7.1. 建设目标
“平台”涉及的业务部门和管理数据众多,而且地理位置分散。我们经过对业务系统的需求分析,在节约投资,充分利用现有系统资源的基础上,设计的网络平台需要能满足以下目标:
1) 必须充分利用现有的网络资源以及成熟的网络技术,为保证“平台”的运行提供基于广域网的安全的网络环境。
2) 实现业务相关的所有业务单位以数据中心为核心的横向与纵向的连接,在满足本次本系统建设需要的同时,实现本系统之间与外部系统之间的信息共享。
3) 完善与规范相关单位的局域网建设,在此基础上实现各个局域在主干网络上的接入互联。
4) 满足对公众卫生信息的发布、提供对涉密信息传送的通道。
7.2. 网络拓扑图
根据“平台”涉及到的网络系统和业务要求,我们在综合考虑了现有基础设施和各类应用的基础上,进行了整体的网络架构设计,建议采用如下图所示的网络拓扑结构:
网络拓扑图
7.3. 设计说明
根据“平台”建设的总体目标和现有网络环境,我们在保证系统的先进性、安全可靠性、开放性和可扩展性的设计原则基础上,整个系统网络平台主要由VPN安全网关、VPN客户端和其他网络设备构成。
7.3.1. 链路要求
|
网络接入环节 |
链路要求 |
|---|---|
|
1) 数据中心 |
10M 以上光纤接入,有 2 个以上固定 IP 地址 |
|
2) 社区卫生服务中心(乡镇卫生院) |
4M 以上接入,有 1 个以上固定 IP地址 |
|
3) 社区卫生服务站(村卫生室) |
1M 以上光纤/ADSL/DDN/PSTN等接入方式接入 |
|
4) 医院 |
1M 以上光纤/ADSL/DDN/PSTN等接入方式接入 |
|
5) 妇幼保健院 |
512k以上ADSL/DDN/PSTN 等接入方式 |
|
6) 卫生局 |
512k以上ADSL/DDN/PSTN 等接入方式 |
7.4. VPN 专网设计
7.4.1. 设计原则
VPN 的设计主要包含以下原则:安全性、网络优化、 VPN 管理等。
7.4.2. IP地址划分
根据 VPN 设置要求和神农架卫生部门编码原则,为神农架下属每个市、县区分配一个 B 类网段,分配方案为:
10 . X . Y . 0 / 24
其中 X=市级机构编码高两位
Y=区县级机构编码低两位在新的编址方案中每个区域中心内部所能够配置的最大主机数为 65535(包括下属各单位主机和网络设备所占用的地址)
7.4.3. VPN规则设置
1) 网关配置
u 隧道设置:根据不同的接入方式和客户端分类分别设置不同的VPN隧道,确保VPN隧道的专用特性。每种隧道设置独立的共享密钥或数字证书的身份认证。根据实际情况确定是否采用隧道数据压缩。
u IPSec标准:采用支持标准IPSec ESP AH的隧道模式封装和传输模式封装;采用DES、3-DES、AES、MD5、SHA1等通用加密算法支持IKE主模式/野蛮模式的自动密钥协商协议。
u 建立和设置VPN用户认证和授权,分配用户名/口令,确定不同的认证方式。
u 防火墙设置:设置安全级别较高的防火墙规则,根据需要设置DMZ部署;NAT设置;MAC地址绑定功能;ARP代理和透明应用代理功能 ;设置时段访问控制;启用防止半连接、拒绝服务、IP碎片等常见攻击功能。
u 带宽管理:根据实际流量需求,设置隧道信息和非隧道信息的带宽管理,设置隧道内的带宽管理;或启用基于流量的动态带宽管理策略。
u 管理模式:根据管理要求,设置VPN安全管理中心的集中管理或分级管理。
2) 客户端配置
u VPN客户端一般是一款面向移动用户或单机的纯软件产品,可安装运行在移动设备或企业局域网内的任何一台客户机中,使这台设备具有远程接入企业VPN的功能。
u VPN客户端应该满足既可以与VPN硬件网关配套使用。
u VPN客户端软件运行在应用层,其运行过程对用户表现为全透明,即:用户的应用系统无需作任何适应性调整,其网络配置也不必作任何改动。
u 允许手工配置内网IP地址或获得动态IP,通过VPN客户端建立1条VPN隧道。
u 根据客户端需求,设置基于用户名/口令、证书、动态令牌卡等的认证方式。
u 有特殊需求的可以与MAC地址等硬件特征码绑定。
u 建议使用USB key控制客户端的启停。
u 划分移动用户访问内网的权限。
u 备份客户端安全配置文件,便于恢复部署。
u 对微机基础较差的部门,采用VPN策略的集中制定和下发,实线移动用户的“零配置”。