络中多设备繁杂异构问题的同时，极大降低了企业网络建设的初期投资与长期运维成本。4.3 外网网络拓朴结构第五章 OA网方案设计5.1 设计要点1）99.999%的可靠和可用，保护投资；2）树结构；3）层次分明：核心层/接入层；4）核心用交换式路由，边缘用路由式交换；5）能防网络病毒，能保护

15、服务器，能防黑客；5.2 设计思想在OA网整体拓扑结构设计中，从网络的整体性能和扩展性考虑，OA网同内网、外网采用相同的网络结构，即通过树型的拓扑结构，千兆骨干、百兆到桌面的组网方案。此次OA网计划在核心层部署H3C S5600-26C作为OA网核心机，提供了192Gbps的交换容量和66Mpps的包转发率。并具有丰富的接口模块，为未来网络的扩展预留了空间。接入层中，选择了H3C S3100-26TP-EI增强型百兆接入千兆上行二层交换机。最大支持16台设备堆叠。交换机进行环形堆叠后千兆光纤上联到汇聚交换机。此外，支持ARP入侵检测功能，有效防止日益盛行的“ARP欺骗攻击”；支持EAD（端点准

16、入防御）功能，在后台系统的配合下，能提高医院网络整体防御能力；具有VCT电缆检测功能，便于快速定位网络故障点；并支持DLDP单向链路检测协议，可以有效的防止网络中单通故障的发生，大幅提高网络维护效率，切实将设备的易用性带给用户。安全方面，选择了百兆防火墙H3C SecPath F100-A，能提供多种智能分析和管理手段，支持邮件告警，支持多种日志，并具有网络管理监控功能，简化了网络管理人员的工作。5.3 OA网络拓朴结构第六章 无线查房解决方案设计6.1 无线网络应用需求随着信息技术的快速发展，国内越来越多的医院正加速实施基于信息化平台、HIS系统的整体建设，以提高医院的服务水平与核心竞争力。

17、信息化不仅提升了医生的工作效率，使医生有更多的时间为患者服务，更提高了患者满意度和信任度，无形之 中树立起了医院的科技形象。因此，医疗业务应用与基础网络平台的逐步融合正成为国内医院，尤其是大中型医院信息化发展的新方向。众所周知，查房是住院部医生每天的例行工作。在传统工作模式下，医生或护士需要随身携带一大堆病历本，并以手写方式记录医嘱信息。这样既不利于查房效率的提高，也容易因录入和识别而产生误差。因此，有些医院开始在病房里部署医疗网络，减少手工操作。在有线网络模式下，医生将工作站插到病房里的网络接口上，就可以完成例行检查。这比传统查房方便了许多，但多次插拔很容易造成设备损坏，加大不必要的开支。而

18、采用无线局域网的方式覆盖各病房无需考虑人数，无需插拔接口，只要估算接入带宽即可，而且还能为用户提供在覆盖区内任何角落接入网络的优势。事实上，无线查房，就是把数字化推到病人床前。医生或护士只需轻轻点击随身携带的平板电脑或PDA， 就可随时调阅病人的病历、医嘱和各种检查、化验以及护理等信息，并可以准确地在床边下医嘱，记录病情变化，及时将相关信息，传输至科室和医院的管理终端。 无线查房系统的使用将最大程度的提升医生查房的工作效率，减少患者等待时间，提升患者满意度。可以说，无线查房系统是医院HIS 系统的一项革命性应用。具体体现包括：l 电子病历访问/查看 l 医生处方输入和药物治疗匹配 l 护士呼叫

19、系统 l 患者床边服务 l 对重要的统计数据的监控同时，本次龙江医院无线工程还将满足以下业务需求：l 针对医院的空间要进行全面覆盖；l 无线网络通过安全认证，保证医院信息不能通过无线网络外泄露；l 用户在无线区域内移动时，不需要多次重复认证，实现自动漫游，即业务不中断6.2 WLAN建网原则结合WLAN的实际应用和发展要求，无线局域网(WLAN)网络系统设计，主要遵循以下系统总体原则：l 实用性原则：以现行需求为基础，充分考虑发展的需要来确定系统规模。l 安全性原则：WLAN是一个空间开放网络，同时作对信息的安全以及网络的安全要求较高。l 可靠性原则：系统设计能有效的避免单点失败，在设备的选择

20、和关键设备的互联时，应提供充分的冗余备份，一方面最大限度地减少故障的可能性，另一方面要保证网络能在最短时间内修复。l 规范性原则：系统设计所采用的技术和设备应符合WLAN国际标准、国家标准和联通WLAN企业标准，为系统的扩展升级、与其他系统的互联提供良好的基础。l 开放性和标准化原则：在设计时，要求提供开放性好、标准化程度高的技术方案；设备的各种接口满足开放和标准化原则。l 可扩充和扩展化原则：所有系统设备不但满足当前需要，并在扩充模块后满足可预见将来需求，如带宽和设备的扩展，应用的扩展和办公地点的扩展等。保证建设完成后的系统在向新的技术升级时，能保护现有的投资。l 可管理性原则：整个系统的设

21、备应易于管理，易于维护，操作简单，易学，易用，便于进行系统配置，在设备、安全性、数据流量、性能等方面得到很好的监视和控制，并可以进行远程管理和故障诊断。6.3 无线组网方案随着无线网络技术的发展，建设一个安全可靠、易于管理和扩展的无线查房系统需要考虑哪些方面呢？作为业内优秀的网络供应商，H3C通过多年建网经验的积累和对医疗行业的深入了解，推出了一套符合医院需求的无线查房系统建设方案。6.3.1 无线技术选择选择医院无线查房系统，首先需要确定技术标准。目前主要的无线标准有IEEE 802.11、HomeRF和蓝牙等。就纯粹的无线局域网技术而言，最成熟的是IEEE 802.11标准，包括已经批准的

22、IEEE802.11a、b和g规范以及等待批准的802.11n规范。相比较下，802.11g标准是不错的选择，目 前市场上的大部分无线接入点AP、医用PDA、平板电脑等都遵循802.11g标准。表1、三种基本IEEE802.11标准的对比 标准 802.11b 802.11a 802.11g 波段 2.4GHz 5.8GHz 2.4GHz 调制方式 DSSS OFDM OFDM 最大覆盖范围 250m 125m 250m 最大传输速率 11 Mbps54 Mbps 54 Mbps 实际最大数据流量 6Mbps27-30Mbps27-30Mbps最大无交叠信道数 312 3 其他问题 网络拥有最

23、大的已安装量 在有些地区需要802.11扩展（如EMEA） 向前兼容802.11b 应用场景 不需要高带宽的应用。 需要更大的覆盖范围。 价格是主要考虑因素。 需要例如语音和视频等高带宽的应用。 拥有少量紧密集中的用户。 运行既需要高带宽同时又需要大覆盖区域； 需要向下兼容802.11b设备。6.3.2 系统架构选择目前，无线查房系统有两种典型的解决方案：FAT AP解决方案和FIT AP解决方案。简单来讲，如果仅仅作无线数据接入、只需要二层漫游，对安全性、管理性各方面没有复杂要求的话，FAT AP方案（也称胖AP解决方案）就可以胜任；如果需要高安全性、管理性及三层漫游切换、需要承载无线语音，

24、且网络规模较大，那么只有选择FIT AP方案（也称瘦AP解决方案）才可以。表2、FAT AP 和FIT AP 的对比 方案 FAT AP方案 FIT AP方案 技术模式 传统主流 新生方式，增强型管理 安全性 传统加密、认证方式，普通安全性 增加射频环境监控，基于用户位置安全策略，高安全性 网络管理 对每AP下发配置文件 无线交换机上配置好文件，AP本身零配置 用户管理 类似有线，根据AP接入的有线端口区分权限 无线专门虚拟专用组方式，根据用户名区分权限 WLAN组网规模 二层漫游，适合小规模组网，成本较低 二层、三层漫游，拓扑无关性，适合大规模组网，成本较高 增值业务能力 仅实现简单数据接入

25、 可扩展语音等丰富业务 典型的FIT AP无线查房系统由三个部分组成：无线平板电脑/PDA、AP、无线交换机及用户认证系统。医生用无线平板电脑或护士无线PDA，经过AP无线接入点接入医院网络系统，必须要通过无线认证系统的安全认证和授权，才能够访问病人的电子病历。6.3.3 部署方案部署位置：考虑到楼宇的整体美观以及设计和部署上的简便，实际覆盖时可以采用WLAN室内覆盖，采用外置吸顶天线，将AP隐藏到天花板后面，实现对病房、护士工作站、病区楼道无线网络信号覆盖的效果。运行环境：选择AP时需要考虑其工作环境温度和湿度能否在本医院的各部署位置正常运行。POE供电：对AP的供电采用POE（以太网线供电

26、）方式由上层网络设备完成（支持POE的以太网交换机，如H3C的S3900-PWR等），无需本地供电，简化设备供电上的安装难题。信号强度：一般情况下，88dBm以上可保证较高数据传输速率，当信号小于96dBm时则不能保证用户的接入需求。最佳信道选择：AP接入点应该能够扫描可用信道并自动选择最合适信道，这种特性能够将同信道干扰降到最低。快速漫游：医生/护士移动终端是在各病房之间移动的，会通过不同的AP接入网络，这需要医生/护士用户信息和授权在WLAN移动域内快速交互。当用户漫游网络时，用户位置、安全性以及访问详细信息迅速地在交换机或控制器之间传输，在保持无缝安全性和会话完整性的情况下快速漫游，而无

27、需再次认证。当用户漫游时这些组共享用户信息和授权，从而跨越整个无线网络支持移动性并增强安全性。6.3.4 健全的安全体制医院的HIS、PACS 系统保存了大量的病人私人信息，必须防止无关人员通过无线查房系统，杜绝非法的访问甚至破坏。H3C建议在适当的位置采用合适的机制，用以消除医院用户对此的顾虑。WPA标准：早期的无线网络系统的安全机制WEP，没有用户认证机制，存在的风险很大。为了增强用户认证机制，医院开始采用WPA标准对终端用户进行身份 认证。现在的无线PDA一般都支持WPA安全机制，接入无线查房系统前需要通过802.1x的用户认证，传送数据时无线PDA和AP之间采用TKIP进行 数据加密。

28、 安全机制 WLAN安全技术加密和数据私有性 加密算法 WPA TKIP、WPA2 AES（128位）消息一致性 TKIP-MIC、AES-CBC-MAC安全认证、授权和访问控制 认证框架 802.1x、EAP认证算法 LEAP、PEAP、EAP-FASTAP零配置：AP支持零配置安装，可以降低安装维护成本，且AP本身不保存任何安全信息，失窃后对整网安全不构成威胁。非法AP 监测和隔离：由于Wi-Fi产品都很容易安装，很可能会有一些不为医院IT部门所知的非法用户接入，这些没有正确配置和管理的用户将会对医院的网络系统构 成很大的安全威胁。定期的物理检测当然是必要的，最好是网络管理工具可以自动定期

29、扫描非法AP的接入，并对其进行隔离。漫游的安全性：医生或护士查房时需要手持PDA终端在各病房之间走动，PDA可能通过不同厂家的AP接入电子病历系统，需要在AP间无缝移动。因此，漫游的安全性的问题也被推到台前，H3C认为，这一问题可以基于接入点间协议（IAPP）来解决。IAPP的目标是，当AP执行分布式系统任务时，便于不同供应商之间的AP无缝漫游。IAPP处理网络中AP的注册以及当用户在不同供应商的AP的覆盖区域漫游时所需的信息交换，有助于AP间的快速切换。6.3.5 简单易行的集中管理工作H3C无线查房系统的管理包括AP管理、用户管理、安全管理等。通过无线交换机进行AP的管理，通过RADIUS

30、系统来进行用户管理、安全认证和授权。全自动设备管理：对于一个无线查房系统网络规模较大的医院而言，集中管理无线查房系统就变得日益重要，它使网管人员具有通过网络发现、管理、升级接入点的能力。网络管理员通过管理工具发现无线设备的接入、配置参数、诊断程序的运行、监测性能、查看设备特性以及配置设备。用户管理：推荐通过设置用户名和密码来控制接入用户来进行配置，以保护每个网络基础接入点。为了减轻网络管理工作，类似“保存并加载工具”这样的功能十分有用，它可以使你批量配置设备。安全管理：集中式管理的方法也允许高级的功能性管理和带宽管理。IT部门可以通过域和对不同用户组授予相应的权限来组织WLAN。对于大一些的网

31、络，这种 功能可以集中管理自动完成，这样当一个无线用户通过802.1x和RADIUS认证后，无线接入交换机将自动给该用户分配合适的VLAN。违反安全规则的行为可以通过AP接入点的安全违反标志或是管理控制台的错误信息被发现。当然，未授权接入点也能被捕捉到，它们将会被删除或是进行合适的配置。统一管理：医院的目标应该是将无线查房系统的网络管理与整个有线网络的网管系统结合起来。支持SNMP管理协议对于AP和无线交换机的安全管理非常关键，一些供应商已经实现了该目标。不想实现集中化管理的医院可以考虑使用基于Web的Wi-Fi设备的管理能力。这也可以进行升级、重配置以及通过标准网页浏览器进行简单的性能检测。

32、第七章 安全设计7.1 安全系统概述随着网络技术的普及，网络攻击行为出现得越来越频繁。通过各种攻击软件，只要具有一般计算机常识的初学者也能完成对网络的攻击。各种网络病毒的泛滥，也加剧了网络被攻击的危险。目前，Internet网络上常见的安全威胁分为以下几类：非法使用：资源被未授权的用户（也可以称为非法用户）或以未授权方式（非法权限）使用。例如，攻击者通过猜测帐号和密码的组合，从而进入计算机系统以非法使用资源。拒绝服务：服务器拒绝合法用户正常访问信息或资源的请求。例如，攻击者短时间内使用大量数据包或畸形报文向服务器不断发起连接或请求回应，致使服务器负荷过重而不能处理合法任务。信息盗窃：攻击者并不

33、直接入侵目标系统，而是通过窃听网络来获取重要数据或信息。数据篡改：攻击者对系统数据或消息流进行有选择的修改、删除、延误、重排序及插入虚假消息等操作，而使数据的一致性被破坏。目前网络中主要使用防火墙来保证内部网路的安全。防火墙类似于建筑大厦中用于防止火灾蔓延的隔断墙，Internet防火墙是一个或一组实施访问控制策略的系统，它监控可信任网络（相当于内部网络）和不可信任网络（相当于外部网络）之间的访问通道，以防止外部网络的危险蔓延到内部网络上。防火墙作用于被保护区域的入口处，基于访问控制策略提供安全防护。例如：当防火墙位于内部网络和外部网络的连接处时，可以保护组织内的网络和数据免遭来自外部网络的非

34、法访问（未授权或未验证的访问）或恶意攻击；当防火墙位于组织内部相对开放的网段或比较敏感的网段（如保存敏感或专有数据的网络部分）的连接处时，可以根据需要过滤对敏感数据的访问（即使该访问是来自组织内部）。防火墙技术经历了包过滤防火墙、代理防火墙、状态防火墙的技术演变，随着各种基于不安全应用的攻击增多、网络蠕虫病毒的泛滥以及各种P2P软件的使用，网络资源受到严重威胁，防火墙不但需要防护传统的基于网络层的协议攻击，而且需要处理更加高层的应用数据，对应用层的攻击进行防护。对于互联网上的各种蠕虫病毒，必须能够判断出网络蠕虫病毒的特征，把网络蠕虫病毒造成的攻击阻挡在安全网络之外。对各种P2P应用采取限流的控

35、制措施，有效保护网络带宽。从而对内部安全网络形成立体、全面的防护。7.2 安全性建议安全系统项目实施应遵循英国标准BS 7799或国际标准ISO 17799，实施程序可参考“信息安全生命周期模型”，项目的实施应是一个不断发展与不断完善的过程。下图是“信息安全生命周期模型”。“信息安全生命周期模型”说明： 安全策略、标准、过程、度量的制定这些要素为公司机构的信息安全方案提供了框架和衡量标准。 对信息系统中的主机系统及网络系统实施风险评估风险评估是建立和维护有效企业安全管理的起点。这一评估使公司能够识别信息系统和软件种类，根据关键性和敏感性将这些系统排序，评估威胁，识别可以控制的易攻击点。 为信息

36、系统设计安全计划蓝图制定安全计划蓝图时可以参考风险评估的结果。一份良好的计划蓝图可以帮助公司机构决定预算、资源、设备供应商、产品选择和实施策略的优先顺序，为实施安全提供结构化的解决之道。 选择安全解决方案和产品，对安全系统进行实施结构合理的解决方案选择和实施方案可以减少购置的产品变成“架子上的装饰物”的可能性并确保选购恰当的产品、服务和培训，以实现企业的安全计划和目标。 开展安全培训安全意识和技术培训极大地提高了成功的可能性。它们可以提供实施和维护安全计算环境所必须的知识。 对信息系统的安全状况进行控制保证信息安全方案的有效性。监控检测公司机构主机或网络环境中的异常或入侵情况。 及时响应各种安

37、全事件，并在系统遭受破坏后能够迅速的实施系统恢复有效的事件响应和恢复方案保证公司机构有效地对事件进行监测、响应、控制并恢复。在网络出口中，防火墙不但要具有的防御功能，同时还做NAT、VPN等工作，保证内网用户上网和外网的内部用户访问网络的需求，其负载和可靠性都是要求很高的。H3C SecPatch 防火墙产品系列齐全，覆盖10M-40G性能需求，功能扩展能力强，具有SSL VPN、流量监控、防病毒等功能，全球10万多台成熟应用案例，在国内，被广泛应用于70%的中央部委、8个金字号工程国干网、中石油10000个点、平安保险4000个点。第八章 网络管理医院IT环境由IT基础资源、IT业务以及IT

38、使用者(人)三大要素构成。市场上常见的网络管理、用户管理软件各自发展已经较为完善，但网络管理软件仅关注于网络设备资源的管理，不能涵盖网络用户资源的管理；而用户管理及接入控制软件往往缺乏与网络资源管理、业务管理的融合，导致管理手段单一、管理力度不足、管理操作复杂。医院迫切需要一种管理系统，使得用户、网络、业务统一管理、互相协同、操作简便、满足多种接入场景所需。iMC智能管理中心平台所提供的功能就可满足上述管理需求。iMC智能管理平台， 是在统一了设备资源和用户资源管理的平台框架的基础上，实现的基础业务管理平台，包括iMC基础网络管理和iMC基本接入管理。iMC基础网络管理，涵盖了传统网管的主要功

39、能，包括告警管理、性能管理、拓扑管理等。iMC基本接入管理，主要管理用户的接入准入和控制。iMC智能管理平台和ACL、Qos、VLAN等网络资源管理一起构成了承载其他业务的基础平台。8.1 管理功能介绍8.1.1 拓扑管理传统的网络管理软件大多支持自动发现网络拓扑的功能，但是自动发现后的网络拓扑往往是很多设备图标的简单排放，不能突出重点设备和网络层次，使网络管理人员感觉无从下手。针对这种情况，iMC的拓扑功能支持灵活的自定义功能，网络管理人员可以根据网络的实际组网情况和设备重要性的不同灵活定制网络拓扑，使网络拓扑能够清晰地呈现整个企业的网络结构以及IT资源分布。iMC支持灵活定制拓扑图，使网络

40、拓扑更有重点和层次感。管理员可以按照关注设备不同，管理角度不同定义多种拓扑，并可以针对拓扑不同选择不同的背景图；管理员可以根据网络设备的重要性不同，链路速率不同采用合适的图标显示。例如：对于公安专网，用户可以定制网络分布图、办公楼内网络分布图、宿舍楼内网络分布图等等；可以对网络中比较重要的设备选择较大的图标，对次要的设备选择较小图标，并对不同速率链路采用不同宽度表示。iMC的拓扑功能和性能管理以及告警管理等功能紧密结合，使拓扑图能够清晰地看到企业IT资源的状态，包括运行是否正常、网络带宽、接口连通、配置变化都能一目了然。iMC拓扑提供对设备管理的便捷入口，管理员只需点击拓扑图中的设备图标即可启

41、动设备管理功能，实现对设备的面板管理和功能配置。8.1.2 告警管理iMC实现对网管系统的告警进行统一管理。提供实时告警显示，可对实时告警信息以及历史告警数据进行过滤。告警分等级，例如：告警等级可分为严重、重要、次要、告警。同时支持告警定位、告警级别重定义等功能。支持实时告警显示，使管理者能够及时地发现设备故障，定位问题所在。支持根据告警源地址、告警严重等级、告警时间、告警描述对告警信息进行过滤。使用户能够及时查看自己关心的告警。支持告警分等级，例如：告警等级可分为严重、重要、次要、告警；并支持支持告警级别客户化，用户可以根据自己的需要重新定义告警级别，增加了管理的灵活性。支持告警定位，发现告

42、警后可以立即定位到设备，加快告警定位速度。支持告警声光提示、转Email、转短信等功能，使网络管理人员可以7*247地了解网络运行状况。iMC对各种故障警均提供“修复建议”，管理员可以参考修复建议对故障进行处理；另外iMC提供维护经验固化功能，管理员可以将自己处理故障的心得写入到“维护经验”中，方便下次出现同样问题时进行维护。支持历史告警分析，使设备问题在恶化前能够及时发现。8.1.3 性能管理iMC网管系统提供丰富的性能管理功能，同时以直观的方式显示给用户。例如：可以提供折线图、方图、饼图等多种显示方式并能生成相应的报表。通过性能任务的配置，可自动获得网络的各种当前性能数据，并支持设置性能的

43、门限，当性能超过门限时，网络以告警的方式通知网管系统支持At a Glace、TopN功能，用户能够对CPU利用率、流量等关键指标一目了然；提供丢包率、错误报数、带宽利用率等常用指标提供缺省采集模板；支持实时性能监视，为故障定位提供手段；提供基于历史数据的分析，为用户扩容网络、及早发现网络隐患提供保障；支持阈值设置功能，当链路或端口的流量超过阈值，系统将会发送性能告警，使网络管理人员可以能够及时了解网络中的隐患，及时消除隐患。8.1.4 服务器资源监视网络环境中，除了LSW、Router这些关键设备，服务器健康与否直接关系到用户是否顺利开展业务。所以对服务器的关键数据监视十分重要，iMC支持监

44、视服务器的以下特性：1）支持对CPU、内存资源消耗的监视；2）支持对硬盘使用情况的监视；3）支持运行进程的资源监视；4）支持对服务的资源监视；8.2 网络管理内容8.2.1 设备管理n 交换机管理部分主要提供以下功能：1） 提供完整的设备视图，直观地了解设备各端口的运行状况；2） 通过对视图上设备整体、目标面板、接口的点击，并进行相应的功能选择，可以浏览设备的信息和状态，实现对设备的管理。3） 提供浏览、监视设备整体、设备接口配置信息、运行状态的能力等多种功能。n 提供对设备的各类日志的查看、分析、管理，包括日志收集状态查询、日志查询、级别报表、标准报表、非期望报表、非法报表等。接收设备侧发来

45、的Trap报文，然后进行分析、过滤、选取，将分类后的数据保存到指定目录下的Trap文件中。n RMON管理：统计组的配置及实时监视，历史组、告警组、事件组、扩展告警组的配置及数据浏览，事件组对应的日志数据的浏览。8.2.2 配置管理配置管理提供的功能主要有：l 创建网络、设备节点以及设备节点之间的连接；l 查看交换机设备的属性；l 查看以太网交换机及其它设备的属性；l 创建和配置设备节点的防火墙功能；l 创建设备之间的VPN连接及查看、修改相关属性。8.2.3 故障管理l 支持宽窄带设备的故障管理。l 收集所管理设备的告警，并对通过UDP方式上报的告警进行校验，可确保告警数据不丢失。l 支持告

46、警相关性分析，可从众多的告警中找出告警的根源，支持多设备间的相关性分析。l 用户可以自己定制告警相关性规则，并根据这些规则对所收到的告警进行相应的处理，包括屏蔽等。网络建设初期屏蔽某些告警可以减少告警风暴，让用户能专心关注告警的根源。l 通过告警板对网络中的告警提供了实时监控功能。l 告警实时显示窗口实时显示新上报的告警、事件，也支持告警过滤，使用户可以实时的了解设备的运行状况。l 支持告警声音提示，网管收到新告警时，通过音箱提醒用户有新告警到达，通过不同级别的告警使用不同的声音文件，提示用户新告警的级别。l 支持告警远程通知。告警远程通知提供对不在现场的用户进行通知的手段。支持告警送告警箱、告警转转E_mail等。l 支持告警拓扑定位。用户选中一条告警，通过该功能可以将显示的焦点定位到产生该告警的拓扑对象。l 提供告警查询，为用户深入分析告警的原因提供了便利的手段，详细告警查询给出了告警的根源和故障排除的处理方法。告警查询包括当前告警查询和历史告警查询，用户可以自己设置告警查询条件进行查询，查询的结果可以保存成TXT、HTML文件，并输出打印。l 能按照用户所设置的统计条件对告警信息进行统计。l 提供告警知识库。告警知识是用户在维护过程中的经验总结，将这些经验输入系统，下次再出现同样的故障时，可以作为参考。用户选中一条告警记录，系统根据用户选