梁山县人民医院数据网络技术建议书Word文档下载推荐.docx
- 文档编号:13854548
- 上传时间:2022-10-14
- 格式:DOCX
- 页数:47
- 大小:873.37KB
梁山县人民医院数据网络技术建议书Word文档下载推荐.docx
《梁山县人民医院数据网络技术建议书Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《梁山县人民医院数据网络技术建议书Word文档下载推荐.docx(47页珍藏版)》请在冰豆网上搜索。
1.2网络建设原则
梁山县人民医院综合大楼网络目前主要作为办公系统的承载以及就诊人员访问INTERNET的平台,将来会发展为全院的信息承载平台,因此,梁山县人民医院综合大楼网络是整个医院信息化的基础网络平台。
网络建设遵循以下原则:
内、外网均应具有高带宽、高可靠、高性能、高安全的特性,骨干速率达到千兆同时应该具有向更高速率平滑扩容的能力(可根据需要平滑升级到万兆),网络关键点能够冗余热备保障系统连续稳定运行,使网络能够很好地为整个医院的医院信息化应用提供可靠的网络平台,提高梁山县人民医院的服务质量和经济效益。
●标准性
建立一个开放式,遵循国际标准的网络系统。
对于所有用到的网络协议,以及接口的电气标准,都将完全符合在中国所应用的国际标准,为将来的扩展消除任何不必要的产品障碍。
●技术先进、成熟性
选择先进成熟的设备和技术,保证建设完成的网络在3年内无需大的改动,技术适应性至少保持5年可用。
●可用性和可靠性
保证汇聚以上的网络中单点故障不会使局部网络失去与整个网络的连接,多点故障不会造成整个网络被分成几个互不相连的部分;
核心网络在物理链路中断的情况下,能够自愈保护。
●网络安全性
对用户进行合理的区域划分,实现对网络用户的访问控制;
能有效的抵御病毒的入侵和恶意攻击,确保网络的安全。
●可扩展性
网络系统在体系结构、容量、产品升级、处理能力等方面必须为今后的扩充留有足够的余地,保证满足后续扩容的需求,以及梁山县人民医院综合大楼其他系统的需求。
●可管理性
网络系统具有服务质量的控制机制,通过网管软件管理、监控整个网络系统,并提供标准接口可以连接相关的网络管理平台。
●保护现有投资
在保证网络整体性能的前提下,充分利用现有的网络设备或做必要的升级,用作骨干网外联的接入设备。
2网络建设方案
2.1网络结构规划
梁山县人民医院综合楼网络,内网和外网采用物理分离的方式,内网主要承载医院的核心业务系统,如HIS、PACS等;
外网通过防火墙可以与国际互联网链接。
2.1.1内网设计
内网系统承载着医院的核心业务,因此,在设计时充分考虑了网络结构的稳定性,同时保证适度前瞻性的需求,采用双星型的拓扑结构,以两台S9300系列交换机做核心交换设备,互为冗余热备,通过万兆链路聚合到一起,既提高了两者之间连接的带宽同时又满足了当其中一条链路出问题时,有备份线路。
下联17台S2300交换机及1台S5300交换机作为接入层,接入层与核心层均以2G光纤连接,主备核心设备间以万兆光路互联。
1、降低布设成本
2、可以灵活进行扩容
3、可以在占用较少空间的前提下提供足够的接入端口
4、S9300S2300系列交换机可提供稳定的快速的包交换处理
5、2台S9300系列交换机做核心可提供安全可靠的热备份允余
6、接入层与核心层双链路互联提高了网络整体的稳定性和弹性。
另外,在人民医院综合楼网络和医院现有其他内部网络联接时,必须要考虑到彼此的安全性,既要防止综合楼网络受到来自医院其他内部网络的一些病毒、蠕虫、木马等恶意攻击,也要防止综合楼网络中某些用户终端因为各种各样的原因感染了木马、蠕虫、僵尸等恶意程序后,通过综合楼网络出口向整个人民医院内网迅速大范围的传播。
因此,必须在综合楼网络出口处部署华为USG5000系列统一安全网关并配合华为IDS入侵检测系统,为网络提供极高的安全保障。
再者,综合大楼网络与医院的数据中心之间,因为存在着大量的重要的数据交换,因此也必须进行相应的安全防护措施。
因为华为USG5000系列统一安全网关产品具备虚拟防火墙功能,不同的虚拟防火墙可以设定不同的防护规则,即一台防火墙可以模拟出多台防火墙使用,因此就可以使用华为USG5000系列统一安全网关并配合华为IDS入侵检测系统,同样为综合楼网络与数据中心之间的数据通道提供极高的安全保障。
主要作用:
Ø
实时监控进出综合楼网络中各种数据报文及网络行为,提供及时的报警及响应机制。
其动态的安全响应体系与防火墙等静态的安全体系形成强大的协防体系,大大增强了用户的整体安全防护强度,对来自综合楼外部网络和内部网络的各种攻击进行防范。
可以利用IDS和华为统一安全网关的联动措施,主动更新统一安全网关的规则,主动防御。
通过华为统一安全网关的攻击防范能力,保障综合楼网络的资源安全。
提供高效的日志服务功能,可以满足用户对攻击、流量监控、会话流信息等日志信息进行记录。
统一安全网关可以工作在透明模式、路由模式,可以满足用户的组网灵活性。
统一安全网关支持双机热备组网,提高链路的可靠性。
入侵检测设备NIP1000内置强大的IP分片功能、智能协议解码器、高效的TCP流重组及细粒度的会话分析功能,可以迅速、准确地检测各种攻击行为。
同时NIP具有2000余种入侵特征库,可以检测DoS、扫描、代码攻击、后门等多种入侵攻击。
有效降低漏报和误报。
NIP对检测到的入侵企图或违背已设定的安全策略的活动做出实时响应,并提供多种响应方式。
包括:
●切断与入侵有关的会话。
●通过移动电话发送报警消息。
●通过电子邮件发送报警信息。
●运行用户指定的应用程序。
●在Windows操作系统事件日志中记录报警。
●将与入侵有关的信息保存在数据库中。
●联动防火墙。
当有入侵事件发生时,入侵检测系统向防火墙发送消息,防火墙将动态生成规则,阻断入侵者。
NIP提供根据入侵信息发出入侵警报以及限制网络访问等功能,以保护服务器免受外部和内部的攻击。
NIP通过简单易用的管理界面和入侵检测、入侵阻断、入侵报警、入侵日志等功能,提供最佳的策略来增强Internet商业环境的安全性。
NIP特别适用于需要极高网络安全性的机构,例如:
审计机构、安全顾问机构、安全法律执行机构、大型企业、Internet服务提供商、培训机构以及涉及敏感信息的政府机构等。
NIP采用stealth技术,有效地防止入侵检测系统的暴露,提高入侵检测系统自身的安全性。
组网图如下:
内网网络设计统计资料如下:
相关配置如下:
1.S9306核心交换机2台(主、备),每台设备各配置1块24端口百兆/千兆以太网光接口和2端口万兆以太网光接口板,1块48端口百兆/千兆以太网电接口板,同时配置40个千兆多模光模块(联接各汇聚交换机及防火墙、IDS)和2个千兆单模光模块(联接原有的网络)及2个万兆多模光模块。
2.S2352P-EI交换机17台,做为接入层设备;
每台设备各配置2个千兆光模块(1个主用,1个冗余),用于上联。
3.USG5320统一安全网关2台,各配置4个千兆光口模块,布置于综合楼网络出口,并做双机热备。
4.华为IDS(NIP1000)入侵检测系统一套,4个10/100/1000M探测端口(两光两电),配置2个千兆光口模块。
需要配置一台NIP控制台服务器。
5.华为SecospaceVSM网管系统,需要配置一台网管服务器。
6.服务器:
服务器型号
性能指标
描述
数量
网管服务器(华为RH2285)
支持1/2个Intel®
Xeon®
5500系列双核/四核处理器,最高主频2.93GHz,单颗CPU三级缓存最高支持8MB支持12条DDR3RDIMM/UDIMM内存,最大内存容量达96GB板载2个GE网口,支持TOE最大支持12个2.5/3.5英寸热插拔SAS/SATA硬盘,最高可配置5.4TBSAS硬盘,或12TBSATA硬盘可选配置SR100RAID卡支持RAID0/1/1E可选配置SR200RAID卡,支持256M高速缓存,支持RAID0/1/10/5/6/50/60数据保护技术,可选BBU电池模块提供掉电数据保护。
DMS服务器、采集服务器、报表服务器
1
NIP控制台服务器(华为RH2285)
安装NIP1000控制台软件系统
2.1.2外网设计
根据梁山县人民医院综合大楼网络项目建设的基本原则,网络设计适度前瞻性的要求,网络采用星型的拓扑结构,分层化设计,以一台S9300系列交换机做核心交换设备,下联17台S2300交换机及1台S5300交换机作为接入层,接入层与核心层均以2G光纤连接。
同时,因为外网要直接上联Internet,因此必须在外网出口处进行足够的安全防护,建议选用华为USG5170统一安全网关产品,能够为梁山县人民医院提供理想的全面安全防护,实现不受内部和外部攻击、防止未授权访问并满足法规遵从性要求。
一体化的设计,最大化减少设备运营成本和维护复杂性,提供高性价比方案。
采用华为成熟的安全软件平台,完整继承华为防火墙功能特性。
提供多安全区域划分,满足不同等级安全需求;
提供透明、路由、混合等多种功能模式,适应场景丰富;
提供增强的报文过滤功能,提供多种NAT应用支持,提供强大的攻击防范能力。
同样通过部署入侵检测设备NIP1000可以检测DoS、扫描、代码攻击、后门等多种入侵攻击。
外网网络设计统计资料如下:
7.S9306核心交换机1台,配置1块24端口百兆/千兆以太网光接口板,1快48端口百兆/千兆以太网电接口板,同时配置19个千兆多模光模块(联接各汇聚交换机及防火墙、IDS)。
8.S2352P-EI交换机17台,做为接入层设备;
9.USG5320统一安全网关1台,配置2个千兆光口模块,布置于外网网络核心交换机与路由器之间。
10.USG5150BSR路由器1台,配置至少2个千兆光口,配置1个千兆光模块
11.华为IDS(NIP1000)入侵检测系统一套,4个10/100/1000M探测端口(两光两电)。
需要配置一台NIP控制台服务器(可与内网共用)。
12.华为SecospaceVSM网管系统,需要配置1台网管服务器(可与内网共用)。
拓扑图如下:
整合梁山县人民医院综合楼的内外网系统,整体拓扑图示意如下:
设备配置清单如下:
产品
S9306核心交换机
双主控、双电源,配置1块24
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 梁山县 人民医院 数据 网络技术 建议书