STYLEREFContents目錄DOCPROPERTY"Product&ProjectName"OneNetCampus融合校園網(wǎng)解決方案DOCPROPERTYDocumentName技術(shù)建議書DOCPROPERTY"Product&ProjectName"XX網(wǎng)絡(luò)解決方案技術(shù)建議書目錄TOC\h\z\t"標題1,1,標題2,2,標題3,3,標題7,1,標題8,2,標題9,3,Heading1NoNumber,1"189691醫(yī)院網(wǎng)絡(luò)概述 醫(yī)院網(wǎng)絡(luò)設(shè)計方案醫(yī)院網(wǎng)絡(luò)設(shè)計原則醫(yī)院網(wǎng)絡(luò)是醫(yī)院業(yè)務(wù)系統(tǒng)關(guān)鍵的基礎(chǔ)平臺，承擔著醫(yī)院所有信息化業(yè)務(wù)的通信傳輸，對醫(yī)院業(yè)務(wù)穩(wěn)定運營至關(guān)重要，應(yīng)本著以下原則進行建設(shè)：穩(wěn)定性、可靠性、可用性可靠性是醫(yī)院網(wǎng)絡(luò)最基本的關(guān)鍵訴求，包括：關(guān)鍵設(shè)備冗余、鏈路/網(wǎng)絡(luò)冗余和重要業(yè)務(wù)模塊冗余。關(guān)鍵設(shè)備冗余，包括支持單板熱拔插、冗余控制模塊、冗余電源。冗余網(wǎng)絡(luò)設(shè)計，包括雙機熱備，鏈路冗余、鏈路聚合。安全性安全性是醫(yī)院網(wǎng)絡(luò)的基本訴求，包括物理空間的安全控制及網(wǎng)絡(luò)的安全控制。除了專業(yè)的安全設(shè)備提供的專業(yè)安全防護，基礎(chǔ)的網(wǎng)絡(luò)設(shè)備也需要具備一定的網(wǎng)絡(luò)安全能力，如防ARP攻擊、防MAC等。先進性、可擴展性與實用性結(jié)合醫(yī)院網(wǎng)絡(luò)不但需要能夠滿足當前需要，隨著后續(xù)業(yè)務(wù)發(fā)展，未來網(wǎng)絡(luò)也需要承載更多豐富業(yè)務(wù)及提供更優(yōu)質(zhì)的服務(wù)。所以，網(wǎng)絡(luò)的可擴展性是網(wǎng)絡(luò)前期規(guī)劃的重點。同時，采用先進的網(wǎng)絡(luò)設(shè)備，保證一次建成后長期的平滑升級，保護投資；不追求過分超前，避免造成投資浪費。為此，在網(wǎng)絡(luò)建設(shè)中，需注意超前性與實用性結(jié)合，確保投資有效。在實用的前提下，系統(tǒng)盡可能地滿足各類未來演進需求，適應(yīng)主流技術(shù)的變化，以確保系統(tǒng)的先進性?？删S護、可管理性網(wǎng)絡(luò)可管理性是醫(yī)院網(wǎng)絡(luò)易于運維的基礎(chǔ)。醫(yī)院運維管理人員應(yīng)該從繁雜的運維工作中抽出身來，更多的關(guān)注業(yè)務(wù)應(yīng)用和創(chuàng)新。華為提供低成本、簡單有效的統(tǒng)一網(wǎng)管，對院內(nèi)有線無線網(wǎng)絡(luò)進行統(tǒng)一管理，提供可視化的網(wǎng)絡(luò)拓撲、網(wǎng)絡(luò)狀態(tài)監(jiān)控、故障事件實時預(yù)警和告警、網(wǎng)絡(luò)流量統(tǒng)計等。醫(yī)院網(wǎng)絡(luò)一般分為三張網(wǎng)，分別是內(nèi)網(wǎng)，外網(wǎng)和設(shè)備網(wǎng)：內(nèi)網(wǎng)：也稱為HIS網(wǎng)絡(luò)，主要承載醫(yī)療核心業(yè)務(wù)的數(shù)據(jù)傳輸，要求高寬帶、大容量和高速率，并需考慮未來擴容、帶寬升級。外網(wǎng)：也稱為辦公網(wǎng)絡(luò)，作為行政辦公、對外發(fā)布、互聯(lián)網(wǎng)醫(yī)學資料查詢的主要平臺，穩(wěn)定性和保密性要求低于內(nèi)網(wǎng)，且接入終端及數(shù)據(jù)流特點也更為復(fù)雜。設(shè)備網(wǎng)：也稱為智能IP設(shè)備網(wǎng)，主要承載廣播系統(tǒng)，視頻監(jiān)控，病房語音呼叫等業(yè)務(wù)。此次方案根據(jù)分層次、分模塊的設(shè)計思路，結(jié)合醫(yī)院實際業(yè)務(wù)需求設(shè)計整體網(wǎng)絡(luò)架構(gòu)，提供可靠安全，有線無線深度融合的網(wǎng)絡(luò)，實現(xiàn)醫(yī)院網(wǎng)絡(luò)的便捷運維。分區(qū)設(shè)計思路由于醫(yī)療網(wǎng)絡(luò)涉及到的業(yè)務(wù)復(fù)雜，且安全性和可靠性要求比較高，所以設(shè)計為按照不同的功能和業(yè)務(wù)將網(wǎng)絡(luò)進行區(qū)域劃分。例如內(nèi)部服務(wù)器區(qū)域、外部服務(wù)器區(qū)域、內(nèi)部接入?yún)^(qū)，外部接入?yún)^(qū)，醫(yī)療儀器接入?yún)^(qū)，IP設(shè)備接入?yún)^(qū)，存儲陣列區(qū)域、網(wǎng)絡(luò)及安全管理區(qū)域等。功能區(qū)域的劃分，能最大程度上保證各功能之間的相對獨立性，以便更加方便、更加可靠的對其進行管理和維護，保證各項正常業(yè)務(wù)的不間斷運行。分層設(shè)計思路醫(yī)院網(wǎng)絡(luò)內(nèi)部節(jié)點眾多，且分布不均，為了提高數(shù)據(jù)交互速度和效率，易于管理和維護，整網(wǎng)按分層模型進行搭建和管理。核心層：核心層負責整個內(nèi)部網(wǎng)絡(luò)的高速互聯(lián)，不部署具體的業(yè)務(wù)。核心網(wǎng)絡(luò)需要實現(xiàn)帶寬的高利用率和網(wǎng)絡(luò)故障的快速收斂。接入層：負責將各種終端節(jié)點接入到內(nèi)部網(wǎng)絡(luò)，通常由以太網(wǎng)交換機組成。對于某些終端，可能還要增加特定的接入設(shè)備，例如無線接入的AP設(shè)備等。接入層交換機，通常部署在樓層配線間。醫(yī)院內(nèi)網(wǎng)設(shè)計方案內(nèi)網(wǎng)是醫(yī)院核心網(wǎng)絡(luò)系統(tǒng)，是用于開展日常醫(yī)療業(yè)務(wù)的內(nèi)部局域網(wǎng)，將醫(yī)院網(wǎng)絡(luò)按病房、門診和手術(shù)區(qū)等進行功能分區(qū)。內(nèi)網(wǎng)邏輯分區(qū)醫(yī)院內(nèi)網(wǎng)物理拓撲上圖所知，醫(yī)院內(nèi)網(wǎng)分布呈如下特點：1、整體內(nèi)網(wǎng)架構(gòu)建設(shè)實現(xiàn)三層網(wǎng)絡(luò)架構(gòu)，核心、匯聚、接入，內(nèi)網(wǎng)：核心匯聚萬兆交換，千兆到桌面。2、核心與匯聚設(shè)備連接冗余設(shè)計，核心交換機做堆疊。3、各醫(yī)院分支機構(gòu)內(nèi)部統(tǒng)一光纖建設(shè)，實現(xiàn)醫(yī)院內(nèi)各分支機構(gòu)內(nèi)部線路統(tǒng)一部署。醫(yī)院無線網(wǎng)設(shè)計方案本方案建議采用FITAP組網(wǎng)，無線控制器采用隨板AC，AP部署到需覆蓋信號的各個區(qū)域，比如住院大樓，門診大樓等。華為提供室內(nèi)放裝型，室分型和室外型三種AP，以滿足醫(yī)院不同場景的信號覆蓋需求。2.3.1無線醫(yī)療架構(gòu)不同醫(yī)院現(xiàn)有有線網(wǎng)絡(luò)架構(gòu)的差異，使得各醫(yī)院的WLAN網(wǎng)絡(luò)建設(shè)存在一定的差異。根據(jù)WLAN無線網(wǎng)建設(shè)對現(xiàn)有網(wǎng)絡(luò)的疊加的影響程度，整體可以分為兩個場景：不改變有線網(wǎng)，WLAN無線網(wǎng)在現(xiàn)有網(wǎng)絡(luò)上疊加；新建分院或者有線網(wǎng)改造和WLAN無線網(wǎng)建設(shè)同部進行。2.3.2有線網(wǎng)改造+WLAN無線網(wǎng)建設(shè)WLAN無線網(wǎng)建設(shè)和有線網(wǎng)改造同時進行，有線采用802.1x認證，無線采用Portal/IPOE認證，打造有線無線一體化、統(tǒng)一認證和管理的一體化無線醫(yī)院方案。新建醫(yī)院或者有線改造和無線WLAN網(wǎng)絡(luò)建設(shè)同步進行時，推薦整體解決方案如下圖所示。園區(qū)核心：核心層推薦采用華為S12700交換機。其獨創(chuàng)的CSS2集群，數(shù)據(jù)跨框1次交換，21us最低跨框時延，僅為業(yè)界平均時延的60%。且CSS2交換網(wǎng)集群支持1+N冗余備份，增加核心層設(shè)備的可靠性。網(wǎng)絡(luò)改造的關(guān)鍵在于“統(tǒng)一認證，集中管理”，在醫(yī)院出口部署華為融合統(tǒng)一用戶管理特性的高性能交換機S12700。有線接入采取802.1x認證技術(shù)，無線接入采用Portal認證技術(shù)，所有認證工作通過寬帶業(yè)務(wù)網(wǎng)關(guān)完成。S12700交換機的可編程單板內(nèi)置無線AC功能（NatvieAC），有線無線統(tǒng)一轉(zhuǎn)發(fā)、統(tǒng)一控制、統(tǒng)一管理，實現(xiàn)有線無線真正融合，且無需在單獨購買AC板卡。AP設(shè)備：室內(nèi)或者室外場景推薦選擇放裝型設(shè)備，減少無線布線的繁瑣。AP設(shè)備采用POE供電，就近接入接入交換機，對于報告廳等高密場景推薦使用3*3MIMO設(shè)備或者11ac設(shè)備以提高單臺AP容量。室內(nèi)AP推薦AP6010DN，室外AP推薦AP6510DN。接入交換機：接入層新增千兆POE接入交換機，滿足AP供電以及WLAN11n/11ac對接入帶寬的需求。接入交換機推薦選擇華為S5700-24TP-PWR-SI和S5700-48TP-PWR-SI。2.3.3無線AP部署方案室內(nèi)放裝：AP布放在所規(guī)劃的安裝點，接入交換機放在弱電井內(nèi)，提供AP的POE供電，同時做接入層匯聚到上層交換機。圖1WLAN無線網(wǎng)絡(luò)方裝方案醫(yī)院外網(wǎng)設(shè)計方案外網(wǎng)包括INTERNET訪問、辦公自動化系統(tǒng)、視頻會議、IPTV系統(tǒng)等，業(yè)務(wù)量總體較小。由于外網(wǎng)需要和Internet互通，面臨的最大問題是如何保證防御來自internet的攻擊，對醫(yī)院的門戶網(wǎng)站進行有效防護，對醫(yī)護人員的上網(wǎng)行為如何進行合理管控，以及對外網(wǎng)入侵行為進行實時檢測。醫(yī)院外網(wǎng)邏輯分區(qū)按照分權(quán)分域的設(shè)計原則，將外網(wǎng)分為Internet出口區(qū)，外網(wǎng)應(yīng)用區(qū)，安全管理區(qū)，外網(wǎng)接入?yún)^(qū)，每個區(qū)域設(shè)定不同的互訪權(quán)限。將用戶分為普通用戶和網(wǎng)管用戶，普通用戶只能訪問外網(wǎng)應(yīng)用區(qū)和internet出口區(qū)。網(wǎng)管用戶可以訪問安全管理區(qū)。在Internet出口區(qū)部署防火墻設(shè)備，防范來自internet的網(wǎng)絡(luò)攻擊。部署上網(wǎng)行為管理設(shè)備，實現(xiàn)上網(wǎng)帶寬管理，URL過濾以及上網(wǎng)行為審計等功能；部署VPN網(wǎng)關(guān)設(shè)備，提供遠程接入能力，可以方便院領(lǐng)導(dǎo)遠程辦公，網(wǎng)管人員也可以遠程接入實現(xiàn)網(wǎng)絡(luò)故障處理。在外網(wǎng)應(yīng)用區(qū)部署Web應(yīng)用防火墻，防范來基于Web的應(yīng)用攻擊。在安全管理區(qū)部署防病毒軟件，網(wǎng)管軟件，訪問控制軟件，實現(xiàn)對外網(wǎng)的安全管理。醫(yī)院外網(wǎng)物理拓撲醫(yī)院設(shè)備網(wǎng)設(shè)計方案設(shè)備網(wǎng)也稱為智能IP設(shè)備網(wǎng)，主要承載門禁，樓控，監(jiān)控，考勤和安防廣播等業(yè)務(wù)。這幾張網(wǎng)都屬于設(shè)備網(wǎng)，但業(yè)務(wù)屬性又各自不同，鑒于其接入點較少，建議采用虛擬化技術(shù)，一張物理網(wǎng)絡(luò)虛擬出多張設(shè)備子網(wǎng)，將門禁，樓控，視頻監(jiān)控等不同的業(yè)務(wù)系統(tǒng)進行邏輯隔離，互不干擾，實現(xiàn)一網(wǎng)多用。設(shè)備網(wǎng)全部采用二層架構(gòu)，接入交換機直接上聯(lián)到外網(wǎng)核心交換機。設(shè)備網(wǎng)連接的基本都是低速設(shè)備，采用百兆電口接入，千兆光纖上行，單核心設(shè)計。

醫(yī)院便捷運維解決方案3.1統(tǒng)一網(wǎng)管Esight：eSight是華為推出的新一代面向園區(qū)和分支網(wǎng)絡(luò)的管理系統(tǒng)，實現(xiàn)對資源、業(yè)務(wù)、用戶的統(tǒng)一管理以及智能聯(lián)動。eSight支持對IT&IP以及第三方設(shè)備的統(tǒng)一管理，同時對網(wǎng)絡(luò)流量、接入認證角色等進行智能分析，自動調(diào)整網(wǎng)絡(luò)控制策略，全方位保證醫(yī)院網(wǎng)絡(luò)安全。同時eSight提供靈活的開放平臺，為醫(yī)院量身打造自己的智能管理系統(tǒng)提供基礎(chǔ)。華為eSight提供多種應(yīng)用，包括：多廠商的設(shè)備管理；資源統(tǒng)一管理；可視化的統(tǒng)一視圖；全方位的故障監(jiān)控；機房精細化監(jiān)控；輔助智能樓宇安防監(jiān)控；網(wǎng)絡(luò)監(jiān)控性能管理；分權(quán)-分域-分時的用戶管理。3.2SVF，一棟樓虛擬成一個交換機：S12700支持SVF超級虛擬交換網(wǎng)，創(chuàng)新實現(xiàn)不僅將盒式交換機虛擬為框式交換機板卡，而且將AP虛擬為框式交換機的端口，使得原來“核心/匯聚+接入交換機+AP”的網(wǎng)絡(luò)架構(gòu)，虛擬化為一臺設(shè)備進行管理，提供業(yè)界最簡化網(wǎng)絡(luò)管理方案。SVF超級虛擬化3.3iPCA網(wǎng)絡(luò)包守恒算法，實現(xiàn)精準化運維：華為創(chuàng)新的發(fā)明了iPCA網(wǎng)絡(luò)包守恒算法，改變了傳統(tǒng)利用模擬流量做故障定位的檢測模型，可對任意業(yè)務(wù)流隨時隨地逐點檢測網(wǎng)絡(luò)質(zhì)量，無需額外開銷；檢測直接精準到故障端口，實現(xiàn)從“粗放式運維”到“精準化運維”的大轉(zhuǎn)變。3.4醫(yī)院網(wǎng)絡(luò)帶寬設(shè)計方案視頻會議/會診流量，IPTV流量，視頻監(jiān)控流量。3.4.1視頻會議/會診帶寬需求假設(shè)全院當前建設(shè)的視頻會議/會診終端設(shè)備約100個，由于終端資源寶貴，工作時間占有率很高，特別是遠程會診等長期占用。按80%設(shè)備同時占用計算，每終端使用8Mbps高清視頻。則對核心交換設(shè)備的流量訴求為100*0.8*8=640Mbps3.4.2電視流量/IPTV帶寬需求假設(shè)為全院45個標清頻道，10個高清頻道；采用直播（組播），暫不提供點播；標清4Mbps，高清8Mbps。500個病房，20%-30%點播（運營商經(jīng)驗數(shù)據(jù)），網(wǎng)絡(luò)利用率70%。則疊加于接入交換機以上到數(shù)據(jù)中心網(wǎng)絡(luò)的每條鏈路的固定占用帶寬為：（45*4+10*8+500*30%*8）/70%=(260Mbps+1200Mbps)/70%=2085Mbps。3.4.3視頻監(jiān)控網(wǎng)帶寬需求對于視頻監(jiān)控部分，則網(wǎng)絡(luò)流量相對簡單。假設(shè)全院1000個標清攝像頭，較為均勻的分布在各樓層各位置；每個帶寬2Mbps，則：核心段流量為2Gbps。3.5方案亮點概括3.5.1有線無線一體化，統(tǒng)一管理、統(tǒng)一部署、統(tǒng)一運維采用AC+瘦AP的部署架構(gòu)，無線網(wǎng)絡(luò)與醫(yī)院的有線網(wǎng)絡(luò)完全融合：采用共同的網(wǎng)管eSight、共同的DNS、DHCP等網(wǎng)絡(luò)服務(wù)器。通過接入交換機S5700的POE向AP同時提供供電和數(shù)據(jù)傳輸，核心交換機上掛位置定位服務(wù)器，并且AC與eSight網(wǎng)管系統(tǒng)的WLAN管理模塊協(xié)同工作，實現(xiàn)對全網(wǎng)AP的自動配置下發(fā)、射頻管理、信道分配、安全接入控制等等無線網(wǎng)絡(luò)配置和運維管理功能。華為瘦AP產(chǎn)品可以支持802.11a/b/g/n協(xié)議，并提供MIMO功能，可以成倍地提高無線信道容量、信道可靠性，降低誤碼率。并且支持虛擬AP(VAP)特性，一個AP配置多個SSID，可劃分為多個VAP，每個SSID對應(yīng)一個VAP，AC針對VAP進行策略下發(fā)，VAP根據(jù)策略進行終端與業(yè)務(wù)管理，實現(xiàn)內(nèi)網(wǎng)、外網(wǎng)的統(tǒng)一融合。同時，該架構(gòu)支持華為公司基于標準無線局域網(wǎng)(Wi-Fi)的醫(yī)療追蹤解決方案。通過AP將收集到的終端信息傳遞給位置定位服務(wù)器，可以準確的定位出終端的位置信息，搭起醫(yī)療可視化平臺，為醫(yī)療機構(gòu)提供完整的資產(chǎn)管理、病患和職員追蹤解決方案，以利于他們降低運行成本，提高運行效率和醫(yī)療服務(wù)水平。有線無線統(tǒng)一精細化管控：統(tǒng)一有線無線認證點，統(tǒng)一有線無線用戶管理。支持基于5W1H（誰、誰的設(shè)備、什么設(shè)備、在哪里、在什么時間、怎么接入）接入情景感知的網(wǎng)絡(luò)訪問行為控制，應(yīng)對移動醫(yī)療不同醫(yī)患角色對不同業(yè)務(wù)的訪問控制訴求。園區(qū)超級虛擬化簡化部署：醫(yī)院園區(qū)有線和無線網(wǎng)絡(luò)設(shè)備虛擬成一臺超級交換機，從管理的視角上可簡化為一臺網(wǎng)元來管理；接入交換機和AP的配置管理由匯聚交換機自動下發(fā)，零配置，即插即用3.5.2網(wǎng)絡(luò)安全深度融合，由點及面的全網(wǎng)安全協(xié)防與主動防御全面的安全產(chǎn)品：華為提供全面豐富的安全產(chǎn)品（防火墻，上網(wǎng)行為管理，VPN網(wǎng)關(guān)，入侵檢測，Web應(yīng)用防火墻，終端訪問控制和數(shù)據(jù)庫審計等），幫助醫(yī)院網(wǎng)絡(luò)滿足等保對網(wǎng)絡(luò)安全，主機安全，應(yīng)用安全和數(shù)據(jù)安全的要求。完善的醫(yī)療信息外泄防護：在數(shù)據(jù)中心提供數(shù)據(jù)庫審計功能對醫(yī)療信息的使用進行嚴格審計，提供堡壘機對數(shù)據(jù)中心的所有網(wǎng)管維護行為進行審計；對固定終端進行安全管控，禁止USB口等外設(shè)使用；對移動終端提供安全沙箱功能，所有醫(yī)療信息進行加密存儲，終端丟失不會導(dǎo)致信息泄露。全網(wǎng)安全協(xié)防：改變傳統(tǒng)的單點防護模式，對全網(wǎng)安全事件采集，從大量無序的安全事件來關(guān)聯(lián)分析出全網(wǎng)的安全威脅；可對安全威脅事件采取告警、阻斷或引流至安全設(shè)備中進行清洗或過濾；全網(wǎng)安全策略下發(fā)，控制中心下發(fā)調(diào)整后的安全策略至全網(wǎng)相關(guān)設(shè)備。3.5.3高可靠的設(shè)備級和網(wǎng)絡(luò)級可靠性方案從設(shè)備到組網(wǎng)的高可靠性設(shè)計：首先通過部件的冗余設(shè)計來保證單個設(shè)備的高可靠性，比如接入設(shè)備采用雙電源設(shè)計；其次通過高可靠的組網(wǎng)模式來提升網(wǎng)絡(luò)健壯性，比如采用核心雙上行設(shè)計，利用堆疊技術(shù)和集群技術(shù)完成快速故障收斂，華為具備業(yè)界唯一的硬件集群交換機（可以實現(xiàn)集群系統(tǒng)中只要保證任意一框的一個主控板運行正常，業(yè)務(wù)即不受任何影響)。3.5.4全面覆蓋和安全的無線網(wǎng)絡(luò)隨板AC:性能是傳統(tǒng)AC的100倍，支持4K個AP，支持全院覆蓋，免購買AC。專業(yè)的網(wǎng)優(yōu)網(wǎng)規(guī)服務(wù)：無線網(wǎng)絡(luò)的覆蓋效果和具體項目實施有很大關(guān)系，不同于有線網(wǎng)絡(luò)，低效的無線規(guī)劃可能導(dǎo)致無線網(wǎng)絡(luò)的不可用。華為通過專業(yè)的規(guī)劃設(shè)計工具，根據(jù)醫(yī)院的實際場景，提供網(wǎng)優(yōu)網(wǎng)規(guī)服務(wù)，幫助醫(yī)院實現(xiàn)無線信號的全面覆蓋。支持無線定位，幫助醫(yī)院開展增值業(yè)務(wù)：該方案支持基于WIFI的無線定位，可以支持對醫(yī)療器械等貴重資產(chǎn)的位置跟蹤，輔助進行資產(chǎn)管理，可以支持對無自我監(jiān)管能力或喪失自己監(jiān)管能力的病患進行跟蹤單位，便于及時救助。3.5.5智能、簡單的運維管理超級虛擬交換網(wǎng)（SVF），設(shè)備統(tǒng)一管理。將有線無線網(wǎng)絡(luò)虛擬成一臺設(shè)備進行管理。業(yè)界首創(chuàng)有線無線采用相同的協(xié)議一致管理，AP虛擬成無線端口進行管理，接入交換機像AP一樣即插即用，接入交換機和AP設(shè)備的開局、升級和更換全“零”人工參與；iPCA，實現(xiàn)精準化運維。方案支持iPCA網(wǎng)絡(luò)包守恒算法，改變了傳統(tǒng)利用模擬流量做故障定位的檢測模型，可對任意業(yè)務(wù)流隨時隨地逐點檢測網(wǎng)絡(luò)質(zhì)量，無需額外開銷；檢測直接精準到故障端口，實現(xiàn)從“粗放式運維”到“精準化運維”的大轉(zhuǎn)變。3.5.6可軟件定義的敏捷交換機快速適應(yīng)業(yè)務(wù)發(fā)展靈活性：利用可編程模塊，可以靈活適應(yīng)未來網(wǎng)絡(luò)變化，承載各種新業(yè)務(wù)；開放性：可以更好的兼容其它廠家設(shè)備，實現(xiàn)互通，根據(jù)客戶需求定制化開發(fā)，更好的適應(yīng)客戶網(wǎng)絡(luò)環(huán)境；實效性：將原本客戶需求落地時間由三年縮短到幾個月，滿足客戶實時動態(tài)變化的業(yè)務(wù)需求；低成本：在快速實現(xiàn)網(wǎng)絡(luò)需求的同時，不引入新硬件成本，更好的保護了客戶投資，降低成本；

醫(yī)院網(wǎng)絡(luò)安全設(shè)計4.1可靠的組網(wǎng)方案對設(shè)備的可靠性要求，除了對設(shè)備元器件的基本可靠性要求以外，更多的是指單臺設(shè)備的硬件冗余，一般有主控冗余、交換網(wǎng)冗余、單板熱插拔和電源風扇冗余等，使用冗余部件可以在單個部件可靠性一定的情況下，提高整個設(shè)備的可用性。傳統(tǒng)可靠性方案傳統(tǒng)的可靠性方案是STP（SpanningTreeProtocol），該方案通過阻塞環(huán)路中的某條鏈路來實現(xiàn)二層數(shù)據(jù)幀的無環(huán)轉(zhuǎn)發(fā)。現(xiàn)代網(wǎng)絡(luò)中很多應(yīng)用對中斷時間極為敏感，而且?guī)挊O大，這種傳統(tǒng)的可靠性方案已經(jīng)不適用于現(xiàn)代網(wǎng)絡(luò)。收斂時間傳統(tǒng)的STP技術(shù)收斂速度慢，在故障發(fā)生時，故障收斂時間>10秒；雖然采用RSTP進行優(yōu)化，但收斂時間任是秒級，秒級的業(yè)務(wù)中斷，無法適應(yīng)現(xiàn)在的很多網(wǎng)絡(luò)應(yīng)用。鏈路利用率低由于有一個上行鏈路被阻塞，此鏈路的帶寬無法利用，總帶寬利用率只有50%；雖然MSTP基于VLAN進行優(yōu)化，但使用MSTP又會導(dǎo)致配置復(fù)雜，日常維護非常困難。配置維護復(fù)雜，網(wǎng)絡(luò)故障率高每個接入交換機和匯聚交換機都需要運行STP協(xié)議，隨著接入交換機的增加，交換機需要處理的STP也越來越復(fù)雜，會導(dǎo)致可靠性問題。集群+堆疊的無環(huán)網(wǎng)絡(luò)方案基于STP方案有以上這些缺點，我們推薦采用集群+堆疊的無環(huán)網(wǎng)絡(luò)方案來替代傳統(tǒng)方案。數(shù)字醫(yī)院可靠組網(wǎng)方案核心層和匯聚層的交換機使用CSS（ClusterSwitchSystem）技術(shù)，配置交換機集群，從邏輯上組合成一臺交換機；接入層的兩臺交換機使用iStack（IntelligentStack）技術(shù)，配置交換機堆疊，從邏輯上組合成一臺交換機。將接入層交換機和匯聚層交換機之間的多條鏈路捆綁，用來傳輸數(shù)據(jù)。相對傳統(tǒng)方案，這個方案有以下優(yōu)勢：高可靠性堆疊系統(tǒng)的成員設(shè)備之間冗余備份；堆疊支持跨設(shè)備的鏈路聚合功能，實現(xiàn)跨設(shè)備的鏈路冗余備份。簡化配置和管理交換機集群或堆疊形成后，兩臺物理交換機虛擬成為一臺邏輯交換機，用戶可以通過任何一臺成員設(shè)備登錄堆疊系統(tǒng)，對堆疊系統(tǒng)所有成員設(shè)備進行統(tǒng)一配置和管理。邏輯網(wǎng)絡(luò)也變得簡潔，不再需要配置和維護STP等協(xié)議?？焖俚墓收鲜諗挎溌饭收鲜諗繒r間可以控制在10ms以下，大大降低了網(wǎng)絡(luò)鏈路/節(jié)點的故障對業(yè)務(wù)的影響。帶寬利用率高采用鏈路Trunk的方式，帶寬利用率可以達到100%。擴容方便、保護投資隨著業(yè)務(wù)的增加，當用戶進行網(wǎng)絡(luò)升級時，只需要增加新設(shè)備，而不需要更改網(wǎng)絡(luò)配置。平滑擴容，很好的保護了投資。4.2醫(yī)院網(wǎng)絡(luò)安全性設(shè)計規(guī)劃醫(yī)院網(wǎng)絡(luò)一般分為三張網(wǎng)，分別是內(nèi)網(wǎng)，外網(wǎng)和設(shè)備網(wǎng)，三張網(wǎng)上分別運行了不同的業(yè)務(wù)，對應(yīng)的網(wǎng)絡(luò)安全性需求也有不同。同時，這三張網(wǎng)的隔離方式也有兩種隔離方式，分別是物理隔離和邏輯隔離：內(nèi)網(wǎng)，外網(wǎng)和設(shè)備網(wǎng)物理隔離優(yōu)點：三張網(wǎng)不共用設(shè)備和鏈路，各自獨立互不影響，最大程度保證內(nèi)網(wǎng)安全。缺點：三張網(wǎng)絡(luò)單獨建設(shè)，投資規(guī)模增大，靈活性弱，需要管理多張網(wǎng)絡(luò)，增加管理成本。內(nèi)網(wǎng)，外網(wǎng)和設(shè)備網(wǎng)邏輯隔離優(yōu)點：采用防火墻、二層VLAN劃分、三層訪問控制列表實現(xiàn)隔離，網(wǎng)絡(luò)服務(wù)互不影響；減少投資；終端同時訪問多張網(wǎng)能力可配置。管理成本低、多張網(wǎng)的應(yīng)用互聯(lián)容易實現(xiàn)。缺點：外網(wǎng)對設(shè)備的攻擊可能引起內(nèi)網(wǎng)故障。具體項目推薦使用邏輯隔離方案。外網(wǎng)安全設(shè)計：按照分權(quán)分域的設(shè)計原則，將外網(wǎng)分為Internet出口區(qū)，外網(wǎng)應(yīng)用區(qū)，安全管理區(qū)，外網(wǎng)接入?yún)^(qū)，每個區(qū)域設(shè)定不同的互訪權(quán)限。將用戶分為普通用戶和網(wǎng)管用戶，普通用戶只能訪問外網(wǎng)應(yīng)用區(qū)和internet出口區(qū)。網(wǎng)管用戶可以訪問安全管理區(qū)。在Internet出口區(qū)部署防火墻設(shè)備，防范來自internet的網(wǎng)絡(luò)攻擊。部署上網(wǎng)行為管理設(shè)備，實現(xiàn)上網(wǎng)帶寬管理，URl過濾以及上網(wǎng)行為審計等功能；部署VPN網(wǎng)關(guān)設(shè)備，提供遠程接入能力，可以方便院領(lǐng)導(dǎo)遠程辦公，網(wǎng)管人員也可以遠程接入實現(xiàn)網(wǎng)絡(luò)故障處理。在外網(wǎng)應(yīng)用區(qū)部署Web應(yīng)用防火墻，防范來基于Web的應(yīng)用攻擊。在核心交換區(qū)域旁掛入侵檢測設(shè)備，實時檢測各種入侵攻擊行為。在安全管理區(qū)部署防病毒軟件，網(wǎng)管軟件，訪問控制軟件，實現(xiàn)對外網(wǎng)的安全管理內(nèi)網(wǎng)安全設(shè)計：按照分權(quán)分域的原則，將內(nèi)網(wǎng)分為專網(wǎng)出口區(qū)，內(nèi)用應(yīng)用區(qū)，安全管理區(qū)，數(shù)據(jù)備份區(qū)，內(nèi)網(wǎng)接入?yún)^(qū)，每個區(qū)域設(shè)定不同的互訪權(quán)限。在專網(wǎng)出口區(qū)部署防火墻設(shè)備，通過虛擬化技術(shù)分別虛擬多個防火墻對應(yīng)不同的專網(wǎng)，降低配置難度，提高安全性。在核心交換區(qū)域旁掛入侵檢測設(shè)備，實時檢測各種入侵攻擊行為。在安全管理區(qū)部署防病毒軟件，網(wǎng)管軟件，訪問控制軟件，實現(xiàn)對內(nèi)網(wǎng)的安全管理。同時部署數(shù)據(jù)庫審計軟件，滿足醫(yī)院等級保護要求。5設(shè)備選型和配置建議網(wǎng)絡(luò)建設(shè)主要涉及的產(chǎn)品包括出口路由器AR3260；內(nèi)置AC功能的核心交換機S12708；接入交換機S5700系列；安全有：USG6650,SVN2260,WAF2230，NIP2150，ASG2600；無線AP，以及網(wǎng)管eSight。本章簡單地介紹所涉及的主要產(chǎn)品，以及典型場景下推薦的配置。5.1產(chǎn)品介紹5.1.1S12700系列S12700系列交換機是華為公司面向下一代園區(qū)網(wǎng)核心而專門設(shè)計開發(fā)的敏捷交換機。該產(chǎn)品采用全可編程架構(gòu)，靈活快速滿足客戶定制需求，助力客戶平滑演進至SDN網(wǎng)絡(luò)。該產(chǎn)品基于華為公司首款以太網(wǎng)絡(luò)處理器ENP，內(nèi)置隨板WLANAC無線局域網(wǎng)接入控制器，實現(xiàn)有線無線真正融合；內(nèi)置隨板BRAS寬帶遠程接入服務(wù)器，提供精細化的用戶和業(yè)務(wù)管理，支持iPCA網(wǎng)絡(luò)包守恒算法，可對任意業(yè)務(wù)流隨時隨地逐點檢測，助力客戶對業(yè)務(wù)的精準管理。該產(chǎn)品基于華為公司自主研發(fā)的通用路由平臺VRP，在提供高性能的L2/L3層交換服務(wù)基礎(chǔ)上，進一步融合了MPLSVPN、硬件IPv6、桌面云、視頻會議等多種網(wǎng)絡(luò)業(yè)務(wù)，提供不間斷升級、不間斷轉(zhuǎn)發(fā)、CSS2交換網(wǎng)硬件集群主控1＋N備份、硬件Eth-OAM/BFD、環(huán)網(wǎng)保護等多種高可靠技術(shù)，在提高用戶生產(chǎn)效率的同時，保證了網(wǎng)絡(luò)最大正常運行時間，從而降低了客戶的總擁有成本（TCO）。S12700系列目前提供S12704、S12708、S12712三種產(chǎn)品形態(tài)。讓網(wǎng)絡(luò)更敏捷地為業(yè)務(wù)服務(wù)S12700內(nèi)置高速靈活的以太網(wǎng)絡(luò)處理器ENP，針對以太網(wǎng)專屬設(shè)計。憑借其靈活的報文處理及流量控制能力，深入貼近業(yè)務(wù)，滿足現(xiàn)在及未來的各種挑戰(zhàn)，助力客戶構(gòu)建彈性擴展的網(wǎng)絡(luò)。在完全覆蓋傳統(tǒng)交換機能力基礎(chǔ)上，S12700通過全可編程開放接口和自定義轉(zhuǎn)發(fā)流程，滿足企業(yè)定制化業(yè)務(wù)訴求。企業(yè)既可以直接利用多層次的開放接口自主開發(fā)新的協(xié)議、功能，也可以將訴求交由廠商，與廠商共同開發(fā)完成，打造企業(yè)專屬園區(qū)網(wǎng)絡(luò)。ENP芯片采用全可編程架構(gòu)，可以完全自定義流量的轉(zhuǎn)發(fā)模式、轉(zhuǎn)發(fā)行為和查找算法。通過微碼編程實現(xiàn)新業(yè)務(wù)，客戶無需更換新的硬件，快速靈活，6個月即可上線。而傳統(tǒng)ASIC芯片采用固定的轉(zhuǎn)發(fā)架構(gòu)和轉(zhuǎn)發(fā)流程，新業(yè)務(wù)無法快速部署，需要等待1～3年的硬件支持。更敏捷地實現(xiàn)豐富業(yè)務(wù)特性S12700內(nèi)置隨板AC，無需額外購買AC硬件；整機可管理4KAP，64K用戶；同時S12700也成為業(yè)界首款T-bitAC的核心交換機，解決外置AC處理性能瓶頸，從容面向高速無線時代。S12700內(nèi)置隨板BRAS，有線無線統(tǒng)一集中到隨板BRAS上認證，屏蔽了接入層設(shè)備能力和接入方式的差異，支持PPPoE/802.1X/MAC/Portal等多種認證方式，支持對用戶進行分組/分域/分時的管理，用戶、業(yè)務(wù)可視可控，實現(xiàn)了從“以設(shè)備管理為中心”到“以用戶管理為中心”的飛躍。更敏捷地實現(xiàn)網(wǎng)絡(luò)精準管理iPCA網(wǎng)絡(luò)包守恒算法，改變了傳統(tǒng)利用模擬流量做故障定位的檢測模型，可對任意業(yè)務(wù)流隨時隨地逐點檢測網(wǎng)絡(luò)質(zhì)量，無需額外開銷；可在1秒內(nèi)立刻檢測業(yè)務(wù)閃斷性故障，檢測直接精準到故障端口，實現(xiàn)從“粗放式運維”到“精準化運維”的大轉(zhuǎn)變。SVF超級虛擬交換網(wǎng)，創(chuàng)新實現(xiàn)不僅將盒式交換機虛擬為框式交換機板卡，而且將AP虛擬為框式交換機的端口，使得原來“核心/匯聚+接入交換機+AP”的網(wǎng)絡(luò)架構(gòu)，虛擬化為一臺設(shè)備進行管理，提供業(yè)界最簡化網(wǎng)絡(luò)管理方案。S12700把WLAN領(lǐng)域中“AC管理AP”的優(yōu)秀實踐應(yīng)用到“核心交換機管理接入交換機”上，免除了接入交換機的繁瑣配置，并利用CAPWAP隧道對接入交換機和AP進行統(tǒng)一管理，實現(xiàn)開局時接入交換機和AP的“零配置”。業(yè)界領(lǐng)先的高規(guī)格板卡S12700采用自研ENP芯片，提供?百萬級硬件表項規(guī)格，遠超傳統(tǒng)交換機：高達1MMAC表項，3MFIB表項，滿足廣電、教育城域網(wǎng)核心等大路由應(yīng)用；高達1MNetstream表項，滿足校園網(wǎng)、大型企業(yè)等需要精細化流表統(tǒng)計的應(yīng)用需求。S12700每單板內(nèi)置1.5G大緩存，確保突發(fā)流量不丟包，視頻業(yè)務(wù)清晰流暢。傳統(tǒng)交換機每板一般內(nèi)置4M緩存，無法滿足高質(zhì)量視頻傳輸?shù)囊蟆12700支持48*10GE、8*100GE等高密線速線卡。整機最大支持576個10GE端口，96個100GE端口，充分滿足多媒體視頻會議、數(shù)據(jù)訪問等大帶寬應(yīng)用需求，保護用戶的投資。端到端的高可靠性設(shè)計設(shè)備級：CSS2交換網(wǎng)硬件集群技術(shù)S12700采用源自華為高端核心路由器已廣泛成熟使用的背靠背集群，在繼承CSS交換網(wǎng)集群技術(shù)的基礎(chǔ)上，創(chuàng)新推出CSS2第二代集群交換機系統(tǒng)，即CSS2交換網(wǎng)硬件集群。CSS2采用交換網(wǎng)硬件通道互聯(lián)，集群系統(tǒng)的控制報文和數(shù)據(jù)報文不需要經(jīng)由業(yè)務(wù)板卡轉(zhuǎn)發(fā)，而是直接通過交換網(wǎng)一次轉(zhuǎn)發(fā)。相對于傳統(tǒng)業(yè)務(wù)口集群而言，不僅減少了軟件故障可能帶來的干擾，降低了板卡故障帶來的風險，在時延上也大大縮減。CSS2創(chuàng)新支持主控1＋N備份，集群系統(tǒng)中只要保證任意一框的一個主控板運行正常，多框業(yè)務(wù)即可穩(wěn)定運行。相對于傳統(tǒng)業(yè)務(wù)口集群系統(tǒng)，每個框至少要有一塊主控單元運行正常的限制，進一步提高了集群系統(tǒng)的可靠性。CSS2采用集群不分裂架構(gòu)，集群系統(tǒng)的控制報文和數(shù)據(jù)報文走獨立的通道，即使所有交換網(wǎng)間鏈路均發(fā)生故障，控制報文也可通過主控板之間的控制通道在設(shè)備間互通，集群系統(tǒng)不會分裂。而傳統(tǒng)業(yè)務(wù)口集群技術(shù)，控制報文和數(shù)據(jù)報文都是通過業(yè)務(wù)板間的鏈路進行轉(zhuǎn)發(fā)，一旦集群間鏈路故障，數(shù)據(jù)報文和控制報文都會丟失，集群系統(tǒng)的設(shè)備無法互通，造成集群分裂。網(wǎng)絡(luò)級：端到端的硬件保護倒換技術(shù)S12700支持硬件Eth-OAM、BFD等鏈路檢測技術(shù)，及G.8032、智能以太保護協(xié)議SEP等標準/兼容標準的鏈路倒換技術(shù)，提供端到端50ms硬件級倒換，打造反應(yīng)最迅速、業(yè)務(wù)最可靠園區(qū)。5.1.2敏捷交換機的X1E單板華為創(chuàng)新推出的新一代X1E系列無線接入控制單板，內(nèi)置華為公司首款以太網(wǎng)絡(luò)處理器ENP，作為普通接口板提供數(shù)據(jù)接入和交換的同時，隨板實現(xiàn)無線接入控制器功能，做到有線無線真正融合。X1E系列板卡適用于華為S12700、S9700、S7700敏捷框式交換機；豐富了交換機上的業(yè)務(wù)功能，并且降低了綜合成本。?T-bit/s轉(zhuǎn)發(fā)能力?最高4K接入點管理能力?最高64K用戶管理能力節(jié)省客戶建網(wǎng)成本X1E系列單板將有線無線的管理集中在一塊板卡上，無需客戶購置額外的AC設(shè)備，節(jié)省客戶投資；而傳統(tǒng)網(wǎng)絡(luò)無論是選用獨立AC還是插卡式AC，都是在已有有線網(wǎng)絡(luò)設(shè)備基礎(chǔ)上新增購置WLAN設(shè)備，增加了用戶的建網(wǎng)成本。提升無線轉(zhuǎn)發(fā)容量傳統(tǒng)外置AC或插卡AC的無線業(yè)務(wù)流量進入交換機后需要單臂迂回至AC設(shè)備，這樣繁瑣的轉(zhuǎn)發(fā)路徑帶來了不必要的時延，而且受困于AC設(shè)備轉(zhuǎn)發(fā)性能的制約，使得無線業(yè)務(wù)流量整體轉(zhuǎn)發(fā)容量受限。隨板AC在框式交換機的一塊板卡上處理CAPWAP封裝報文，解封裝后無線報文可以與有線報文一樣轉(zhuǎn)發(fā)，轉(zhuǎn)發(fā)路徑簡單，整機可以提供高達1Tb/s的轉(zhuǎn)發(fā)容量，轉(zhuǎn)發(fā)容量不再是瓶頸，助力客戶從容面向高速無線時代。有線無線統(tǒng)一融合管理支持單用戶的網(wǎng)絡(luò)訪問控制，支持通過Radius下發(fā)用戶的ACL、VLAN、帶寬限制等參數(shù)實施控制,支持定義用戶組，管理員可以根據(jù)用戶角色定義用戶組，并確定用戶組的訪問控制策略，該用戶組內(nèi)的用戶將受該組ACL、隔離、帶寬策略的控制，管理員可以靈活部署各組用戶的組間隔離和組內(nèi)隔離訪問控制。更高的可靠性傳統(tǒng)獨立AC通常采用1+1備份方案，那么需要為兩臺AC額外準備通道以完成設(shè)備間數(shù)據(jù)同步。由于是不同設(shè)備間的同步，因此實時性和可靠性都不高。隨板AC可以借助交換機已有的CSS集群可靠性技術(shù)，跨設(shè)備的X1E板卡使用鏈路聚合技術(shù)與下游交換機相連，兩個板卡在CSS集群架構(gòu)下實時同步數(shù)據(jù)，性能較原有1+1方案高，而且技術(shù)更加成熟可靠。5.1.3S5700系列S5700-LI精簡型千兆以太網(wǎng)交換機系列（以下簡稱S5700-LI），是華為公司自主研發(fā)的綠色節(jié)能的以太網(wǎng)交換機，提供靈活的全千兆接入以及萬兆上行端口。該系列交換機基于新一代高性能硬件和華為公司統(tǒng)一的VRP（VersatileRoutingPlatform）軟件平臺，具有創(chuàng)新AHM（AdvancedHibernationManagement高級休眠）節(jié)能，智能iStack堆疊，靈活的以太組網(wǎng)，多樣的安全控制等特點，為用戶提供綠色、易管理、易擴展、低成本的千兆到桌面的解決方案。此外，華為公司針對一些特定的應(yīng)用場景和客戶需求，定制開發(fā)了電池交換機、CSFP交換機、單面維護交換機等特色款型，以滿足不同客戶的需要，請參考相關(guān)網(wǎng)頁。5.1.4Web應(yīng)用防火墻-WAF2230華為SecospaceWeb應(yīng)用防火墻是一款專業(yè)的Web應(yīng)用安全防護產(chǎn)品，適用于PCI-DSS、等級保護、企業(yè)內(nèi)控等規(guī)范中信息安全的合規(guī)建設(shè)。華為WAF專注于7層防護，采用最為先進的雙引擎技術(shù)，用戶行為異常檢測引擎、透明代理檢測引擎相結(jié)合的安全防護機制實現(xiàn)各類SQL注入、跨站、掛馬、掃描器掃描、敏感信息泄露、盜鏈行為等攻擊防護，并有效防護0day攻擊，支持網(wǎng)頁防篡改。同時，華為WAF支持Web應(yīng)用加速，支持在透明代理部署模式下的HA/Bypass，便于部署配置以及維護。此外，華為WAF支持透明代理模式、旁路監(jiān)聽模式、反向代理模式、網(wǎng)關(guān)模式等多種部署模式，廣泛適用于“金融、運營商、政府、公安、教育、能源、稅務(wù)、工商、社保、衛(wèi)生、電子商務(wù)”等所有涉及Web應(yīng)用的各個行業(yè)。部署華為的WAF產(chǎn)品，可以幫助用戶解決目前所面臨的各類網(wǎng)站安全問題，如：注入攻擊、跨站腳本攻擊、惡意編碼(網(wǎng)頁木馬)、緩沖區(qū)溢出、信息泄露、應(yīng)用層DOS/DDOS攻擊等。5.1.5防火墻USG6550最精準的應(yīng)用訪問控制全面創(chuàng)新的下一代環(huán)境感知和訪問控制。通過應(yīng)用、內(nèi)容、時間、用戶、威脅和位置六個維度的組合，全局感知日益增多的應(yīng)用層威脅。業(yè)界最多的6000+應(yīng)用識別，細粒度實現(xiàn)應(yīng)用層安全防護。豐富的報表將業(yè)務(wù)狀態(tài)、網(wǎng)絡(luò)環(huán)境、安全態(tài)勢、用戶行為等可視化展現(xiàn)，讓用戶全方位感知，安全運營深度融合的下一代內(nèi)容安全。通過解析引擎合并，將安全能力與應(yīng)用識別深度融合，防范借助應(yīng)用進行的惡意代碼植入、網(wǎng)絡(luò)入侵、數(shù)據(jù)竊取、APT攻擊等破壞行為。最簡單的安全管理根據(jù)應(yīng)用場景提供策略模板，實現(xiàn)策略快速部署。根據(jù)網(wǎng)絡(luò)中的實際流量和應(yīng)用的風險，遵循最小權(quán)限控制原則，自動生成策略優(yōu)化建議。分析策略命中率，發(fā)現(xiàn)冗余、失效的策略，有效控制策略規(guī)模，簡化管理。最高的性能體驗專用軟硬件平臺架構(gòu)，IAE單次解析引擎。智能感知應(yīng)用信息后，全安全特性并行處理。內(nèi)容檢測硬件加速，提升應(yīng)用層防護效率，保障全安全特性開啟下的萬兆最佳性能。最全面的未知威脅防護遍布全球的安全中心，豐富的可疑樣本來源。在云端采用沙箱技術(shù)，在模擬環(huán)境中監(jiān)控可疑樣本的運行行為，高效發(fā)現(xiàn)未知威脅。發(fā)現(xiàn)未知威脅后自動提取威脅特征，并迅速將特征同步到設(shè)備側(cè)，有效防范零日攻擊。5.1.6入侵防御系統(tǒng)NIP2150華為NIP系列入侵防御系統(tǒng)，面向大中企業(yè)、行業(yè)及運營商客戶，用來防御網(wǎng)絡(luò)威脅影響其正常的業(yè)務(wù)。NIP產(chǎn)品使用模塊化引擎設(shè)計，利用多種先進的檢測技術(shù)，提供虛擬補丁、Web應(yīng)用防護、客戶端應(yīng)用防護、惡意軟件防護、Anti-DDoS及應(yīng)用感知控制等功能。幫助組織保障業(yè)務(wù)的連續(xù)性，數(shù)據(jù)的安全性，提供對相關(guān)法律法規(guī)的合規(guī)性。

華為NIP系統(tǒng)，采用電信級的高可靠性設(shè)計，提供對MPLS、VLAN等多種特殊協(xié)議的支持，可在多種環(huán)境靈活的部署。產(chǎn)品提供零配置上線的部署能力，無需復(fù)雜的簽名調(diào)整，無需人工設(shè)定網(wǎng)絡(luò)參數(shù)及閾值基線，即可自動阻截各種業(yè)務(wù)威脅。華為NIP產(chǎn)品顯著降低了部署的復(fù)雜性，使整體的TCO成本得到有效的控制。前瞻性的全面防護NIP系統(tǒng)采用多種先進的檢測技術(shù)，有效的防御各種已知或者未知的