【正文】 第 18 頁 1000 個用戶， IPX 協(xié)議的網(wǎng)絡(luò)為 500 個用戶，使用 NETBEUI 協(xié)議的網(wǎng)絡(luò)則規(guī)模為 300個用戶。 計算機網(wǎng)絡(luò)由于同時有 Windows20xx/xp 客戶機、 Windows NT 服務(wù)器、（ NetWare服務(wù)器、） UNIX 服務(wù)器和工作站。為獲得比較好的性能，一個 VLAN 中的用戶數(shù)為 150 以下。另外一個劃分原則是從網(wǎng)絡(luò)的安全性方面考慮，不同安全權(quán)限的用戶劃入不同的子網(wǎng)，每一個子網(wǎng)對應(yīng)于一個 VLAN。 虛擬網(wǎng) 之間通信 網(wǎng)絡(luò)用戶被劃分到不同的子網(wǎng)中之后，不同虛擬網(wǎng)絡(luò)之間用戶的通信需要經(jīng)過三層上的設(shè)備來處理，本系統(tǒng)中， VLAN 之間通信以及 VLAN 之間的安全性控制通過具有三層交換功能的 BigHammer6800 系列 中心交換機和建筑內(nèi)設(shè)置的接入層交換機來綜合實現(xiàn)。 地址和虛網(wǎng)規(guī)劃 Intra 是 Inter 技術(shù)在企業(yè)內(nèi)部或閉合用戶群內(nèi)的實現(xiàn)，它的基本通信協(xié)議是TCP/IP 協(xié)議，其中 TCP 使得內(nèi)部網(wǎng)上的數(shù)據(jù)有序、可靠地 傳輸， IP 使內(nèi)部網(wǎng)中的各個子網(wǎng)互聯(lián)起來。 考慮到今后的擴展、維護等問題，內(nèi)部網(wǎng)的 IP 地址不僅應(yīng)符合 TCP/IP 協(xié)議本身的要求，還應(yīng)有規(guī)律、易記憶，能反映自己內(nèi)部網(wǎng)的特點。 湖南省 X 有限責(zé)任公司 長沙市第 X醫(yī)院信息系統(tǒng)硬件平臺方 案 第 19 頁 1) 確定內(nèi)部網(wǎng) IP 地址的類型 IP 地址由 32 位二進制數(shù)碼組成， 8 位為一組，分為 4 組，中間用 .隔開。 為了方便網(wǎng)絡(luò)系統(tǒng)資源的管理和維護，在和用戶協(xié)商后選擇相應(yīng)的 IP 地址段。 建議全網(wǎng)共享的服務(wù)器，劃分在同一 個虛網(wǎng)，使用同一個完整網(wǎng)段（或子網(wǎng)）的一個 IP 地址。 3) 規(guī)劃客戶機 IP 地址 由于普通電腦的使用者對 IP 地址的認(rèn)識和使用并不像系統(tǒng)管理員那樣熟練或熟悉，所以一般客戶端的 IP 地址建議使用 DHCP 服務(wù)器的方式分配。 采用 DHCP 服務(wù)器分配的方式： ? 特別適合大中型網(wǎng)絡(luò)環(huán)境，方便系統(tǒng) IP 地址遷移。 網(wǎng)絡(luò)安全體系設(shè)計 對 X 醫(yī)院 網(wǎng)絡(luò)系統(tǒng)廣域網(wǎng)的安全性建設(shè)，必須要考慮以下幾點問題： 對于一個大型網(wǎng)絡(luò)，必須要制定較好的安全策略，防患于未然。網(wǎng)絡(luò)設(shè)備的集中控制，以及使用更為安全的協(xié)議 湖南省 X 有限責(zé)任公司 長沙市第 X醫(yī)院信息系統(tǒng)硬件平臺方 案 第 20 頁 因為接入網(wǎng)絡(luò)不受內(nèi)部管理和約束，有很大的安全隱 患。網(wǎng)絡(luò)提供了信息流通的便利渠道，客戶務(wù)及信息交流手段。攻擊者可以通過竊取口令、 EMAIL 密碼、 FTP、 PROXY 等各種手段進行破壞，因此，如何協(xié)調(diào)系統(tǒng)安全和系統(tǒng)的靈活性和開放性，動態(tài)地監(jiān)控網(wǎng)絡(luò)和調(diào)節(jié)網(wǎng)絡(luò)的流量，是在設(shè)計系統(tǒng)安全和選擇網(wǎng)絡(luò)安全產(chǎn)品時必須要考慮的問題。 當(dāng)前網(wǎng)絡(luò)安 全現(xiàn)狀 對于我們用戶來說，要建立完整有效的內(nèi)部網(wǎng)，其面臨的主要困境和對系統(tǒng)安全的考慮來源于以下方面： 各種對于網(wǎng)絡(luò)安全性的威脅 網(wǎng)絡(luò)擁擠問題 各種異構(gòu)網(wǎng)絡(luò)產(chǎn)品的互操作 外界闖入的惡意攻擊 非授權(quán)的資料存取 假冒合法用戶 系統(tǒng)安全設(shè)計的原則 安全性第一： 由于安全性和網(wǎng)絡(luò)的性能 (使用的靈活性、方便性、傳輸效率等 )是一對矛盾 ,兩者不能兼得 ,強調(diào)了安全性 ,網(wǎng)絡(luò)的性能受到影響 ,強調(diào)網(wǎng)絡(luò)的性能 ,安全性可能減弱。但是建立一個多重保護系統(tǒng) , 湖南省 X 有限責(zé)任公司 長沙市第 X醫(yī)院信息系統(tǒng)硬件平臺方 案 第 21 頁 各重保護相互補充 ,當(dāng)一重保護被攻破時 ,其它重保護仍可保護信息的安全。 多層次 (OSI 參考模型中的邏輯層次 ) ： 如在鏈路層和網(wǎng)絡(luò)層實施包過濾 ,在表示層實施加密傳送 ,在應(yīng)用層設(shè)置專用程序代碼。 網(wǎng)絡(luò)分段 ： 網(wǎng)絡(luò)分段是保證安全的重要措施。網(wǎng)絡(luò)可從物理上分為若干段 ,即通過交換器連接各段。 最小授權(quán)： 特權(quán) (超級 )網(wǎng)絡(luò)要有制約措施 ,分散過大的集中權(quán)力 ,以降低災(zāi)難程度。 提高安全性意識 安全性意識是解決安全性問題的基礎(chǔ)，只有提高所有用戶的安全性意識，才能有力地保證網(wǎng)絡(luò)的安全性，安全性設(shè)計主要考慮三個基本的因素。 安全性意識來源于對 長沙市 X 醫(yī)院 工作人員進行計算機和網(wǎng)絡(luò)的教育和培訓(xùn)，要增強每個用戶保護 長沙市 X 醫(yī)院 和個人數(shù)據(jù)的道德意識。另外，還要建立一個清楚明了的 政策，向職員們解釋公共可用網(wǎng)絡(luò)資源和專用資源的差別?？诹畹倪x擇、定期修改，以及絕不外泄等是口令安全性的基本保障。 湖南省 X 有限責(zé)任公司 長沙市第 X醫(yī)院信息系統(tǒng)硬件平臺方 案 第 22 頁 網(wǎng)絡(luò)安全的實現(xiàn) 網(wǎng)絡(luò)安全方面，根據(jù)有關(guān) 部 門 在 Inter/Intra 互聯(lián)方面的有關(guān)規(guī)定和實際要求，采用如下安全措施：內(nèi)部網(wǎng)絡(luò)（ Intra）與互聯(lián)網(wǎng)（ Inter）從物理上分開，保證內(nèi)網(wǎng)安全。為此在與他們連接時，必須安裝相應(yīng)的安全隔離設(shè)備。 首先，我們在路由器上設(shè)置訪問列表，進行地址的校驗，控制 IP 地址的流向及路由，進行初步的防火。通過代理服務(wù)器與外部網(wǎng)接入路由器相連，隔離內(nèi)外網(wǎng)，實現(xiàn)安全控制。這樣網(wǎng)絡(luò)管理員就可以保證內(nèi)部網(wǎng)絡(luò)是“不可見”的，并且只有在 DMZ 網(wǎng)絡(luò)上選定的系統(tǒng)才對外聯(lián)網(wǎng)開放（通過路由表和 DNS 信息交換）。同時防火墻對所有通過的數(shù)據(jù)包進行校驗，設(shè)置用戶的訪問權(quán)限，對于非法用戶拒絕訪問；并設(shè)置跟蹤源和目的地址、 TCP 序列號、端口及每個分組（包）的附加 TCP 標(biāo)識符，對于非法侵入的用戶進行跟蹤，并進行隔離?！皟?nèi)部路由器”只向內(nèi)部網(wǎng)絡(luò)通告 DMZ 網(wǎng)絡(luò)的存在，內(nèi)部網(wǎng)絡(luò)上的系統(tǒng)不能直接通往外聯(lián)網(wǎng)，包過濾路由器直接將數(shù)據(jù)引向 DMZ 網(wǎng)絡(luò)上所指定的系統(tǒng)。 對于普通的用戶，可以允許訪問公共的 WWW 等服務(wù)器，并在服務(wù)器上設(shè)置用戶的訪問權(quán)限，保護服務(wù)器系統(tǒng)不受損害。 湖南省 X 有限責(zé)任公司 長沙市第 X醫(yī)院信息系統(tǒng)硬件平臺方 案 第 23 頁 另外，該防 火墻也對局內(nèi)用戶進入 Inter 的計算機進行過濾，從而進一步增強服務(wù)段網(wǎng)絡(luò)的安全。 防病毒系統(tǒng)設(shè)計 病毒是系統(tǒng)中最常見、威脅最大的安全來源，建立一個全方位的病毒防范系統(tǒng)是 市財政局網(wǎng)絡(luò) 安全體系建設(shè)的重要任務(wù)。如果有 Notes 等群件系統(tǒng)同樣要 配置 群件防 病毒控制系統(tǒng)。在防病毒管理服務(wù)器端能夠交互式地操作防病毒客戶端進行病毒掃描和清殺，設(shè)定病毒防范策略。 完善的運行日志記錄：日志包括了從服務(wù)器到客戶端計算機運行的所有記錄。 建議為 市 X 醫(yī)院 網(wǎng)絡(luò) 部署 瑞星 100 用戶 企業(yè)網(wǎng)絡(luò)版 防病毒系統(tǒng)。防火墻能有效的控制內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的訪問及數(shù)據(jù)傳輸，從而達到保護內(nèi)部網(wǎng)絡(luò)的信息不受外部非授權(quán)用戶的訪問和過濾不良信息的目的。 為了保障外部移動用戶在與內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)交換時的安全，保障內(nèi)部網(wǎng)絡(luò)應(yīng)用的安全，將防火墻置于路由器與內(nèi)部網(wǎng)絡(luò)之間，以保護內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)安全，防止網(wǎng)絡(luò)受到外部非法侵入。 天融信 NGFW ARES— G 防火墻介紹 NGFW ARES 網(wǎng)絡(luò)衛(wèi)士系列防火墻是基于天融信公司具有自主知識產(chǎn)權(quán)的 TOS（ Topsec Operating System）系統(tǒng)平臺，形成了集防火墻、 IPSEC VPN、入侵檢測、身份認(rèn)證等多種功能一體化的高效率平臺，為行業(yè)分支 機構(gòu)、中小型企業(yè)、教育非骨干節(jié)點院校等中小用戶可提供一個可靠的安全解決方案。單臺設(shè)備即可解決普通中小用戶的基本安全需求。 ☆ 豐富的接入方式支持能力。 獨創(chuàng)的高效率防火墻技術(shù) ☆ 在天融信自主開發(fā) TOS 操作系統(tǒng)上的防火墻安全引擎（ SE）采用了基于 OS 內(nèi)核的核檢測技術(shù)，在 OS 內(nèi)核實現(xiàn)對應(yīng)用層的訪問控制，實現(xiàn)二到七層的全面的訪問控制機制，從而最大化提高系統(tǒng)處理效率。它采用系統(tǒng)核心層實現(xiàn)傳輸內(nèi)容的還原、檢測，從而確保不影響網(wǎng)絡(luò)傳輸效率的前提下進行深層安全掃描。 便捷安全的管理方式 ☆ NGFW ARES 實現(xiàn)即裝即用的便捷管理方式，提供命令行和 GUI 等多種管理手段，配置簡單易學(xué)。要求 GUI 客戶端對防火墻進行證書認(rèn)證的同時，防火墻也要對客戶端進行證書認(rèn)證，避免了傳統(tǒng)不對 GUI 客戶端進行認(rèn)證的安全問題。 支持對 HTTP、 SMTP、 POP FTP 等協(xié)議的深度內(nèi)容過濾。 湖南省 X 有限責(zé)任公司 長沙市第 X醫(yī)院信息系統(tǒng)硬件平臺方 案 第 26 頁 包過濾 基于狀態(tài)檢測的動態(tài)包過濾 實現(xiàn)基于源 /目的 IP 地址、源 /目的 MAC 地址、源/目的端口、協(xié)議、時間等數(shù)據(jù)包快速過濾 支持報文合法性檢查 可實現(xiàn) IP/MAC 綁定 防御攻擊 非法報文攻擊 ： land 、 Smurf、 Pingofdeath、winnuke、 tcp_sscan、 ip_option、 teardrop、 targaipspoof 統(tǒng)計型報文攻擊： Synflood、 Icmpflood、Udpflood、 Portscan、 ipsweep Topsec 聯(lián)動：可與支持 TOPSEC 協(xié)議的 IDS 設(shè)備聯(lián)動，以提高入侵檢測效率。 支持 Vlan 路由，能夠在不同的 VLAN 虛接口間實現(xiàn)路由功能。 組播 支持 IGMP 組播協(xié)議 支持 IGMP SNOOPING 可有效地實現(xiàn)視頻會議等多媒體應(yīng)用 VLAN 支持與交換機的 Trunk 接口對接，并且能夠?qū)崿F(xiàn)Vlan 間通過安全設(shè)備傳播路由 支持 ，能進行 的封裝和解封 支持 ISL，能進行 ISL 的封裝和解封 在同一個 Vlan 內(nèi)能進行二層交換 生成樹 支持 生成樹協(xié)議，包括 PVST+及 CST 等協(xié)議。 DHCP 支持 DHCP Client、 DHCP Relay、 DHCP Server 接入 支持 ADSL 接入功能，可滿足中小企業(yè)的多種接入需求。 *VPN IKE 支持基于標(biāo)準(zhǔn) IKE 協(xié)商的 VPN 通信隧道 支持多種 IKE 認(rèn)證方式，如預(yù)共享密鑰，數(shù)字證書等 支持 IKE 擴展認(rèn)證，如 Radius 認(rèn)證等。 可以和密碼機產(chǎn)品，遠程客戶端產(chǎn)品及 VPN 安全管理系統(tǒng)（ SCM）共同組成完整的 VPN 解決方案。 可選高級日志審計功能模塊，除接受防火墻日志外還能接受交換機、路由器、操作系統(tǒng)、應(yīng)用系統(tǒng)和其他安全產(chǎn)品的日志進行聯(lián)合分析。 可根據(jù)配置文件進行錯誤恢復(fù) 報警 報警事件：內(nèi)置了 “ 管理 ” 、 “ 系統(tǒng) ” 、 “ 安全 ” 、“ 策略 ” 、 “ 通信 ” 、 “ 硬件 ” 、 “ 容錯 ” 、 “ 測試 ”等多種觸發(fā)報警的事 件類 報警方式：采用郵件、 NETBIOS、聲音、 SNMP、控制臺等多種報警方式，報警方式可以組合使用。 支持遠程維護和系統(tǒng)升級 湖南省 X 有限責(zé)任公司 長沙市第 X醫(yī)院信息系統(tǒng)硬件平臺方 案 第 30 頁 支持 TFTP 升級 報文調(diào)試 提供強大的報文調(diào)試功能，可以幫助網(wǎng)絡(luò)管理員或安全管理員發(fā)現(xiàn)、調(diào)試和解決問題。 其它 擴展能力 開放式的架構(gòu)支持未來方便擴展防病毒、防垃圾郵件、 IPSEC VPN、 SSL VPN 等功能以及各種 VPN 加速卡 設(shè)備簡介 中心交換機 一、概況 BigHammer6800 系列核心智能多層交換機是港灣網(wǎng)絡(luò)有限公司在現(xiàn)今網(wǎng)絡(luò) 融合的趨勢下，針對目前電信級城域網(wǎng)、企業(yè)級中小城域網(wǎng)及大型園區(qū)網(wǎng)對核心設(shè)備高性能、高可靠性、高智能、高安全、高端口密度