山西省医院 ××× 解决方案
 
 
 

 
为了使得远程的企业员工可以与总部实时的交换数据信息。企业得向ISP租用网络提供服务。但互联网容易遭受各种安全***(比如拒绝服务***来堵塞正常的网络服务,或窃取重要的企业内部信息),导致企业的重要信息的泄密或者服务瘫痪,从而给企业造成重大损失。
另外一方面,随着互联网访问的增加,传统的互联网接入服务已越来越满足不了用户需求,因为传统的互联网只提供浏览、电子邮件等单一服务,没有服务质量保证,没有权限和安全机制,界面复杂不易掌握。
××× 就是用来解决这些问题的。×××是利用公用网络来连接到企业私有网络,从逻辑上建立一个虚拟的私有网络,通过安全机制来保障机密型,实现真实可靠性和严格的访问控制。×××的组网方式为企业提供了一种低成本的网络基础设施,并增加了企业网络功能,扩大了其专用网的范围。
×××是指依靠ISP(互联网服务提供商)和其它NSP(网络服务提供商),在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中,任意两个节点之间的连接,并没有传统专用网所需的端到 端的物理链路,而是利用某种公众网的资源动态组成的。 对于×××的定义有很多说法,但是都基于这样一种思想:×××利用公共网络基础设施,通过一定的技术手段,达到类似私有专网的数据安全传输。从定义上看,×××首先是虚拟的,也就是说×××并不是某个公司专有的封闭线路或者是租用某个网络服务商提供的封闭线路。但是,×××同时又具有专线的数据传输功能, 因为××× 能够像专线一样在公共网络上处理自己公司的信息。
 
一般×××所具备的优点有以下几点:
l        最小成本:无须购买网络设备和专用线路覆盖所有远程用户
l        责任共享:通过购买公用网的资源,部分维护责任迁移至更专业和有经验的服务提供商,从而降低维护成本。
l        安全性。这是×××最基本的功能。
l        网络服务质量保障(QoS)
l        可靠性:如果一个×××节点坏了,可以一个替换×××建立起来绕过它。
l        可扩展性:可以通过从互联网申请更多的资源达到非常容易的扩展×××,或者协商重构×××。
 
二、×××Share产品介绍
遥志软件成立于2000年7月份,有着5年以上的服务器软件开发经验,是目前从事服务器软件开发历史最悠久的公司之一。
遥志软件为中小企业提供×××服务器软件和×××整体解决方案。×××Share是遥志软件多年从事网络安全开发经验的积累,并结合遥志软件一贯的精致软 件和易用软件作风而开发的×××服务器软件。我们公司开发的其他著名服务器软件有:代理服务器软件CCProxy (http://http.ccproxy.com) 和邮件服务器软件CMailServer (http://www.yzsoft.com)。
 
×××Share 主要用于实现远程安全访问、企业远程安全存取、点对点×××s和WiFi安全。和传统×××软件相比,×××Share具有以下优势:
 
l        简单易用,服务器设置非常容易,可以随时开通和修改×××登陆帐号和密码。
l        安全性高,×××Share 采用SSL/TLS加密协议。
l        客户端拨通×××后,能同时上互联网。
l        全面支持Win2000、WinXP和Win2003。
l        支持多对一的连接。
l        支持网上邻居方式访问×××服务器和与服务器相连的局域网。
 
山西省医院共有总医院和两个分医院。总医院有个MIS系统数据库,其局域网内有10多台客户端连接到这个数据库。
现在分医院也希望能使用总医院内部的MIS系统数据库,每个分医院有若干台机器组成一个分医院的局域网,并通过互联网访问总医院。医院需要一个×××的解决方案,以帮助分医院安全并且方便的访问总医院的MIS系统的数据库。
 
       图一是该医院的物理网络结构拓扑图。主医院有一个由数据库服务器、接入网关和一些终端机器组成的局域网,数据库服务器上运行着MIS系统的数据库,接入网关可以接受从互联网其他机器的连接使其可以访问数据库服务器,比如从分医院来的客户端。两个分医院的局域网物理结构基本类似,都有一台局域网网关和一些终端机器组成,终端机器可以通过局域网网关访问主医院的接入网关,并进而访问数据库服务器。
       由于互联网的不安全,分医院终端访问数据库服务器有可能造成数据的泄密并进而危害整个MIS系统的安全以及医院的网络环境的安全。通过×××可以建立互联网上的安全连接,从而可以保护MIS系统以及其数据库的安全,并保护医院的整个网络环境的安全。
 
 
图一、物理网络结构拓扑图
 
       根据该医院的物理网络环境以及×××需求,我们给出了两个×××组网方案,并对它们进行了详细的比较,以方便客户选择适合自己的最优方案。下面对这两个×××组网方案分别介绍如下。
四、×××组网方案一
       第一个×××组网方案是对最有可能不安全的互联网连接使用×××安全连接来进行保护,而对相对安全的局域网内的连接则不进行保护。图二详细描述了该方案。
图二、×××组网方案一
 
       方案一在主医院的接入网关处设立×××服务器,而在两个分医院的局域网网关处设立×××客户端,两个分医院的局域网网关与主医院的接入网关分别建立×××安全连接,从而把不安全的互联网连接变成了安全的×××连接,分医院各自的终端机器通过自己的局域网网关以及局域网网关和主医院的接入网关之间的×××安全连接访问位于主医院局域网内的数据库服务器,从而保证了所访问的数据不会被泄密。
       该方案主要是通过×××服务器和×××客户端将本来分布在互联网上的主医院接入网关和分医院的局域网网关形成了一个虚拟的安全的局域网。
       该方案要求主医院的局域网IP地址不能和分医院的局域网IP地址相同,图三描述了一种可能的IP地址分布。
图三、×××组网方案一的IP地址分布图
五、×××组网方案二
       第二个×××组网方案是对不安全的互联网连接和相对安全的局域网连接都使用×××安全连接来进行保护。图四详细描述了该方案。
 
图四、×××组网方案二
      
方案二同样在主医院的接入网关处设立×××服务器,但不再在两个分医院的局域网网关处设立×××客户端,而是在数据库服务器和所有访问该数据库服务器的终端机器都设立×××客户端,这样所有的终端机器和数据库服务器都处在同一个虚拟的安全的局域网内,主医院和分医院的终端机器都是通过×××安全连接访问位于主医院局域网内的数据库服务器,从而保证了所有访问的数据不会被泄密。
       该方案主要是通过×××服务器和×××客户端将本来分布在不同局域网内的终端机器和数据库服务器通过主医院接入网关和分医院的局域网网关形成了一个虚拟的安全的局域网。
       该方案同样要求主医院的局域网IP地址不能和分医院的局域网IP地址相同,图五描述了一种可能的IP地址分布。
 
图五、×××组网方案二的IP地址分布图
 
六、两种×××组网方案比较
×××组网方案一在主医院的接入网关处设立×××服务器,在分医院的局域网网关处设立×××客户端,从而对在互联网之上的数据传输进行了保护,其优势在于只需要在网关级进行设置和建立×××连接,对终端机器完全透明,不管位于主医院局域网内的终端机器还是位于分医院局域网内的终端机器都不需要进行任何的系统设置以及安装任何的软件,从而可以简化整个×××系统的复杂性,并减轻了×××系统的安装和维护工作;只要网关级工作正常,则任何终端机器都可以连接数据库服务器。而且相对于互联网而言,局域网是相对安全的,可以不必要再进行很强的×××保护。其不足在于要求能够在主医院和分医院的网关级进行有关×××虚拟网络的路由设置,相对的对医院的网关级设备要求比较高;同时局域网内的数据传输没有得到×××的安全保护,存在安全隐患;另外一点就是×××安全连接需要对数据进行加密和解密的工作,对主医院的×××服务器和分医院的×××客户端的机器性能要求会比较高。
      
×××组网方案二在主医院的接入网关处设立×××服务器,在数据库服务器和所有能够访问数据库服务器的终端机器设立×××客户端,将所有终端机器和数据库服务器组成了一个虚拟的安全的局域网,从而对在互联网之上的数据传输和局域网内的数据传输都进行了保护,其优势在于提供了更安全的数据保护,而且×××服务器可以安装在主医院局域网内的任何一台机器上,从而不需要在主医院和分医院的网关级进行任何的路由设置,对网关级设备是透明的。其不足在于需要在所有的终端机器上安装×××客户端并设置有关×××网络的路由,提高了×××系统的复杂性,增大了×××系统的安装和维护工作。
 
       网络安全的问题日益突出,通过×××组建虚拟的安全的局域网已经被越来越多的单位和公司所接受。同时,×××还能把分布在不同网络环境下的终端机器组成一个局域网,方便了网络系统的访问和管理。我们提出的山西省医院的两种×××解决方案都利用了×××技术的这两个优势,同时每个方案各有自己的优势和侧重点,用户可以从中选择最适合自己的方案来进行实施。
 
北京新世纪遥志软件开发有限公司有着丰富的服务器软件开发经验和网络安全的经验,并有着一支精干的技术开发和服务的队伍,可以满足各种用户不同的需求,并根据用户的网络环境和其他需求定制解决方案。