【正文】 指揮系統(tǒng)提供網(wǎng)絡的支撐。 考慮到 衛(wèi)生系統(tǒng)業(yè)務 數(shù)據(jù)的敏感性，對數(shù)據(jù)安全性要求較高，為了滿足這個要求， 所以 在建設虛擬專用網(wǎng)絡的時候采用 IPSec 協(xié)議作為 VPN 連接的標 準協(xié)議。 數(shù)據(jù)的傳輸效率 在系統(tǒng) 兩端往往需要傳輸大量的重復數(shù)據(jù)，比如公司總部的通知，下屬分支機構的每一個員工如果都需要閱讀的話，通常情況下每個人的電腦都通過傳輸線路到公司總部的服務器上面去取相應的文件，這樣同樣的一份數(shù)據(jù)在線路中傳輸了很多次，對線路帶寬的利用率較低。但是到了公網(wǎng)中，這個時長通常都不是用戶所能控制的，而網(wǎng)絡延時一方面直接導致我們的系統(tǒng)響應變慢，另外還通過對網(wǎng)絡控制協(xié)議和應用協(xié)議的影響進一步放大對系統(tǒng)響應速度的延遲。比如在訪問 WEB 頁面的時候，一個頁面中的各個元素都是由單獨的 TCP 會話來進行傳輸?shù)模赡艿臅挃?shù)達到幾十個，每一個會話都要處理繁雜的確認機制，在遇到由于延時或者丟包造成確認不成 5 功時又會重新發(fā)起會話，導致頁面訪問緩慢。如果數(shù)據(jù)報窗口太小的話，必然會影響數(shù)據(jù)傳輸和應答的速率，從而影響整個數(shù)據(jù)鏈路的吞吐能力。 根據(jù)實際測試數(shù)據(jù)顯示，一條 2Mb/s 的 ADSL 線路在最大 64K 字節(jié)窗口情況下，在網(wǎng)絡延時小于 40ms 時，線路能達到其帶寬允許的最高數(shù)據(jù)吞吐量，但是當網(wǎng)絡延時逐漸 增大的時候，線路傳輸效率明顯下降，實際的吞吐量只能達到帶寬所允許的最高數(shù)據(jù)吞吐量的 10%以下。 應用協(xié)議的處理機制。 以上就是網(wǎng)絡傳輸所會遇到的幾個主要的問題，而解決這些問題并不能靠提高公網(wǎng)帶寬就能解決這些問題，所以我們需要針對以上問題的解決方法，這 就對 VPN 產(chǎn)品 提出了更高的要求提供 網(wǎng)間加速 功能。 加速性 由于需要將省衛(wèi)生廳和 14 個市衛(wèi)生廳的網(wǎng)絡連接起來，勢必對整個網(wǎng)絡的出口帶寬提出了更高的要求。 穩(wěn)定可靠性 VPN 作為醫(yī)療救治和應急指揮系統(tǒng)數(shù)據(jù)的承載系統(tǒng)之一，必須具備 7 24小時不間斷運行的能力，保證整 網(wǎng)的可用性；同時， VPN 產(chǎn)品必須能提供備份機制來降低因線路中斷或硬件故障可能帶來的風險。 . 選型參考 根據(jù)網(wǎng)絡建設 的需求情況來看， 要求在?。?之間采用 網(wǎng)對網(wǎng)（ Net－ to－ Net）的連接方式組建 VPN 骨干線路，所以 建議采用深信服科技提供的具備網(wǎng)間加速的 VPN 解決方案， 既 能夠滿足目前的需求，同時可以很好的支持后續(xù)的擴展性。 設備選型列表如下： 7 序 號 設 備 型 號 部 署 地 點 1 SINFOR M5400Q 省級 2 SINFOR M5100Q 市級 . 組網(wǎng)方案 在部署 網(wǎng)間加速 VPN 設備 后 ，整個網(wǎng)絡的拓撲結構如下圖所示 ： 說明： 省衛(wèi)生廳和省政府之間采用 2M 專線進行連接。 在 省衛(wèi)生廳 部署一臺 M5400－ Q， 接受 14 個市 衛(wèi)生局 IPSec VPN 接入。 所有部署了 M5400－ Q 和 M5100－ Q 設備的網(wǎng)絡均可以提供 網(wǎng)間加速功能 。通過 IPSEC 在Inter 上建立安全可信的隧道，各實體之間的數(shù)據(jù)都是通過安全隧道傳遞 。經(jīng)加密后，多個原始 IP 成為 隧道 IP 的負載，隧道封裝的 IP 頭為隧道兩端的 InterIP,這樣就保護了內(nèi)部網(wǎng)絡信息，而且原始 IP 的數(shù)據(jù)已被加密成為負載，防止了內(nèi)容泄漏。加密使用 AES128 位加密算法，該加密算法是美國國防部采用的標準，比同等級別的 3DES 快 3 倍。 RADIUS認證過程采用挑戰(zhàn)―應答模式，在這種認證模 式下，認證信息不在網(wǎng)絡上傳遞，而且挑戰(zhàn)不同的分支或移動答復也不同，保證認證信息不會被竊聽。通過該認證方法，只有指定的機器才能接入。 總部在同分支建立數(shù)據(jù)隧道前，先要在命令通道進行 HARDCA 認證，經(jīng)過命令通道HARDID 認證的分支或移動，才允許建立數(shù)據(jù)隧道。 . 集成 USB Key 的硬件身份識別功能 采用 USB Key 技術可以保證 VPN 移動用戶的身份不被盜用。 . 更細致的權限粒度 在 VPN 網(wǎng)絡中還存在一些潛在的安全隱患，比如分支的用戶可以接入總部訪問所有資源；黑客可以入侵分支，然后通過 VPN 入侵到總部，非法獲得商業(yè)機密；病毒可以通過 VPN 隧道在企業(yè)的各個網(wǎng)絡傳播。 如果能夠有效限制每個VPN 用戶在 VPN 網(wǎng)絡內(nèi)的訪問范圍和訪問權限，就能最大限度的降低這種風險。 總部 分支 /移動 產(chǎn)生（ keyA , KeyB） 請求鑒權 KeyA 用 keyA 對認證信息進行加密 密文 用 KeyB 對密文解密得到認證信息 鑒權結果 10 如下圖中，就可以通過 VPN 權限粒度保證高級權限的用戶能訪問總部的所有服務器，而普通權限的用戶則只能訪問 OA 服務器，通過限制 VPN 用戶只能訪問服務器開放的服務端口，還可以限制病毒通過一些不安全的端口（如 RPC）跨網(wǎng)傳播。這樣，最終主機便認為遠程端與它并排位于局域網(wǎng)上，從而能夠以更快的速度與加速平臺互動。只要碎片足夠小， 傳遞內(nèi)容相同的概率就會足夠大。 舉一個簡單的例子，如對于 PPT 文件來講，所有頁碼中 Logo、表頭、表尾內(nèi)容都是相同的，不需要重傳，并且對再次更改的 PPT，往往只是更改了非常少的內(nèi)容，再次傳送則實際上僅需要傳送更改的內(nèi)容即可。 ? 如果服務器上面的文件變化較小，比如一個 100MB 的 ZIP 文件中增加了一個 1MB 打包文件，需要將整個文件重新傳輸一次。 . 應用協(xié)議加速技術 很 多軟件應 用在設計 時并沒 有考慮廣 域網(wǎng)的 特殊環(huán)境 ，比如微 軟的 CIFS 和Exchange/Outlook(MAPI)等，大量的使用小包及在應用層面存在過多的 Request/Response交互，這種設計在局域網(wǎng)中運行很順暢，但在廣域網(wǎng)這種延時巨大的環(huán)境中 (由于地理距離，跨越多個路由設備以及運營商之間的路由策略造成 )會造成帶寬使用率低下的結果，并且由于這些Request/Response 交互發(fā)生在應用層面，一般的 TCP 加速和 Qos 手段都無能為力， SINFOR加速網(wǎng)關就是提供針對應用協(xié)議進行優(yōu)化來的技術來提高應用軟件網(wǎng)絡傳輸效率。 . B/S 應用加速功能 如果一個基于 B/S 構架的 WEB 業(yè)務系統(tǒng)中，遠程訪問用戶打開一個簡單的頁面需要一分鐘以上甚至更多的時間，這樣必然會造成工作效率的下降。 12 SINFOR 加速網(wǎng)關提供對 WEB 頁面訪問的加速功能，特別是在對靜態(tài)頁面進行訪問的時候，加速網(wǎng)關提供了高達 10倍的加速能力。 . C/S 應用加速功能 大量 C/S 類型應用系統(tǒng)在設計的時候，都是考慮在局域網(wǎng)環(huán)境下面來進行運行的，所以在應用協(xié)議設計時對廣域網(wǎng)這種網(wǎng)絡環(huán)境并不是很合適，直接的后果就是導致網(wǎng)絡傳輸效率低下，客戶端訪問服務端的速度非常慢。 . 文件傳輸加速功能 網(wǎng)絡上傳輸文件一般采用 FTP、 HTTP、網(wǎng)上鄰居等協(xié)議，由于這些協(xié)議本身并不具備加速能力，所以通過這些協(xié)議在通過廣域網(wǎng)傳輸大文件的時候，往往由于延時較大或者網(wǎng)絡丟包率過高而導致文件傳輸時間過長甚至傳輸不成功，使用加速網(wǎng)關以后可以將文件傳輸速度最高提高40 倍以上。 . SQL 數(shù)據(jù)中心加速 目前有大量的應用系統(tǒng)是基于 SQL 數(shù)據(jù)中心方式，通過 SQL 訪問來實現(xiàn)的， SINFOR 加速網(wǎng)關同樣能夠提供對 SQL 數(shù)據(jù)中心類應用的加速功能，加速效果同樣最高可達 40 倍以上。以下是該技術 的簡單描述： 在尋址過程中，所有信息均使用 DES 加密。用戶完全可以將 WebAgent置于自己的網(wǎng)站上，建立完全屬于自己的 VPN 全套系統(tǒng)。 而 Web 尋址技術使用企業(yè)自身的 Web 網(wǎng)站或虛擬空間幫助尋址，不增 加額外費用，也不依賴專門的服務提供商。 因此， Web 尋址技術相對其他尋址技術 (如動態(tài) DNS)有如下優(yōu)點 : 更穩(wěn)定。 不依賴于專門的第三方服務提供商，長期使用穩(wěn)定可靠。 . 可以備份的 VPN 線路 為保證 VPN 系統(tǒng)的高可靠性， Sinfor VPN 網(wǎng)關 提供了兩種備份方案。 方案 2： 由于 VPN 系統(tǒng)的不穩(wěn)定往往是線路不穩(wěn)定引起的，因此比較經(jīng)濟的解決方案是僅僅備份線路就可以了。如下圖所示： . 斷線重連 功能 為了保證撥號網(wǎng)絡的穩(wěn)定性， Sinfor VPN 網(wǎng)關 中集成了自動撥 號軟件，在撥號中斷后， 5秒內(nèi)可以重撥。 . 冗余容量設計 電信網(wǎng)經(jīng)常因為話務高峰而癱瘓，數(shù)據(jù)網(wǎng)絡也如此，如果網(wǎng)絡設備的容量承載不了突然增長的業(yè)務負荷，那么系統(tǒng)就可能癱瘓。 15 . 高速的 VPN 系統(tǒng) . 集成快速流壓縮 技術 Sinfor VPN 網(wǎng)關 在 IPSEC 封裝中集成了快速的壓縮算法，同時也可以作為加密的加強。在啟動了該流壓縮選項后，能極大的減少冗余數(shù)據(jù)流量，增大傳輸效率；平均而言， 1M 的 IPSEC 加密數(shù)據(jù)可以壓縮到 500 到 600K，而 1M 的 IPSEC 數(shù)據(jù)中攜帶的有效數(shù)據(jù)大約在 800 多 K，這樣算下來，使用改進的 IPSEC 協(xié)議 (集成流壓縮 )，就能用 500 到 600K 帶寬攜帶 800K 的數(shù)據(jù)，無形中將傳輸效率提高到 130%。 . 帶寬疊加技術擴充帶寬 Sinfor VPN 網(wǎng)關 多線路復用技術是深信服公司的專利技術之一，通過該技術可以在兩點間同時使用多條 Inter 線路實現(xiàn)互聯(lián)。 16 帶寬疊加圖示 . 高品質保證的 VPN 系統(tǒng) . 獨創(chuàng)的 VPN 內(nèi)部 QOS 功能 傳統(tǒng)的高端防火墻僅在防火墻中有 QOS 功能區(qū)分不同業(yè)務的服務質量，但目前在 VPN 還很少實現(xiàn) QOS 功能；這樣就造成同一個 VPN 隧道內(nèi)無法按服務的重要性提供帶寬。 Sinfor VPN 網(wǎng)關將獨創(chuàng)的智能 QOS 分配技術應用于 VPN 中。 在額定帶寬的 QOS 策略中，各個 QOS 級別的服務只能使用額定帶寬，即使網(wǎng)絡流量沒有占滿，低級別的服務也不能使用預留給高級別服務的帶寬。 Sinfor VPN 網(wǎng)關共有 4 個普通優(yōu)先級和一個特權級，可以設置多達 1024 個 QOS 服務規(guī)則。 路由功能的兩種典型使用方法 : 分流上網(wǎng)數(shù)據(jù) 為了保證互聯(lián)線路的 QOS，可以通過路由功能將其他上網(wǎng)數(shù)據(jù)過濾到另外一條線路，從而保證互聯(lián)線路的穩(wěn)定性和互聯(lián)服務的質量 。為解決這種情況，可以在總部使用 多個網(wǎng)關連接多條 Inter 線路，為連接有大量數(shù)據(jù)傳輸?shù)姆种为氶_辟互聯(lián)線路，以保證 QOS。 Sinfor VPN 網(wǎng)關 使用虛擬適配技術將網(wǎng)絡適配層和 VPN 層邏輯分離，使得 Sinfor VPN 網(wǎng)關 可以支持任何接入方式，包括 GPRS, CDMA1X,WLAN 等最新的無線上網(wǎng)接入方式，甚至是未來 NGN 接入方式。 . 安全策略隨時攜帶，客戶端零配置 Sinfor VPN 網(wǎng)關集成 DKEY 技術，可以將移動用戶的安全策略存儲在類似 U 盤的 USB Key(又名 DKEY)中。安裝好 PVPN 網(wǎng)關軟件后，用戶只需要插入DKEY，輸入自己的密碼就可以完成接入，做到了 VPN 客戶端零配置，和使用銀行取款機一樣安全方便。由于有獨立的日志服務器，因此日志空間僅受管理員分配的存儲空間的限制。系統(tǒng)提供了對所有配置的打包備份功能，管理員可方便的對配置文件進行備份，恢復。 . 支持遠程部署和模塊升級 Sinfor VPN網(wǎng)關產(chǎn)品，安裝方便，可以實現(xiàn)遠程安裝、遠程部署。 Sinfor VPN網(wǎng)關產(chǎn)品都支持實現(xiàn)遠程維護，也將大大降低企業(yè)的運維成本。還可根據(jù)用戶的特定互聯(lián)需求定制特定的模塊。通過集中管理安全中心完成對整網(wǎng)上萬個 VPN 設備或軟件的部署和維護，將極大的降低企業(yè)或運營商管理大型網(wǎng)絡的成本，并消除因不同防火墻和 VPN 策略造成的安全漏洞。 . 功能特色 . 集中的策略管理和實時監(jiān)控 SINFOR VPN 網(wǎng)關 SC 提供了集中配