【文章內容簡介】 和管理的各個層面的安全需求，并進行了整體安全的設計。設備方面，采用的各個層次的設備都支持了對自身負責層面的安全功能，從接入層、匯聚層到核心層，都進行了安全方面的考慮和設計；如接入層面提供的VLAN、。防ARP功能、ACL功能提供對ARP病毒和常見的蠕蟲、沖擊波等病毒的防范。數據層面，對數據在各個系統(tǒng)層面的傳輸都考慮的安全方面的設計。管理層面，提供SSHv1/v2的加密登陸和管理功能，在遠程登錄設備的時候發(fā)送的數據都是經過機密的，避免管理信息明文傳輸引發(fā)的潛在威脅；Telnet/Web登錄的源IP限制功能，限制只有合法IP的終端才能登陸管理設備，避免非法人員對網絡設備的管理；SNMPV3提供加密和鑒別功能，可以確保數據從合法的數據源發(fā)出，確保數據在傳輸過程中不被篡改，并且加密報文，確保數據的機密性。 網間隔離網絡隔離技術是指兩個或兩個以上的計算機或網絡在斷開連接的基礎上，實現信息交換和資源共享，也就是說，通過網絡隔離技術既可以使兩個網絡實現物理上的隔離，又能在安全的網絡環(huán)境下進行數據交換。網絡隔離技術的主要目標是將有害的網絡安全威脅隔離開，以保障數據信息在可信網絡內在進行安全交互。目前，一般的網絡隔離技術都是以訪問控制思想為策略，物理隔離為基3 拓撲圖及方案整體描述礎，并定義相關約束和規(guī)則來保障網絡的安全強度。目前，網絡隔離技術主要經歷了如下幾個階段：其一，完全隔離，該方法是對網絡采用完全的物理隔離，但同時也大大增加了網絡數據交互、資源共享、維護運營的成本；其二，硬件隔離，該方法通過在網絡客戶端添加硬件卡，并利用該卡來控制客戶端來選擇不同的網絡接口，連接到不同的網絡；其三，數據隔離，該方法的基本策略是利用轉播系統(tǒng)分時復制文件的途徑，但也存在訪問速度緩慢等問題；其四，安全通道隔離，該方法是通過利用專用硬件、安全協議等方式來實現內外部網絡的隔離，而且具有較高的數據交換、資源共享效率，并是未來網絡隔離技術的重要發(fā)展趨勢。我們所用的是雙網隔離方案。這種方案適合大、中型機構的局域網布局。在這樣的機構中，原有的網絡布局，按國家保密局物理隔離要求，必須分杵獨立的內部安全網和外部公共網，內外網之間完全隔離。公共網通過網關和路由器連接INTERNET（視需要也要考慮安裝防火墻、入侵檢測及防病毒等安全防護措施），而部分計算機則需要連接兩個網絡工作，這些連接了內外雙網的工作站計算機需要安裝網絡安全隔離卡。還有一些機構的網絡由于內部功能的劃分，本身就有幾個分離的網絡，采用我們的物理隔離方案將更好的把這些網絡整和在一起，變?yōu)橐粋€全范圍公共網加上幾個內部安全子網的多網互通的有效網絡格局。3 拓撲圖及方案整體描述 主干網傳輸方案設計根據現有的結構和設備，在充分考慮保護原有投資的情況下，采用模塊化結構設計，實現醫(yī)院網典型的星形結構。主干網為核心交換機與各樓之間的網絡。整個結構規(guī)劃成三層架構，核心匯聚接入。核心和匯聚之間溝通全院網絡的骨干，并采用雙核心雙鏈路設計。在這種架構下，只要核心交換機出現錯誤，這個網絡就會癱瘓，而每條支路出現故障，其他各支路不會受到影響。這種結構下，規(guī)劃了5個匯聚點：服務器區(qū)域匯聚點、住院部匯聚點、行政樓樓匯聚點、內科樓匯聚點、外科樓匯聚點、門診樓匯聚點、營養(yǎng)樓匯聚點。這樣的規(guī)劃，實現了核心匯聚接入、雙核心雙鏈路、模塊化分區(qū)。全網的整體網絡轉發(fā)性能最高、全網的可擴展性最高。 Internet接入方案接入層到網絡中心一般距離都比較遠，因此使用光纖從接入層接入到網絡中心核心層以及匯聚層，而終端連接到接入層，網絡中心設備之間的連接都是用以太網。對于網絡出外網，可以租用專線進行Internet的接入，也可以使用城域網進行接入。對于內網，為了保護內網私有地址的信息從而達到一定的安全性，并且也可以解決IP地址緊缺的問題，在出口路由器上使用NAT技術進行Internet的接入。 遠程訪問支持由于醫(yī)院能夠申請到的IP地址非常有限，通常是十幾個到幾十個，所以不能給每臺機器機器都分配合法的IP地址，為了保證每個節(jié)點都能瀏覽INTERNET上的豐富信息，需要采用代理服務器的方式，即選一臺或幾臺服務器安裝代理服務器軟件Proxy Server，綁定兩個IP地址，其中一個是合法地址與保證可以訪問到外面，另一個是內部的IP地址與保證可以被內部地址訪問，所有終端都配成內部IP地址，當它們想訪問外部網絡的時候，先訪問代理服務器，再由代理服務器訪問外面，然后把訪問結果帶回來。 子網劃分與VLAN設定了解了蘭大一院相關科室的分布之后，決定按照科室而不是基于樓棟進行VLAN的劃分，這樣劃分之后能夠將門診大樓與相關的專科大樓聯系起來，使得門診醫(yī)生與水平更高的相關專科醫(yī)生之間能夠快速的交流，讓病人能夠得到很好的服務。： VLAN劃分VLAN 號VLAN名稱IP網段網關描述VLAN 100Zhongduan終端控制VLAN 102Jizhen急診室VLAN 104Jianchalei檢查科VLAN 106Erke兒科VLAN 108Guke骨科VLAN 110Puwaike普通外科VLAN 112Miniaoke泌尿科VLAN 114Zhengxing整形外科VLAN 116Kangfuke康復科VLAN 118Zhongliuke腫瘤科VLAN 120Gandanke肝膽科VLAN 122Shenke腎科VLAN 124Xinxiongke心胸外科VLAN 126shenjingke神經科VLAN 128Laonianke老年病科VLAN 130Fuke婦科VLAN 132Huxike呼吸內科VLAN 134Xiaohuake消化內科VLAN 136Neifenmi內分泌科VLAN 138Xueyeke血液科VLAN