省三医院新门诊大楼网络安全建设项目实施方案
甲方:省三医院
乙方:武汉埃郭信息技术有限公司1组吴冰冰
项目背景
省三医院新建一栋门诊大楼,地址位于原三医院东南处空地。为了响应国家建设数字医疗,构建医联网、医共体的号召,新门诊大楼现有计算机网络,实现各门诊室、药房、医学影像科室及后勤科室的终端数据互通。同时能满足各相关科室连接总院 HIS(医院信息系统)、EMR(电子病历系统)、PACS(影像归档和通信系统)的需求。出于等保合规和自身业务安全的考虑,现需要该网络上通过网络安全设备实现安全建设。
项目具体方案:
- 在互联网出口以三层模式部署两台防火墙,作为连接公网的出口设备;在核心交换机和服务器的接入交换机之间以二层模式部署一台防火墙。
- 公网出口防火墙与内网核心交换机,汇聚交换机运行 OSPF,使内网路由互通。
- 公网出口防火墙配置缺省路由,并把缺省路由引入到 OSPF,传递给其他三层设备学习。
- 公网出口服务器配置 NATP,使内网的 PC 终端能够访问互联网。
- 公网出口防火墙配置入侵防御策略,防御外网对内网发起的DDOS,扫描攻击。策略源区域设置为 untrust,目的区域为 trust。
- 公网出口防火墙配置攻击防御策略,防御外网对内网的入侵行为。策略设置为 untrust,目的区域为 trust。
- 公网出口防火墙配置 WAF 策略。防御外网对内网Web 服务器的入侵行为。策略源区域设置为 untrust,目的区域为 trust。
- 公网出口防火墙,配置攻击防御策略,防御互联网上的病毒进入内网。策略源区域为 trust,目的区域为 untrust。
- 服务器取得边界防火墙,配置攻击防御策略,入侵防御策略。源区域为 untrust,目的区域为 DMZ 区。
- 在公网出口防火墙上配置 IPSec VPN,与市疾控中心建立连接。
项目拓扑图:
项目规划表格:
| 设备 | 接口 | VLAN | IP地址 | 说明 |
| SW1 | G1/0/1 | VLAN 20 | 10.0.0.1/30 | 连接SW4 |
| SW1 | G1/0/2 | VLAN 21 | 10.0.0.5/30 | 连接SW6 |
| SW1 | G1/0/3 | VLAN 22 | 10.0.0.9/30 | 连接SW8 |
| SW1 | G1/0/4 | VLAN 23 | 10.0.0.13/30 | 连接SW10 |
| SW1 | G1/0/5 | VLAN 24 | 10.0.0.17/30 | 连接SW12 |
| SW1 | G1/0/6 | VLAN 25 | 10.0.0.22/30 | 连接FW1 |
| SW2 | G1/0/1 | VLAN 15 | 192.168.5.254/24 | 业务服务的网关 |
| SW2 | G1/0/2 | VLAN 26 | 10.0.0.25/30 | 连接SW5 |
| SW2 | G1/0/3 | VLAN 27 | 10.0.0.29/30 | 连接SW7 |
| SW2 | G1/0/4 | VLAN 28 | 10.0.0.33/30 | 连接SW9 |
| SW2 | G1/0/5 | VLAN 29 | 10.0.0.37 /30 | 连接SW11 |
| SW2 | G1/0/6 | VLAN 30 | 10.0.0.41 /30 | 连接SW13 |
| SW2 | G1/0/7 | VLAN 31 | 10.0.0.46 /30 | 连接FW2 |
| SW2 | G1/0/8 | VLAN 32 | 10.0.0.47/30 | 连接 FW3 |
| SW-IRF1 | / | VLAN 10 | 192.168.0.254/24 | 一楼门诊科室网关 |
| SW-IRF1 | / | VLAN 11 | 192.168.1.254/24 | 一楼药房网关 |
| SW-IRF1 | G1/0/1 | VLAN 20 | 10.0.0.2 /30 | 连接SW1 |
| SW-IRF1 | G2/0/1 | VLAN 26 | 10.0.0.26/30 | 连接SW2 |
| SW-IRF2 | / | VLAN 10 | 192.168.2.254/24 | 2楼门诊科室网关 |
| SW-IRF2 | / | VLAN 11 | 192.168.3.254/24 | 2楼药房网关 |
| SW-IRF2 | G1/0/1 | VLAN 21 | 10.0.0.6 /30 | 连接SW1 |
| SW-IRF2 | G2/0/1 | VLAN 27 | 10.0.0.30/30 | 连接SW2 |
| SW-IRF3 | / | VLAN 12 | 192.168.4.254/24 | B超室网关 |
| SW-IRF3 | G1/0/1 | VLAN 22 | 10.0.0.10/30 | 连接SW1 |
| SW-IRF3 | G2/0/1 | VLAN 28 | 10.0.0.34/30 | 连接SW2 |
| SW-IRF4 | / | VLAN13 | 192.168.5.254/24 | CT室网关 |
| SW-IRF4 | G1/0/1 | VLAN 23 | 10.0.0.14/30 | 连接SW1 |
| SW-IRF4 | G2/0/1 | VLAN 29 | 10.0.0.38/30 | 连接SW2 |
| SW-IRF5 | / | VLAN14 | 192.168.7.254/24 | 后勤科室网关 |
| SW-IRF5 | G1/0/1 | VLAN 24 | 10.0.0.18/30 | 连接SW1 |
| SW-IRF5 | G2/0/1 | VLAN 30 | 10.0.0.42/30 | 连接SW2 |
| FW1 | G1/0/1 | VLAN 25 | 10.0.0.21/30 | 连接SW1 |
| FW2 | G1/0/1 | VLAN 31 | 10.0.0.45 /30 | 连接SW2 |
| FW3 | G1/0/1 | VLAN 15 | 192.168.5.254/24 | 业务服务的网关 |
