咸阳第一人民医院.docx
《咸阳第一人民医院.docx》由会员分享,可在线阅读,更多相关《咸阳第一人民医院.docx(21页珍藏版)》请在冰豆网上搜索。
咸阳第一人民医院
一、项目概述
咸阳市第一人民医院是国有大型三级综合性医院,创建于1939年。
经过半个多世纪的发展壮大,现已形成融医疗、教学、科研、预防、保健于一体的现代化医疗机构。
医院占地面积48亩,建筑面积44809.42平方米,其中医疗用房面积18166.01平方米,现开放床位678张,年门诊22万人次,住院1.6万人次以上,由39个临床科室、4个临床研究室、15个医技科室、17个职能科室组成。
现有职工813名,其中高级职称96名,中级职称180名,医院固定资产近亿元。
医院现有网络信息点约700个,其中内网终端约500个,外网终端约200个,内网用户通过现有网络设备,访问内网服务器,外网用户通过出口设备提供Internet服务。
目前网络设备主要采用华为、华三的二层设备,安全产品采用启明星辰的天清汉马防火墙。
所有设备都已过保,且防火墙上的IPS,行为管理等服务模块均没有购买相应的服务,已停用3年以上。
随着医院信息化建设进程的不断推进,以及响应医疗行业信息化建设的需求和行业标准。
满足日常应用,办公和网络安全的需求。
现迫切需要对先行网络就行升级改造,考虑到医院目前暂无大型机房以及新办公楼即将投建。
故此次设备采购先满足医院内外网安全需求,同时规范外网用户的上网行为.
二、网络拓扑
三、设备选型
根据贵院的需求我公司推荐世界知名品牌H3C(华三)的SecPathF1000-S或SecPathF100-A-G防火墙。
请贵院根据实际情况选择以下两款防火墙中的其中一款。
1、H3CSecPathF1000-S防火墙,是H3C新一代全千兆接口防火墙,在同行业里拥有较高的性能吞吐量最高可达到6G,能支持同时在线用户数约1500人以下。
支持SSLVPN、IPSecVPN等远程安全接入方式,能够满足医院现阶段用户对公网的访问需求。
对于未来随着医院的发展,用户不断增加业务不断增多所带来的安全设备性能瓶颈的问题也能应对自如。
2、H3CSecPathF100-A-G防火墙,是H3C新一代全千兆接口防火墙,拥有的吞吐量高可达到1.2G,支持同时在线用户数约200-300人,能够满足医院现阶段用户对公网的访问需求。
四、设备详细参数
H3CSecPathF1000-S防火墙
SecPathF1000-S是H3C公司面向大中型企业用户开发的新一代专业防火墙设备。
支持外部攻击防范、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤等功能,能够有效的保证网络的安全;采用ASPF(ApplicationSpecificPacketFilter)应用状态检测技术,可对连接状态过程和异常命令进行检测;提供多种智能分析和管理手段,支持邮件告警,支持多种日志,提供网络管理监控,协助网络管理员完成网络的安全管理;支持多种VPN业务,如L2TPVPN、GREVPN、IPSecVPN、SSLVPN和动态VPN等,可以构建多种形式的VPN;提供基本的路由能力,支持RIP/OSPF/BGP/路由策略及策略路由;支持丰富的QoS特性,提供流量监管、流量整形及多种队列调度策略。
SecPathF1000-S防火墙充分考虑网络应用对高可靠性的要求,采用互为冗余备份的双电源(1+1备份)模块;业务接口卡支持热插拔,充分满足网络维护、升级、优化的需求;支持双机状态热备,支持Active/Active和Active/Passive两种工作模式。
提供机箱内部环境温度检测功能,并支持网管。
市场领先的安全防护功能
增强型状态安全过滤:
支持基础、扩展和基于接口的状态检测包过滤技术,支持按照时间段进行过滤;支持H3C特有ASPF应用层报文过滤(ApplicationSpecificPacketFilter)协议,支持对每一个连接状态信息的维护监测并动态地过滤数据包,支持对FTP、HTTP、SMTP、RTSP、H.323(包括Q.931,H.245,RTP/RTCP等)应用层协议的状态监控,支持TCP/UDP应用的状态监控。
抗攻击防范能力:
包括多种DoS/DDoS攻击防范、ARP欺骗攻击的防范、提供ARP主动反向查询、TCP报文标志位不合法攻击防范、超大ICMP报文攻击防范、地址/端口扫描的防范、ICMP重定向或不可达报文控制功能、Tracert报文控制功能、带路由记录选项IP报文控制功能;静态和动态黑名单功能;MAC和IP绑定功能;支持智能防范蠕虫病毒技术。
应用层内容过滤:
可以有效的识别网络中的BT、Edonkey、Emule等各种P2P模式的应用,并且对这些应用采取限流的控制措施,有效保护网络带宽;支持邮件过滤,提供SMTP邮件地址、标题和内容过滤;支持网页过滤,提供HTTPURL和内容过滤;支持应用层过滤,提供Java/ActiveXBlocking和SQL注入攻击防范。
多种安全认证服务:
支持RADIUS和HWTACACS协议及域认证;支持基于PKI/CA体系的数字证书(X.509格式)认证功能;在PPP线路上支持CHAP和PAP验证协议;支持用户身份管理,不同身份的用户拥有不同的命令执行权限;支持用户视图分级,不同级别的用户赋予不同的管理配置权限。
集中管理与审计:
提供各种日志功能、流量统计和分析功能、各种事件监控和统计功能、邮件告警功能。
全面NAT应用支持:
提供多对一、多对多、静态网段、双向转换、EasyIP和DNS映射等NAT应用方式;支持多种应用协议正确穿越NAT,提供DNS、FTP、H.323、NBT等NATALG功能。
专业灵活的VPN服务
支持L2TPVPN、GREVPN、IPSecVPN、SSLVPN和动态VPN等多种VPN业务模式。
利用动态VPN(DVPN)技术,简化VPN配置,实现按需动态构建VPN网络。
智能网络集成及QoS保证
支持路由、透明及混合运行模式
支持静态路由协议
支持RIPv1/2、OSPF、BGP动态路由协议
支持路由策略及策略路由
支持基于802.1qVLAN
支持PPPoEClient/Server
DHCPClient/Server/Relay
支持流分类、流量监管、流量整形及接口限速
支持拥塞管理(FIFO、PQ、CQ、WFQ、CBWFQ、RTPQ)
支持拥塞避免(WRED)
电信级设备高可靠性
支持双机状态热备功能,支持Active/Active和Active/Passive两种工作模式,实现负载分担和业务备份
36年的平均无故障时间(MTBF)
远端链路状态监测(L3Monitor)
设备关键部件均采用冗余设计
支持机箱内部环境温度自动检测,并可通过网管自动采集告警信息
双电源冗余备份
智能图形化的管理
通过Web方式进行远程配置管理。
通过H3C网管软件实现与网络设备的统一管理。
通过H3CBIMS系统对数量众多、位置分散的设备提供智能和高效管理。
通过H3CVPNManager系统对VPN进行动态和图形化的业务管理和状态监控。
系统规格
项目
属性
接口
1个配置口(CON)
1个备份口(AUX)
2个10/100/1000M以太网口(支持光口或者电口)
2个10/100/1000M以太网口(支持电口)
插槽
2个MIM插槽,可选的接口模块包括2FE/4FE/1GBE/1GEF/2GBE/2GEF
FLASH
16MB
DDRRAM
缺省:
512MB
最大:
1GB
内置VPN加密芯片
是
外型尺寸(H×W×D)
44×436×430mm
重量
6kg
电源模块
输入
交流主机:
100-240V;50/60Hz
输出
电压:
12V
最大功率
100W
平均无故障时间(MTBF)
36年
工作环境温度
0~45℃
环境相对湿度
10~95%(不结露)
功能特性规格
属性
说明
运行模式
路由模式
透明模式
混合模式
网络安全性
AAA服务
RADIUS认证
HWTACACS认证
PKI/CA(X.509格式)认证
域认证
CHAP验证
PAP验证
防火墙
包过滤
基础和扩展的访问控制列表
基于接口的访问控制列表
基于时间段的访问控制列表
动态包过滤
ASPF应用层报文过滤
应用层协议:
FTP、HTTP、SMTP、RTSP、H.323(Q.931,H.245,RTP/RTCP)
传输层协议:
TCP、UDP
抗攻击特性
Land、Smurf、Fraggle、WinNuke、PingofDeath、TearDrop、IPSpoofing、SYNFlood、ICMPFlood、UDPFlood、ARP欺骗攻击防范
ARP主动反向查询
TCP报文标志位不合法攻击防范
超大ICMP报文攻击防范
地址/端口扫描的防范
DoS/DDoS攻击防范
TCPProxy功能
ICMP重定向或不可达报文控制功能
Tracert报文控制功能
带路由记录选项IP报文控制功能
静态和动态黑名单功能
MAC和IP绑定功能
透明防火墙
基于MAC的访问控制列表
支持802.1qVLAN透传
邮件/网页/应用层过滤
邮件过滤
SMTP邮件地址过滤
邮件标题过滤
邮件内容过滤
邮件附件过滤
网页过滤
HTTPURL过滤
HTTP内容过滤
应用层过滤
JavaBlocking
ActiveXBlocking
SQL注入攻击防范
安全日志及统计
用户行为流日志
NAT转换日志
攻击实时日志
黑名单日志
地址绑定日志
流量告警日志
流量统计和分析功能
全局/基于安全域连接数率监控
全局/基于安全域协议报文比例监控
安全事件统计功能
E-MAIL邮件实时告警功能
E-MAIL邮件定期信息发布功能
NAT
支持多个内部地址映射到同一个公网地址
支持多个内部地址映射到多个公网地址
支持内部地址到公网地址一一映射
支持源地址和目的地址同时转换
支持外部网络主机访问内部服务器
支持内部地址直映射到接口公网IP地址
支持DNS映射功能
可配置支持地址转换的有效时间
支持多种NATALG,包括DNS、FTP、H.323、ILS、MSN、NBT、PPTP、SIP等
VPN
L2TPVPN
支持根据VPN用户完整用户名、用户域名向指定LNS发起连接
支持为VPN用户分配地址
支持进行LCP重协商和二次CHAP验证
GREVPN
SSLVPN
IPSec/IKE
支持AH、ESP协议
支持手工或通过IKE自动建立安全联盟
ESP支持DES、3DES、AES多种加密算法
支持MD5及SHA-1验证算法
支持IKE主模式及野蛮模式
支持NAT穿越
支持DPD检测
DVPN
支持UDP封装
支持动态IP地址构建VPN
支持加密保护(注册控制报文,会话控制报文,策略报文)
支持多个DVPN域
支持分支自动建立VPN隧道
支持Server对分支隧道的策略控制
Server对Client的AAA身份认证
Client对Server的身份验证
网络互连
局域网协议
Ethernet_II
Ethernet_SNAP
**VLAN
链路层协议
PPPoE
网络协议
IP服务
ARP
域名解析
IPUNNUMBERED
DHCP中继
DHCP服务器
DHCP客户端
IP路由
静态路由管理
动态路由协议
RIPv1/2
OSPF
BGP
路由策略
策略路由
高可靠性
双机状态热备,Active/Active和Active/Passive两种工作模式,支持负载分担和业务备份
远端链路状态监测(L3monitor)
关键部件冗余设计
支持VRRP
机箱温度自动检测
服务质量保证(QoS)
流量监管
CAR
拥塞管理
FIFO、PQ、CQ、WFQ、CBWFQ、RTPQ
拥塞避免
WRED
流量整形
GTS
接口速率限制
LR
配置管理
命令行接口
通过Console口进行本地配置
通过Telnet或SSH进行本地或远程配置
配置命令分级保护,确保未授权用户无法侵入设备
提供全中文的提示和帮助信息
详尽的调试信息,帮助诊断网络故障
提供网络测试工具,如Tracert、Ping、HWPing命令等,迅速诊断网络是否正常
用Telnet命令直接登录并管理其它设备
FTPServer/Client,可以使用FTP下载、上载配置文件和应用程序
支持TFTP上传下载文件
支持日志功能
文件系统管理
User-interface配置,提供对登录用户多种方式的认证和授权功能。
支持标准网管SNMPv3,并且兼容SNMPv2c、SNMPv1
支持NTP时间同步
支持Web方式进行远程配置管理
支持H3CBIMS系统进行设备管理
支持H3CVPNManager系统进行VPN业务管理和监控
2、H3CSecPathF100-A-G防火墙
H3CSecPathF100-A-G是H3C公司推出的新一代防火墙产品,能够满足中小企业不断变化的网络环境和日益丰富网络应用的需要。
SecPathF100-A-G继承H3C一贯的高性能、高可靠硬件平台,能够为用户提供线速、稳定的应用体验。
SecPathF100-A-G不但可以提供传统的基础安全功能,如状态检测、NAT、VPN、链路负载均衡等;同时通过统一的软件平台和处理引擎,SecPathF100-A-G有效整合防火墙、入侵防御、应用层流量识别与控制、防病毒功能,为用户提供一体化的应用安全防护。
H3CSecPathF100-A-G不仅能够通过H3CSecCenter安全管理中心进行设备管理和维护,同时还支持SNMP和TR-069网管方式,最大化减少设备运营成本和维护复杂性。
市场领先的基础安全防护
全面的基础安全防护:
提供安全区域划分、静态/动态黑名单功能、MAC和IP绑定、访问控制列表(ACL)和攻击防范等基本功能,还提供基于状态的检测过滤、虚拟防火墙、VLAN透传等功能。
能够防御ARP欺骗、TCP报文标志位不合法、LargeICMP报文、SYNflood、地址扫描和端口扫描等多种恶意攻击
丰富的VPN特性:
支持L2TPVPN、GREVPN、IPSecVPN及SSLVPN等远程安全接入方式,同时设备集成硬件加密引擎实现高性能的VPN处理
专业的NAT应用:
提供多对一、多对多、静态网段、双向转换、EasyIP和DNS映射等NAT应用方式;支持多种应用协议正确穿越NAT,提供DNS、FTP、H.323、NBT等NATALG功能
灵活可扩展的深度安全防护
与基础安全防护高度集成的一体化安全业务处理平台
全面的应用层流量识别与管理:
通过H3C长期积累的状态机检测、流量交互检测技术,能精确检测Thunder/WebThunder(迅雷/Web迅雷)、BitTorrent、eMule(电骡)/eDonkey(电驴)、QQ、MSN、PPLive等P2P/IM/网络游戏/炒股/网络视频/网络多媒体等应用;支持P2P流量控制功能,通过对流量采用深度检测的方法,即通过将网络报文与P2P协议报文特征进行匹配,可以精确的识别P2P流量,以达到对P2P流量进行管理的目的,同时可提供不同的控制策略,实现灵活的P2P流量控制
高精度、高效率的入侵检测引擎。
采用H3C公司自主知识产权的FIRST(FullInspectionwithRigorousStateTest,基于精确状态的全面检测)引擎。
FIRST引擎集成了多项检测技术,实现了基于精确状态的全面检测,具有极高的入侵检测精度;同时,FIRST引擎采用了并行检测技术,软、硬件可灵活适配,大大提高了入侵检测的效率
实时的病毒防护:
采用Kaspersky公司的流引擎查毒技术,从而迅速、准确查杀网络流量中的病毒等恶意代码
全面、及时的安全特征库。
通过多年经营与积累,H3C公司拥有业界资深的攻击特征库团队,同时配备有专业的攻防实验室,紧跟网络安全领域的最新动态,从而保证特征库的及时准确更新
技术领先的IPv6
国内率先支持IPv6状态防火墙,真正意义上实现IPv6条件下的防火墙功能,满足迫在眉睫的IPv6应用需求
支持IPv4/IPv6双协议栈,并支持IPv6数据报文转发、静态路由、动态路由及组播路由等功能
支持IPv6各种过渡技术,包括NAT-PT、IPv6OverIPv4GRE隧道、手工隧道、6to4隧道、IPv4兼容IPv6自动隧道、ISATAP隧道等
支持IPv6ACL、Radius等安全技术
电信级设备的高可靠性
采用H3C公司拥有自主知识产权的软、硬件平台。
产品应用从电信运营商到中小企业用户,经历了多年的市场考验
支持双机状态热备功能,支持配置同步与IPSecVPN的状态备份,支持Active/Active和Active/Passive两种工作模式,实现负载分担和业务备份
极具性价比的多业务特性
集成链路负载均衡特性,通过链路状态检测、链路繁忙保护等技术,有效实现企业互联网出口的多链路自动均衡和自动切换
一体化集成SSLVPN特性,满足移动办公、员工出差的安全访问需求,不仅可结合USB-Key进行移动用户的身份认证,还可与企业原有认证系统相结合、实现一体化的认证接入
作为分支机构的出口设备,支持广域网EAD解决方案
简单易用的智能管理
简单易用的WebUI管理
适合专业用户的全命令行管理
支持基于SNMP和TR-069协议的管理
通过H3CSecCenter安全管理中心实现统一管理
系统规格
项目
描述
接口
1个配置口(CON)
6GE
插槽
1个MIM插槽,可通过该插槽扩展网络接口
DDRSDRAM
1GB
CF卡
标配256MCF卡
外型尺寸(W×H×D)
442mm×400mm×44.2mm
电源模块
输入额定电压
100VAC~240VAC;50/60Hz
最大输入电流
**
最大功率消耗
46W
环境温度
工作:
0~45℃
非工作:
-40~70℃
环境湿度
工作:
10~95%,无冷凝
非工作:
5~95%,无冷凝
重量
<5.5Kg
功能特性规格
属性
说明
运行模式
路由模式
透明模式
混合模式
网络安全性
AAA服务
Portal认证
RADIUS认证
HWTACACS认证
PKI/CA(X,509格式)认证
域认证
CHAP验证
PAP验证
防火墙
安全区域划分
可以防御Land、Smurf、Fraggle、PingofDeath、TearDrop、IPSpoofing、IP分片报文、ARP欺骗、ARP主动反向查询、TCP报文标志位不合法超大ICMP报文、地址扫描、端口扫描、SYNFlood、UPDFlood、ICMPFlood等多种恶意攻击
基础和扩展的访问控制列表
基于时间段的访问控制列表
动态包过滤
ASPF应用层报文过滤
静态和动态黑名单功能
MAC和IP绑定功能
基于MAC的访问控制列表
支持802.1qVLAN透传
病毒防护
基于病毒特征进行检测
支持病毒库手动和自动升级
报文流处理模式
支持HTTP、FTP、SMTP、POP3协议
支持的病毒类型:
Backdoor、Email-Worm、IM-Worm、P2P-Worm、Trojan、AdWare、Virus等
支持病毒日志和报表
入侵防御
支持对黑客攻击、蠕虫/病毒、木马、恶意代码、间谍软件/广告软件、DoS/DDoS常等攻击的防御
支持缓冲区溢出、SQL注入、IDS/IPS逃逸等攻击的防御
支持对BT等P2P/IM识别和控制
支持攻击特征库的分类(根据攻击类型、目标机系统进行分类)、分级(分高、中、低、提示四级)
支持攻击特征库的手动和自动升级(TFTP和HTTP)
URL过滤
客户自定义URL过滤规则库
支持JavaBlocking、ActiveXBlocking过滤
安全日志及统计
系统操作日志
防火墙日志
攻击防护日志
黑名单日志
NAT日志
NAT
支持多个内部地址映射到同一个公网地址
支持多个内部地址映射到多个公网地址
支持内部地址到公网地址一一映射
支持源地址和目的地址同时转换
支持外部网络主机访问内部服务器
支持内部地址直映射到接口公网IP地址
支持DNS映射功能
可配置支持地址转换的有效时间
支持多种NATALG,包括DNS、FTP、H.323、ILS、MSN、NBT、PPTP、SIP等
VPN
L2TPVPN
支持根据VPN用户完整用户名、用户域名向指定LNS发起连接
支持为VPN用户分配地址
支持进行LCP重协商和二次CHAP验证
GREVPN
IPSec/IKE
支持AH、ESP协议
支持手工或通过IKE自动建立安全联盟
ESP支持DES、3DES、AES多种加密算法
支持MD5及SHA-1验证算法
支持IKE主模式及野蛮模式
支持NAT穿越
支持DPD检测
SSLVPN
支持WebProxy服务
支持Telnet、Windows、VNC远程桌面共享
支持Outlook、Notes
支持固定服务端口的TCP应用程序
支持路由模式的IP互连
支持客户端隧道分离
支持对可访问网段的限制
支持对TCP、UDP和ICMP报文的过滤
支持使用私有协议对客户端虚网卡IP地址的分配
支持SSLVPN客户端之间的通讯
客户端支持WINS服务和DNS服务
支持本地认证、RADIUS认证、LDAP认证、AD认证、PKI证书认证和双因子认证
支持对操作系统、浏览器、用户证书、指定文件和指定进程的检查
支持清除缓存的网页、Cookie、客户端程序和客户端配置
网络互连
局域网协议
Ethernet_II
Ethernet_SNAP
**VLAN
链路层协议
PPPoEClient
网络协议
IP服务
IPv4
ARP
域名解析
IPUNNUMBERED
DHCP中继
DHCP服务器
DHCP客户端
IP路由
静态路由
RIPv1/2
OSPF
BGP
策略路由
高可靠性
VRRP
支持双机状态热备(Active/Active和Active/Backup两种工作模式)
支持负载分担和业务备份
QoS
流量监管
CAR
配置管理
命令行接口
通过Console口进行本地配置
通过Telnet或SSH进行本地或远程配置
配置命令分级保护,确保未授权用户无法侵入设备
详尽的调试信息,帮助诊断网络故障
用Telnet命令直接登录并管理其它设备
FTPServer/Client,TFTPClient
支持日志功能
User-interface配置,提供对登录用户多种方式的认证和授权功能。
支持标准网管SNMPv3,并且兼容SNMPv2c、SNMPv1
支持NTP时间同步
支持Web方式进行远程配置管理
支持SNMP、TR069网管协议
支持H3CSecCenter安全管理中心进行设备管理
认证
支持欧洲严格的RoHS环保认证
升级会员 