XXXIT基礎架構建設

解決方案

目錄

1整體架構設計..................................................3

1.1綜述.....................................................3

1.2內網架構設計.............................................3

1.3外網架構設計.............................................7

1.4無線網絡架構設計........................................9

1.5信息點統(tǒng)計表............................................9

2網絡及安全方案設計...........................................12

2.1網絡虛擬化設計..........................................12

2.2安全虛擬化設計..........................................13

2.3虛擬交換機設計..........................................16

2.4數據庫審計設備..........................................18

2.5防火墻設備..............................................20

2.6入侵防御設備............................................21

2.7運維堡壘機..............................................22

2.8互聯網出口..............................................24

3業(yè)務系統(tǒng)虛擬化方案設計......................................26

3.1刀片服務器設計.........................................26

3.2計算虛擬化設計..........................................29

3.3數據中心管理設計.......................................43

4綜合管理系統(tǒng)設計.............................................45

4.1網絡管理設計............................................45

4.2業(yè)務監(jiān)控設計............................................56

4.3終端管理設計............................................59

5無線系統(tǒng)設計.................................................63

5.1無線標準選擇............................................63

5.2無線醫(yī)療業(yè)務............................................63

5.3病房區(qū)域無線覆蓋設計...................................68

5.4門診區(qū)域無線覆蓋設計...................................69

5.5內網認證方式............................................70

5.6外網認證方式70

6產品清單....................................................73

1整體架構設計

1.1綜述

樓宇接入交換機-外網

1.2如上圖所示，為本次項目整體架構示意圖。分為內外及外網兩個部分。兩

張網絡之間通過H3csecPathF1070綜合安全網關進行隔離防護，只允許

有權限的'業(yè)務訪問。內外重要用于醫(yī)院內部業(yè)務系統(tǒng)的支撐，涉及網絡設

備，存儲系統(tǒng)，服務器設備。外網重要用于醫(yī)院進行對互聯網的訪問以及連

接省市醫(yī)保專線。內網設計原則為千兆到桌面，萬兆骨干的方式。外網設

計原則為千兆到桌面，下兆骨干的方式。內外之間通過T兆以太網鏈路連

接到綜合安全網關。設計方案將依據《XXX信息化系統(tǒng)建設規(guī)定》及《河

南省數字化醫(yī)院評審標準》進行設計。原則上符合上述兩個文獻的指導精

神。

1.3內網架構設計

內部網絡核心互換機為兩臺H3cS7506E核心互換機，單臺配置冗余主控，

冗余電源模塊,3塊16端口萬兆以太網光接口模塊，1塊24端口千兆以太網電接口

+4端口萬兆以太網光接口模塊，配置相應光模塊及連接電纜。萬兆鏈路用于連接

樓宇接入互換機，連接刀片服務器系統(tǒng)，連接存儲系統(tǒng)c通過萬兆鏈路實現IRF2

虛擬化互聯，支持跨設備的鏈路聚合技術。通過千兆以太網電接口連接H3c

F1070綜合安全網關。

樓宇接入互換機為H3cs5130-EI系列互換機。根據弱電分布圖（見本章節(jié)末

登記表）的記錄情況，本次項目共計34個弱電井，每個弱電井相應的信息點不盡

相同。共計使用H3cS5130-52S-EI互換機15臺，H3CS5130-28S-EI互換機26臺。

每個弱電井內部署1臺上行互換機，采用兩個萬兆以太網光接口分別上聯至兩臺

核心互換機。通過跨設備的鏈路聚合技術，達成上行鏈路帶寬20G,故障切換時

間200ms的最佳冗余配置。H3CS5130-52S-EI互換機單臺提供48個千兆以太網電

接口,4個萬兆以太網光接口。H3CS5130-28S-EI互換機單臺提供24個千兆以太網

電接口,4個萬兆以太網光接口。配置相應數量光模塊。每個弱電井其余互換機均

采用萬兆電纜連接至上行互換機

業(yè)務服務器采用1臺H3cUIS8000刀片式服務器，搭載4臺B390服務器和2臺

B590服務器。B390服務器單臺配置2個E5-2620v3CPU（主頻2.4GHz,6核心），

64GB高性能內存,2塊300GB-10K硬盤,2個10GEFlexFabric網卡。Fabric網卡支持

1:4鏈路虛擬化技術，可以將物理網卡隨意劃分為指定帶寬。B590服務器單臺配

置2個E5-4620v3CPU（主頻2.2GHz,8核心），32GB高性能內存,2塊300GB-10K

硬盤,2個10GEFlexFabric網卡。Fabric網卡支持1:4鏈路虛擬化技術，可以將物理

網卡隨意劃分為指定帶寬《B390服務器配合H3CCAS虛擬化系統(tǒng)，完畢醫(yī)療應用

業(yè)務的承載,B590服務器配合H3CCAS虛擬化系統(tǒng)，完畢應用數據庫業(yè)務的承

我。

H3CUIS8000刀片服務器機箱搭載兩塊OA管理模塊，10個航空級冗余風扇

模塊,6個航空級冗余出源模塊，1+1冗余管理模塊,2個FlexFabric1024端口刀片

系統(tǒng)的VC模塊。VC模塊配置有8個萬兆上行端口和16個萬兆下行端口。上行端

口直接連接到核心互換機，下行端口通過無源背板連接到刀片服務器。2個VC模

塊之間通過內部端口互聯，實現冗余保障。VC模塊支持1:4鏈路虛擬化技術，可

以將物理網卡隨意劃分為指定帶寬，實現靈活的業(yè)務鏈路部署。

存儲系統(tǒng)為一套H3cFlexStorageP5730IP存儲系統(tǒng)。配置有25個900GB

10000轉SAS硬盤,4個千兆以太網電接口，2個萬兆以太網光接口。可用空間為

22.5TB。存儲系統(tǒng)用于實現核心業(yè)務數據的存儲以及虛擬化業(yè)務系統(tǒng)的共享存

儲。存儲系統(tǒng)通過萬兆以太網鏈路直接連接到核心互換機，實現同業(yè)務系統(tǒng)之間

的數據交互。

業(yè)務系統(tǒng)承載于H3CCAS虛擬化管理系統(tǒng)之上。H3CCAS虛擬化管理系統(tǒng)

融合了計算、網絡、存儲資源的虛擬化，形成彈性的數據中心資源池，實現資源

的自動化調度，更好地為上層應用服務。通過虛擬化后，虛機之間為完全隔離狀

態(tài)，具有獨立CPU、內存、磁盤I/O、網絡I/O,即任何一個虛機發(fā)生故障時，同一

物理機上的其他虛機不受其影響，每個虛機具有獨立的用戶管理權限，可安裝獨

立操作系統(tǒng)，不同虛機間操作系統(tǒng)可以異構。完全基于B/S架構的管理控制臺，不

僅讓您輕松組織和快速部署整個IT環(huán)境，并且還能對涉及CPU、內存、磁盤I/O、

網絡I/O等重要資源在內的關鍵元件進行全面的性能監(jiān)測，為管理員實行合理的

資源規(guī)劃提供詳盡的數據資料。H3cCAS虛擬化管理系統(tǒng)為虛擬機中運營的應用

程序提供簡樸易用、成本效益高的高可用性功能。硬件故障導致的服務器或虛擬

機宕機再也不會導致劫難性的后果,H3cCAS提供的資源智能調度能力會自動重

新為這些服務器或虛擬機選擇最佳的運營位置。

1.4認證管理方案，采用H3CEIA終端智能接入組件為內網用戶提供接入認

證。限制用戶隨意進入內網，符合等保規(guī)定。本次項目中，認證系統(tǒng)采用

Portal認證方式,Portal網關部署于核心互換機。為每用戶提供賬號與口令,

綁定IP地址，綁定MAC地址，實現統(tǒng)一接入認證。Portal認證方式也非常

適合于無線醫(yī)療終端接入到網絡中，為日后醫(yī)院實現無線醫(yī)療全覆蓋打好

基礎。

1.5為保證內網信息化安全，符合數字化醫(yī)院對于信息安全建設規(guī)定，為內網

部署堡總機以及數據庫審計系統(tǒng)。通過十兆以太網電接口的方式直連核心

互換機。堡壘機用于平常運維審計管理平分，記錄運維行為，統(tǒng)一對賬號進

行管理。數據庫審計系統(tǒng)用于對數據庫的操作進行安全防護及記錄審計。

上述兩套系統(tǒng)配合使用，實現醫(yī)院平常業(yè)務管理的同時，可以兼顧“反統(tǒng)

方”工作的開展。

1.6外網架構設計

外網核心互換機為1臺H3cS7506E-S核心互換機。單臺配置冗余電源模塊，

冗余主控模塊，1塊48端口千兆以太網電接口模塊，1塊48端口千兆以太網光接口

模塊，配置相應的光模塊。通過千兆以太網光接口連接外網樓宇接入互換機，通

過千兆以太網電接口連接綜合安全網關，醫(yī)保前置機，出口安全網關，防火墻等

設備。

外網接入互換機為H3cs5110系列千兆互換機。外網信息點較為分散，故所

有接入互換機均通過千兆以太網光接口上行到核心互換機。通過對信息點的記錄

分析，配置有H3cS5110-28P接入互換機12臺,H3CS5110-52P接入互換機18臺。

配置相應光模塊。H3CS5110-28P接入互換機單臺配置有24個千兆以太網電接口,

4個千兆以太網光接口，H3cS5110-52P接入互換機單臺配置有48個千兆以太網電

接口,4個千兆以太網光接口。

外網互聯網出口部署一臺H3cACG-1000-M出口安全網關。單臺配置有16個

千兆以太網電接口,4個復用的千兆以太網光接口，冗余電源模塊。提供3年特性

庫升級服務。提供管理軟件。出口安全網關提供全院NAT功能，支持鏈路負載均

衡，能對網絡中的網絡社區(qū)、P2P/IM帶寬濫用、網絡游戲、炒股、網絡多媒體、

非法網站訪問等行為進行精細化辨認和控制。運用智能流控、智能阻斷、智能路

由等技術，配合創(chuàng)新的社交網絡行為管理功能、清楚易管理日記等功能，可以提

供業(yè)界最全面、完善的上網行為管理解決方案。從而保障網絡關鍵應用和服務的

帶寬，對網絡流量、用戶上網行為進行進一步分析與全面的審計，為用戶全面了

解網絡應用模型和流量趨勢，優(yōu)化其帶寬資源，開展各項業(yè)務提供有力的支撐。

滿足公安部82號令的同時，實現對網絡流量的精細化管理。

1.7部署一臺H3CF1050綜合安全網關用于連接省市醫(yī)保專線。提供16個千

兆以太網電接口，8個千兆以太網光接口，支持2個擴展槽位。支持多種

VPN業(yè)務，如L2TPVPN、GREVPN、IPSecVPN和SSLVPN等。采

用了先進的最新64位多核高性能解決器和高速存儲器。支持H3CSCF虛

擬化技術，可將多臺設備虛擬化為一臺邏輯設備，對外呈現為一個網絡節(jié)

點，資源統(tǒng)一管理，完畢業(yè)務備份同時提高系統(tǒng)整體性能。支持吞吐量為

5GBo

1.8部署一臺H3CF1070綜合安全網關作為內外網隔離屏障。搭載防病毒功能,

提供3年特性庫升級。提供16個千兆以太網電接口，8個千兆以太網光接

口，2個萬兆以太網光接口。支持2個擴展槽位。支持多維一體化安全防護,

可從用戶、應用、時間、五元組等多個維度，對流量展開IPS、AV、DLP

等一體化安全訪問控制，可以有效的保證網絡的安全。支持吞吐量為8GB。

1.9無線網絡架構設計

L10本次無線網絡的設計將采用同一套AP,分別連接內網和外網的部署方式。

內網部署PoE互換機，提供無線AP供電。規(guī)定無線AP具有有兩個獨立

的千兆以太網電接匚，可以分別連接內網和外網。通過兩個端口分別分派

給不同的VLAN,實現對內網和外網的隔離。同一個AP提供不同的SSID,

通過認證系統(tǒng)保證內網用戶不可以接入外網SSID,外網用戶不可以接入

內網的SSIDo

1.11無線醫(yī)療業(yè)務重要應用范圍在住院病房，重要應用涉及無線杳房，無線輸

液，無線醫(yī)囑等內容，相對而言，公網應用較少。對于門診部分和人員較為

密集的大廳，重要應用是公網應用。醫(yī)院不應當允許陪護人員可以隨意訪

問公網，這并不符合數字化醫(yī)院的規(guī)定，只可以訪問到醫(yī)院指定的微信平

臺或是公網業(yè)務平臺。無線網絡的具體設計將在后文展現。

L12信息點登記表

內網信息點登記表

樓宇西南弱電井東南弱電井西北弱電井東北弱電井24口互換機48口互換機

1F927644306

2F428663014

3F6444244014

4F5270182615

5F16222

6F2202

7F26221-

8F26221▲

9F26221-

10F26221

111-26221-

12F26221,

13F16221-

屋頂21

總計2502762823221526

外網信息點登記表

樓宇西南弱電井東南弱電井西北弱電井東北弱電井24□互換機48口互換機

11'4433

2F3343

3F342

4F1243

5F65112

6F32462

7F44472

8F44472

9F44472

10F44472

11F44472

121-44472

13F16242

總計783234181218

2網絡及安全方案設計

2.1網絡虛擬化設計

面向園區(qū)網橫向業(yè)務整合的需求,S7500E支持IRF2（第二代智能彈性架構）

技術，將多臺高端設備虛擬化為一臺邏輯設備，是業(yè)界首款支持4框虛擬化的核

心互換機產品，在可靠性、分布性和易管理性方面具有強大的優(yōu)勢。

IRF（IntelligentResilientFramework,智能彈性架構）是H3c自主研發(fā),用于

在網絡中同層設備之間進行整合的虛擬化技術。它的核心思想是將多臺設備連接

在一起，進行必要的配置后，虛擬化成一臺設備。使用這種虛擬化技術可以集合

多臺設備的硬件資源和軟件解決能力，實現多臺設備的協(xié)同工作、統(tǒng)?管理和不

間斷維護。

IRF重要具有以下優(yōu)點：

簡化管理。IRF形成之后，用戶通過任意成員設備的任意端口都可以登錄IRF

系統(tǒng)，對IRF內所有成員設備進行統(tǒng)一管理。

高可靠性。IRF的高可靠性體現在多個方面，例如：IRF由多臺成員設備組成，主

設備負責IRF的運營、管理和維護，從設備在作為備份的同時也可以解決業(yè)務。

一旦主設備故障，系統(tǒng)會迅速自動選舉新的主設備，以保證業(yè)務不中斷，從而實

現了設備的1:N備份；此外，成員設備之間的IRF鏈路支持聚合功能,IRF和上、下

層設備之間的物理鏈路也支持聚合功能，多條鏈路之間可以互為備份也可以進

行負載分擔，從而進一步提高了IRF的可靠性。

強大的網絡擴展能力。通過增長成員設備，可以輕松自如的擴展IRF的端口數、

帶寬。由于各成員設備都有CPU,可以獨立解決協(xié)議報文、進行報文轉發(fā)，所以

IRF還能輕松自如的擴展解決能力。

2.2使用IRF后，匯聚層的多個設備成為了一個單一的邏輯設備，接入設備直

接連接到這個虛擬設備。這種簡化后的組網不再需要使用MSTP.VRRP

協(xié)議，簡化了網絡配置。同時依靠跨設備的鏈路聚合，在成員出現故障時不

再依賴MSTP、VRRP等協(xié)議的收斂，提高了可靠性。通過IRF還可以擴

展系統(tǒng)的解決能力和帶寬。當原有設備的解決能力不能滿足需求時，通過

新增多臺設備形成IRF來提高總體解決能力。

2.3安全虛擬化設計

安全集群架構(SCF)為杭州華三通信技術有限公司(以下簡稱H3C)自主研發(fā)的

安全設備軟件虛擬化技術，它的核心思想是將多臺安全設備連虛擬為一臺設備。

可以集合多臺安全設備的軟件解決能力，實現多臺安全設備的協(xié)同工作、統(tǒng)一管

理和不間斷維護。

swsw

SCF重要具有以卜優(yōu)點:

1.簡化管理。SCF形成之后，用戶通過任意成員設備的任意端口都可以登錄

SCF系統(tǒng)，對SCF內所有成員設備進行統(tǒng)一管理.

2.高可靠性。SCF的高可靠性體現在多個方面，例如:SCF由多臺成員設備組

成，主設備負責SCF的運營、管理和維護，從設備在作為備份的同時也可以解決

業(yè)務。一旦主設備故障，系統(tǒng)會迅速自動選舉新的主設備，以保證業(yè)務不中斷，

從而實現了設備的1：N備份；此外，成員設備之間的SCF鏈路支持聚合功能,SCF

和上、下層設備之間的物理鏈路也支持聚合功能，多條鏈路之間可以互為備份也

可以進行負載分擔，從而進一步提高了SCF的可靠性。

3.強大的網絡擴展能力。通過增長成員設備，可以輕松自如的擴展SCF的端

口數、帶寬。由于各成員設備都有CPU,可以獨立解決協(xié)議報文、進行報文轉發(fā),

所以SCF還能輕松自如的擴展解決能力。

SCF的部署方式全面突破了機框的限制，在簡化管理和部署的基礎上同時實

現了安全業(yè)務和安全性能的彈性擴展，可以實現業(yè)務流量通過一組SCF系統(tǒng)的自

動負載分擔和冗余備份。

SCF組中每臺設備都稱為成員設備。成員設備按照功能不同，分為兩種角色:

1.主用設備（簡稱為主設備）：負責管理整個SCF系統(tǒng)。

2.從屬設備（簡稱為從設備）：作為主設備的備份設備運營。當主設備故障

時，系統(tǒng)會自動在從設備中選舉一個新的主設備接替原主設備工作。

SOP技術杭州華三通信技術有限公司（以卜.簡稱H3C）自主研發(fā)的安全設備軟

件虛擬化技術。它的核心思想是將一臺安全設備連虛擬為多臺臺設備。可認為多

個安全出口分派獨立的解決能力和配置。實現專享的安全策略。

F5000采用創(chuàng)新的基于容器的虛擬化技術實現了真王意義上的虛擬防火墻，

即安全ONE平臺（SOP）o每一個安全ONE平臺均完全繼承F5000設備的所有特

性。

SOP之間實現了基于進程的真正互相隔離，而不是造統(tǒng)的通過路由方式的隔

離。每一個SOP系統(tǒng)都有自己獨立的運營空間，涉及管理平面、控制平面、數據

平面、以及完整的安全業(yè)務功能。每一個SOP均可以獨立的啟動、暫停和關閉，單

個SOP故障不會對其他SOP和整個物理系統(tǒng)產生任何影響。

SOP通過統(tǒng)一的OS內核可以對系統(tǒng)的靜態(tài)及動態(tài)的資源進行細粒度的劃

分。其中，靜態(tài)資源有內存、硬盤、接口、TCAM等，與此相關的邏輯資源涉及

并發(fā)會話、VPN隧道、安全策略、安全域、動態(tài)路由、VLAN等；動態(tài)資源有CPU,

與此相關的邏輯資源涉及吞吐量、新建速率、抗襲擊能力、VPN解決能力等。

SOP數量可以按照系統(tǒng)需求的變化動態(tài)調整。基于SOP的全分布式解決能力,

在單個SOP能力不變的前提下，可以通過增長業(yè)務板的方式來擴展系統(tǒng)SOP數量

的上限。

2.4SOP能力可以根據用戶需求動態(tài)的進行調整，當業(yè)務需求變更時可以在不

重啟SOP的前提下在線平滑調整CPU、內存等資源，從而保障用戶業(yè)務

完全不受影響。

2.5SOP能力可以基于SCF能力至少，F5000設備可以選擇先使用SCF技術

完畢N:1的虛擬化，在此基礎之上，使用SOP技術完畢1:N的虛擬化。

2.6虛擬互換機設計

本次項目中，醫(yī)院將采用虛擬化技術完畢對所有業(yè)務系統(tǒng)的虛擬化部署一虛擬化

技術中，虛擬互換機是非常重要的一個環(huán)節(jié)。H3c的虛擬化互換機可以兼容

VMware平臺，實現現有資源的統(tǒng)一管理。

海務ei渣務銳渣務單

回笆回回I回回回回回叵)回回

LVNszESXi'JMsreES力VMwiNESXi

VFE(MrtglForwvdngErgirw)

?GR方發(fā)報帙.云4#發(fā)"在VCE(\ArtuaiCortrdI"Engin?)

v$pbere?t?-電代VMvareGt整父悔8t??8力按。不快.以或加風n彩我父4t.

?精次OpenFlo鄂第話平郵的角色.慶典虛?*，OrenFkH?控制幕的角色.X?VFE

持陽蠟哀。外雙量校制與壯友.模輕的集中立0胸■.

?多個VF四雙T分布式由疑父女加??同S<grtwCenw發(fā)供臺.

SerS1010V

Plugin(H#)

?均ctVCBft冊和v%E?cServer,以掂齡

的也R&k&：vCenterServer中.

?我3■他3ftVDS的不附上.愿修wNIC病

。同境校制使力〔8PVLAN、VEPA

屯尊柒自等》?

H3csi010V是H3c公司面向公司和行業(yè)數據中心虛擬化環(huán)境推出的一款智

能軟件互換機產品，合用于VMwareESXi公司增強版環(huán)境。通過與VMware公司

密切合作,H3CS1010V可以與VMware虛擬基礎設施完全集成，其中，涉及

VMwarevCenterfllVMwareESXi,并替代VMware的基本虛擬互換機，為虛擬機

提供功能增強型的分布式虛擬互換能力。

H3CS1010V在設計上遵循OpenFlow標準體系架構，實現控制平面與轉發(fā)平

面分離的可編程網絡技術，整個產品涉及VCE、VFE和Plugin三個部分。

裝和運營在ESXi服務器上，是VMwareESXi內核的一部分，可以完全取代

VMware虛擬互換機的功能。

從定位上看，相稱于OpenFlow標準中的OpenFlow互換機，扮演數據轉發(fā)平

面的角色，實現虛擬網絡端口的流量控制與轉發(fā)。VFE接受到數據包后，一方面

在本地的OpenFlow流表中查找轉發(fā)目的端口，假如沒有匹配，則把數據包轉發(fā)

給VCE模塊，由控制層決定轉發(fā)策略和轉發(fā)端口。

部署在多個ESXi上的VFE組成一個跨物理主機的分布式軟件虛擬互換機。當

虛擬機發(fā)生遷移的時候，虛擬網卡上的網絡策略可以在各個服務器上同步。

?VCE（VirtualControllerEngine,虛擬控制引擎）

以標準的OVF（OpenVirlualizalionFormal,開放虛擬化格式）虛擬機格式交

付，通過VMwarevCenter提供的OVF模板部署功能安裝在一臺單獨的虛擬機上。

從定位上看，相稱于OpcnFlow標準中的控制器（Controller）,通過WebGUI

界面，實現VFE的集中管理和配置。

,Plugin（插件）

2.7運營在VMwarevCenterServer上的一個插件，是H3CS1010V專為

VMware定制開發(fā)的第三方管理接口，重要提供端口策略組的配置界面。

2.8數據庫審計設備

數據庫審計設備將通過千兆以太網電接口連接到核心互換機。數據庫審計設

備的部署位置和功能實現并無關聯，只需要到數據庫的【P地址可達就足夠了。

H3CSecPathD2023數據庫審計設備吞吐量為2GB,峰值事物解決能力為2萬條/

秒，日記存儲量為4億條。

數據庫是任何商業(yè)和公共安全中最具有戰(zhàn)略性的資產，通常都保存著重要

的商業(yè)伙伴和客戶信息，這些信息需要被保護起來，以防止競爭者和其他非法者

獲取。互聯網的急速發(fā)展使得公司數據庫信息的價值及可訪問性得到了提高，同

時，也致使數據庫信息資產面臨嚴峻的挑戰(zhàn)，概括起來重要表現在以下三個層

面：

管理層面：重要表現為人員的職責、流程有待完善，內部員工的平常操作有

待規(guī)范，第三方維護人員的操作監(jiān)控失效等等，致使安全事件發(fā)生時，無法追溯

并定位真實的操作者。

技術層面：現有的數據庫內部操作不明，無法通過外部的任何安全工具（比

如：防火墻、IDS、IPS等）來阻止內部用戶的惡意操作、濫用資源和泄露公司機

密信息等行為。

審計層面：現有的依賴于數據庫日記文獻的審計方法，存在諸多的弊端,比如:

數據庫審計功能的啟動會影響數據庫自身的性能、數據庫日記文獻自身存在被篡

改的風險，難于體現審計信息的真實性。

隨著著數據庫信息價值以及可訪問性提高，使得數據庫面對來自內部和外

部的安全風險大大增長，如違規(guī)越權操作、惡意入侵導致機密信息竊取泄漏，但

事后卻無法有效追溯和審計。

為了解決數據庫信息安全領域的深層次、應用及業(yè)務邏輯層面的安全問題及

審計需求，華三公司在數年數據庫安全的理論和實踐經驗積累的基礎上，成功推

出了業(yè)界首創(chuàng)的、面向政府、公司核心數據庫的安全產品----華三數據庫審計系

統(tǒng)，該產品重點實現細粒度審計、精確化行為回溯、全方位風險控制，為您的核

心數據庫提供全方位、細粒度的保護功能，可幫助用戶帶來如下價值點：

全面記錄數據庫訪問行為，辨認越權操作等違規(guī)行為，并完畢追蹤溯源

跟蹤敏感數據訪問行為軌跡，建立訪問行為模型，及時發(fā)現敏感數據泄漏

檢測數據庫配置弱點、發(fā)現SQL注入等漏洞、提供解決建議

為數據庫安全管理與性能優(yōu)化提供決策依據

2.9提供符合法律法規(guī)的報告，滿足等級保護、公司內控等審計規(guī)定

2.10防火墻設備

本次項目選用的是NGFW下?代防火墻作為出口安全（H3csecPath

F1050-8GB吞吐量）以及內外網隔離設備（H3csecPathF1070-12GB吞吐量）。防

火墻設備的部署位置涉及同醫(yī)保互聯的出口防火墻和內外網隔離用的綜合安全

防火墻。其中，隔離用防火墻配置有IPS-入侵防御及AV.防病毒的功能授權以及3

年的特性庫升級。綜合安全防火墻通過萬兆以太網光接口分別連接到內網核心互

換機及外網核心互換機.

H3CSccPathF10X0系列防火墻是杭州華三通信技術有限公司（以下簡稱

H3c公司）隨著Web2.0時代的到來并結合當前安全與網絡進一步融合的技術趨勢,

針對中小型公司、園區(qū)網互聯網出口以及廣域網分支市場推出的下一代高性能防

火墻產品。

2.11H3csecPathF10X0系列防火墻支持多維一體化安全防護，可從用戶、應

用、時間、五元組等多個維度，對流量展開IPS、AV、DLP等一體化安全

訪問控制，可以有效的保證網絡的安全；支持多種VPN業(yè)務，如L2TP

VPN、GREVPN、IPSecVPN和SSLVPN等，與智能終端對接實現移

動辦公；提供豐富的路由能力，支持RIP/OSPF/BGP/路由策略及基于應用

與URL的策略路由；支持IPv4/IPv6雙協(xié)議棧同時，可實現針對IPVG的

狀態(tài)防護和襲擊防范。

2.12H3CSecPathF10X0系列防火墻采用互為冗余備份的雙電源（1+1備份）,

同時支持雙機集群化部署的SCF技術，充足滿足高性能網絡的可靠性規(guī)

定；同時F10X0產品在1U高的設備上可提供至少24個千兆接口、2個萬

兆的固定接口。

2.13入侵防御設備

入侵防御設備通過插卡的形式直接部署在核心互換機匕通過背板互聯。用

于數據中心的安全防護。不需要額外的連接配置。當IPS板卡出現故障時，可以

通過自動旁路的方式對流量進行保護。本次部署兩臺，單個IPS插卡的吞吐量為

lOGBo

2.14SecBladeIPS是業(yè)界唯一集成漏洞庫、專業(yè)病毒庫、應用協(xié)議庫的IPS模

塊。配合H3CFIRST（FullInspectionwithRigorousStateTest,基于精

確狀態(tài)的全面檢測）專有引擎技術，能精確辨認并實時防范各種網絡襲擊

和濫用行為。SecBladeIPS通過了國際權威組織CVE（Common

Vulnerabilities&Exposures,通用漏洞披露）的兼容性認證，在系統(tǒng)漏洞研

究和襲擊防御方面達成了業(yè)界頂尖水平。集成卡巴斯基防病毒引擎和病毒

庫。采用第二代啟發(fā)式代碼分析、Checker實時監(jiān)控和獨特的腳本病毒攔

截等多種最尖端的反病毒技術，能實時查殺各種文獻型、網絡型和混合型

病毒；并采用新一代虛擬脫殼和行為判斷技術，準確查殺各種變種病毒、

未知病毒。

2.15H3c專業(yè)安全團隊密切跟蹤全球知名安全組織和廠商發(fā)布的安全漏洞公告,

通過準確的分析，快速生成保護操作系統(tǒng)、應用系統(tǒng)以及數據庫漏洞的特

性庫；H3c通過了微軟的MAPP（MicrosoftActiveProtectionsProgram,

微軟積極防御計劃）認證，可以提前獲得微軟的漏洞信息。同時，通過部署

于全球的蜜罐系統(tǒng)，實時掌握最新的襲擊技術和趨勢，以定期（每周）和緊

急（當重大安全漏洞被發(fā)現）兩種方式發(fā)布，并自動或手動地分發(fā)到

SecBladeIPS模塊中，使用戶的SecBladeIPS模塊快速具有防御零時差

襲擊的能力。

2.16運維堡壘機

運維堡壘機通過千兆以太網電接口直接連接到核心互換機。運維堡壘機的部

署位置同實際功能無關。

隨著信息系統(tǒng)規(guī)模不斷擴大，企事業(yè)單位需要管理的設備數量和類型都越

來越多、數據的敏感性越來越高、管理人員也越來越復雜，由此帶來了一系列的

困難和安全隱患。如內部管理人員越權操作設備，導致數據泄漏，設備密碼由于

修改工作量過大而長期不修改等。

H3CSecPathA2023及A2100是面向運營商及行業(yè)市場的高性能、高可管理的

運維審計系統(tǒng)，硬件上機遇X86解決架構,A2023為1U的獨立盒式設備，提供6個

千兆以太電口，單電源設計，支持交流電源。A2100為2U的獨立盒式設備，提供4

個千兆以太電口+2個千兆以太光口，，并提供一個擴展槽位用于進行端口及業(yè)

務擴充雙電源設計，支持交流電源。

2.17在功能方面，SecPathA2023及A2100為用戶提供了全面的運維管理體系

和運維能力，支持資產管理、用戶管理、雙因子認證、命令阻斷、訪問控

制、自動改密、審計等功能，可以有效的保障運維過程的安全。

2.18在協(xié)議方面，SecPathA2023及A2100全面支持SSH/TELNET/RDP（遠

程桌面）/FTP/SFTP/VNC,并可通過應用中心remoteapp技術擴展支持

VMware/XEN等虛擬機管理、oracle等數據庫管理、HTTP/HTTPS,小型

機管理等。

2.19互聯網出口

互聯網出口重要作用是提供全院的公網訪問。涉及患者就醫(yī)產生的公網流量

以及醫(yī)院內部對外的互聯網流量。為滿足公安部82號令以及數字化醫(yī)院的規(guī)定，

增長互聯網出口網關,ACG1000-M設備吞吐量為800MB,支持同H3cE1A認證系

統(tǒng)進行配合，實現基于用戶名或微信賬號的審計。

H3CSecPathACG1000是H3c公司新一代應用控制網關,ACG1000引入了全方

位上網行為管理要素，是面向客戶業(yè)務而量身定制的全業(yè)務網關產品。

H3CSecPathACG1000能對網絡中的網絡社區(qū)、P2P/IM帶寬濫用、網絡游戲、

炒股、網絡多媒體、非法網站訪問等行為進行精細化辨認和控制。運用智能流控、

智能阻斷、智能路由等技術，配合創(chuàng)新的社交網絡行為管理功能、清楚易管理日

記等功能，可以提供業(yè)界最全面、完善的上網行為管理解決方案。從而保障網絡

關鍵應用和服務的帶寬，對網絡流量、用戶上網行為進行進一步分析與全面的審

計，為用戶全面了解網絡應用模型和流量趨勢，優(yōu)化其帶寬資源，開展各項業(yè)務

提供有力的支撐。

3業(yè)務系統(tǒng)虛擬化方案設計

3.1刀片服務器設計

H3CFlexServerUIS8COO刀片機箱采用了一系列全新的技術，提供了簡化的

管理、強大的解決能力、超強的網絡帶寬、更高效的供電和散熱。1個UIS8000

刀片機箱可以支持16塊半高刀片服務器或8塊全高刀片服務器。U3CFlcxScrvcr

U1S8000機箱可提供模塊化服務器、互連模塊和存儲組，牛、電源模塊、散熱模塊

及網絡模塊。該機箱10U高，可容納16塊半高刀片服務器或8塊全高刀片服務器以

及可選的冗余網絡和存儲互連模塊。它內置一個共享的中置背板，可將刀片服務

器一次性連接到網絡和共享存儲設備。通過0A管理模決和遠程管理模塊來管理

服務器，并可實現全面地控制。

節(jié)能技術：與動態(tài)功率封頂的精確測量和控制相結合，可在無損性能的前提

下節(jié)能和回收閑置電能。

互聯架構：連線一次便可動態(tài)添加、替換或恢復刀片服務器，不影響網絡和

存儲或產生其他操作。

中置背板：無單點故障，可使用戶業(yè)務正常運營。

板載管理：提供了實用的管理工具并簡化了平常管理，問題告警，便于用戶

問題定位及恢復

高性能和高度靈活的網絡連接:UIS8000刀片機箱背板帶寬高達7TB,可以

支持多種不同的網絡類型。

冗余設計：UIS8000刀片機箱采用模塊化設計，所有組件都支持熱插拔。

U1S8000刀片機箱背板是完全沒有活動組件的背板，并且服務器和網絡互聯模塊

之間采用冗余的鏈路連接，避免了單點失效的也許。UIS8000刀片機箱采用了由

多個ActiveCool風扇組成的冗余熱插拔散熱系統(tǒng)。

簡化的初始安裝和管理：創(chuàng)新的板載LCD管理面板可在短時間之內快速完畢

服務器的安裝和配置，不管是在本地或遠程管理，采用向導式的管理界面都可以

大大減化平常工作，加快故障的判斷和修復。

更高效率：和傳統(tǒng)機架式服務器相比，更低的功耗，占用空間更少，連接線

纜的數量更少。

模塊化熱插拔組件：刀片服務器、存儲和其他模塊化組件可以在不斷電的情

況下方便地添加或移除。

管理靈活：對刀片模塊和網絡連接模塊的管理不局限于一個刀片機箱內，系

統(tǒng)可以允許跨刀片機箱的資源整合和共享。

集成共享的電源和散熱系統(tǒng)：刀片系統(tǒng)可以提供最佳的能耗比和最佳的冷

卻效率。

簡樸的管理方式：不需要復雜的規(guī)劃就可以完畢數據中心的系統(tǒng)冗余、電源、

冷卻和管理等方面的設計，模塊化擴展的服務器、存儲和網絡設備所有可以通過

一個控制臺來進行管理。

投資保護：刀箱中可以安裝多種不同規(guī)格的服務器和網絡設備。

下表為基本性最多支持16塊半高刀片服務器

能參數列表：最多支持8塊全高刀片服務器

設備托架支持混合配置

互聯托架可以支持8個網絡互聯模塊

機箱內集成，最多可以配置6個單相電源

電源

集中冗余風扇，最多可以配置10個積極智能散熱風扇

風扇

冗余0A管理模塊一LAN和串行訪問

管理

支持本地KVM連接

尺寸44.7cm（寬）X81.3cm（深）X44.2cm（高）

滿配重量W204Kg

額定電壓范圍：200V-240VAC,50/60Hz

交流

輸入電壓

額定電壓范圍:-36V?-72VDC

直流

工作環(huán)境溫度10℃~35℃

工作環(huán)境濕度10%?90*

下行口:16*I0GE

表為網絡模塊列表：

端口上行□:10*10GE

形態(tài)淮疊口：4M0GE

1h準受口:4*10GE

支持端口虛擬化為4個虛端口:

Flex-1026端口VC模塊網絡

特性支持無狀態(tài)計算：

下行口：16*I0GE

上行口:8+10GE（其中4個可切換

一端口為8GbI-C口）

▲形態(tài)

■回?回??■a?回?回■'回.回尸淮疊口:2*10GE

;

■巧=E3E3*EZE2E3I2

4

VCMOM*J淮強□:2*10GE

支持端口虛擬化為4個虛端口:

FlcxFabric24端口VC模塊網絡

支持無狀態(tài)計算：

特性

支持FCOE：

下行口：16*I0GE

端口上行口:8*10GE+4*40GE

E—_.1—曰IIk稱太

■*0?>>■*?1/I/會、淮疊口：4*10GE

g■

c1

!-1o在費口:1*1OGE

支持FCOE,IRF2.IPv4/IPv6,VEPA.

B6300XLG以太網模塊網絡SPB、TRILL：

特性

下行□:16*GE

.HW-二一

端口上行口：4*GE+4+10GE

,物態(tài)

：（-準費口：1*1OGE

虛疊口:1+10GE

網絡

B6300G/XG以太網模塊支持IRF/VRRP/RRPP/：

特性

下行口：16*8Gb

端口

上行□:8*8Gb

產態(tài)

J卜-l行J口1??O^OvU

K—支持無狀態(tài)計算：

網絡

支持NPIV模式，支持N_Port；

24端口FCVC模塊特性

支持NPIV模式，支持N_Porl：

3.2計算虛擬化設計

服務器是云計算平臺的核心，其承擔著云計算平臺的“計算”功能。對于云

計算平臺上的服務器，通常都是將相同或者相似類型的服務器組合在一起，作為

資源分派的母體，即所謂的服務器資源池。在這個服務器資源池上，再通過安裝

虛擬化軟件，使得其計算資源能以一種云主機的方式被不同的應用和不同用戶

使用。在x86系列的服務器上，其重要是以H3Cloud云生機的形式存在。后續(xù)的方

案描述中，都以云主機進行描述，如下為H3c虛擬化軟件的構成。

CVK:CloudVirtualizationKernel,虛擬化內核平臺

運營在基礎設施層和上層操作系統(tǒng)之間的“元”操作系統(tǒng)，用于協(xié)調上層操

作系統(tǒng)對底層硬件資源的訪問，減輕軟件對硬件設備以及驅動的依賴性，同時對

虛擬化運營環(huán)境中的硬件兼容性、高可靠性、高可用性、可擴展性、性能優(yōu)化等

問題進行加固解決。

CVM:CloudVirtualizationManager,虛擬化管理系統(tǒng)

重要實現對數據中心內的計算、網絡和存儲等硬件資源的軟件虛擬化，形成

虛擬資源池，對上層應用提供自動化服務。其業(yè)務范圍涉及：虛擬計算、虛擬網

絡、虛擬存儲、高可靠性（HA）、動態(tài)資源調度（DRS）、云主機容災與備份、

云主機模板管理、集群文獻系統(tǒng)、虛擬互換機策略等。

采用H3c的CAS虛擬化平臺對多臺服務器虛擬化后，連接到共享存儲，構建

成計算資源池，通過網絡按需為用戶提供計算資源服務。同一個資源池內的云主

機可在資源池內的物理服務器上動態(tài)漂移，實現資源的動態(tài)調配。

CAS產品邏輯架構圖如下所示:

計算資源池的構建可以采用以下四個環(huán)節(jié)完畢：計算資源池分類設計、主機

池設計、集群設計、云主機設計四個部分完畢。

1）計算資源池分類設計

在搭建服務器資源池之前，一方面應當擬定資源池的數量和種類，并對服務

器進行歸類。歸類的標準通常是根據服務器的CPU類型、型號、配置、物理位置

和用途來決定。對云計算平臺而言，屬于同一個資源池的服務器，通常就會將其

視為一組可互相替代的資源。所以，一般都是將相同解決器、相近型號系列并且

配置與物理位置接近的服務器一一比如相近型號、物理距離不遠的機架式服務

器。在做資源池規(guī)劃的時侯，也需要考慮其規(guī)模和功用，假如單個資源池的規(guī)模

越大，可以給云計算平臺提供更大的靈活性和容錯性：更多的應用可以部署在上

面，并且單個物理服務器的宕機對整個資源池的影響會更小些。但是同時，太大

的規(guī)模也會給出口網絡吞吐帶來更大的壓力，各個不同應用之間的干擾也會更

大。

初期的資源池規(guī)劃應當涵蓋所有也許被納管到云計算平臺的所有服務器資

源，涉及那些為搭建云計算平臺新購置的服務器、用戶內部那些目前閑置著的服

務器以及那些現有的并正在運營著業(yè)務應用的服務器。在云計算平臺搭建的初期,

那些目前正在為業(yè)務系統(tǒng)服務的服務器并不會直接被納入云計算平臺的管轄。但

是隨著云計算平臺的上線和業(yè)務系統(tǒng)的逐漸遷移，這些服務器也將逐漸地被并

入云計算平臺的資源池中。

針對用戶的需要，我們按照用途將云計算資源池劃分為云主機&云存儲區(qū)資

源池、管理和服務區(qū)資源池，以便云計算平臺項目實行討程以及平臺上線以后運

維過程中使用。

在云計算平臺搭建完畢以后，服務器資源池可以如下圖所示：

云存儡魚般務區(qū)責

源*毒池

計算資源池

H3CCVM虛擬化管理平臺體系將云計算資源池的物理服務器資源以樹形結

構進行組織管理，云資源中的被管理對象之間的關系可以用下圖描述：

啟用HA

:資源主機池集群

2）主機池設計

完畢在云計算軟件體系架構中，主機池是一系列主機和集群的集合體，主機

可納入群集中，也可單獨存在。沒有加入集群的主機所有在主機池中進行管理。

3）集群設計

集群目的是使用戶可以像管理單個實體同樣輕松地管理多個主機和云主機，

從而減少管理的復雜度，同時，通過定期對集群內的主機和云主機狀態(tài)進行監(jiān)測,

假如一臺服務器主機出現故障，運營于這臺主機上的所有云主機都可以在集群

中的其它主機上重新啟動，保證了數據中心業(yè)務的連續(xù)性。

4）云主機設計

每臺云主機都是一個完整的系統(tǒng)，它具有CPU、內存、網絡設備、存儲設備

和BIOS,因此操作系統(tǒng)和應用程序在云主機中的運營方式與它們在物理服務器

上的運營方式沒有任何區(qū)別。與物理服務器相比，云主機具有如下優(yōu)勢：

在標準的x86物理服務器上運營。

可訪問物理服務器的所有資源（如CPU、內存、磁盤、網絡設備和外圍設備）,

任何應用程序都可以在云主機中運營。

默認情況，云主機之間完全隔離，從而實現安全的數據解決、網絡連接和數

據存儲。

可與其它云主機共存于同一臺物理服務器，從而達成充足運用硬件資源的

目的。

云主機鏡像文獻與應用程序都可以封裝于文獻之中，通過簡樸的文獻復制

便可實現云主機的部署、備份以及還原。

具有可移動的機靈特點，可以便捷地將整個云主機系統(tǒng)（涉及虛擬硬件、操

作系統(tǒng)和配置好的應用程序）在不同的物理服務器之間進行遷移，甚至還可以在

云主機正在運營的情況下進行遷移。

可將分布式資源管理與高可用性結合到一起，從而為應用程序提供比靜態(tài)

物理基礎架構更高的服務優(yōu)先級別。

可作為即插即用的虛擬工具（包含整套虛擬硬件、操作系統(tǒng)和配置好的應用

程序）