下一代医院骨干网络结构设计探讨

骨干网络基础设施建设日趋综合化、复杂化，网络信息安全边界日趋模糊。当前，信息化已经是顺应时展和推动技术更新的必要阶段，诸多新兴技术如云平台、物联网、大数据和移动互联的技术发展也为各大企业提供了活力。医院信息化系统也飞速发展，它的安全性和平稳性直接关系到医院工作的正常秩序和运行，一旦网络发生故障，数据丢失或者中恶意病毒，会给医院带来风险。

1传统背景下医院骨干网络结构分析

1.1医院传统骨干网络结构分析

当前，随着医院信息系统数量和承载量不断攀升，骨干网络架构的规模虽也呈扩大趋势，但是以往的骨干网络核心设备性能已经负载饱和，转发数据的能力也无法满足和适应当今的业务需求，再加上医院骨干网络结构的可靠性问题，以及网络冗杂性问题等，医院骨干网络结构需要进一步强化提升。

1.2信息安全等级保护制度分析

当前，医院网络信息安全建设根据等级保护2.0要求，需要部署下一代网络安全设备，如全网行为管理、态势感知平台、下一代防火墙、IPS入侵防御检测以及病毒规则库等设备，医院信息安全系统等级至少应达到二级或以上防护要求。因此设计安全稳定的骨干网络结构刻不容缓。

1.3医院实际业务分析

医院规模的扩大，会带来更多的承载量，医院的网络是一个信息化系统和办公系统相结合的网络形式，作为一个信息化的医院，除了要运行办公的信息系统，还要结合医院复杂的HIS、LIS、PACS等信息系统，要求网络必须能够传输庞大数据业务，所以在这样复杂的网络上，要运用多种高带宽性能的设备和防护设备来保证信息系统安全稳定地运行。因此，需要更加高性能的网络核心设备支持。

2医院骨干网络设计

本设计对医院现有的业务进行梳理，设计对各个功能区进行划分，本着安全、稳定、高性能的原则，在满足信息等级保护制度的条件下，实现最流畅的、最安全的网络体验，让网络管理员获得最有效的、最简易的管理方式。根据以上几点设计了多功能区域的医院骨干网络结构，如图1所示。图1多功能区域的医院骨干网络结构

2.1核心区域网络设计

核心骨干网络使用三层网络结构，即为核心层-汇聚层-接入层形式的网络架构。核心设备为双冗余数据中心级核心交换机，楼层交换机和服务器区网关交换机为园区级的汇聚交换机，供设备接入的交换机为普通的万兆交换机。如图1所示，两台核心交换机作虚拟化配置，同时连接一台DHCP服务器（可用汇聚交换机实现DHCP功能），核心交换机虚拟化组连接数台汇聚交换机，汇聚交换机再连接接入层交换机。交换机之间的路由协议，均采用自动收敛的Ospf路由协议。

2.2互联网区网络设计

核心区域上联为互联网区，通过一个下一代防火墙进行互联，该防火墙进行互联网出口配置，包括nat映射、地址池、策略管理等。DMZ区接在防火墙下联。DMZ区称为隔离区。该区的功能简单理解为医院需要向外，或被外界访问的服务，需要互联网出口下一代防火墙对其业务进行映射配置。如医院的支付系统、云桌面系统等等。DMZ区服务器采用园区级三层交换机，上联接某厂商互联网出口下一代防火墙，下联接各台需要对外的服务器。

2.3设备接入区网络设计

核心区下联就是各楼层、各门诊、各病区等客户端接入设备，配置数台园区级汇聚交换机，下联接接入交换机，它们之间通过二层协议透明传输，配置VLAN，生成树协议（防环机制），以及DHCP中继协议，客户端的默认网关均配置在此汇聚交换机下。如此结构，较好地保护了核心交换机的网络性能，以及减少了其故障率。

2.4服务器接入区网络设计

此区域也在核心区域下联，通过一个下一代防火墙进行互联，有效地保护了客户端与服务器之间的安全访问。用一台汇聚交换机做服务器网关，服务器网关不在核心交换机上。下联多台万兆的服务器接入交换机，服务器、存储阵列以及超融合服务器集群均接在此交换机上，以此来承载HIS、LIS、PACS、EMR等各类业务系统。

2.5专线接入区网络设计

核心区下联的专线接入区，是医院各项业务相互访问的区域。如农保、医保、银行、银联、市级预约、省级预约等线路，涉及众多单位互联的线路，信息安全威胁较大，恶意病毒感染率较高。因此，在线路接入到医院机房时，架设一台某厂商下一代防火墙进行威胁检测，对流量进行甄别。之后通过前置机和汇聚交换机作前置机的网关，用一台普通的某厂商防火墙和核心区互联。防火墙所有的ACL策略采用默认禁止、授权开放的模式，而且级别实现到金融级的端口级别，非常好地保护了专线和内网互访的信息安全。

3下一代网络安全设备设计

3.1交换机设备设计

核心区域采用某厂商高性能数据中心级别和园区级级别的交换机，核心交换机为CloudEngine16804型号，交换机容量最高为1161Tbps，包转发率最大为115200Mpps。汇聚交换机为CloudEngineS12700E-4，交换机容量最高为256Tbps，包转发率最大为48000Mpps。接入交换机采用S6720-SI系列多速率万兆交换机，交换容量为2.56Tbps/23.04Tbps，包转发率为480Mpps。骨干网络搭建为，2台核心交换机做虚拟化配置，其中1台汇聚交换机做DHCP服务器，其余做各楼层的汇聚交换机和服务器网关，设备接入使用万兆交换机。交换机的各种性能如图2所示。

3.2下一代防火墙设计

外网防火墙、专线边界防火墙、服务器区防火墙均采用某厂商AF系列的下一代防火墙。使用防火墙均配置为透明传输模式。该系列产品是专注于安全攻防对抗的下一代防火墙，在下一代防火墙产品的基础上集成丰富的实战化安全创新技术，增强网络边界的安全检测与防控能力，保护组织网络免受日益复杂的威胁入侵，保障组织的业务安全性和可用性。配备了实时更新的入侵检测和防病毒模块，同时建立金融级别的ACL策略。防火墙所有的ACL策略采用默认禁止、授权开放的模式，而且级别实现到金融级的端口级别，非常好地保护了服务器互访的信息安全，为服务器网络提供了更深一层的保障，保障网络更加平稳运行。防火墙的多种功能介绍如图3所示。

3.3全网行为管理设备设计

在各网络区域之间，均使用某厂商全网行为管理设备进行透明传输，对用户进行甄别和认证，对进出流量和行为进行有效地控制。行为管理的多种功能介绍如图4所示。

3.4态势感知平台设计

某厂商态势感知平台（简称SIP）旁路在核心区，通过镜像口连接，将核心交换机的数据全部完整地镜像到SIP中，以安全可视、智能检测、协同联动为核心，打造一套高效、精准、可持续优化的大数据安全分析平台，让安全可感知、易运营，变得更有价值。态势感知的多种功能介绍如图5所示。图5态势感知平台的多种功能

4结束语

在医疗服务行业中，尤其是医院的信息化建设过程中，骨干网络建设虽是一个很基础很底层的部分，但它的重要性不容忽视。安全高速的骨干网络，是医院的信息化建设的基础，在数据传输和共享的过程中，网络和数据必须安全平稳，这样，医院信息系统才能有效正常运行。骨干网络的结构愈发完善可与医院信息系统更好融合，可以进一步扎实推进医院信息化建设。本文通过下一代网络安全设备设计医院骨干网络体系，设计具有高带宽的设备性能，实现金融级别的访问策略，将医院给业务功能分区管理，相互之间互不干扰，实现网络一体化管理。希望为行业内的朋友提供借鉴和思路。

参考文献：

[1]杨青华.分布式防火墙的浅析与探究[J].电脑知识与技术，2021，17（21）：56-57.

[2]刘斌.数据加密技术在计算机网络通信安全中的应用初探[J].中国新通信，2018，20（7）：28.

[3]王坚.网络安全技术在计算机维护中的运用[J].电脑知识与技术，2021，17（19）：36-37+49.

作者：虞宏达 单位：温州医科大学附属眼视光医院