【正文】 6 業(yè)務(wù)能力 H3C S7500E 支持 IPv4/IPv6 雙協(xié) 議棧 ,支持多種隧道技術(shù)，支持 IPv4/IPv6的組播技術(shù)，為用戶提供完善的 IPv4/IPv6 解決方案； H3C S7500E 采用分布式體系架構(gòu)，實(shí)現(xiàn) IPv4/IPv6 業(yè)務(wù)的線速無阻塞轉(zhuǎn)發(fā)； H3C S7500E 已經(jīng)通過了信息產(chǎn)業(yè)部的 IPv6 入網(wǎng)認(rèn)證和 IPv6 Ready 第二階段認(rèn)證，是成熟商用的 IPv6 產(chǎn)品。 全面的 MPLS、 VPLS 業(yè)務(wù)能力 H3C S7500E 所有產(chǎn)品均支持 MultiVRF 特性，可以作為 MCE 設(shè)備 使用；支持三層的 MPLS VPN 和二層的 MPLS VPN（ Martini、 Kompella）；支持 MPLS OAM 特性，方便用戶的管理和維護(hù)；與 H3C MPLS VPN Manager 配合，實(shí)現(xiàn)圖形化的 MPLS部署與維護(hù)。 H3C S7500E 可廣泛應(yīng)用于城域網(wǎng)、數(shù)據(jù)中心、園區(qū)網(wǎng)核心和匯聚等多種網(wǎng)絡(luò)環(huán)境，為用戶提供了有線無線一體 化、有源無源一體化的行業(yè)解決方案。 H3C S7500E 符合 “ 限制電子設(shè)備有害物質(zhì)標(biāo)準(zhǔn)（ RoHS） ” ，是綠色環(huán)保的路由交換機(jī)。 在全球市場， H3C 研發(fā)和生產(chǎn)的產(chǎn)品服務(wù)近百個(gè)國家和地區(qū)，客戶包括惠普、夢工廠、瑞士電信、 西班牙電信、英國沃達(dá)豐、巴西電信、法國國鐵、法國標(biāo)致雪鐵龍集團(tuán)、俄羅斯聯(lián)邦儲(chǔ)蓄銀行、澳大利亞昆士蘭政府、美國麻省理工學(xué)院、日本神戶大學(xué)、韓國三星電子等。 根植中國， H3C 始終以 “ 為客戶創(chuàng)造價(jià)值 ” 作為公司發(fā)展的源動(dòng)力，不斷細(xì)分客戶需求。 H3C 始終聚焦 IP 技術(shù)領(lǐng)域創(chuàng)新進(jìn)步，以覆蓋 IP 網(wǎng)絡(luò)、 IP 安全、 IP 多媒體及 IP 存儲(chǔ)的全面的產(chǎn)品線為積累逐步形成下一代數(shù)據(jù)中心解決方案、基礎(chǔ)網(wǎng)絡(luò)解決方案和多媒體通信解決方案三大解決方案集群，并迅速得到廣泛應(yīng)用，占領(lǐng)了 IT 發(fā)展潮流的制高點(diǎn)。截至 2020年 12 月， H3C 已 申請(qǐng)專利超過 3000 件，其中發(fā)明專利占 85％，在中國通信企業(yè)中位居前三。目前公司有員工 4800 人，其中研發(fā)人員占 55％。 設(shè)備廠家介紹 杭州華三通信技術(shù)有限公司（簡稱 H3C）， 致力于 IP 技術(shù)與產(chǎn)品的研究、開發(fā)、生產(chǎn)、銷售及服務(wù)。從而自動(dòng)得徹底防御 ARP 欺騙。如手工開展三種綁定信息，工作量巨大，且日常維護(hù)非常困難。 GSN 通過制定軟件的黑白名單，限制或允許工作人員安裝軟件，從而防止信息的外泄和系統(tǒng)的崩潰。同時(shí)發(fā)送警告信息和做日志記錄。 GSN 能夠完全禁止用戶非法外聯(lián)和非法接入，以及能夠禁止終端計(jì)算機(jī)使用外接端口（如 USB 接口、打印接口等）。 GSN 通過嚴(yán)格限制用戶在終端電腦上安裝軟件（包括網(wǎng)絡(luò)偵聽軟件），以及與 IDS 入侵檢測系統(tǒng)聯(lián)動(dòng)，實(shí)時(shí)監(jiān)控內(nèi) 、外 網(wǎng)中的網(wǎng)絡(luò)行為，一旦發(fā)現(xiàn)非法的網(wǎng)絡(luò)行為， GSN 實(shí)時(shí)將竊聽者隔離出網(wǎng)絡(luò)，并同時(shí)發(fā)送警告信息和做日志記錄。 建立信息等級(jí)保護(hù)體系，分域分級(jí)保護(hù) 依照國家提出的信息等級(jí)保護(hù)條列， GSN 可根據(jù)網(wǎng)絡(luò)使 用者的任務(wù)和職務(wù)分工的不同，為其分配相應(yīng)的網(wǎng)絡(luò)信息使用權(quán)限，以保證使用普通員工的帳號(hào)不能訪問內(nèi)網(wǎng)核心業(yè)務(wù)系統(tǒng)和關(guān)鍵數(shù)據(jù)。 網(wǎng)絡(luò)安全 設(shè)計(jì) 網(wǎng)絡(luò)安全設(shè)計(jì)在前面內(nèi)、外網(wǎng)設(shè)計(jì)時(shí)也做了簡單描述，主要是針對(duì)我方此次選用的設(shè)備 在安全上進(jìn)行了闡述，下面就針灸醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)影響網(wǎng)絡(luò)安全的各個(gè)因素以及防范措施進(jìn)行一個(gè)設(shè)計(jì)闡述： xx 中醫(yī)學(xué)院附屬針灸醫(yī)院 內(nèi) 、外 網(wǎng)網(wǎng)絡(luò)安全建設(shè)的內(nèi)容主要是防御各種網(wǎng)絡(luò)病毒如 ARP 欺騙、各種原因的異常流量對(duì)核心區(qū)的沖擊如線路老化短路或因員工不小心造成的網(wǎng)絡(luò)環(huán)路、來自互聯(lián)網(wǎng)的黑客入侵并被植入木馬成為傀儡機(jī)進(jìn)行重要信息的竊取等。實(shí)現(xiàn)樓層移動(dòng)用戶的接入 ,同時(shí)采用 VLAN 功能以確保局網(wǎng)絡(luò)安全。作為醫(yī)院有線局域網(wǎng)的補(bǔ)充， WLAN 有效地克服了有線網(wǎng)絡(luò)的弊端，醫(yī)護(hù)人員利用 PDA、平板無線電腦和移動(dòng)手推車電腦隨時(shí)隨地進(jìn)行生命 體征數(shù)據(jù)采集、醫(yī)護(hù)數(shù)據(jù)的查詢與錄入、移動(dòng)查房、床邊護(hù)理、呼叫通信、護(hù)理監(jiān) 控、藥物配送、病人標(biāo)識(shí)碼識(shí)別，以及基于WLAN 的語音多媒體等應(yīng)用，充分發(fā)揮醫(yī)療信息系統(tǒng)的效能，突出數(shù)字化醫(yī)院的技術(shù)優(yōu)勢。無線局域網(wǎng)技術(shù)的不斷成熟和普及，使 WLAN 在全球醫(yī)療行業(yè)中的應(yīng)用已經(jīng)成為了一種趨勢。 本次的智能管理系統(tǒng)建設(shè)中，我們選用 IMC 管理平臺(tái)來作為整網(wǎng)智能管理的支撐，在平臺(tái)之上，后期可添加 NTA 網(wǎng)流分析、 UBA 行為審計(jì)、 WSM 無線管理、IAR 智能報(bào)表等功能組 件，以實(shí)現(xiàn)全網(wǎng)智能管理的各功能。 管理、分析、響應(yīng)一體化 當(dāng)安全事件發(fā)生時(shí)， H3C 安全管理中心能夠迅速察覺、準(zhǔn)確定位，更重要的是能夠及時(shí)制定合理的、一致的、完備的安全策略， 在現(xiàn)有安全設(shè)施的基礎(chǔ)上 形成了 一個(gè) 智能的 安全防御體系，大幅度提高 了 用戶網(wǎng)絡(luò)的整體安全防御能力。 H3C“全局安全管理平臺(tái)” 由策略管理、事件采集、分析決策、協(xié)同響應(yīng)四個(gè)組件構(gòu)成，與網(wǎng)絡(luò)中的安全 設(shè)備 、網(wǎng)絡(luò)設(shè)備、用戶終端等獨(dú)立功能部件通過各種信息交互接口形成一個(gè)完整的 協(xié)同防 御體系 全局安全管理平臺(tái) 旨在集中部署網(wǎng)絡(luò)安全 防護(hù) 策略，簡化對(duì)安全部件的管理，確保網(wǎng)絡(luò)安全策略的統(tǒng)一；廣泛采集與分析來自于計(jì)算機(jī)、網(wǎng)絡(luò)、存儲(chǔ)、安全等設(shè)施的告警事件，通過關(guān)聯(lián)來自于不同地點(diǎn)、不同層次、不同類型的安全事件，發(fā)現(xiàn)真正的安全風(fēng)險(xiǎn)，提高安全報(bào)警的信噪比；準(zhǔn)確的、實(shí)時(shí)的評(píng)估當(dāng)前的網(wǎng)絡(luò)安全態(tài)勢和風(fēng)險(xiǎn)，并根據(jù)預(yù)先制定的策略做出快速響應(yīng)。所以外網(wǎng)的智能管理建設(shè)思想是在考慮設(shè)備、狀態(tài)、用戶統(tǒng)一管理的同時(shí)，強(qiáng)調(diào)對(duì)網(wǎng)內(nèi)用 戶對(duì)外訪問行為的一定記錄，以便出現(xiàn)安全事故時(shí)，可以提供相關(guān)記錄，以便核對(duì)。 所以在本次建設(shè)中，在外部網(wǎng)也部署一套端點(diǎn)準(zhǔn)入防御系統(tǒng)（ EAD），以便對(duì)外部網(wǎng)用戶進(jìn)行安全策略下發(fā)，訪問權(quán)限控制、以及補(bǔ)丁下發(fā)、病毒防護(hù)。 外網(wǎng)終端安全準(zhǔn)入技術(shù) 設(shè)計(jì) 統(tǒng)計(jì)表明，在所有的安全事件中，有超過 70%是發(fā)生在網(wǎng)內(nèi)的，并且隨著部網(wǎng)絡(luò)的龐大化和復(fù)雜化，這一比例仍有增長的趨勢。定義 安全分區(qū)的原則就是首先根據(jù)業(yè)務(wù)和信息敏感度定義安全資產(chǎn)，其次對(duì)安全資產(chǎn)定義安全策略和安全級(jí)別，對(duì)于安全策略和級(jí)別相同的安全資產(chǎn)，就可以認(rèn)為屬于同一安全區(qū)域。 邊界安全技術(shù)建議 隨著醫(yī)院外部網(wǎng)絡(luò)上 IT 應(yīng)用的不斷增加以及網(wǎng)絡(luò)中設(shè)備的增加，網(wǎng)絡(luò)邊界安全成為最重要的安全問題之一，需要組合型的安全解決方案。防火墻用來抵御外部和內(nèi)部的非法網(wǎng)絡(luò)攻 擊，保護(hù) 醫(yī)院 網(wǎng)絡(luò)的正常運(yùn)行。 外網(wǎng)接入平臺(tái)建設(shè) 外網(wǎng)接入平臺(tái)提供以下功能： ? 連接互聯(lián)網(wǎng)； ? 防火墻保護(hù)內(nèi)部資源的安全； ? NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換），保護(hù)內(nèi)部網(wǎng)絡(luò)資源的安全，解決 IP地址不足問題。 樓層交換節(jié)點(diǎn)采用 2 48口千兆智能全線速接入交換機(jī) ，接入交換機(jī)應(yīng)提供智能的流分類和完善的 QoS特征。 核心層交換機(jī)跟接入層交換機(jī)之間的千兆鏈路可以根據(jù)鏈路狀況實(shí)行捆綁，從而實(shí)現(xiàn)帶寬的靈活擴(kuò)展。因此在核心節(jié)點(diǎn)的設(shè)備選型和結(jié)構(gòu)設(shè)計(jì)上必須考慮整體網(wǎng)絡(luò)的高性能和高可靠性。 網(wǎng)絡(luò)中心節(jié)點(diǎn)作為政務(wù)外網(wǎng)的心臟，必須提供全線速的數(shù)據(jù)交換，當(dāng)網(wǎng)絡(luò)流量較大時(shí)，對(duì)關(guān)鍵業(yè)務(wù)的服務(wù)質(zhì)量提供保障。提供郵件告警、攻擊日志、流日志和網(wǎng)絡(luò)管理監(jiān)控等功能，協(xié)助用戶進(jìn)行網(wǎng)絡(luò)管理。能提供外部攻擊防范、 URL 過濾、應(yīng)用層過濾等功能，有效的保證網(wǎng)絡(luò)的安全。其中網(wǎng)絡(luò)出口引擎強(qiáng)大的 NAT 和策略路由的性能能夠保證較大規(guī)模網(wǎng)絡(luò)使用出口的高速穩(wěn)定，而根據(jù)我們對(duì)許多同類型客戶網(wǎng)絡(luò)出口的調(diào)查了解，傳統(tǒng)的路由器、防火墻甚至四層交換機(jī)在兼做 NAT 和策略路由時(shí)，系統(tǒng)資源往往被較大消耗，形成性能 瓶頸。 外網(wǎng)出口需承擔(dān) IP 地址轉(zhuǎn)換、多出口策略路由、安全訪問控制和網(wǎng)絡(luò)行為管理與流量精細(xì)化控制。 在各個(gè)區(qū)域中，由于其流量巨大、實(shí)時(shí)性要求高，為保證良好的辦公環(huán)境和投資保護(hù)，接入交換機(jī)應(yīng)全部采用 10/100/1000自適交換機(jī)。特別是考慮到今后骨干網(wǎng)絡(luò)可以平滑向萬兆以太網(wǎng)升級(jí)。 星型結(jié)構(gòu)是指所有的外圍接入用戶通過接入層的交換機(jī)通過雙鏈路歸屬到處于網(wǎng)絡(luò)中心的核心設(shè)備上。網(wǎng)絡(luò)的控制功能、網(wǎng)絡(luò)的各種應(yīng)用應(yīng)盡量少在核心層上實(shí)施。 整體說明： 整個(gè)網(wǎng)絡(luò)采用核心、接入兩個(gè)層次， Inter的發(fā)展是迅猛的，因此在核心交換機(jī)的選擇上，建議選擇高性能的核心交換機(jī)，樓內(nèi)的接入點(diǎn)主要是實(shí)現(xiàn)樓內(nèi)的信息的互通以及接入層的用戶接入。樓層交換節(jié)點(diǎn)采用 2 48口千兆智能全線速接入交換機(jī)，接入交換機(jī)應(yīng)提供智能 的流分類和完善的 QoS特征。接入層交換機(jī)考慮到接入信息點(diǎn)數(shù)量較多，可以采用端口密度較高的接入層千兆交換機(jī)如 2 48口交換機(jī)，以減少接入層的帶寬瓶頸 ，實(shí)現(xiàn)真正千兆到桌面。 接入層： 一個(gè)高性能的外網(wǎng)除了核心設(shè)備性能要求強(qiáng)勁 之外，最重要的一環(huán)是數(shù)量最大的接入交換機(jī)。 外網(wǎng) 設(shè)計(jì) 外網(wǎng)拓?fù)鋱D及說明 核心層： 本次組網(wǎng)采用 1臺(tái) 萬兆核心 交換機(jī)作為外網(wǎng)核心設(shè)備。 智能報(bào)表自動(dòng)生成 網(wǎng)絡(luò)建設(shè)后實(shí)現(xiàn)多種控制，但我們需要對(duì)其進(jìn)行直觀的反映各方面工作，需要大量報(bào)表，智能報(bào)表系統(tǒng)將解決這一問題，生成符合實(shí)際應(yīng)用的職能化報(bào)表。其基本功能包括： 組件的模塊化 架構(gòu) 各功能部件以模塊化方式組成，架構(gòu)簡單明晰，易于擴(kuò)展，醫(yī)院系統(tǒng)網(wǎng)絡(luò)中可根據(jù)實(shí)際情況進(jìn)行組件的選配。 在此背景下，我們提出用 iMC（智能管理中心），來滿足醫(yī)院系統(tǒng)全局安全管理的需求， 將安全體系中各層次的安全產(chǎn)品、網(wǎng)絡(luò)設(shè)備、用戶終端等納入一個(gè)緊密的 “全局安全 管理平臺(tái) ” 中，通過安全策略的集中部署、安全事件的深度感知與關(guān)聯(lián)分析以及安全部件的協(xié)同響應(yīng)，在現(xiàn)有安全設(shè)施的基礎(chǔ)上構(gòu)建一個(gè) 智能安全防御體系，大幅度提高 醫(yī)院系統(tǒng) 的整體安全防御能力 及管理能力 。 內(nèi)網(wǎng)智能管理技術(shù) 設(shè)計(jì) 大量網(wǎng)絡(luò)安全建設(shè)實(shí)踐后認(rèn)為，除了在信息傳輸流程中實(shí)施安全解決方案之外，還需要進(jìn)行全局安全管理，這 種管理涉及到網(wǎng)絡(luò)上的設(shè)備、使用者以及業(yè)務(wù)，只有對(duì)這 3 者實(shí)現(xiàn)閉環(huán)管理，才能對(duì)網(wǎng)絡(luò)安全狀況了如指掌。同時(shí) EAD 可以通過安全策略服務(wù)器與安全客戶端的配合，強(qiáng)制實(shí)施終端安全配置（如是否實(shí)時(shí)檢查郵件、注冊表、是否限制代理、是否限制雙網(wǎng)卡等），監(jiān)控用戶終端的安全事件（如查殺病毒、修改安全設(shè)置等）。強(qiáng)制終端安裝系統(tǒng)補(bǔ)丁、升級(jí)防病毒軟件，直到滿足安全策略要求。不符合用戶安全策略的終端，將被限制訪問權(quán)限，只能訪問“隔離區(qū)”內(nèi)的病毒庫 /補(bǔ)丁服務(wù)器等用于系統(tǒng)修復(fù)的網(wǎng)絡(luò)資源。其主要功能包括： 檢查 —— 檢查用戶終端的 安全狀態(tài)，配合不同方式的身份驗(yàn)證技術(shù)（ 、VPN、 Portal 等），可以確保接入終端的合法與安全。 EAD 將防病毒、補(bǔ)丁修 復(fù)等終端安全措施與網(wǎng)絡(luò)接入控制、訪問權(quán)限控制等網(wǎng)絡(luò)安全措施整合為一個(gè)聯(lián)動(dòng)的安全體系，通過對(duì)網(wǎng)絡(luò)接入終端的檢查、隔離、修復(fù)、管理和監(jiān)控，使整個(gè)網(wǎng)絡(luò)變被動(dòng)防御為主動(dòng)防御、變單點(diǎn)防御為全面防御、變分散管理為集中策略管理，提升了網(wǎng)絡(luò)對(duì)病毒、蠕蟲等新興安全威脅的整體防御能力。如何在內(nèi)網(wǎng)實(shí)現(xiàn)更精細(xì)更高效率的訪問控制是內(nèi)網(wǎng)安全建設(shè)必須要解決的問題。 傳統(tǒng)上，在內(nèi)網(wǎng)是通過劃分 VLAN，配合 ACL 進(jìn)行訪問 控制，這雖然可以在一定程度上實(shí)現(xiàn)內(nèi)網(wǎng)訪問控制，卻難以做到比較精細(xì)的安全控制，同時(shí)也可能會(huì)影響到 VLAN 間用戶的訪問，從而影響網(wǎng)絡(luò)的使用效率。但是受限于終端用戶安全應(yīng)用水平，如何確保網(wǎng)絡(luò)中的終端安全狀態(tài)符合用戶安全策略，卻是每一個(gè)網(wǎng)絡(luò)管理員不得不面對(duì)的挑戰(zhàn)。只有在 報(bào)文的轉(zhuǎn)發(fā)平面進(jìn)行安全技術(shù)的滲透，才真正體現(xiàn)出安全網(wǎng)絡(luò)的技術(shù)面貌，才可以真正宣稱網(wǎng)絡(luò)和安全是融為一體的。所以， H3C公司在網(wǎng)絡(luò)的設(shè)備中，從轉(zhuǎn)發(fā)平面上進(jìn)行了安全方面的設(shè)計(jì)和鞏固，確保交換機(jī)上的轉(zhuǎn)發(fā)不在是單一的盡力轉(zhuǎn)發(fā)的架構(gòu)（ Best Effort Forwarding），而是根據(jù) 安全網(wǎng)絡(luò)設(shè)計(jì)的需求，在以太網(wǎng)鏈路層轉(zhuǎn)發(fā)技術(shù)和 IP 三層轉(zhuǎn)發(fā)技術(shù)上的一次技術(shù)改革，將安全轉(zhuǎn)發(fā)技術(shù)和網(wǎng)絡(luò)技術(shù)有機(jī)融合在一起。利用交換機(jī)開放式的硬件架構(gòu)，將安全模塊有機(jī)融合進(jìn)去，實(shí)現(xiàn)安全技術(shù)像免疫預(yù)防一樣注射到網(wǎng)絡(luò)中，實(shí)現(xiàn)了傳統(tǒng)核心交換機(jī)的安全機(jī)能的提升，大大增強(qiáng)了設(shè)備抗擊網(wǎng)絡(luò)風(fēng)險(xiǎn)的能力，使網(wǎng)絡(luò)無縫地演變成安全的網(wǎng)絡(luò)。 在核心交換機(jī)嵌入了的安全模塊產(chǎn)品，稱作 SecBlade 安全插卡。所以在 考慮本次安全網(wǎng)絡(luò)的部署上，首先需要考慮安全部件的簡單化融入到網(wǎng)絡(luò)中。 內(nèi)網(wǎng)安全防護(hù)技術(shù) 設(shè)計(jì) 部署獨(dú)立的安全設(shè)備無疑增加了安全網(wǎng)絡(luò)實(shí)施的成本，另外增大了對(duì)網(wǎng)絡(luò)管理的難度，也增加了網(wǎng)絡(luò)安全部署的復(fù)雜度。 更未來的網(wǎng)絡(luò) —— 未來的 IP網(wǎng)絡(luò)是 IPv6網(wǎng)絡(luò)。 更安全的網(wǎng)絡(luò) —— 交換機(jī)可以提供全面安全接入防御策略，支持 GSN（ 全局安全 ）解決方案通過安全客戶端、安全策略服務(wù)器、網(wǎng)絡(luò)設(shè)備以及第三方軟件的聯(lián)動(dòng)，加 強(qiáng)了用戶終端的主動(dòng)防御能力；可以提供 “ 全面防御、模塊定制 ”的 ARP防御解決方案，解決在教育、政務(wù)、政府等越來越多的行業(yè)中日趨嚴(yán)重的網(wǎng)絡(luò)攻擊。能夠?yàn)橛脩籼峁└咚?，更安全，更可靠，更面向未來，更多選擇，更高性價(jià)比的千兆到桌面解決方案。隨著全千兆交換機(jī)的普及以及應(yīng)用的不斷深化， “ 千兆到桌面 ” 不再只停留在理念上，也不再是特定 場合的專用產(chǎn)品，而 已經(jīng)來到我們身邊。具有極高的性價(jià)比為各類型網(wǎng)絡(luò)提供完善的端到端的服務(wù)質(zhì)量、豐富的安全設(shè)置和基于策略的網(wǎng)管，最大化滿足高速