目 录
第1章 系统需求分析
1.1概述
1.2总体需求
1.3网络建设原则
1.4网络系统的整体架构
1.5医院业务应用分析
1.5.1医院业务划分
1.5.2应用系统分类
1.5.3医院业务系统的需求
第2章 网络总体设计
2.1XXXX区人民医院整体网络设计
2.1.1 组网说明
2.2方案特性总结
2.2.1电信级的可靠性
2.2.2先进的虚拟化技术应用
2.2.3有线无线一体化
2.2.4网络与安全的深度融合
2.2.5统一管理
第3章 端点准入防御(EAD)方案
3.1概述
3.2方案思路
3.3方案组成部分
3.4 EAD应用模式
3.5应用模型
3.5.1安全准入应用模型
3.5.2安全准入工作流程
3.6功能特点
3.6.1安全状态评估
3.6.2用户权限管理
3.6.3用户行为监控
第4章 无线解决方案
4.1概述
4.2客户需求
4.3无线组网选择
4.4无线网络建设方案
4.4.1整体组网方案
4.4.2覆盖解决方案
4.4.3 覆盖效果理论计算
第5章 管理中心设计
5.1集成化管理平台
5.2系统安全管理
5.3资源管理
5.4拓扑管理
5.5故障(告警/事件)管理
5.6告警深度关联分析与统计
5.7性能管理
5.8设备管理组件
5.9接入与准入控制
第1章 系统需求分析
1.1概述
卫生部于 2002/5/28 日出台《医院信息系统基本功能规范》,制定了全国医疗信息化建设的统一技术标准,评审开发商的产品和解决方案的依据和标准和医院信息化建设的指导性文件。
指出医院信息系统应该包括 临床诊疗、药品管理、经济管理、综合管理与统计分析等部分。详细规定了:门诊医生工作站分系统、护士工作站分系统、医学影像分系统、药品管理分系统等的功能规范。对医疗信息系统与医疗保险、社区卫生服务、远程医疗咨询系统的外部接口规定了统一标准。
医院信息化包括管理信息化、临床管理信息化、局域医疗卫生服务信息化三个阶段。目前大多数医院停留在医院管理信息化阶段,需要将化验自动化-》信息化;
医院的HIS 系统包括:医院管理信息系统(MIS)、临床信息系统(CIS)、医学影像和通信系统(PACK)、办公自动化系统(OA)。
医院信息化即医院信息系统(HIS)建设将经历三个阶段:医院管理信息化阶段(HMIS)、临床管理信息化阶段(HCIS)、局域医疗卫生服务阶段(GMIS)。
医院信息化系统的结构如下:
1.2总体需求
XXXX区人民医院网络建设将覆盖整个新综合大楼、老住院部、门诊部等几大主楼。新综合大楼和老住院部的通过万兆光纤连接到门诊大楼网络中心,门诊大楼内部接入交换机通过双链路千兆上行直接接入数据中心核心交换机;本次建设的采用10G光纤主干到中心,1000M到桌面的方式;根据今后XXXX区人民医院的发展需求,目前我们的网络应该具有高带宽、高可靠、高性能、高安全的特性,骨干速率达到万兆。网络关键节点能够冗余热备保障系统连续稳定运行。使新建成的网络能够很好的为上述提到的医疗网络化建设服务。符合国家卫生部对医疗机构实现三步信息化的要求。新建的局域网将为各种应用和服务提供更快的速度、更高的质量和性能,并为新的信息应用系统提供可靠的网络平台,提高医院的服务质量和经济效益。
1.3网络建设原则
1、实用性:整个网络系统具有较高的实用性;
2、时效性:网络应保证各类业务数据流的及时传输,网络时效性要强,网络延时要小,确保业务的实时高效;
3、可靠性:整个网络系统应具有很高的安全可靠性,必须满足7×24×365 小时连续运行的要求。在故障发生时,网络设备可以快速自动地切换到备份设备上;
4、安全性:能有效防止网络的非法访问,保护关键数据不被非法窃取、篡改或泄漏,使数据具有极高的安全性;
5、完整性:网络系统应实现端到端的、能整合数据、语音和图像的多业务应用,满足全网范围统一的实施安全策略、QoS 策略、流量管理策略和系统管理策略的完整的一体化网络;
6、效益性:网络的投资应随着网络的伸缩能够持续发挥作用,保护现有网络的投资,充分发挥网络投资的最大效益;
7、可伸缩性:网络要具有面向未来的良好的伸缩性能,既能满足当前的需求,又能支持未来业务网点、业务量、业务种类的扩展和与其它机构或部门的连接等对网络的扩充性要求。
1.4网络系统的整体架构
医院信息系统的网络采用三级架构,分为核心层、汇聚层、接入层。核心层位于医院门诊大楼网络的中心,负责全网的路由交换信息,并与各服务器、存储等医院核心应用相连;在新综合大楼和老住院部大楼设立汇聚层,XX汇聚交换机通过XX双链路上联信息中心的数据中心交换机,下接大楼各楼层的千兆接入交换机,(其中新综合大楼采用多模1000M光纤连接、老住院部大楼采用1000M 6类线接入),接入层分布在大楼楼层的分配线间负责直接接入桌面系统。
1.5医院业务应用分析
1.5.1医院业务划分
医院的业务系统有很多,而且不同的专科医院业务系统也有很大区别,但以下一些业务系统是医院都具有的:
门诊系统
住院系统
体检系统
PACS系统
医院管理经济系统
区域医疗系统
1.5.2应用系统分类
医院信息系统主要分成以下两类:
1医院管理系统
门、急诊挂号子系统
门、急诊病人管理及计价收费子系统
住院病人管理子系统
药库、药房管理子系统
病案管理子系统
医疗统计子系统
人事、工资管理子系统
财务管理与医院经济核算子系统
医院后勤物资供应子系统
固定资产、医疗设备管理子系统
院长办公综合查询与辅助决策支持系统
2临床医疗信息系统
住院病人医嘱处理子系统
护理信息系统
门诊医生工作站系统
临床实验室检查报告子系统
医学影像诊断报告处理系统
放射科信息管理系统
手术室管理子系统
功能检查科室信息管理子系统
病理卡片管理及病理科信息系统
血库管理子系统
营养与膳食计划管理子系统
临床用药咨询与控制子系统
1.5.3医院业务系统的需求
1)门诊系统
门诊业务作为医院直接面对患者的窗口具有非常重要的地位和自己的特点(包括焦急的病人无法忍受长时间的等待、门诊业务主要集中在上午等),门诊业务具有可靠性高、并发性、实时性和突发性强等特点。因此门诊业务对网络提出了高可靠性、高带宽和QoS的要求。
2)住院系统
住院业务是医院的另一个主要组成部分,是医院经济收入的主要来源,同时还直接关系到重病患者的生命安全,具有以下几个特点:
住院业务的网络上流动着重症病人生命数据和各种新业务数据;
住院业务保存有患者病案数据和住院费用数据;
医生无线移动查房;
病人呼叫系统;
网上视频监控系统;
针对住院业务的以上特点,住院业务对网络提出了高可靠性、安全存储、QoS和无线局域网、VoIP和视频会议系统的需求。
3)体检系统
现在很多医院纷纷建立专门的体检大楼,以满足社会上不断扩大的体检需求。从业务角度上讲体检系统非常简单,它对网络的需求主要体现在安全性上,如何保护体检服务器上体检人员数据安全和体检大楼网络安全是医院体检系统解决方案所关注的。
4)PACS系统
医院的PACS系统主要是完成对患者的各种影像数据进行采集、存储、传输和处理,并在全院范围内进行共享,由于是各种图形图像数据,因此具有存储量大的特点,为了更好的服务于医院业务,PACS业务对支撑系统提出以下要求:存储量大、扩展性强、数据快速存储、数据容灾、高带宽
5)管理经济系统
医院管理经济系统主要是人、财、物的管理,包括人事、财务管理、药品药库管理等,因此它最大的需求是数据在服务器端和网络上的安全,保证这些数据不会泄露。
6)区域医疗系统
一方面为了发挥中心医院的辐射和覆盖作用,另一方面充分利用各家医院的特色科室的力量,区域医疗把这些资源进行共享和整合,这需要稳定的广域网连接。
第2章 网络总体设计
近几年来,网络设计采用积木方式来设计交换式网络。这种积木方式将网络分割成3个不同的层次,即核心层、汇聚层、接入层。如下图:
层次设计方法可为网络带来以下三个优点:
1、层次性网络的可扩展性
可扩展性是在包交换网络连接中使用层次性设计的主要优点。层次性网络具有更多的可扩展性是因为它可以让你用模块化方式扩展网络,而不会遇到非层次性网络或平面性网络很快所遇上的问题。但是,层次性网络同时也提出了一定的问题需要仔细考虑。这些问题包括:虚电路的费用,层次设计(尤其是网状拓扑〕的内在复杂联系,以及需要额外的路由器接口来划分网络层次。
为了获得层次性网络结构的优点,你必须使你的网络层次结构充分与你所在地区的拓扑相符合。设计取决于你所使用的包交换模式,以及你所想要的容错能力、网络性能和网络造价。
2、层次性网络的可管理性
使网络简单化--通过把网络元素划分为小单元、层次化,降低了整个网络的复杂性。这种网络单元的划分使故障诊断变得清晰和简单了,同时还可以提供防止广播风暴、路由循环等其他潜在问题的内在保护机制。
使设计更灵活--层次化设计使得骨干网和分布网之间的包交换形式更具灵活性。很多网络都得益于使用混合方式来构造整个网络架构。在大多数情况下,可在骨干网部分使用专线而在区域网或本地网接入部分使用包交换服务。
使交换机、路由器管理更容易--由于层次化网络结构使网络分层,相对缩小的网络区域使路由器的邻居或对等通信端量减少,因此时路由器的配置变得简单化。
3、优化广播和多点广播的流量控制
在包交换网络中,减少路由器之间广播信息量的最直接方法就是使用更少数目的路由器组,通过层次化模块设计可以较好地控制网络中的广播。通常在包交换网络中最常见的路由器之间的广播信息流量是路由更新信息,如果在一个区域或一个层次中有太多的路由器,那么就会因为广播的原因而造成网络瓶颈。层次化的网络结构使你可以对区域网向骨干网的广播作出限制。
因此,对于XXXX区人民医院网络工程来说,想要建设成为一个全所的、网络性能优良的、具有很强扩展能力和升级能力的大型综合网络,那么在网络的设计中就必须采用层次化的网络设计原则。
2.1XXXX区人民医院整体网络设计
2.1.1 组网说明
在XXXX区人民医院网络整体设计中,均采用层次化、模块化的网络设计结构,并严格定义各层功能模型,通过逻辑方式设置不同的权限,不同层次关注不同的特性配置。整个网络的结构组成分成三层:接入层、汇聚层、核心层。
1) 接入层:提供网络的第一级接入功能,完成简单的二、三层交换,安全、Qos和POE功能都位于这一层。对于医院信息网的接入层设备,建议采用千兆二层接入的方式,应该具有线速交换、智能弹性堆叠技术以及高级QoS策略等功能。
2)汇聚层:汇聚交换机采用万兆双链路的方式接入核心交换机,从而提供链路的冗于及数据的负载均衡。汇聚层交换机作为核心交换机与接入交换机的中接点,其作用是承上启下,应具备丰富的业务特性,高带宽、高性能、支持线速转发以及10GE扩展接口。
2) 核心层:网络的骨干,必须能够提供高速数据交换和路由快速收敛,要求具有较高的可靠性、稳定性和易扩展性等。对于医院信息网核心层,必须提供高性能、高可靠的网络结构,推荐采用高可靠的多设备冗余的星型结构。对于医院信息网核心层设备,应该在提供大容量、高性能L2/L3交换服务基础上,能够进一步融合了硬件IPv6、网络安全、网络业务分析等智能特性,可为医院信息构建融合业务的基础网络平台,进而帮助用户实现IT资源整合的需求。
如图示意,XX区人民医院网络系统分为五大区域:分别为上联农村合作医疗、医保中心和龙宝分院的上联区、核心数据服务器区、数据安全管理区、核心数据交换区、接入区。
上联区:医院业务网需要和农村合作医院、医保中心及龙宝分院的信息网进行连接,实现数据交换。对于某些业务系统对用户开放,而为了保护数据的安全,需要配置防火墙来防护外部攻击防范,支持内网安全、流量监控、网页过滤、邮件过滤、应用层过滤等功能,能够有效地保证网络的安全。
核心数据服务器区:涉及工作秘密的关键数据传和工作中的应用数据和系统本身涉及的敏感数据如密码等,为更好的提高核心数据服务器的应用和安全,公司设计将服务器直接接入数据中心核心交换机上,数据中心核心交换机提供高带宽、高转发、高交换平台提高服务器的应用,并且通过在数据中心核心交换机上配置的防火墙板块来为服务器提供安全防护。
核心数据交换区:在XXXX区人民医院新建设的局域网结构选择中,本方案建议选用双核心结构,具有以下优点:
可靠性高:采用两个核心节点的双连接星型网络结构,使得网络具有可靠性、可用性及安全性,避免了单点失效的隐患。
支持流量的负载分担:网络流量可能随着多种业务的发展日益壮大(如语音,视频会议),网络流量的负载分担问题将会成为网络可用性的主要因素,采用双连接的网络结构,使得网络的流量能够比较合理的分布在各条链路上。
支持网络的冗余备份:核心节点采用两台高性能的网络设备,使得核心层具有较好的冗余备份能力。同时,两台核心设备之间要采用万兆高速链路互连,提供了核心设备间的高速互连带宽,避免两台设备之间形成传输瓶颈。
在信息中心机房,配置二台高性能的超万兆数据中心核心交换机 H3C S7506E-S,H3C S7500E系列产品是杭州XX通信技术有限公司,面向融合业务网络的高端多业务路由交换机,该产品基于H3C自主知识产权的Comware V5操作系统,以IRF2(Intelligent Resilient Framework 2,第二代智能弹性架构)技术为系统基石的虚拟化软件系统,进一步融合MPLS VPN、IPv6、网络安全、无线、无源光网络等多种网络业务,提供不间断转发、不间断升级、优雅重启、环网保护等多种高可靠技术,在提高用户生产效率的同时,保证了网络最大正常运行时间,从而降低了客户的总拥有成本(TCO)。H3C S7500E符合“限制电子设备有害物质标准(RoHS)”,是绿色环保的路由交换机。
数据中心核心交换机配置我公司最新研制出的防火墙,保障访问数据的安全。并采用业界最先进的虚拟化技术,将两台物理核心设备虚拟成一台逻辑设备,实现协同工作、统一管理和不间断维护功能,两台数据中心核心交换机采用双万兆链路相连,消除业务流量转发的速率瓶颈。
数据安全管理区:配置H3C iMC智能管理中心作为全网的管理平台,配置EAD组件对终端用户进行准入控制.
接入区:在本方案设计中,在新综合大楼和老住院部大楼设立汇聚分中心,汇聚节点作用是承上启下,通过双万兆链路上联数据中心核心交换机,下接本楼层的接入交换机。在新综合大楼内接入交换机采用1000M多模上联汇聚交换机,在老住院部大楼内接入交换机采用1000M 6类线上联汇聚交换机,所以我公司建议采用H3C S5500-EI增强型万兆三层交换机,H3C S5500-EI系列交换机是H3C公司最新开发的增强型IPv6强三层万兆以太网交换机产品,具备业界盒式交换机最先进的硬件处理能力和最丰富的业务特性。支持最多4个万兆扩展接口,支持IPv4/IPv6硬件双栈及线速转发,使客户能够从容应对即将带来的IPv6时代;除此以外,其出色的安全性,可靠性和多业务支持能力使其成为大型企业网络和园区网的汇聚,中小企业网核心、以及城域网边缘设备的第一选择。
本方案建议所用楼层采用千兆接入交换机来提供终端用户的接入,我公司选用 H3C S5120-EI系列交换机,H3C S5120-EI系列交换机是H3C公司自主开发的全千兆三层以太网交换机产品,具备丰富的业务特性,提供IPv6转发功能以及最多4个10GE扩展接口。通过H3C特有的IRF(智能弹性架构)功能,用户能够简化对网络的管理。S5120-EI系列千兆以太网交换机定位为企业网千兆接入,同时还可以用于数据中心服务器群的连接。
2.2方案特性总结
2.2.1电信级的可靠性
网络系统的可靠性主要由线路质量,设备可靠性,网络协议可靠性等多个方面来保证,在本方案中,信息网的核心层设备均采用双机冗余,且采用了H3C公司最先进的虚拟弹性技术架构,数据中心核心交换机采用无单点故障设计,所有关键部件等采用冗余设计;无源背板避免了机箱出现单点故障;所有单板和电源模块支持热插拔功能;可以在恶劣的环境下长时间稳定运行,达到99.999%的电信级可靠性;支持不间断转发和优雅重启,提供毫秒级的切换时间;支持等价路由,可帮助用户建立多条等值路径,实现流量的负载均衡及冗余备份;支持RRPP快速环网保护协议,提供小于200ms的环网故障保护;支持Smart-Link协议,保证双上行网络拓扑的业务毫秒级快速切换。通过上述技术,核心交换机可以在承载多业务的情况下不间断运行,实现业务的永续;能够在不重启设备的前提下,通过热补丁技术,在线修改软件BUG,增加新的业务特性。核心交换机提供控制补丁单元状态切换的用户命令,使用户能够方便的加载、激活、去激活、运行或删除补丁单元。通过热补丁技术,降低了设备需要重启的次数,为客户提供更长的网络正常工作时间。
核心设备均采用双链路方式,防火墙也采用双板卡冗余,整个网络系统设计在关键区域均避免了单设备、单板卡和单链路故障隐患。
2.2.2先进的虚拟化技术应用
在本方案中,医院信息网的核心设备均采用了智能弹性虚拟化技术,就是把多台物理设备互相连接起来,使其虚拟为一台逻辑设备,也就是说,用户可以将这多台设备看成一台单一设备进行管理和使用。虚拟化可以为用户带来以下好处:
简化管理 虚拟化架构形成之后,可以连接到任何一台设备的任何一个端口就以登录统一的逻辑设备,通过对单台设备的配置达到管理整个智能弹性系统以及系统内所有成员设备的效果,而不用物理连接到每台成员设备上分别对它们进行配置和管理。
简化业务 虚拟化形成的逻辑设备中运行的各种控制协议也是作为单一设备统一运行的,例如路由协议会作为单一设备统一计算,而随着跨设备链路聚合技术的应用,可以替代原有的生成树协议,这样就可以省去了设备间大量协议报文的交互,简化了网络运行,缩短了网络动荡时的收敛时间。
弹性扩展 可以按照用户需求实现弹性扩展,保证用户投资。并且新增的设备加入或离开虚拟化架构时可以实现“热插拔”,不影响其他设备的正常运行。
高可靠 虚拟化的高可靠性体现在链路,设备和协议三个方面。成员设备之间物理端口支持聚合功能,虚拟化系统和上、下层设备之间的物理连接也支持聚合功能,这样通过多链路备份提高了链路的可靠性;虚拟化系统由多台成员设备组成,一旦Master设备故障,系统会迅速自动选举新的Master,以保证通过系统的业务不中断,从而实现了设备级的1:N备份;虚拟化系统会有实时的协议热备份功能负责将协议的配置信息备份到其他所有成员设备,从而实现1:N的协议可靠性。
高性能 对于高端交换机来说,性能和端口密度的提升会受到硬件结构的限制。而虚拟化系统的性能和端口密度是虚拟化内部所有设备性能和端口数量的总和。因此,虚拟化技术能够轻易的将设备的交换能力、用户端口的密度扩大数倍,从而大幅度提高了设备的性能。
2.2.3有线无线一体化
本方案中,通过无线控制器、智能管理中心无线管理组件实现了统一的网络控制、可扩展性、安全性和可靠性,构筑了统一的、端到端的网络环境,即实现了有线无线一体化,将有效保障应用,保护用户投资,降低部署的复杂性,减少管理维护工作量,从而降低总体拥有成本(TCO),这种组网方式能给用户带来如下的价值:
各项成本降低:具体到WLAN技术同有线网络的一体化,在部署时,由于WLAN设备采用了标准化,原有网络系统、管理系统及接入认证系统等能够重用,网络投资可以极大的降低。同时重用现有系统使得用户不需要费时去学习掌握新知识,节省时间和培训费用;一旦网络出现故障,由于熟悉现有的系统也能够快速定位故障,可以极大的降低运营过程中由于故障带来的损失;另外目前部署11n时,前期购买的终端依然能够不受任何影响的接入到网络,保证了客户的历史投资。在WLAN网络升级扩容时,简单的增加标准件AP就能够实现接入容量的增加,而现有的网络架构基本上不做改动,有效降低扩容成本。
现场维护扩容简单:在WLAN AP部署时,充分考虑到有线网的特性,采用零配置即连即用的技术,对现有有线接入网络不做任何修改,仅仅修改DHCP服务器或者DNS服务器的配置,在无线控制器(AC)上进行配置,就可以提供WLAN接入服务,大大降低了网络部署成本。需要更换设备时,新的AP设备接上以太网线就可以成功接入到网络,不需要改变无线控制器上的配置,对安装维护人员没有技术背景要求,轻松实现设备维护更换和网络扩容。
提升维护效率:部署时通过PoE交换机给WLAN AP供电,对WLAN网络进行管理优化需要移动AP时,直接拉动以太网线就可以实现,大大降低工作量。如果用户进行管理维护时需要对AP进行开关电重启,只需要在网管侧对PoE交换机进行操作即可轻松实现,避免维护来回奔波和攀爬的辛苦,提高管理维护的效率,节省用户的管理维护工作量。
实现整网安全:与有线一体的统一终端控制软件,统一认证控制,有效的一次认证实现多种计费模式,统一的防病毒方式,使无线网络的安全同有线完全一样,有效的避免了无线引入新的病毒。重点防范802.11物理和链路层的安全,并与有线网络的安全实现联动,确保实现整个网络的安全。
管理平台统一高效:WLAN网络的管理同有线的网络管理一样,采用同一个的告警平台,采用同一个日志管理系统,在同一个界面中显示完整的网络拓扑,将无线射频管理独立为管理组件,充分实现有线无线一体化的管理,不需要单独的平台,不需要两个界面,自然也不需要购买专门的服务器和额外的管理系统培训。通过一体化拓扑管理,在网络出现故障时,能够从网络拓扑中轻松看到网络的故障点是接入端口的PoE电源供电失效,还是链路出现故障,还是网络中出现广播风暴,导致链路上数据交换过于繁忙。从而降低故障定位人员的管理工作量。通过人网的合一管理,用户接入到网络时,实时显示使用者在网络的哪个设备端口上,快速定位故障用户。
2.2.4网络与安全的深度融合
传统的组网方式中,安全设备都是以独立的形态部署到网络中,而在本方案中,防火墙安全设备均是以插卡的方式部署到数据中心核心交换机中,与基础网络设备融合,具有即插即用、扩展性强的特点,降低了用户管理难度,减少了维护成本。这种部署方式具有如下优点:
A、降低出现单点故障单点瓶颈
a)Bypass特性:在运营网络中可靠性是至关重要的因素,传统安全设备没有网络设备的高可靠性保证技术(如冗余引擎、机箱温控、风扇转速检测、链路故障检测、路由快速收敛等),因此实际部署中容易形成单点故障,采用安全插卡后可以利用交换机的各种高可靠性技术来提高自身的可靠性,并且,还能够实现bypass的功能,在安全设备故障的时候直接短接,跳过防火墙,收敛时间在100ms内,保证网络转发照常进行。
b)以太网OAM:利用核心交换机成熟的OAM技术,可以实现VCT双绞线连通性检测、DLDP单通链路检测、GR等增强的可靠性特性,大大加强了安全设备的可靠性。
c)减少连接故障:从连接方式方面,安全插卡采用内置板卡的方式,避免了传统机架设备复杂的网线连接方式,避免了网线连接产生的接触不良和端点故障。减少了网络中的单点故障。
d)供电和功耗:供电方面,安全插卡采用交换机内置电源,具有电源冗余,可靠性更高,并且安全插卡的功耗及其设计也很独到,温度适应力比较好而且稳定性非常高。安全插卡的单板的功耗低于100W。模块设计采用业界最新的多核网络处理器设计,稳定性及其功能方面都比较优秀。
e) 热插拔:安全插卡接口卡支持热插拔,扩展性能不需要中断业务,大大提高了网络的灵活性。
B、降低投入成本
a)硬件成本降低:将安全设备作为交换机业务插卡方式部署,可以让安全设备共享交换机背板和电源,实现节省了防火墙的电源、温控、风扇等多方面硬件成本。
b)端口扩展成本降低:传统机架安全设备网络接口通常有限, 在实际应用中接口未必能满足要求,而安全插卡部署后, 交换机每个端口都可以具备防火墙功能,相当于在核心交换机每个接口上都部署了防火墙,极大的节省了防火墙端口投入成本。
c) 虚拟防火墙:由于防火墙插卡支持256个虚拟防火墙,而每个虚拟防火墙可以独立进行配置,好比在网络中部署了256个独立的小型防火墙,可以为不同的业务分配不同虚拟防火墙实例,极大的节省了防火墙投入。 并且这些虚拟防火墙可以集中管理配置。
C、管理优势
a)图形界面和命令行结合:安全插卡模块提供了图形管理界面。不同虚拟防火墙实例的使用者也不同,使用习惯和技术水平也不同,有的用户习惯使用图形化配置,有的用户习惯使用命令行配置,在安全插卡上可以统一提供。
b)单独管理和统一管理结合:为了将安全插卡的管理和高端交换机的接口单板的管理一体化,安全插卡的单板可以通过高端交换机的主控板实现对接口板的统一管理,安全插卡的状态等可以基于主控板统一显示给用户;另外,用户完全可以象配置接口板一样,在主控板的串口上直接透明地对安全插卡的接口板进行配置。这样完全透明的管理给用户统一的接口,使得管理方便简单。如果交换机和安全插卡由不同业务部门管理,则在安全插卡也可以用自身提供千兆接口进行带外网管或者集中网管,而不经过交换机。
2.2.5统一管理
1、网络设备管理
IMC网管系统除了具有设备网管的功能,同时具有很强的平台网管功能(包括安全,拓扑,告警,性能等通用网管的功能)。针对第三方设备可以做到基本的管理。下面针对具体的管理功能进行介绍。
资源拓扑管理
IMC网管平台可以在拓扑图中发现所有可网管设备,以相应的图标表示在拓扑图中。
告警管理
对于第三方厂商设备的告警,IMC可以全部接收并对其中的标准告警进行解析。
性能管理
IMC系统可以对第三方设备进行通用性能监视,包括接口的流量监视,利用率监视,设备IP包转发,设备响应时间的监视等。同时如果需要针对特殊设备性能的检视,可通过增加自定义性能模板脚本来达到要求。
此方案适用于已有网络存在的设备主要是H3C设备,并且有部分第三方厂商的设备,同时需要兼顾第三方设备的管理。该方案可以实现对H3C设备的完全管理(包括通用管理,设备管理及业务级管理),同时针对第三方设备的管理可以达到通用管理的程度,同时针对某些设备的特性管理,可进行适当定制(如定制服务监控,告警解析,性能模板),从而达到对第三方设备的比较全面的管理。
2、用户管理
EAD解决方案安全准入主要是通过身份认证和安全策略检查的方式,对未通过身份认证或不符合安全策略的用户终端进行网络隔离,并帮助终端进行安全修复,以达到防范不安全网络用户终端给安全网络带来安全威胁的目的。
图表 EAD解决方案安全准入应用模型图
安全准入工作流程:
身份验证:用户终端接入网络时,首先进行用户身份认证,非法用户将被拒绝接入网络。目前EAD解决方案支持802.1x和Portal认证。
安全检查:身份认证通过后进行终端安全检查,由CAMS安全策略服务器验证用户终端的安全状态(包括补丁版本、病毒库版本、软件安装等)是否合格。
安全隔离:不合格的终端将被安全联动设备通过ACL策略限制在隔离区进行安全修复。
安全修复:进入隔离区的用户可以进行补丁、病毒库的升级、卸载非法软件和停止非法服务等操作,直到安全状态合格。
动态授权:如果用户身份验证、安全检查都通过,则CAMS安全策略服务器将预先配置的该用户的权限信息(包括网络访问权限等)下发给安全联动设备,由安全联动设备实现按用户身份的权限控制。
实时监控:在用户网络使用过程中,安全客户端根据安全策略服务器下发的监控策略,实时监控用户终端的安全状态,一旦发现用户终端安全状态不符合企业安全策略,则向CAMS安全策略服务器上报安全事件,由CAMS安全策略服务器按照预定义的安全策略,采取相应的控制措施,比如通知安全联动设备隔离用户。
第3章 端点准入防御(EAD)方案
3.1概述
网络安全问题的解决,三分靠技术,七分靠管理,严格管理是企业、机构及用户免受网络安全问题威胁的重要措施。事实上,多数企业、机构都缺乏有效的制度和手段管理网络安全。网络用户不及时升级系统补丁、升级病毒库的现象普遍存在;随意接入网络、私设代理服务器、私自访问保密资源等行为在企业网中也比比皆是。管理的欠缺不仅会直接影响用户网络的正常运行,还可能使企业蒙受巨大的商业损失。
为了解决现有网络安全管理中存在的不足,应对网络安全威胁,H3C推出了端点准入防御(EAD,Endpoint Admission Control)解决方案。该方案从用户终端准入控制入手,整合网络接入控制与终端安全产品,通过安全客户端、安全策略服务器、网络设备以及防病毒软件产品、软件补丁管理产品的联动,对接入网络的用户终端强制实施企业安全策略,严格控制终端用户的网络使用行为,可以加强用户终端的主动防御能力,大幅度提高网络安全。
EAD在用户接入网络前,通过统一管理的安全策略强制检查用户终端的安全状态,并根据对用户终端安全状态的检查结果实施接入控制策略,对不符合企业安全标准的用户进行“隔离”并强制用户进行病毒库升级、系统补丁安装等操作;在保证用户终端具备自防御能力并安全接入的前提下,可以通过动态分配ACL、VLAN等合理控制用户的网络权限,从而提升网络的整体安全防御能力。
EAD端点准入防御方案包括两个重要功能:安全防护和安全监控。安全防护主要是对终端接入网络进行认证,保证只有安全的终端才能接入网络,对达不到安全要求的终端可以进行修复,保障终端和网络的安全;安全监控是指在上网过程中,系统实时监控用户终端的安全状态,并针对用户终端的安全事件采取相应的应对措施,实时保障网络安全。
3.2方案思路
EAD解决方案的实现思路,是通过将网络接入控制和用户终端安全策略控制相结合,以用户终端对企业安全策略的符合度为条件,控制用户访问网络的接入权限,从而降低病毒、非法访问等安全威胁对企业网络带来的危害。为达到以上目的,H3C提出了包括检查——隔离——修复——监控的整体解决思路。
检查:
检查网络接入用户的身份;
检查网络接入用户的访问权限;
检查网络接入用户终端的安全状态;
隔离:
隔离非法用户终端和越权访问;
隔离存在重大安全问题或安全隐患的用户终端;
修复:
帮助存在安全问题或安全隐患的用户终端进行安全修复,以便能够正常使用网络;
监控:
实时监控在线用户的终端安全状态,及时获取终端安全信息
对非法用户、越权访问和存在安全问题的网络终端进行定位统计,为网络安全管理提供依据;
通过制定新的安全策略,持续保障网络的安全。
3.3方案组成部分
为了有效实现用户终端安全准入控制,需要实现终端安全信息采集点、终端安全信息决策点和终端安全信息执行点的分离,同时还需要提供有效的技术手段,对用户终端存在的安全问题进行修复,使之符合企业终端安全策略,顺利接入网络进行工作。
EAD解决方案的基本部件包括安全策略服务器、防病毒服务器、补丁服务器等修复服务器、安全联动设备和H3C安全客户端,各部件各司其职,由安全策略中心协调,共同完成对网络接入终端的安全准入控制。
安全策略服务器
EAD方案的核心是整合与联动,而安全策略服务器是EAD方案中的管理与控制中心,兼具用户管理、安全策略管理、安全状态评估、安全联动控制以及安全事件审计等功能。
安全策略管理
安全策略服务器定义了对用户终端进行准入控制的一系列策略,包括用户终端安全状态评估配置、补丁检查项配置、安全策略配置、终端修复配置以及对终端用户的隔离方式配置等。
用户管理
企业网中,不同的用户、不同类型的接入终端可能要求不同级别的安全检查和控制。安全策略服务器可以为不同用户提供基于身份的个性化安全配置和网络服务等级,方便管理员对网络用户制定差异化的安全策略。
安全联动控制
安全策略服务器负责评估安全客户端上报的安全状态,控制安全联动设备对用户的隔离与开放,下发用户终端的修复方式与安全策略。通过安全策略服务器的控制,安全客户端、安全联动设备与修复服务器才可以协同工作,配合完成端到端的安全准入控制。
修复服务器
在EAD方案中,修复服务器可以是第三方厂商提供的防病毒服务器、补丁服务器或用户自行架设的文件服务器。此类服务器通常放置于网络隔离区中,用于终端进行自我修复操作。网络版的防病毒服务器提供病毒库升级服务,允许防病毒客户端进行在线升级;补丁服务器则提供系统补丁升级服务,在用户终端的系统补丁不能满足安全要求时,用户终端可连接至补丁服务器进行补丁下载和升级。
安全联动设备
安全联动设备是企业网络中安全策略的实施点,起到强制用户准入认证、隔离不合格终端、为合法用户提供网络服务的作用。根据应用场合的不同,安全联动设备可以是交换机或BAS设备,分别实现不同认证方式(如802.1x或Portal)的端点准入控制。不论是哪种接入设备或采用哪种认证方式,安全联动设备均具有以下功能:
强制网络接入终端进行身份认证和安全状态评估。
隔离不符合安全策略的用户终端。联动设备接收到安全策略服务器下发的隔离指令后,目前可以通过动态ACL方式限制用户的访问权限;同样,收到解除用户隔离的指令后也可以在线解除对用户终端的隔离。
提供基于身份的网络服务。安全联动设备可以根据安全策略服务器下发的策略,为用户提供个性化的网络服务,如提供不同的ACL、VLAN等。
安全客户端
H3C 客户端是安装在用户终端系统上的软件,是对用户终端进行身份认证、安全状态评估以及安全策略实施的主体,其主要功能包括:
提供802.1X、Portal等多种认证方式,可以与交换机、BAS网关等设备配合实现接入层、汇聚层的端点准入控制。
检查用户终端的安全状态,包括操作系统版本、系统补丁、共享目录、已安装的软件、已启动的服务等用户终端信息;同时提供与防病毒客户端联动的接口,实现与第三方防病毒软件产品客户端的联动,检查用户终端的防病毒软件版本、病毒库版本、以及病毒查杀信息。这些信息将被传递到安全策略服务器,执行端点准入的判断与控制。
安全策略实施,接收安全策略服务器下发的安全策略并强制用户终端执行,包括设置安全策略(是否监控邮件、注册表)、系统修复通知与实施(自动或手工升级补丁和病毒库)等功能。不按要求实施安全策略的用户终端将被限制在隔离区。
实时监控系统安全状态,包括是否更改安全设置、是否发现新病毒等,并将安全事件定时上报到安全策略服务器,用于事后进行安全审计。
3.4 EAD应用模式
EAD解决方案对于每一种安全状态的检测,按照处理模式可分为隔离模式、警告模式、监控模式。如防病毒软件的安装和版本检查可以采用隔离模式,补丁软件依照重要性的不同可以采取不同的模式,一些非法软件的安装可以通过警告方式进行提醒。
三种模式对于实现的终端安全状态监控功能各有不同,对安全设备的要求也不相同。
隔离模式
对于一些关系比较重大的安全漏洞或补丁,如Windows服务器的致命安全补丁,需要进行比较严厉的控制。具体来说,就是一旦用户终端安全状态不合格,就限制其网络访问区域为隔离区,在进行修复操作,满足企业终端安全策略要求后,才能重新发起认证,正常接入网络。
隔离模式要求安全联动设备必须支持动态ACL特性,能够实时应用安全策略服务器下发的ACL规格,并应用于用户连接。
警告模式
某些应用环境下,不需要根据用户终端的安全状态严格控制用户终端的访问权限,可以采用警告模式来处理不合格的安全状态,如对于安全等级略低一些的补丁可以采取这种方式。在警告模式下,安全客户端检查用户终端的安全状态信息,并将不合格项以弹出窗口的形式提供给终端用户,同时提供修复指导和相关链接。用户的网络访问权限不因终端安全状态不合格而被更改。
监控模式
监控模式同警告模式的实现流程基本相同,区别在于监控模式下,安全客户端不会弹出窗口,向用户提示终端的不合格项。但网络管理员可在安全策略服务器的管理界面中实时对用户终端安全状态进行监控,了解用户终端的安全信息。一些相对普通的安全问题,如提示性的补丁安装,可以在不影响终端用户工作的情况下,由管理员进行定期检查并通告。同时,对于重要的网络用户,比如公司老板,管理员对其网络访问的管理也可应用监控模式。
3.5应用模型
3.5.1安全准入应用模型
EAD解决方案安全准入主要是通过身份认证和安全策略检查的方式,对未通过身份认证或不符合安全策略的用户终端进行网络隔离,并帮助终端进行安全修复,以达到防范不安全网络用户终端给安全网络带来安全威胁的目的。
图表 2 EAD解决方案安全准入应用模型图
3.5.2安全准入工作流程
身份验证:用户终端接入网络时,首先进行用户身份认证,非法用户将被拒绝接入网络。目前EAD解决方案支持802.1x和Portal认证。
安全检查:身份认证通过后进行终端安全检查,由安全策略服务器验证用户终端的安全状态(包括补丁版本、病毒库版本、软件安装等)是否合格。
安全隔离:不合格的终端将被安全联动设备通过ACL策略限制在隔离区进行安全修复。
安全修复:进入隔离区的用户可以进行补丁、病毒库的升级、卸载非法软件和停止非法服务等操作,直到安全状态合格。
动态授权:如果用户身份验证、安全检查都通过,则安全策略服务器将预先配置的该用户的权限信息(包括网络访问权限等)下发给安全联动设备,由安全联动设备实现按用户身份的权限控制。
实时监控:在用户网络使用过程中,安全客户端根据安全策略服务器下发的监控策略,实时监控用户终端的安全状态,一旦发现用户终端安全状态不符合企业安全策略,则向安全策略服务器上报安全事件,由安全策略服务器按照预定义的安全策略,采取相应的控制措施,比如通知安全联动设备隔离用户。
图表 3 EAD安全准入流程图
3.6功能特点
EAD解决方案已实现以下功能规格,在具体应用部署时,可根据用户网络的实际使用需求,确定EAD的应用模式和部署方案。
3.6.1安全状态评估
终端补丁检测:评估客户端的补丁安装是否合格,可以检测的补丁包括:操作系统(Windows 2000/XP等,不包括Windows 98)等符合微软补丁规范的热补丁。
安全客户端版本检测:可以检测安全客户端H3C Client的版本,防止使用不具备安全检测能力的客户端接入网络。同时支持客户端自动升级。
安全状态定时评估:安全客户端可以定时检测用户安全状态,防止用户上网过程中因安全状态发生变化而造成的与安全策略的不一致。
自动补丁管理:提供与微软WSUS/SMS(全称:Windows Server Update Services/System Management Server)协同的自动补丁管理,当用户补丁不合格时,自动安装补丁。
终端运行状态实时检测:可以对上线用户终端的系统信息进行实时检测,包括已安装程序列表、已安装补丁列表、已运行进程列表、共享目录信息、分区表、屏保设置和已启动服务列表等。
防病毒联动:主要包含两个方面,一是端点用户接入网络时,检查其计算机上防病毒软件的安装运行情况以及病毒库和扫描引擎版本是否符合安全要求等,不符合安全要求可以根据策略阻止用户接入网络或将其访问限制在隔离区;二是端点用户接入网络后,EAD定期检查防病毒软件的运行状态,如果发现不符合安全要求可以根据策略强制让用户下线或将其访问限制在隔离区。
联动方式目前包括强AV联动和弱AV联动,强AV联动需要防病毒软件厂商提供联动插件,EAD客户端通过该联动插件完成对防病毒软件的运行状态检查以及行为控制。弱AV联动不需要防病毒厂商提供联动插件,EAD客户端通过其他方式实现对防病毒软件的运行状态检查以及行为控制。当前支持的强AV联动支持的防病毒软件有:瑞星、金山和江民。当前支持的弱AV联动支持的防病毒软件有:诺顿、趋势、McAfee 和安博士。
3.6.2用户权限管理
强身份认证:在用户身份认证时,可绑定用户接入IP、MAC、接入设备IP、端口和VLAN等信息,进行强身份认证,防止帐号盗用、限定帐号所使用的终端,确保接入用户的身份安全。
“危险”用户隔离:对于安全状态评估不合格的用户,可以限制其访问权限(通过ACL隔离),使其只能访问防病毒服务器、补丁服务器等用于系统修复的网络资源。
“危险”用户在线隔离:用户上网过程中安全状态发生变化造成与安全策略不一致时(如感染不能杀除的病毒),CAMS可以在线隔离并通知用户。
软件安装和运行检测:检测终端软件的安装和运行状态。可以限制接入网络的用户必须安装、运行或禁止安装、运行其中某些软件。对于不符合安全策略的用户可以记录日志、提醒或隔离。
支持匿名认证:安全客户端和CAMS提供匿名认证用户,用户不需要输入用户名、密码即可完成身份认证和安全认证。
接入时间、区域控制:可以限制用户只能在允许的时间和地点(接入设备和端口)上网。
限制终端用户使用多网卡和拨号网络:防止用户终端成为内外网互访的桥梁,避免因此可能造成的信息安全问题。
代理限制:可以限制用户使用和设置代理服务器。
3.6.3用户行为监控
终端强制或提醒修复:强制或提醒不符合安全策略的终端用户主机进行防病毒软件升级,病毒库升级,补丁安装;目前只支持手工方式(金山的客户端可以与系统中心做自动升级)。
安全状态监控: 定时监控终端用户的安全状态,发现感染病毒后根据安全策略可将其限制到隔离区。
安全日志审计:定时收集客户端的实时安全状态并记录日志;查询用户的安全状态日志、安全事件日志以及在线用户的安全状态。
强制用户下线:管理员可以强制行为“可疑”的用户下线。
第4章 无线解决方案
4.1概述
无线局域网(WLAN)技术于20世纪90年代逐步成熟并投入商用,既可以作传统有线网络的延伸,在某些环境也可以替代传统的有线网络。无线局域网具有以下显著特点:
简易性:WLAN网络传输系统的安装快速简单,可极大的减少敷设管道及布线等繁琐工作;
灵活性:无线技术使得WLAN设备可以灵活的进行安装并调整位置,使无线网络达到有线网络不易覆盖的区域;
综合成本较低:一方面WLAN网络减少了布线的费用,另一方面在需要频繁移动和变化的动态环境中,无线局域网技术可以更好地保护已有投资。同时,由于WLAN技术本身就是面向数据通信领域的IP传输技术,因此可直接通过千兆百兆自适应网口和医院内部Intranet相连,从体系结构上节省了协议转换器等相关设备;
扩展能力强:WLAN网络系统支持多种拓扑结构及平滑扩容,可以十分容易地从小容量传输系统平滑扩展为中等容量传输系统;
随着WLAN技术的快速发展和不断成熟,目前在国内外具有较多的中大规模应用,诸如荷兰的阿姆斯特丹市的全城覆盖,向客户提供各种业务。
4.2客户需求
XXXX区人民医院无线局域网建设的总体目标是:利用无线网络技术进一步扩展信息网的覆盖范围,使全院人员能够随时随地、方便高效地使用网络;促进医疗和科研发展,进一步拓展研究空间,为大型科研活动和无线网络技术研究提供无线网络实验环境;提升医院网络环境,提高管理水平和效率,推动医院信息化建设。
由于本工程是在医院有线网的基础上加以无线扩充(即采用AP将无线网络接入到有线网络),目前XXXX区人民医院有线网可以为无线网络的建设提供支持。
本工程具体的建设目标是:
侧重实际应用,覆盖医院新大楼内部分区域,为医疗、科研和学习生活提供切实可用的无线网络环境;
采取通行的网络协议标准:目前无线局域网普遍采用802.11系列标准,因此医疗无线局域网将主要支持802.11N(300M带宽)标准以提供可供实际应用的相对稳定的网络通讯服务;
全面的无线网络支撑系统(包括无线网管、无线安全,无线计费等),以避免无线设备及软件之间的不兼容性或网络管理的混乱而导致的问题;
保证网络访问的安全性,支持802.1x安全认证方式;
采用非独立型的无线网络结构选型;
覆盖范围要求:本项目主要覆盖新教大楼;
安全、认证、计费和管理要求
为了阻止非授权用户访问无线网络,以及防止对无线局域网数据流的非法侦听,无线网络要具有相应的安全手段,主要包括:物理地址(MAC)过滤、服务区标识符(SSID)匹配、有线等效保密(WEP)、二层隔离等;
本无线局域网的用户认证要求采取集中认证(WEB PORTAL认证方式)和802.1X安全认证方式(支持受保护的 PEAP(Protected EAP)),无线网系统的认证计费系统必须与XXXX区人民医院综合认证计费系统对接。AP、访问控制系统及认证计费系统必须为同一厂商的产品,便于用户使用及维护。在连续覆盖区域的认证和覆盖应充分考虑移动用户的易用性,达到一次认证,移动使用的目的;需提供认证和计费数据库的结构和二次开发的接口,需要提供基于标准的无线网络管理软件,并提供二次开发的接口。
4.3无线组网选择
考虑到XXXX区人民医院无线局域网部署的AP应与目前持有大量的802.11终端的用户的兼容,同时也顾及到未来无线局域网数据应用业务的扩展,建议采用FIT AP组网模式实现XXXX区人民医院无线局域网部署。
传统FAT AP组网模式:802.1x认证终结、动态密钥的产生、漫游切换都在AP本身实现,AP负担较重;
FIT AP模式: 802.1x认证终结、动态密钥的产生、漫游切换都集中到Wireless Switch上来实现,减轻了AP负担,在规模越大的网络上管理越简单。并且由于增加了无线控制器模块作为中央管理控制设备,可以在此基础上方便的扩展丰富业务功能。
非法无线入侵检测:监视射频环境的非法AP和用户,防止其接入网络;
位置检查:无线控制器模块可以记录每个用户登陆的AP位置;
每用户的安全策略:提供基于用户身份的所有服务,以使用户在漫游时具有诸如虚拟专用组成员资格、访问控制列表 (ACL)、认证、漫游策略和历史、位置跟踪、带宽使用以及其他授权等内容。还可告知管理人员哪些用户已连接、他们位于何处、他们曾经位于何处、他们正在使用哪些服务以及他们曾经使用过哪些服务。
网络自愈:蜂窝式组网中,AP是连续分布,相邻AP之间共同覆盖一部分区域,如果单个AP故障,无线控制器模块可自动调整周边AP到最大射频功率,尽最大可能弥补单个AP故障留下的信号盲区;
射频管理:AP射频扫描可测量信号强度和使用量;无线控制器模块的软件可动态地调整AP的流量负载、功率、射频覆盖区域和信道分配,以使覆盖范围和容量最大化。
AP部署的原则如下:
尽量避免邻道干扰,采用不重叠的频点实施邻近的AP覆盖
尽量通过AP的以太网端口只连接接入层以太网交换机,以确保AP的上行带宽和整个网络的传输性能。
尽量通过集中供电系统为楼层AP实施供电,以确保稳定及冗余的能量来源,保证整个网络的高可靠性。
4.4无线网络建设方案
针对医院采用WLAN技术构架宽带网络服务,从技术上、工程上以及提供的服务质量上均能较好的满足校方的要求,具体组网构架如下:
4.4.1整体组网方案
鉴于XXXX区人民医院的有线网络已经较为完善,又由于现在的有线网络为无线网络提供一个有线接口,同时完成POE供电的功能,本次工程采用无线网就接入千兆POE远程供电交换机,同时在数据中心核心交换机上配置无线控制器作为整个无线局域网络的中央管理控制器。
认证方式和认证点选择
本方案主要采用802.1X认证,802.11N/AP与无线控制器通过二层隧道协议通信,无线用户的认证点都是放置于无线控制器设备上,后台的CAMS作为用户鉴权点。
鉴于目前XXXX区人民医院无线网络本次规模,从网络支撑能力的角度来看,需要一个无线控制器模块就可以实现。
针对无线用户,无线控制器作为802.1X终结点,CAMS作为最后的鉴权点,当用户在AP内进行切换时,此时的主要工作由无线控制器模块进行统一调度,当用户在相同或者不同的不同的端口下的不同AP的覆盖范围时,此时用户不会再次触发认证,此时的认证方式可以采用本地认证,也可以采用CAMS认证,如果采用本地认证时,用户在所有的无线控制器上进行配置。如果采用:CAMS认证,优点:配置工作量小,二种方式都不影响无线用户的业务使用质量与无线用户在不同AP之间的漫游切换速度。
计费模式:
考虑到XXXX区人民医院无线网网络的主要负责包括为院内人员提供网络服务及承担部分科研的任务,同时鉴于前期无线用户的数量还是相对较小,则采用包月制进行运营,等无线用户达到一定规模以后,增加计时运营策略,对于国际流量采用按流量计费,将无线网络中的无线流量信息。
整网安全
XXXX区人民医院无线局域网络主要服务于院内的人员,也是一种小规模的公众型网络,同时由于院内人员出于技术的研究兴趣,会对网络发起各种各样的攻击行为,此时网络安全问题在建网时必须考虑问题,安全方式主要侧重几个方面:用户安全、网络安全,而在医院网络中主要依附于用户实体的属性主要包括用户使用的信息终端二层属性(诸如:MAC地址)及用户的帐号、密码,而对于医院用户来,帐号信息都是一个实名原则,与人员的工作信息证件进行关联的,这样本无线网络中着重考虑使用无线网络的空口信息的安全机制,同时也要考虑与无线相关的有线网络的安全问题,对于原有有线网络的安全问题,在本技术建议书中不作相应的考虑;
无线网络安全:
无线网络安全部分主要包括以下方面的内容:
MAC地址过滤:目前支持基于MAC地址的过滤,限制具有某种类型的MAC地址特征的终端才能进入网络中;
SSID管理:是一种网络标识的方案,将网络进行一个逻辑化标识,对终端上发的报文都要求进行上带SSID,如果没有SSID标识则不能进入网络;
WEP加密:WEP加密是一种静态加密的机制,通信双方具有一个共同的密钥,终端发送的空口信息报文必须使用共同的密钥进行加密;
支持AES加密,AES安全机制是一种动态密钥管理机制,同时密钥生成也基于不对称密钥机制来实现的,同时密钥的管理也定期更新,具有体的时间由系统可以设定,一般情况都设定为5分钟左右,这样非法用户要想在5分钟之内进行获取足够数量的报文进行匹配出密钥出来,从无线空口的流理来看,基本上是不可能的;
H3C的无线方案中可根据用户名来划分权限,即相同用户在不同地点接入无线网络其权限保持一致;密钥设置可能根据SSID信息与用户信息进行组合,即不同的SSID下不同的用户的密钥生成可以不一样,这样一定程度上保证用户之间串号问题产生,从而保护投资,以达到营维平衡;
频率规划与负载均衡:
频率规划
802.11N使用开放的2.4GHz、5GHz ISM频段,可工作的信道数为欧洲标准信道数13个。由于其支持直序扩频技术造成相邻频点之间存在重叠。对于真正相互不重叠信道只有相隔5个信道的工作中心频点。因此对于802.11N在2.4GHz、5GHz地工作频段,理论上只能进行三信道的蜂窝规划实现对需要规划的热点的无缝覆盖。此外,由于功率模板是否能做到符合邻道、隔道不干扰也非常影响频率规划的效果。
针对如何进行802.11N的频率规划作了大量的实验,实验证明3载频也可以实现蜂窝对需要覆盖的区域进行无缝覆盖,并提供更高的服务带宽提高服务质量,和高带宽业务的开展。
频率规划原理图
频率规划需要配合使用的功能包括:
AP支持13个信道设置
AP支持500~200mW、60~10mW功率以及多级功率控制
AP支持外置天线以及定向天线
针对特殊应用还需要AP支持桥接功能、接入功能以及WDS功能
结合以上功能的支持,以及勘探工具,可以较好的部署AP达到频率规划的效果。H3C公司针对无线小区、机场、酒店等热点区域进行过频率规划,使用效果较好。
负载均衡
AP上支持标准的IAPP协议框架,通过负载均衡的部署,可实现在一个热点内用户平均分配到所部署的所有AP上,达到在一个服务区AP接入用户数和流量的平衡,为用户提供更高的服务质量。具体可部署的负载均衡策略有:
对所有AP设置基于用户数的负载均衡功能,AP通过对接入用户数的统计,与设定AP接入用户数量阀值比较,达到阀值后,不允许新的用户接入。
对所有AP设置基于流量的负载均衡功能,AP通过对接入用户流量的统计,与设定AP上流量漏桶阀值上沿比较,达到阀值后,不允许新的用户接入,少于阀值下沿,再允许新用户接入。
配合网络规划,设置AP群功能,在一个群内的AP通过组播报文实时通报接入用户数量,当发现AP间用户数差值大于设定阀值,接入用户多的AP将部分用户赶下网。
网络管理
基于标准的SNMP协议实现对设备的管理,IMC网管系统通过SNMP实现对WLAN所有网元的管理。网管工作站可以放在网上的任意位置,通过标准的SNMP即可实现对所有设备的管理。采用标准的SNMP可以实现更为强大的管理包括自动拓扑发现、自动升级、批量配置、分级管理、分级告警等。
供电问题:
由于本次无线网中AP设备数量较多,AP布放位置根据实际覆盖效果而调整,在已建设完成的建筑物上较难进行本地供电。基于标准的802.3af实现对AP的供电。通过在核心交换机上的POE业务模块,通过以太网线在传输数据同时给AP供电,供电距离达100米,满足实际组网的要求。
4.4.2覆盖解决方案
从整体的统计看来,XXXX区人民医院此次的无线覆盖设计基本上可以分为以下几种类型:
根据本项目的需求与将来的业务发展需求,初步确定室内部分主要覆盖以下空间,主要包括办公楼空间/住院部/门诊部;
根据实际工勘的结果来看,可以归纳为:AP室内无障碍覆盖、AP室内穿越障碍覆盖,下面则对这两类覆盖分别进行描述:
AP室内无障碍覆盖:
主要应用于空间较大的房间等重点室内区域,此时主要信号进行此空间内覆盖,无需要考虑到穿越墙壁、地板等障碍物对隔壁空间的覆盖;此时又分二种情况,划分原则主要要看是否要使用吸顶天线的问题,根据实现工程勘测情况来看,室内部分都可以采用吸顶天线的方式进行操作。
AP室内穿越障碍覆盖:
主要应用于各办公楼中间走廊两边房间结构室内区域,因为无线信号穿越墙壁、地板等障碍物会存在衰减,但在走廊式结构的室内区域具备一定的穿越障碍的能力,一般是穿越一道墙壁之后信号效果较好。因此这样的结构适合在走廊中布置AP,来覆盖两边的房间区域;并且根据实现工程勘测情况来看,室内走廊部分都可以采用吸顶天线的方式进行操作。
4.4.3 覆盖效果理论计算
信号强度和传输距离的换算公式
AP加卡的信号总强度公式:
Gt-Gr+AP天线增益+终端天线增益=L信号总强度(dB)
Gt(AP或终端功率,单位dB),Gr(终端或AP灵敏度,单位dB)
距离产生的信号衰减公式:
40+20lgd=L1(dB) d(距离,单位m)
工程中最大传输距离以45m计算,所以L1=72dB
障碍物的衰减:
工程中实际的障碍物的最大衰减是临窗墙的衰减3dB加上房间墙的衰减12dB等于15dB。
第5章 管理中心设计
5.1集成化管理平台
H3C专注于IP产品与相关技术的研发、生产和销售,具备完善的产品技术、客户服务、渠道、认证培训体系,为您提供客户化、特性丰富、性价比高的网络产品与解决方案。作为业界领先的网络设备与解决方案供应商,H3C提供包括网络管理、用户管理、业务管理等全面的管理解决方案:H3C智能管理中心(H3C Intelligent Management Center,以下简称H3C iMC)。
H3C iMC是H3C IToIP解决方案的统一管理中心,基于SOA架构,采用灵活的组件化结构,支持与HP Openview、SNMPc等通用网管平台的集成,支持集成各多厂家设备管理系统,与H3C的数据通信设备产品一起为用户提供全网解决方案,帮助客户真正实现网络的按需构建。
H3C iMC在IToIP解决方案中的位置
H3C iMC作为IToIP解决方案核心管理系统,为用户提供了灵活的组件化结构,包括智能管理平台、智能配置中心(iCC)、ACL管理、MPLS VPN管理、用户接入管理、EAD解决方案、无线管理、EPON管理等业务组件,用户可以根据自己的管理需要和网络情况灵活选择需要的组件,真正实现“按需建构”。
H3C智能管理中心解决方案架构如下图所示:
H3C iMC解决方案架构
由上图可以看出H3C iMC管理系统由智能管理平台以及各个业务组件组成,管理平台)提供网络管理的一些基础功能,比如故障管理、性能管理、资源和拓扑管理、用户管理等,而业务组件提供了相应的业务管理功能;各个业务组件相对独立,并可以无缝的集成在管理平台中,使得整个系统具有很强的可扩展性。
H3C iMC智能管理平台实现网络资源、用户和业务的融合管理,提供基本的网络资源管理、拓扑管理、故障管理、性能管理、用户管理及系统安全管理,基于B/S架构,可以与H3C iMC 其他业务组件有效集成,形成多种解决方案。
H3C iMC智能管理平台不仅可以实现H3C全线数据通信产品的管理,也可通过标准mib实现对Cisco、华为、3COM等各主流厂商的数据通信设备管理。
5.2系统安全管理
系统安全管理功能主要有包括:操作日志管理、操作员管理、分组分级与权限管理、操作员登录管理等。
所包含的主要功能有:
操作员登录管理
管理员通过制定登录安全策略约束操作员的登录鉴权,实现操作员登录的安全性,通过访问控制模板约束操作员可以登录的终端机器的IP地址范围,避免恶意尝试另人密码进行登录的行为存在,通过密码控制策略,约束操作员密码组成要求,包括密码长度、密码复杂性要求、密码有效期等,以约束操作员定期修改密码,并对密码复杂性按要求设置。
操作员密码管理
管理员为操作员制定密码控制策略,操作员仅能按照指定的策略定期修改密码,以保证访问iMC系统的安全性。
分组分级权限管理
管理员通过设备分组、用户分组的设置,可以为操作员指定可以管理的指定设备分组和用户分组,并指定其管理权限和角色,包括管理员、维护员和查看员,实现按角色、分权限、分资源(设备和用户)的多层权限控制;同时通过设置下级网络管理权限,可以通过限制登录下级网络管理系统的操作员和密码,保证访问下级网络管理系统的安全性。
操作日志管理
对于操作员的所有操作,包括登录、注销的时间、登录IP地址以及登录期间进行的任何可能修改系统数据的操作,都会记录详细的日志。提供丰富的查询条件,管理员可以审计任何操作员的历史操作记录,界定网络操作错误的责任范围。
操作员在线监控和管理
系统管理员通过“在线操作员”可以实时监控当前在线联机登录的操作员信息,包括登录的主机IP地址、登录时间等,同时,系统管理员可以将在线操作员强制注销、禁用/取消禁用当前IP地址等控制操作。
5.3资源管理
iMC资源管理与拓扑管理作为整体共同为用户提供网络资源的管理。本节讲解iMC的资源管理,下节讲解iMC的拓扑管理。
通过资源管理可以:
网络自动发现
可以通过设置种子的简易方式、路由方式、ARP方式、IPSec VPN、网段方式等五种自动发现方式自学习网络资源及网络拓扑,自动识别包括:路由器、交换机、安全网关、存储设备、监控设备、无线设备、语音设备、打印机、UPS、服务器、PC在内的多种类型网络设备;
多种自动发现方式
自动识别多种设备类型
网络手工管理
可以手工添加、删除网络设备,可以批量导入、导出网络设备,批量配置Telnet、SNMP参数,以及批量校验Telnet参数等辅助功能;
网络视图管理
支持IP视图、设备视图、自定义视图、下级网络管理视图等多种管理视图,用户可以从不同角度实现整个网络的管理;
网络设备的管理
从任何一种网络视图入口,都可以实现对网络设备的管理,包括:支持对设备的管理/去管理、接口的管理/去管理、设备的详细信息显示和接口详细信息显示、设备和接口实时告警状态、设备和接口的实时性能状态、实时检测存在故障的设备等,用户可以方便的实现所有设备的管理;
设备及业务管理系统的集成管理
支持对H3C、CISCO、等主要厂家设备的管理,支持手工添加设备厂商、设备系列及设备型号;支持设备面板管理的动态注册机制,实现与各厂家设备管理系统的有效集成;支持拓扑定位、ACL、VLAN、QoS等业务管理系统的集成,实现设备资源的统一管理;
设备分组权限管理
支持设备分组功能,通过对设备资源进行分组管理,系统管理员方便的分配其他管理员的管理权限,便于职责分离;
5.4拓扑管理
iMC拓扑管理从网络拓扑的解决直观的提供给用户对整个网络及网络设备资源的管理。拓扑管理包括:
拓扑自动发现
H3C iMC可以自动发现网络拓扑结构,支持全网设备的统一拓扑视图,通过视图导航树提供视图间的快速导航。通过自动发现可以发现网络中的所有设备及网络结构(具体参见资源管理),并且可以将非SNMP设备发现出来,只要设备可以ping通即可。这样就可以将所有网络设备都列入其管理范围(只要设备IP可达)。同时支持自动的拓扑图呈现和自定义拓扑。自动拓扑可以自动将网络中的逻辑连接关系显示出来,同时可以保存为自定义拓扑图并可根据具体情况进行修改以便于网管员对整个网络设备的监控。
支持对全网设备和连接定时轮询和状态刷新,实时了解整个网络的运行情况,并且刷新周期是可定制(刷新周期:60~7200秒),同时也支持对多个设备的刷新周期进行批量配置的功能。
支持自定义拓扑
传统的网络管理软件大多支持自动发现网络拓扑的功能,但是自动发现后的网络拓扑往往是很多设备图标的简单排放,不能突出重点设备和网络层次,使网络管理人员感觉无从下手。
针对这种情况,H3C iMC的拓扑功能支持灵活的自定义功能,管理人员可以根据网络的实际组网情况和设备重要性的不同灵活定制网络拓扑,可对拓扑图进行增、删、改等编辑操作,使网络拓扑能够清晰地呈现网络结构以及IT资源分布。
H3C iMC支持灵活定制拓扑图,使网络拓扑更有重点和层次感。管理员可以按照关注设备不同,管理角度不同定义多种拓扑,并可以针对拓扑不同选择不同的背景图;管理员可以根据网络设备的重要性不同,链路速率不同采用合适的图标显示。
自动识别各种网络设备和主机的类型
H3C iMC可以自动识别H3C、H3C、Cisco、等厂商的设备、Windows、Solaris的PC和工作站、其他SNMP设备和ping设备,并且以树形方式组织,以不同的图标显示区分。在拓扑图上更可进一步对设备的类型进行区分,如区分路由器、交换机、安全网关、存储设备、监控设备、无线设备、语音设备、打印机、UPS、服务器、PC等等。
设备状态、连接状态、告警状态等信息在拓扑图上的直观显示
H3C iMC的拓扑功能与故障管理和性能管理紧密融合,使拓扑图能够清晰地看到XXXXXX区人民医院IT资源的状态,包括运行是否正常、网络带宽、接口连通、配置变化都能一目了然。多种颜色区分不同级别故障,根据节点图标颜色反映设备状态。
拓扑能提供设备管理便捷入口
H3C iMC拓扑能够提供对设备管理的便捷入口,管理员只需通过右键点击拓扑图中的设备图标即可启动设备管理各项功能,实现对设备的面板管理等各项功能配置。
5.5故障(告警/事件)管理
故障管理,即告警/事件管理,是H3C iMC的核心模块,是iMC智能管理平台及其他业务组件统一的告警中心。如下图所示,以故障管理流程为引导,介绍H3C iMC强大的故障管理能力:
告警发现和上报
iMC告警中心可以按收各种告警源的告警事件,包括设备告警、本级网管站及下级网管站告警、网络性能监视告警、网络配置监视告警、网络流量异常监视告警、终端安全异常告警等;同时通过支持对设备定时轮询,实现通断告警、响应时间告警等,以告警事件的方式上报给H3C iMC告警中心;
设备告警包括电源电压、设备温度、风扇等告警事件,设备冷启动、热启动、接口linkdown等重要告警事件,路由信息事件(OSPF,BGP)变化,热备份路由(HSRP)状态变化等告警事件,支持对H3C、CISCO、H3C、等多厂商设备告警的识别和解析;
网管站告警指包括本级iMC系统集群服务器的异常告警,包括CPU利用率、内存使用率、iMC服务程序运行状态等以及下级iMC系统上报的告警事件;
网络性能监视包括CPU利用率,内存使用率,以及RMON告警的故障管理。
网络配置监视告警包括设备软件版本、配置信息变更等告警事件,并通过iMC智能配置中心组件(iMC iCC)实现配置文件定期检查,实现配置变更告警事件。
网络流量异常监视告警通过iMC 网络流量分析组件(iMC NTA)实现网络中异常流量告警,包括对设备及接口异常流量、主机IP地址异常流量和应用异常流量的告警,支持二级阈值告警定义;
终端安全异常告警通过iMC端点准入防御组件(iMC EAD)实现对终端用户安全异常的告警,包括ARP攻击告警、终端异常流量告警及其他终端不安全告警;
iMC定期轮询告警指通过iMC的资源管理模块对设备接口信息定时进行轮循,并及时上报通断告警、响应时间告警等告警事件。
5.6告警深度关联分析与统计
iMC告警中心根据告警脚本中的告警事件定义,接收并解析上报的告警事件;
H3C iMC对接收到的告警事件进行深度关联分析,系统缺省支持重复事件阈值告警、闪断事件阈值告警、未知事件阈值告警、未管理设备告警阈值告警,并能在故障恢复时自动确认相关告警;同时用户可以根据自己的需要确定事件的告警规则,以适应网络管理需要。
重复事件阈值告警:屏蔽重复接收到的相同事件,并可在达到阈值条件时产生新告警通知用户。
闪断事件阈值告警:分析接收到的闪断事件,并可在达到阈值条件时产生新告警通知用户。
未知事件阈值告警:屏蔽接收到的未知事件,并可在达到阈值条件时产生新告警通知用户。
未管理设备告警阈值告警:屏蔽接收到的未管理设备事件,并可在达到阈值条件时产生新告警通知用户。
自定义事件过滤规则:用户自定义的事件过滤规则,用户可指定在什么时间范围内、对什么样的告警进行过滤。
iMC系统预定义缺省支持各类深度分析后告警事件关联升级为告警的生成规则,同时,管理员可以自定义由告警事件升级为告警的规则,可从事件、事件关键字、事件源、时间范围四个方面进行规则定义,一旦定义事件升级为告警规则后,iMC告警中心会根据定义的规则关联分析后生成不同级别的告警(告警共分成紧急、重要、次要、警告、事件5个级别;在浏览数据窗口,分别以红色、橙色、黄色、蓝色、灰色五种颜色进行显示),将管理员从繁多的告警事件中解脱出来,避免产生告警风暴,让管理员能专心关注告警的根源。
实时告警
H3C iMC提供多种方式将告警通知给管理员,包括:
实时远程告警:通过手机短信或Email邮件的方式,将告警及时通知管理员,实现远程网络的监控和管理;
分类、声光告警板,按故障类别及等级实时告警,让管理员通过告警板不但及时知道告警产生,同时可以了解产生的告警的类别和等级:
实时告警浏览和确认,通过告警首页对目前故障未排除的告警实时刷新并提供故障排除确认的入口:
提供系统快照,实时报告网络、下级网络及设备的状态]
通过拓扑实现报告网络及设备状态
故障解决
H3C iMC对各种故障警均提供“修复建议”,管理员可以参考修复建议对故障进行处理。在故障得到解决后,通过对告警的确认完成故障的恢复确认。
固化经验
H3C iMC提供告警知识库。告警知识是用户在维护过程中的经验总结,将这些经验输入系统,下次再出现同样的故障时,可以作为参考。用户选中一条告警记录,系统根据用户选中的告警记录,从告警知识库中查询出该条告警记录的维护经验,供用户进行告警处理进行参考。用户将自己的日常处理经验以及业务信息及时写入数据库、更新告警知识库对以后的故障诊断与排除非常有益。
5.7性能管理
H3C iMC网管系统提供丰富的性能管理功能,同时以直观的方式显示给用户。例如:可以提供折线图、方图、饼图等多种显示方式并能生成相应的报表。通过性能任务的配置,可自动获得网络的各种当前性能数据,并支持设置性能的阈值,当性能超过阈值时,网络以告警的方式通知告警中心:
支持At a Glance、TopN功能,用户能够对CPU利用率、流量等关键指标一目了然;
提供各类常用性能指标的缺省采集模板;
支持实时性能监视,支持二级阈值告警设置,当链路或端口的流量超过阈值,系统将会发送性能告警,使网络管理人员可以能够及时了解网络中的隐患,及时消除隐患。同时为故障定位提供手段;
提供基于历史数据的分析,为用户扩容网络、及早发现网络隐患提供保障;
支持饼图、折线图、曲线图等多种图形方式,直观地反映性能指标的变化趋势;提供灵活的组合条件统计和查询;性能报表支持导出Html、Txt、Excel、Pdf格式文件:
5.8设备管理组件
H3C iMC支持对H3C全系列IP产品进行设备管理,提供丰富的管理功能。通过面板管理,网络管理人员可以直观地看到设备、板卡、端口的工作状态,通过设备信息浏览监视,管理人员可以了解设备的运行情况,实时监视CPU利用率、端口利用率等重要信息。同时,H3C iMC提供图形化的配置方式,使设备功能配置不再复杂。
H3C iMC向用户提供了完善的网元管理功能,通过逼真的面板图片,直观地反映了设备运行情况。
通过面板图标直观地反映设备的框、架、槽、卡、风扇、CPU、端口等关键部件的运行状态;
能够查看、设置设备端口状态;
能够查看路由、VLAN等配置信息;
能够查看端口流量、丢包率、错包率等关键统计数据;
支持对H3C交换机堆叠能力的管理;
通过Ping、Traceroute等功能测试当前网络链路的健康状况;
支持从设备列表、设备详细信息、拓扑等多个入口打开设备面板。
5.9接入与准入控制
接入与准入控制功能是为用户对接入业务的使用进行认证、授权控制。但是接入与准入控制功能本身又与用户管理以及网络资源管理协同,使得业务部署及实施的方便性得到提升、效果得到增强。
该功能的主要特色为:
1、多种接入认证方式支持,适合多种接入组网场景及应用场景:包括802.1x、PAP、CHAP、EAP-MD5、EAP-TLS、PEAP等;
2、支持多种用户身份认证方式,满足多种方式的认证需求:包括匿名认证、用户名密码认证、证书认证、LDAP认证、域统一认证、多因素绑定认证;
3、支持多种权限控制手段,强化用户接入控制管理:可为不同的用户定制不同的网络访问权限,比如,ACL下发、VLAN下发、QoS限制、同时最大在线数限制、最大闲置时长限制、接入区域控制、限制用户IP地址分配策略、限制用户的接入时段、限制终端用户使用多网卡、限制用户使用和设置代理服务器、限制接入客户端的类型和版本等;
4、业务参数调整,使得管理员能灵活的根据组网及运营环境进行业务参数调整:管理员可根据组网和运营环境进行功能参数设置;
5、支持分布式部署,提高部署灵活性:支持安全策略服务器、安全代理分布式安装与配置;
6、端点准入防御(EAD),增强端点准入防御,大幅提高网络整体安全:终端补丁检测、防病毒软件杀毒引擎版本检测、终端病毒感染状态检测、安全状态定时评估、自动补丁管理、计算机信息检查、软件安装和运行检测、终端强制或提醒修复、“危险”用户隔离;
7、接入设备配置与ACL管理功能的协同,使得针对接入设备的管理操作更加简单化:选定接入设备后,可直接为此设备进行ACL配置;同时,在接入设备列表中,可查看其对应的ACL部署信息;
8、为接入设备提供查询设备明细信息的链接,操作简便:可以通过简单的鼠标点击即可看到接入设备的详细信息,比如,对应的基本信息、告警、性能状况等;
9、接入设备管理与拓扑的融合,使得设备管理更简单,管理更方便:拓扑中可以清晰的显示出接入设备,并能查看接入设备相关信息,并可以通过很简单的鼠标点击方式,将此接入设备设置为非接入设备。
