人民医院整体网络解决方案

1、 XXXX区人民医院整体网络解决方案建议书 XX通信技术有限公司 2011年3月目 录第1章 系统需求分析41.1概述41.2总体需求51.3网络建设原则61.4网络系统的整体架构61.5医院业务应用分析61.5.1医院业务划分61.5.2应用系统分类71.5.3医院业务系统的需求8第2章 网络总体设计102.1XXXX区人民医院整体网络设计112.1.1 组网说明122.2方案特性总结142.2.1电信级的可靠性142.2.2先进的虚拟化技术应用142.2.3有线无线一体化152.2.4网络与安全的深度融合162.2.5统一管理18第3章 端点准入防御(EAD)方案223.1概述223.2方

2、案思路223.3方案组成部分233.4 EAD应用模式253.5应用模型263.5.1安全准入应用模型263.5.2安全准入工作流程263.6功能特点283.6.1安全状态评估283.6.2用户权限管理293.6.3用户行为监控30第4章 无线解决方案314.1概述314.2客户需求314.3无线组网选择324.4无线网络建设方案344.4.1整体组网方案344.4.2覆盖解决方案374.4.3 覆盖效果理论计算38第5章 管理中心设计395.1集成化管理平台395.2系统安全管理405.3资源管理425.4拓扑管理435.5故障（告警/事件）管理455.6告警深度关联分析与统计475.7性能

3、管理505.8设备管理组件535.9接入与准入控制54 第1章 系统需求分析1.1概述卫生部于 2002/5/28 日出台医院信息系统基本功能规范，制定了全国医疗信息化建设的统一技术标准，评审开发商的产品和解决方案的依据和标准和医院信息化建设的指导性文件。指出医院信息系统应该包括 临床诊疗、药品管理、经济管理、综合管理与统计分析等部分。详细规定了：门诊医生工作站分系统、护士工作站分系统、医学影像分系统、药品管理分系统等的功能规范。对医疗信息系统与医疗保险、社区卫生服务、远程医疗咨询系统的外部接口规定了统一标准。医院信息化包括管理信息化、临床管理信息化、局域医疗卫生服务信息化三个阶段。目前大多数

4、医院停留在医院管理信息化阶段，需要将化验自动化信息化；医院的HIS 系统包括：医院管理信息系统（MIS）、临床信息系统（CIS）、医学影像和通信系统（PACK）、办公自动化系统（OA）。医院信息化即医院信息系统（HIS）建设将经历三个阶段：医院管理信息化阶段（HMIS）、临床管理信息化阶段（HCIS）、局域医疗卫生服务阶段（GMIS）。广域网互联广域网互联PPP/PPPoEHDLC/SDLCX25FRSLIPATM管理信息系统门急诊挂号、收费住院病人官吏药库、药房管理医疗统计人事、工资、财务系统后勤物资供应固定资产、医疗设备管理院长办公、辅助决策系统病案管理 医院信息系统的建设的三个阶段医学信

5、息系统高级应用医学图像实时传递查询病人床边信息系统科研、教学系统INTERNET医学情报远程诊断与教学计算机化的病案系统临床医疗信息系统住院病人医嘱处理护理信息系统门诊医生工作站放射科、手术室管理血库管理营养与膳食系统临床用药与控制系统病理科信息系统医学影像诊断医院信息化系统的结构如下：医院领导人事科院办党办保卫科护理部医务科科教科财务科审计科总务科设备科门办卫防科工各作科站主综合查询与辅助决策管理系统人事管理系统财务管理系统经济核算系统文书档案系统医院网络中心门诊管理子系统后勤物资设备住院管理子系统药品管理子系统检验科放射科物理诊断医务管理系统科研教学系统统计管理系统图书管理系统电子图书馆住

6、院处（出/入/转）各病区医嘱病房医生工作站住院电子病历手术室麻醉科病理科核医学科心支体胃血功纤外肠透能镜反镜室室室博室 室医院事务管理系统医疗辅助决策管理系统心电图/心B 超脑电图/脑B超CT 介入MR普放临检/血液免疫/细菌ECT/血库/生化中西药库制剂室药学研究门诊中西药房住院中西药房门急诊挂号系统门急诊医生工作站门急诊划价门急诊药房发药急诊科观察室系统门诊电子病历科室小药柜病房小药柜医疗设备基建管理财产管理仓库PACS 系统1.2总体需求XXXX区人民医院网络建设将覆盖整个新综合大楼、老住院部、门诊部等几大主楼。新综合大楼和老住院部的通过万兆光纤连接到门诊大楼网络中心，门诊大楼内部接入交

7、换机通过双链路千兆上行直接接入数据中心核心交换机；本次建设的采用10G光纤主干到中心，1000M到桌面的方式；根据今后XXXX区人民医院的发展需求，目前我们的网络应该具有高带宽、高可靠、高性能、高安全的特性，骨干速率达到万兆。网络关键节点能够冗余热备保障系统连续稳定运行。使新建成的网络能够很好的为上述提到的医疗网络化建设服务。符合国家卫生部对医疗机构实现三步信息化的要求。新建的局域网将为各种应用和服务提供更快的速度、更高的质量和性能，并为新的信息应用系统提供可靠的网络平台，提高医院的服务质量和经济效益。1.3网络建设原则1、实用性：整个网络系统具有较高的实用性；2、时效性：网络应保证各类业务数

8、据流的及时传输，网络时效性要强，网络延时要小，确保业务的实时高效；3、可靠性：整个网络系统应具有很高的安全可靠性，必须满足724365 小时连续运行的要求。在故障发生时，网络设备可以快速自动地切换到备份设备上；4、安全性：能有效防止网络的非法访问，保护关键数据不被非法窃取、篡改或泄漏，使数据具有极高的安全性；5、完整性：网络系统应实现端到端的、能整合数据、语音和图像的多业务应用，满足全网范围统一的实施安全策略、QoS 策略、流量管理策略和系统管理策略的完整的一体化网络；6、效益性：网络的投资应随着网络的伸缩能够持续发挥作用，保护现有网络的投资，充分发挥网络投资的最大效益；7、可伸缩性：网络要具

9、有面向未来的良好的伸缩性能，既能满足当前的需求，又能支持未来业务网点、业务量、业务种类的扩展和与其它机构或部门的连接等对网络的扩充性要求。1.4网络系统的整体架构医院信息系统的网络采用三级架构，分为核心层、汇聚层、接入层。核心层位于医院门诊大楼网络的中心，负责全网的路由交换信息，并与各服务器、存储等医院核心应用相连；在新综合大楼和老住院部大楼设立汇聚层，XX汇聚交换机通过XX双链路上联信息中心的数据中心交换机，下接大楼各楼层的千兆接入交换机，（其中新综合大楼采用多模1000M光纤连接、老住院部大楼采用1000M 6类线接入），接入层分布在大楼楼层的分配线间负责直接接入桌面系统。1.5医院业务应

10、用分析1.5.1医院业务划分医院的业务系统有很多，而且不同的专科医院业务系统也有很大区别，但以下一些业务系统是医院都具有的：门诊系统住院系统体检系统PACS系统医院管理经济系统区域医疗系统1.5.2应用系统分类医院信息系统主要分成以下两类：1医院管理系统门、急诊挂号子系统门、急诊病人管理及计价收费子系统住院病人管理子系统药库、药房管理子系统病案管理子系统医疗统计子系统人事、工资管理子系统财务管理与医院经济核算子系统医院后勤物资供应子系统固定资产、医疗设备管理子系统院长办公综合查询与辅助决策支持系统2临床医疗信息系统住院病人医嘱处理子系统护理信息系统门诊医生工作站系统临床实验室检查报告子系统医学

11、影像诊断报告处理系统放射科信息管理系统手术室管理子系统功能检查科室信息管理子系统病理卡片管理及病理科信息系统血库管理子系统营养与膳食计划管理子系统临床用药咨询与控制子系统1.5.3医院业务系统的需求1）门诊系统门诊业务作为医院直接面对患者的窗口具有非常重要的地位和自己的特点（包括焦急的病人无法忍受长时间的等待、门诊业务主要集中在上午等），门诊业务具有可靠性高、并发性、实时性和突发性强等特点。因此门诊业务对网络提出了高可靠性、高带宽和QoS的要求。2）住院系统住院业务是医院的另一个主要组成部分，是医院经济收入的主要来源，同时还直接关系到重病患者的生命安全，具有以下几个特点：住院业务的网络上流动着

12、重症病人生命数据和各种新业务数据；住院业务保存有患者病案数据和住院费用数据；医生无线移动查房；病人呼叫系统；网上视频监控系统；针对住院业务的以上特点，住院业务对网络提出了高可靠性、安全存储、QoS和无线局域网、VoIP和视频会议系统的需求。3）体检系统现在很多医院纷纷建立专门的体检大楼，以满足社会上不断扩大的体检需求。从业务角度上讲体检系统非常简单，它对网络的需求主要体现在安全性上，如何保护体检服务器上体检人员数据安全和体检大楼网络安全是医院体检系统解决方案所关注的。4）PACS系统医院的PACS系统主要是完成对患者的各种影像数据进行采集、存储、传输和处理，并在全院范围内进行共享，由于是各种图

13、形图像数据，因此具有存储量大的特点，为了更好的服务于医院业务，PACS业务对支撑系统提出以下要求：存储量大、扩展性强、数据快速存储、数据容灾、高带宽5）管理经济系统医院管理经济系统主要是人、财、物的管理，包括人事、财务管理、药品药库管理等，因此它最大的需求是数据在服务器端和网络上的安全，保证这些数据不会泄露。6）区域医疗系统一方面为了发挥中心医院的辐射和覆盖作用，另一方面充分利用各家医院的特色科室的力量，区域医疗把这些资源进行共享和整合，这需要稳定的广域网连接。第2章 网络总体设计近几年来，网络设计采用积木方式来设计交换式网络。这种积木方式将网络分割成3个不同的层次，即核心层、汇聚层、接入层。

14、如下图：层次设计方法可为网络带来以下三个优点：1、层次性网络的可扩展性可扩展性是在包交换网络连接中使用层次性设计的主要优点。层次性网络具有更多的可扩展性是因为它可以让你用模块化方式扩展网络，而不会遇到非层次性网络或平面性网络很快所遇上的问题。但是，层次性网络同时也提出了一定的问题需要仔细考虑。这些问题包括：虚电路的费用，层次设计（尤其是网状拓扑的内在复杂联系，以及需要额外的路由器接口来划分网络层次。为了获得层次性网络结构的优点，你必须使你的网络层次结构充分与你所在地区的拓扑相符合。设计取决于你所使用的包交换模式，以及你所想要的容错能力、网络性能和网络造价。2、层次性网络的可管理性使网络简单化通

15、过把网络元素划分为小单元、层次化，降低了整个网络的复杂性。这种网络单元的划分使故障诊断变得清晰和简单了，同时还可以提供防止广播风暴、路由循环等其他潜在问题的内在保护机制。使设计更灵活层次化设计使得骨干网和分布网之间的包交换形式更具灵活性。很多网络都得益于使用混合方式来构造整个网络架构。在大多数情况下，可在骨干网部分使用专线而在区域网或本地网接入部分使用包交换服务。使交换机、路由器管理更容易由于层次化网络结构使网络分层，相对缩小的网络区域使路由器的邻居或对等通信端量减少，因此时路由器的配置变得简单化。3、优化广播和多点广播的流量控制在包交换网络中，减少路由器之间广播信息量的最直接方法就是使用更少

16、数目的路由器组，通过层次化模块设计可以较好地控制网络中的广播。通常在包交换网络中最常见的路由器之间的广播信息流量是路由更新信息，如果在一个区域或一个层次中有太多的路由器，那么就会因为广播的原因而造成网络瓶颈。层次化的网络结构使你可以对区域网向骨干网的广播作出限制。因此，对于XXXX区人民医院网络工程来说，想要建设成为一个全所的、网络性能优良的、具有很强扩展能力和升级能力的大型综合网络，那么在网络的设计中就必须采用层次化的网络设计原则。2.1XXXX区人民医院整体网络设计2.1.1 组网说明在XXXX区人民医院网络整体设计中，均采用层次化、模块化的网络设计结构，并严格定义各层功能模型，通过逻辑方

17、式设置不同的权限，不同层次关注不同的特性配置。整个网络的结构组成分成三层：接入层、汇聚层、核心层。1) 接入层：提供网络的第一级接入功能，完成简单的二、三层交换，安全、Qos和POE功能都位于这一层。对于医院信息网的接入层设备，建议采用千兆二层接入的方式，应该具有线速交换、智能弹性堆叠技术以及高级QoS策略等功能。2）汇聚层：汇聚交换机采用万兆双链路的方式接入核心交换机，从而提供链路的冗于及数据的负载均衡。汇聚层交换机作为核心交换机与接入交换机的中接点，其作用是承上启下，应具备丰富的业务特性，高带宽、高性能、支持线速转发以及10GE扩展接口。2) 核心层：网络的骨干，必须能够提供高速数据交换和

18、路由快速收敛，要求具有较高的可靠性、稳定性和易扩展性等。对于医院信息网核心层，必须提供高性能、高可靠的网络结构，推荐采用高可靠的多设备冗余的星型结构。对于医院信息网核心层设备，应该在提供大容量、高性能L2/L3交换服务基础上，能够进一步融合了硬件IPv6、网络安全、网络业务分析等智能特性，可为医院信息构建融合业务的基础网络平台，进而帮助用户实现IT资源整合的需求。如图示意，XX区人民医院网络系统分为五大区域：分别为上联农村合作医疗、医保中心和龙宝分院的上联区、核心数据服务器区、数据安全管理区、核心数据交换区、接入区。上联区：医院业务网需要和农村合作医院、医保中心及龙宝分院的信息网进行连接，实现

19、数据交换。对于某些业务系统对用户开放，而为了保护数据的安全，需要配置防火墙来防护外部攻击防范，支持内网安全、流量监控、网页过滤、邮件过滤、应用层过滤等功能，能够有效地保证网络的安全。核心数据服务器区：涉及工作秘密的关键数据传和工作中的应用数据和系统本身涉及的敏感数据如密码等，为更好的提高核心数据服务器的应用和安全，公司设计将服务器直接接入数据中心核心交换机上，数据中心核心交换机提供高带宽、高转发、高交换平台提高服务器的应用，并且通过在数据中心核心交换机上配置的防火墙板块来为服务器提供安全防护。核心数据交换区：在XXXX区人民医院新建设的局域网结构选择中，本方案建议选用双核心结构，具有以下优点：

20、可靠性高：采用两个核心节点的双连接星型网络结构，使得网络具有可靠性、可用性及安全性，避免了单点失效的隐患。支持流量的负载分担：网络流量可能随着多种业务的发展日益壮大（如语音，视频会议），网络流量的负载分担问题将会成为网络可用性的主要因素，采用双连接的网络结构，使得网络的流量能够比较合理的分布在各条链路上。支持网络的冗余备份：核心节点采用两台高性能的网络设备，使得核心层具有较好的冗余备份能力。同时，两台核心设备之间要采用万兆高速链路互连，提供了核心设备间的高速互连带宽，避免两台设备之间形成传输瓶颈。在信息中心机房，配置二台高性能的超万兆数据中心核心交换机 H3C S7506E-S，H3C S75

21、00E系列产品是杭州XX通信技术有限公司,面向融合业务网络的高端多业务路由交换机，该产品基于H3C自主知识产权的Comware V5操作系统，以IRF2（Intelligent Resilient Framework 2，第二代智能弹性架构）技术为系统基石的虚拟化软件系统，进一步融合MPLS VPN、IPv6、网络安全、无线、无源光网络等多种网络业务，提供不间断转发、不间断升级、优雅重启、环网保护等多种高可靠技术，在提高用户生产效率的同时，保证了网络最大正常运行时间，从而降低了客户的总拥有成本（TCO）。H3C S7500E符合“限制电子设备有害物质标准（RoHS）”，是绿色环保的路由交换机。

22、数据中心核心交换机配置我公司最新研制出的防火墙，保障访问数据的安全。并采用业界最先进的虚拟化技术，将两台物理核心设备虚拟成一台逻辑设备，实现协同工作、统一管理和不间断维护功能，两台数据中心核心交换机采用双万兆链路相连，消除业务流量转发的速率瓶颈。数据安全管理区：配置H3C iMC智能管理中心作为全网的管理平台，配置EAD组件对终端用户进行准入控制. 接入区：在本方案设计中，在新综合大楼和老住院部大楼设立汇聚分中心，汇聚节点作用是承上启下，通过双万兆链路上联数据中心核心交换机，下接本楼层的接入交换机。在新综合大楼内接入交换机采用1000M多模上联汇聚交换机，在老住院部大楼内接入交换机采用1000

23、M 6类线上联汇聚交换机，所以我公司建议采用H3C S5500-EI增强型万兆三层交换机，H3C S5500-EI系列交换机是H3C公司最新开发的增强型IPv6强三层万兆以太网交换机产品，具备业界盒式交换机最先进的硬件处理能力和最丰富的业务特性。支持最多4个万兆扩展接口，支持IPv4/IPv6硬件双栈及线速转发，使客户能够从容应对即将带来的IPv6时代；除此以外，其出色的安全性，可靠性和多业务支持能力使其成为大型企业网络和园区网的汇聚，中小企业网核心、以及城域网边缘设备的第一选择。本方案建议所用楼层采用千兆接入交换机来提供终端用户的接入，我公司选用 H3C S5120-EI系列交换机，H3C

24、S5120-EI系列交换机是H3C公司自主开发的全千兆三层以太网交换机产品，具备丰富的业务特性，提供IPv6转发功能以及最多4个10GE扩展接口。通过H3C特有的IRF（智能弹性架构）功能，用户能够简化对网络的管理。S5120-EI系列千兆以太网交换机定位为企业网千兆接入，同时还可以用于数据中心服务器群的连接。2.2方案特性总结2.2.1电信级的可靠性网络系统的可靠性主要由线路质量，设备可靠性，网络协议可靠性等多个方面来保证，在本方案中，信息网的核心层设备均采用双机冗余，且采用了H3C公司最先进的虚拟弹性技术架构，数据中心核心交换机采用无单点故障设计，所有关键部件等采用冗余设计；无源背板避免了

25、机箱出现单点故障；所有单板和电源模块支持热插拔功能；可以在恶劣的环境下长时间稳定运行，达到99.999的电信级可靠性；支持不间断转发和优雅重启，提供毫秒级的切换时间；支持等价路由，可帮助用户建立多条等值路径，实现流量的负载均衡及冗余备份；支持RRPP快速环网保护协议，提供小于200ms的环网故障保护；支持Smart-Link协议，保证双上行网络拓扑的业务毫秒级快速切换。通过上述技术，核心交换机可以在承载多业务的情况下不间断运行，实现业务的永续；能够在不重启设备的前提下，通过热补丁技术，在线修改软件BUG，增加新的业务特性。核心交换机提供控制补丁单元状态切换的用户命令，使用户能够方便的加载、激活

26、、去激活、运行或删除补丁单元。通过热补丁技术，降低了设备需要重启的次数，为客户提供更长的网络正常工作时间。核心设备均采用双链路方式，防火墙也采用双板卡冗余，整个网络系统设计在关键区域均避免了单设备、单板卡和单链路故障隐患。2.2.2先进的虚拟化技术应用在本方案中，医院信息网的核心设备均采用了智能弹性虚拟化技术，就是把多台物理设备互相连接起来，使其虚拟为一台逻辑设备，也就是说，用户可以将这多台设备看成一台单一设备进行管理和使用。虚拟化可以为用户带来以下好处：简化管理 虚拟化架构形成之后，可以连接到任何一台设备的任何一个端口就以登录统一的逻辑设备，通过对单台设备的配置达到管理整个智能弹性系统以及系

27、统内所有成员设备的效果，而不用物理连接到每台成员设备上分别对它们进行配置和管理。简化业务 虚拟化形成的逻辑设备中运行的各种控制协议也是作为单一设备统一运行的，例如路由协议会作为单一设备统一计算，而随着跨设备链路聚合技术的应用，可以替代原有的生成树协议，这样就可以省去了设备间大量协议报文的交互，简化了网络运行，缩短了网络动荡时的收敛时间。弹性扩展 可以按照用户需求实现弹性扩展，保证用户投资。并且新增的设备加入或离开虚拟化架构时可以实现“热插拔”，不影响其他设备的正常运行。高可靠 虚拟化的高可靠性体现在链路，设备和协议三个方面。成员设备之间物理端口支持聚合功能，虚拟化系统和上、下层设备之间的物理连

28、接也支持聚合功能，这样通过多链路备份提高了链路的可靠性；虚拟化系统由多台成员设备组成，一旦Master设备故障，系统会迅速自动选举新的Master，以保证通过系统的业务不中断，从而实现了设备级的1：N备份；虚拟化系统会有实时的协议热备份功能负责将协议的配置信息备份到其他所有成员设备，从而实现1：N的协议可靠性。高性能 对于高端交换机来说，性能和端口密度的提升会受到硬件结构的限制。而虚拟化系统的性能和端口密度是虚拟化内部所有设备性能和端口数量的总和。因此，虚拟化技术能够轻易的将设备的交换能力、用户端口的密度扩大数倍，从而大幅度提高了设备的性能。2.2.3有线无线一体化本方案中，通过无线控制器、智

29、能管理中心无线管理组件实现了统一的网络控制、可扩展性、安全性和可靠性，构筑了统一的、端到端的网络环境，即实现了有线无线一体化，将有效保障应用，保护用户投资，降低部署的复杂性，减少管理维护工作量，从而降低总体拥有成本（TCO），这种组网方式能给用户带来如下的价值：各项成本降低：具体到WLAN技术同有线网络的一体化，在部署时，由于WLAN设备采用了标准化，原有网络系统、管理系统及接入认证系统等能够重用，网络投资可以极大的降低。同时重用现有系统使得用户不需要费时去学习掌握新知识，节省时间和培训费用；一旦网络出现故障，由于熟悉现有的系统也能够快速定位故障，可以极大的降低运营过程中由于故障带来的损失；另

30、外目前部署11n时，前期购买的终端依然能够不受任何影响的接入到网络，保证了客户的历史投资。在WLAN网络升级扩容时，简单的增加标准件AP就能够实现接入容量的增加，而现有的网络架构基本上不做改动，有效降低扩容成本。现场维护扩容简单：在WLAN AP部署时，充分考虑到有线网的特性，采用零配置即连即用的技术，对现有有线接入网络不做任何修改，仅仅修改DHCP服务器或者DNS服务器的配置，在无线控制器（AC）上进行配置，就可以提供WLAN接入服务，大大降低了网络部署成本。需要更换设备时，新的AP设备接上以太网线就可以成功接入到网络，不需要改变无线控制器上的配置，对安装维护人员没有技术背景要求，轻松实现设

31、备维护更换和网络扩容。提升维护效率：部署时通过PoE交换机给WLAN AP供电，对WLAN网络进行管理优化需要移动AP时，直接拉动以太网线就可以实现，大大降低工作量。如果用户进行管理维护时需要对AP进行开关电重启，只需要在网管侧对PoE交换机进行操作即可轻松实现，避免维护来回奔波和攀爬的辛苦，提高管理维护的效率，节省用户的管理维护工作量。实现整网安全：与有线一体的统一终端控制软件，统一认证控制，有效的一次认证实现多种计费模式，统一的防病毒方式，使无线网络的安全同有线完全一样，有效的避免了无线引入新的病毒。重点防范802.11物理和链路层的安全，并与有线网络的安全实现联动，确保实现整个网络的安全

32、。管理平台统一高效：WLAN网络的管理同有线的网络管理一样，采用同一个的告警平台，采用同一个日志管理系统，在同一个界面中显示完整的网络拓扑，将无线射频管理独立为管理组件，充分实现有线无线一体化的管理，不需要单独的平台，不需要两个界面，自然也不需要购买专门的服务器和额外的管理系统培训。通过一体化拓扑管理，在网络出现故障时，能够从网络拓扑中轻松看到网络的故障点是接入端口的PoE电源供电失效，还是链路出现故障，还是网络中出现广播风暴，导致链路上数据交换过于繁忙。从而降低故障定位人员的管理工作量。通过人网的合一管理，用户接入到网络时，实时显示使用者在网络的哪个设备端口上，快速定位故障用户。2.2.4网

33、络与安全的深度融合传统的组网方式中，安全设备都是以独立的形态部署到网络中，而在本方案中，防火墙安全设备均是以插卡的方式部署到数据中心核心交换机中，与基础网络设备融合，具有即插即用、扩展性强的特点，降低了用户管理难度，减少了维护成本。这种部署方式具有如下优点：A、降低出现单点故障单点瓶颈a)Bypass特性：在运营网络中可靠性是至关重要的因素，传统安全设备没有网络设备的高可靠性保证技术（如冗余引擎、机箱温控、风扇转速检测、链路故障检测、路由快速收敛等），因此实际部署中容易形成单点故障，采用安全插卡后可以利用交换机的各种高可靠性技术来提高自身的可靠性，并且，还能够实现bypass的功能，在安全设备

34、故障的时候直接短接，跳过防火墙，收敛时间在100ms内，保证网络转发照常进行。b)以太网OAM：利用核心交换机成熟的OAM技术，可以实现VCT双绞线连通性检测、DLDP单通链路检测、GR等增强的可靠性特性，大大加强了安全设备的可靠性。c)减少连接故障：从连接方式方面，安全插卡采用内置板卡的方式，避免了传统机架设备复杂的网线连接方式，避免了网线连接产生的接触不良和端点故障。减少了网络中的单点故障。d)供电和功耗：供电方面，安全插卡采用交换机内置电源，具有电源冗余，可靠性更高，并且安全插卡的功耗及其设计也很独到，温度适应力比较好而且稳定性非常高。安全插卡的单板的功耗低于100W。模块设计采用业界最

35、新的多核网络处理器设计，稳定性及其功能方面都比较优秀。e) 热插拔：安全插卡接口卡支持热插拔，扩展性能不需要中断业务，大大提高了网络的灵活性。B、降低投入成本a)硬件成本降低：将安全设备作为交换机业务插卡方式部署，可以让安全设备共享交换机背板和电源，实现节省了防火墙的电源、温控、风扇等多方面硬件成本。b)端口扩展成本降低：传统机架安全设备网络接口通常有限， 在实际应用中接口未必能满足要求，而安全插卡部署后， 交换机每个端口都可以具备防火墙功能，相当于在核心交换机每个接口上都部署了防火墙，极大的节省了防火墙端口投入成本。c) 虚拟防火墙：由于防火墙插卡支持256个虚拟防火墙，而每个虚拟防火墙可以

36、独立进行配置，好比在网络中部署了256个独立的小型防火墙，可以为不同的业务分配不同虚拟防火墙实例，极大的节省了防火墙投入。 并且这些虚拟防火墙可以集中管理配置。C、管理优势a)图形界面和命令行结合：安全插卡模块提供了图形管理界面。不同虚拟防火墙实例的使用者也不同，使用习惯和技术水平也不同，有的用户习惯使用图形化配置，有的用户习惯使用命令行配置，在安全插卡上可以统一提供。b)单独管理和统一管理结合：为了将安全插卡的管理和高端交换机的接口单板的管理一体化，安全插卡的单板可以通过高端交换机的主控板实现对接口板的统一管理，安全插卡的状态等可以基于主控板统一显示给用户；另外，用户完全可以象配置接口板一样

37、，在主控板的串口上直接透明地对安全插卡的接口板进行配置。这样完全透明的管理给用户统一的接口，使得管理方便简单。如果交换机和安全插卡由不同业务部门管理，则在安全插卡也可以用自身提供千兆接口进行带外网管或者集中网管，而不经过交换机。2.2.5统一管理1、网络设备管理IMC网管系统除了具有设备网管的功能，同时具有很强的平台网管功能（包括安全，拓扑，告警，性能等通用网管的功能）。针对第三方设备可以做到基本的管理。下面针对具体的管理功能进行介绍。资源拓扑管理IMC网管平台可以在拓扑图中发现所有可网管设备，以相应的图标表示在拓扑图中。告警管理对于第三方厂商设备的告警，IMC可以全部接收并对其中的标准告警进

38、行解析。性能管理IMC系统可以对第三方设备进行通用性能监视，包括接口的流量监视，利用率监视，设备IP包转发，设备响应时间的监视等。同时如果需要针对特殊设备性能的检视，可通过增加自定义性能模板脚本来达到要求。此方案适用于已有网络存在的设备主要是H3C设备，并且有部分第三方厂商的设备，同时需要兼顾第三方设备的管理。该方案可以实现对H3C设备的完全管理（包括通用管理，设备管理及业务级管理），同时针对第三方设备的管理可以达到通用管理的程度，同时针对某些设备的特性管理，可进行适当定制（如定制服务监控，告警解析，性能模板），从而达到对第三方设备的比较全面的管理。2、用户管理EAD解决方案安全准入主要是通过

39、身份认证和安全策略检查的方式，对未通过身份认证或不符合安全策略的用户终端进行网络隔离，并帮助终端进行安全修复，以达到防范不安全网络用户终端给安全网络带来安全威胁的目的。图表 EAD解决方案安全准入应用模型图安全准入工作流程：身份验证：用户终端接入网络时，首先进行用户身份认证，非法用户将被拒绝接入网络。目前EAD解决方案支持802.1x和Portal认证。安全检查：身份认证通过后进行终端安全检查，由CAMS安全策略服务器验证用户终端的安全状态（包括补丁版本、病毒库版本、软件安装等）是否合格。安全隔离：不合格的终端将被安全联动设备通过ACL策略限制在隔离区进行安全修复。安全修复：进入隔离区的用户可

40、以进行补丁、病毒库的升级、卸载非法软件和停止非法服务等操作，直到安全状态合格。动态授权：如果用户身份验证、安全检查都通过，则CAMS安全策略服务器将预先配置的该用户的权限信息（包括网络访问权限等）下发给安全联动设备，由安全联动设备实现按用户身份的权限控制。实时监控：在用户网络使用过程中，安全客户端根据安全策略服务器下发的监控策略，实时监控用户终端的安全状态，一旦发现用户终端安全状态不符合企业安全策略，则向CAMS安全策略服务器上报安全事件，由CAMS安全策略服务器按照预定义的安全策略，采取相应的控制措施，比如通知安全联动设备隔离用户。第3章 端点准入防御(EAD)方案3.1概述网络安全问题的解

41、决，三分靠技术，七分靠管理，严格管理是企业、机构及用户免受网络安全问题威胁的重要措施。事实上，多数企业、机构都缺乏有效的制度和手段管理网络安全。网络用户不及时升级系统补丁、升级病毒库的现象普遍存在；随意接入网络、私设代理服务器、私自访问保密资源等行为在企业网中也比比皆是。管理的欠缺不仅会直接影响用户网络的正常运行，还可能使企业蒙受巨大的商业损失。为了解决现有网络安全管理中存在的不足，应对网络安全威胁，H3C推出了端点准入防御（EAD，Endpoint Admission Control）解决方案。该方案从用户终端准入控制入手，整合网络接入控制与终端安全产品，通过安全客户端、安全策略服务器、网络

42、设备以及防病毒软件产品、软件补丁管理产品的联动，对接入网络的用户终端强制实施企业安全策略，严格控制终端用户的网络使用行为，可以加强用户终端的主动防御能力，大幅度提高网络安全。EAD在用户接入网络前，通过统一管理的安全策略强制检查用户终端的安全状态，并根据对用户终端安全状态的检查结果实施接入控制策略，对不符合企业安全标准的用户进行“隔离”并强制用户进行病毒库升级、系统补丁安装等操作；在保证用户终端具备自防御能力并安全接入的前提下，可以通过动态分配ACL、VLAN等合理控制用户的网络权限，从而提升网络的整体安全防御能力。EAD端点准入防御方案包括两个重要功能：安全防护和安全监控。安全防护主要是对终

43、端接入网络进行认证，保证只有安全的终端才能接入网络，对达不到安全要求的终端可以进行修复，保障终端和网络的安全；安全监控是指在上网过程中，系统实时监控用户终端的安全状态，并针对用户终端的安全事件采取相应的应对措施，实时保障网络安全。3.2方案思路EAD解决方案的实现思路，是通过将网络接入控制和用户终端安全策略控制相结合，以用户终端对企业安全策略的符合度为条件，控制用户访问网络的接入权限，从而降低病毒、非法访问等安全威胁对企业网络带来的危害。为达到以上目的，H3C提出了包括检查隔离修复监控的整体解决思路。检查：检查网络接入用户的身份；检查网络接入用户的访问权限；检查网络接入用户终端的安全状态；隔离

44、：隔离非法用户终端和越权访问；隔离存在重大安全问题或安全隐患的用户终端；修复：帮助存在安全问题或安全隐患的用户终端进行安全修复，以便能够正常使用网络；监控：实时监控在线用户的终端安全状态，及时获取终端安全信息对非法用户、越权访问和存在安全问题的网络终端进行定位统计，为网络安全管理提供依据；通过制定新的安全策略，持续保障网络的安全。3.3方案组成部分为了有效实现用户终端安全准入控制，需要实现终端安全信息采集点、终端安全信息决策点和终端安全信息执行点的分离，同时还需要提供有效的技术手段，对用户终端存在的安全问题进行修复，使之符合企业终端安全策略，顺利接入网络进行工作。EAD解决方案的基本部件包括安

45、全策略服务器、防病毒服务器、补丁服务器等修复服务器、安全联动设备和H3C安全客户端，各部件各司其职，由安全策略中心协调，共同完成对网络接入终端的安全准入控制。安全策略服务器EAD方案的核心是整合与联动，而安全策略服务器是EAD方案中的管理与控制中心，兼具用户管理、安全策略管理、安全状态评估、安全联动控制以及安全事件审计等功能。安全策略管理安全策略服务器定义了对用户终端进行准入控制的一系列策略，包括用户终端安全状态评估配置、补丁检查项配置、安全策略配置、终端修复配置以及对终端用户的隔离方式配置等。用户管理企业网中，不同的用户、不同类型的接入终端可能要求不同级别的安全检查和控制。安全策略服务器可以

46、为不同用户提供基于身份的个性化安全配置和网络服务等级，方便管理员对网络用户制定差异化的安全策略。安全联动控制安全策略服务器负责评估安全客户端上报的安全状态，控制安全联动设备对用户的隔离与开放，下发用户终端的修复方式与安全策略。通过安全策略服务器的控制，安全客户端、安全联动设备与修复服务器才可以协同工作，配合完成端到端的安全准入控制。修复服务器在EAD方案中，修复服务器可以是第三方厂商提供的防病毒服务器、补丁服务器或用户自行架设的文件服务器。此类服务器通常放置于网络隔离区中，用于终端进行自我修复操作。网络版的防病毒服务器提供病毒库升级服务，允许防病毒客户端进行在线升级；补丁服务器则提供系统补丁升

47、级服务，在用户终端的系统补丁不能满足安全要求时，用户终端可连接至补丁服务器进行补丁下载和升级。安全联动设备安全联动设备是企业网络中安全策略的实施点，起到强制用户准入认证、隔离不合格终端、为合法用户提供网络服务的作用。根据应用场合的不同，安全联动设备可以是交换机或BAS设备，分别实现不同认证方式（如802.1x或Portal）的端点准入控制。不论是哪种接入设备或采用哪种认证方式，安全联动设备均具有以下功能：强制网络接入终端进行身份认证和安全状态评估。隔离不符合安全策略的用户终端。联动设备接收到安全策略服务器下发的隔离指令后，目前可以通过动态ACL方式限制用户的访问权限；同样，收到解除用户隔离的指

48、令后也可以在线解除对用户终端的隔离。提供基于身份的网络服务。安全联动设备可以根据安全策略服务器下发的策略，为用户提供个性化的网络服务，如提供不同的ACL、VLAN等。安全客户端H3C 客户端是安装在用户终端系统上的软件，是对用户终端进行身份认证、安全状态评估以及安全策略实施的主体，其主要功能包括：提供802.1X、Portal等多种认证方式，可以与交换机、BAS网关等设备配合实现接入层、汇聚层的端点准入控制。检查用户终端的安全状态，包括操作系统版本、系统补丁、共享目录、已安装的软件、已启动的服务等用户终端信息；同时提供与防病毒客户端联动的接口，实现与第三方防病毒软件产品客户端的联动，检查用户终

49、端的防病毒软件版本、病毒库版本、以及病毒查杀信息。这些信息将被传递到安全策略服务器，执行端点准入的判断与控制。安全策略实施，接收安全策略服务器下发的安全策略并强制用户终端执行，包括设置安全策略（是否监控邮件、注册表）、系统修复通知与实施（自动或手工升级补丁和病毒库）等功能。不按要求实施安全策略的用户终端将被限制在隔离区。实时监控系统安全状态，包括是否更改安全设置、是否发现新病毒等，并将安全事件定时上报到安全策略服务器，用于事后进行安全审计。3.4 EAD应用模式EAD解决方案对于每一种安全状态的检测，按照处理模式可分为隔离模式、警告模式、监控模式。如防病毒软件的安装和版本检查可以采用隔离模式，

50、补丁软件依照重要性的不同可以采取不同的模式，一些非法软件的安装可以通过警告方式进行提醒。三种模式对于实现的终端安全状态监控功能各有不同，对安全设备的要求也不相同。隔离模式对于一些关系比较重大的安全漏洞或补丁，如Windows服务器的致命安全补丁，需要进行比较严厉的控制。具体来说，就是一旦用户终端安全状态不合格，就限制其网络访问区域为隔离区，在进行修复操作，满足企业终端安全策略要求后，才能重新发起认证，正常接入网络。隔离模式要求安全联动设备必须支持动态ACL特性，能够实时应用安全策略服务器下发的ACL规格，并应用于用户连接。警告模式某些应用环境下，不需要根据用户终端的安全状态严格控制用户终端的访

51、问权限，可以采用警告模式来处理不合格的安全状态，如对于安全等级略低一些的补丁可以采取这种方式。在警告模式下，安全客户端检查用户终端的安全状态信息，并将不合格项以弹出窗口的形式提供给终端用户，同时提供修复指导和相关链接。用户的网络访问权限不因终端安全状态不合格而被更改。监控模式监控模式同警告模式的实现流程基本相同，区别在于监控模式下，安全客户端不会弹出窗口，向用户提示终端的不合格项。但网络管理员可在安全策略服务器的管理界面中实时对用户终端安全状态进行监控，了解用户终端的安全信息。一些相对普通的安全问题，如提示性的补丁安装，可以在不影响终端用户工作的情况下，由管理员进行定期检查并通告。同时，对于重

52、要的网络用户，比如公司老板，管理员对其网络访问的管理也可应用监控模式。3.5应用模型3.5.1安全准入应用模型EAD解决方案安全准入主要是通过身份认证和安全策略检查的方式，对未通过身份认证或不符合安全策略的用户终端进行网络隔离，并帮助终端进行安全修复，以达到防范不安全网络用户终端给安全网络带来安全威胁的目的。图表 1 EAD解决方案安全准入应用模型图3.5.2安全准入工作流程身份验证：用户终端接入网络时，首先进行用户身份认证，非法用户将被拒绝接入网络。目前EAD解决方案支持802.1x和Portal认证。安全检查：身份认证通过后进行终端安全检查，由安全策略服务器验证用户终端的安全状态（包括补丁

53、版本、病毒库版本、软件安装等）是否合格。安全隔离：不合格的终端将被安全联动设备通过ACL策略限制在隔离区进行安全修复。安全修复：进入隔离区的用户可以进行补丁、病毒库的升级、卸载非法软件和停止非法服务等操作，直到安全状态合格。动态授权：如果用户身份验证、安全检查都通过，则安全策略服务器将预先配置的该用户的权限信息（包括网络访问权限等）下发给安全联动设备，由安全联动设备实现按用户身份的权限控制。实时监控：在用户网络使用过程中，安全客户端根据安全策略服务器下发的监控策略，实时监控用户终端的安全状态，一旦发现用户终端安全状态不符合企业安全策略，则向安全策略服务器上报安全事件，由安全策略服务器按照预定义

54、的安全策略，采取相应的控制措施，比如通知安全联动设备隔离用户。图表 2 EAD安全准入流程图3.6功能特点EAD解决方案已实现以下功能规格，在具体应用部署时，可根据用户网络的实际使用需求，确定EAD的应用模式和部署方案。3.6.1安全状态评估终端补丁检测：评估客户端的补丁安装是否合格，可以检测的补丁包括：操作系统(Windows 2000/XP等，不包括Windows 98)等符合微软补丁规范的热补丁。安全客户端版本检测：可以检测安全客户端H3C Client的版本，防止使用不具备安全检测能力的客户端接入网络。同时支持客户端自动升级。安全状态定时评估：安全客户端可以定时检测用户安全状态,防止用

55、户上网过程中因安全状态发生变化而造成的与安全策略的不一致。自动补丁管理：提供与微软WSUS/SMS（全称：Windows Server Update Services/System Management Server）协同的自动补丁管理，当用户补丁不合格时，自动安装补丁。终端运行状态实时检测：可以对上线用户终端的系统信息进行实时检测，包括已安装程序列表、已安装补丁列表、已运行进程列表、共享目录信息、分区表、屏保设置和已启动服务列表等。防病毒联动：主要包含两个方面，一是端点用户接入网络时，检查其计算机上防病毒软件的安装运行情况以及病毒库和扫描引擎版本是否符合安全要求等，不符合安全要求可以根据策略

56、阻止用户接入网络或将其访问限制在隔离区；二是端点用户接入网络后，EAD定期检查防病毒软件的运行状态，如果发现不符合安全要求可以根据策略强制让用户下线或将其访问限制在隔离区。联动方式目前包括强AV联动和弱AV联动，强AV联动需要防病毒软件厂商提供联动插件，EAD客户端通过该联动插件完成对防病毒软件的运行状态检查以及行为控制。弱AV联动不需要防病毒厂商提供联动插件，EAD客户端通过其他方式实现对防病毒软件的运行状态检查以及行为控制。当前支持的强AV联动支持的防病毒软件有：瑞星、金山和江民。当前支持的弱AV联动支持的防病毒软件有：诺顿、趋势、McAfee 和安博士。3.6.2用户权限管理强身份认证：在用户身份认证时，可绑定用户接入IP、MAC、接入设备IP、端口和VLAN等信息，进行强身份认证，防止帐号盗用、限定帐号所使用的终端，确保接入用户的身份安全。“危险”用户隔离：对于安全状态评估不合格的用户，可以限制其访问权限（通过ACL隔离），使其只能访问防病毒服务器、补丁服务器等用于系统修复的网络资源。“危险”用户在线隔离：用户上网过程中安全状态发生变化造成与安全策略不一致时(如感染不能杀除的病毒)，CAMS可以在线隔离并通知用户。软件安装和运行检测：检测终端软件的安