用户背景
北京市疾病预防控制中心是根据国家卫生防病机构改革精神,在北京市卫生防疫站、北京市劳动卫生与职业病防治研究所、北京市健康教育所、北京市性病防治所的基础上,于2000年6月正式组建成立的市级卫生事业单位。总部位于东城区地坛公园北侧,占地面积2.2万平方米, 建筑面积4.3万平方米。中心内设28个职能和专业技术科(所、中心),下设50多个分支机构。
用户需求
建设以北京市疾病预防控制中心总部为中心的连接北京各区县50多个分支机构的VPN健康证数据信息网络。该网络做为主干网络用于传输非常重要的健康证件的大批数据。市疾病预防控制中心考虑将VPN架载于数据通信的公网上。主干节点申请使用固定IP地址,分支节点将部分采用动态地址连接的网通ADSL。
北京市疾病预防控制中心要求所构件网络要保障数据在高性能网络环境中传输,所有的VPN设备一定要性能稳定,保障屏蔽来自外部的可能攻击,数据传输遵循标准加密协议(所有传输强度达到商业应用最高安全级别)。并且易于维护及高效率管理。便于将要展开的相关疾病医疗课题的网络扩展。
技术解决方案
结合北京市疾病预防控制中心的要求,美国网件进行深入细致的调查和仔细的规划设计,融合了自身研发的DDNS(动态域名解析技术),为用户设计了一整套包括接入、安全、搭建的整体解决方案。
使用建立的VPN方案的拓扑结构图如下:
在市疾病预防控制中心总部采用一台FVL328作为中心端,在选定的50多个分支机构选用50多台FVS318,呈网型结构,通过认证密码统一管理,形成一个集中管理的虚拟私有网络。所有对外安全边界使用NETGEAR的宽带防火墙技术屏蔽来自外部的各种可能攻击。VPN传输使用IPSEC协议。
市疾病预防控制中心总部为保证带宽和速率,向中国网通申请开通一条INTERNET专线,其享有固定IP地址。专线接入FVL 328的WAN端口,总部的交换机接入到FVL328的局域网口(FVL 328 带有8个局域网口,如果电脑数量多,可以级连交换机),最后所有的电脑统一接入交换机。通过一些对FVL 328进行配置,创建VPN的连接策略,每一条策略对应一个分支机构,并且创建一些必要的安全规则。
各分支机构可以申请开通ADSL宽带上网通道, ADSL的网络输出线接入VPN设备FVS318的WAN端口,所在分支机构的电脑或网络交换机接入到FVS318的局域网口(FVS 318带有 8个局域网口,如果电脑数量多,可以采用交换机来级连,灵活性很强),对FVS 318进行配置,创建一条连接到总部的安全策略虚拟通道,并定义相应的安全规则便可。
对于随时要享用健康证数据资源的相关人员,如果想连入总部或任何一个分支机构的内部网络,建议在其电脑上安装对应的VPN CLIENT软件。当其连上公网后,打开VPN CLIENT 软件,输入验证密码,软件会根据事先配置的策略自动与总部或分支机构的VPN设备建立起安全的虚拟信道。
美国网件的VPN网络解决方案不仅支持IPSEC等协议,以及DES、3DES、AES加密算法,同时还可通过IKE、共享秘钥进行身份认证等方式,加强内部网络的安全性能。另外,在数据传输的过程中,由于美国网件的FVL328与FVS318 VPN产品中设置了硬件防火墙和状态检测功能,因此既可在NAT模式下实现网络地址的转换,保障内部网络的安全,同时也可以防止诸如DoS、PING包等多种方式的攻击,为分布在各区县的相关工作人员提供安全的点到点和远程访问通讯。美国网件产品内置的防火墙功能可将总部和分支机构的局域网与公网进行安全隔离,使网内的数据库服务器不再暴露于公网之上,处于安全保护下,从而为企业原有的应用系统提供了一个专用、安全、高效的网络应用环境。
应用效果
降低成本
借助ISP来建立VPN,就可以节省大量的通信费用。此外,本套VPN还使企业不必投入大量的人力和物力去安装和维护WAN设备和远程访问设备。这些工作都由ISP负责完成。
容易扩展
如果用户想扩大VPN的容量和覆盖范围。总部需做的事情很少,而且能立时实现。企业只需与新的ISP签约,建立账户;或者与原有的ISP重签合约,扩大服务范围。
简化工作环节
这种启用VPN互联的方式,可随意与相关工作单位进行健康证数据交换。同时这也是经历SARS以来信息互联技术带给我们新的一种医疗数据交换形式。在各个环节都有着本身所具有的优势,尤其是在疾病控制方面取缔了以往复杂的工作方式,避免一些不必要的交互接触。
