《基层医疗项目-天融信防火墙培训文档.ppt》由会员分享,可在线阅读,更多相关《基层医疗项目-天融信防火墙培训文档.ppt(78页珍藏版)》请在三一文库上搜索。
1、基层医疗项目 天融信产品培训,关于天融信,1995年成立,国内最早的信息安全厂商,北京为总部,全国设有32+个分支机构,政府、电信、金融、能源、军工等用户超过8万,国内最大的专业安全产品、服务和解决方案提供商,19年专注信息安全产业 一路持续创新 只为“创造用户价值”,关于天融信,关于天融信,关于天融信,技术支持,本地化服务:全国32+个分支机构 专业化服务人员:600+服务工程师分布全国 完善的CallCenter系统:800-810-5119, 400-610-5119,人才储备,人员构成:1500+员工,技术人员700多名,占70%以上;研发人员300+,占30%以上; 人才储备:博士后
2、流动站,博士后、博士多名;硕士超过200人,天融信阿尔法实验室:国际水平的前沿安全技术研究团队 核心服务团队:拥有若干CCIE、CISP、ISO27001等专业人员 行业咨询专家团队:熟悉政府、电信、金融、电力、交通等,关于天融信,关于天融信,关于天融信,7大类30余种安全产品,覆盖终端、网络和云端,专业安全服务,业内最佳实践,项目背景,产品特点,基础配置,日常维护,项目背景,重要意义:加强基层医疗卫生信息化,建设基层医疗卫生机构管理信息系统,是深化基层医药卫生体制改革的一项重要内容,是医改“保基本、强基层、建机制“的重要技术支撑。 建设内容:覆盖全省政府办基层医疗卫生机构和有条件的村卫生室的
3、信息系统包括建设为基层医疗卫生机构、相关政府部门和居民提供服务的应用系统,以及为基层医疗卫生机构部署终端系统。 安全建设:注重安全,加强信息系统安全体系建设和管理,确保信息系统安全稳定运行和群众个人隐私安全。,项目背景,系统功能介绍,基层医疗机构管理系统,临床管理,医生工作站,护士工作站,医技工作站,电子病历,经济管理,收费管理,费用日结,发票作废,药品管理,药房管理,药库管理,公共卫生,健康档案,妇幼保健,儿童保健,统计分析,入库明细表,库存查询,药品销量表,系统管理,协定处方,费用归类,性病管理,预防接种,体检管理,收入查询,处方查询,重打发票,药品品种,打折设置,检治项目,权限设置,培训
4、管理,远程培训,视频门诊,农合接口,药监接口,安全日志,系统备份,数据管理与维护,互联网,管理人员,公卫人员,基层医生,用户层:,登录:,功能层:,接口层:,数据层:,网络层:,系统功能介绍,支持基本医疗卫生服务业务 公共卫生服务 基本医疗服务 基本药物配备使用 健康服务门户网站 支持基层医疗卫生机构规范内部管理 业务运营管理 服务质量管理 绩效考核考核管理,支持医疗卫生监督考核 绩效考核管理 信息监测统计 保障互联互通 与其他系统联通 远程医疗服务,网络拓扑,安全需求,指导文件要求:采用网络防病毒、入侵检测、漏洞检测、安全审计、冗灾备份、加密传输和身份认证等技术手段,傲好网络安全体系建设。
5、一期安全建设:防火墙产品安装部署 防火墙应覆盖业务服务器区节点处的访问控制; 防火墙能够实现各安全域的有效逻辑隔离; 防火墙能够对未授权访问进行阻断和告警; 防火墙带VPN功能提供安全接入服务。,网络拓扑,建设范围,建 设 范 围,县(市)级卫生局,33个小县,14个大县,项目背景,产品特点,基础配置,日常维护,设备选型,14个大县设备,设备选型,33个小县设备,新应用新技术不断涌现,云计算,WEB2.0,移动互联,日趋严重的安全威胁,部署更多的防护设备,HTTP/MAIL/FTP,SaaS/PaaS/IaaS,博客/网络社区,复杂的网络管理,多网络故障点,网络转发性能低下,UTM,UTM如何
6、应对 ?,过高的成本投入,问题仍然无法解决,FireWall/VPN,IPS,AntiVirus,ACM,UTM的解决方案,安全产品的功能叠加,TOS安全系统平台,TOS Engines,Management Engine - Webui/CLI Monitor HA ,NETWORK Engine 2,NETWORK Engine n,TopTURBOTopASIC HAL,OS kernel,CORE 0,CORE 1,CORE n,NETWORK Engine 1 - FW DDoS IPSec ,CORE 2,APP Engines ARIPSAVSSLWAF,硬件平台,功耗低 成本低
7、 适用于小型办公环境,多核(X86 64位) 网络层转发性能高 采用协处理器提升应用层与加解密性能 综合性价比高 扩展性良好,ASIC芯片完成网络转发与硬件抗攻击 多核CPU完成应用检测 转发延时低 小包性能高 适用于实时性业务较多的网络环境,机框式设计 多板卡堆叠实现性能扩展 高可靠性设计完善 成本投入较高 适用于运营商骨干网络,TopTURBO-数据层高速处理技术,DPDK(Data Plane Development Kit),TOS(Topsec Operating System),PCIE 3.0/DDIO/Ring Bus/SSE4.2,应用层多核,网络层多核,入侵防御,1.扫描和
8、探测阶段,2.实施攻击阶段,3.破坏阶段,看看黑客攻击应用系统的一般过程,入侵防御,入侵防御如何应对?,1.扫描和探测阶段,2.实施攻击阶段,3.破坏阶段,终端主机是怎么被黑客利用的?,正常访问阶段,传播和感染阶段,爆发阶段,入侵防御,入侵防御如何保护终端主机?,正常访问阶段,传播和感染阶段,爆发阶段,入侵防御,业务服务器 OA/CRM/ERP等,交换机/HUB,内网用户,在局域网组网中,服务器和内网用户通过交换机/HUB相连,通信过程相对来说比较安全。,VPN技术背景,局域网组网的局限性:一般仅部署在办公室、大楼内,严重限制了业务系统的使用范围、时间,业务系统无法发挥最大价值。,那些奔波在外
9、的员工、“飞人”无法访问业务系统,下级单位的局域网也无法访问业务系统。,VPN技术背景,通过互联网来解决局域网对业务系统的限制,业务服务器 OA/CRM/ERP等,Internet,移动办公人员,VPN技术背景,带来两个严重的威胁,黑客,黑客,黑客,网络监听,后果可能很严重:,数据被篡改,系统被破坏,进入僵尸网络,死机、响应慢,遭到恶意控制,保密信息外泄,VPN技术背景,技术需求:,黑客,黑客,黑客,1,在确保移动办公人员、分支机构的网络能够业务系统的同时,不需要将服务器映射到互联网,这样也就极大程度杜绝了来自互联网的黑客。,2,当存在远程监听者时,监听人员即便获取了原始的网路数据,也无法还原
10、出真实的通信内容。,网络监听,VPN技术背景,VPN技术应运而生:通过对移动用户、远程网络实施身份认证,并对通信过程中产生的数据加密后再传输等方式来满足需求。,VPN技术和应用,移动人员使用VPN:,Internet,1.认证后建立虚拟隧道,2.访问过程通过隧道内,VPN技术和应用,异地网络人员使用VPN:,Internet,1.认证后建立虚拟隧道,2.访问过程通过隧道内,VPN技术和应用,常用的VPN技术类型:,L2TP,PPTP,GRE,IPSEC,SSL,2层VPN技术,用于移动办公人员,能够实现身份认证,但实际上并不加密,对网络的适应性较差,属于淘汰的技术。,3层VPN技术,异地网络间
11、的认证和接入,但是也不加密通信,因此,基本没人使用了。,3层VPN技术,提供丰富的身份认证、加密方式,即可给移动办公人员用,也支持异地网络间的安全连接。,3层VPN技术,提供丰富的身份认证、加密方式,提供给移动办公人员使用,通过本机的浏览器即可使用,无需安装额外软件。,VPN技术和应用,项目背景,产品特点,基础配置,日常维护,基础配置,防火墙 基础配置,Webui登录,Webui方式:通过浏览器输入https:/ip_addr:6500( 设备管理地址+管理端口号),默认-用户名:superman 密码:talent,接口配置,10.21.97.254,255.255.255.0,to:GXN
12、-S1-G2/6,路由配置,0.0.0.0,0.0.0.0,117.40.141.129,区域定义,外网区域,地址对象,数据库服务器,10.21.97.10,服务对象,TCP:1521,1521,地址转换,模式选择:内网访问外网选择“源转换” 外网访问内网服务器选择“目的转换”,选择防火墙外网接口,访问控制,双机热备,1.1.1.1,1.1.1.2,将通信接口加入“热备组”,阻断策略,常见病毒端口 69/UDP 135-139/TCP 135-139/UDP 445/TCP 445/UDP 4444/TCP 1433/UDP 1434/UDP 4899/UDP 1068/TCP 5554/TC
13、P 9995/TCP 9996/TCP ICMP - 关掉不必要的ping,VPN设置向导,VPN拨上来后获得的虚地址,设置登录用户名密码,配置所属用户组,VPN虚地址范围,VPN用户访问服务器资源转换成内网接口地址访问,用户管理,输入用户名密码,选择所属角色组,VPN资源控制,资源名称命名,设置VPN需要访问的子网范围,定义访问资源策略,角色引用可访问资源,VPN用户使用,VPN用户使用,VPN用户使用,VPN用户使用,VPN用户使用,VPN用户使用,实施准备,项目背景,产品特点,基础配置,日常维护,日常维护,定期观察各种设备的工作状态 (如设备状态灯、风扇、有无异常声响等),1.Run灯运
14、行,2.M/S主从灯,3.MGMT管理灯,4.Log日志灯,日常维护,TG-500型号为冗余电源,当单电源未正常工作时设备会发出告警音,按设备电源边红色按钮可以取消告警音。,日常维护,如何查看设备型号,序列号及系统软件版本,设备型号,设备序列号,系统软件版本,指示灯显示绿色表示该接口为连通状态,指示灯显示红色表示该接口为未连通状态,设备CPU使用率,设备回话数统计,进出流量统计,可在系统监视-接口流量下 查看详细信息,日常维护,SNMP管理配置,管理主机,10.33.44.254,public,按实际情况配置,开放相应区域下的SNMP服务,日常维护,查看当前网络会话状态,可设置过滤条件查看想查
15、看的会话连接,清空当前所有连接,日常维护,通过开放服务,配置对本机端口的访问控制规则,允许设备在相应的物理接口接收用户的连接请求。,选择要开放的服务,选择对应的接口区域,设置该服务相应的控制地址,不作限制时可选择”any”,日常维护,配置管理员账号 点选“系统管理”-“管理员”进行设置,日常维护,当用户更改了设备的配置时,请不要忘记将当前的配置保存, 以防配置丢失。,保存配置按钮,点击鼠标右键选择“目标另存为” 选择存放目录,导出配置文件。,日常维护,“开始”-“运行”-输入:CMD,日常维护,telnet 111.75.28.65 443,IP“111.75.28.65”此处只是举例 具体要以当地接入的设备地址为准; 业务端口 均为“443”,格式为: telnet +“当地设备IP”+空格+443,日常维护,正常情况:进入到黑色框,且白色光标在闪烁。这表明远端的VPN设备是正常运行的,日常维护,非正常情况:提示不能打开到主机的连接,这表明不能到达远端的设备。,日常维护,通过客户端“工作状态”判断是否正常连接,把桌面生成的” SV_Client.txt” 日志文件发给我们以便我们判断故障原因,日常维护,日常维护,谢谢!,章 霁 技术工程师 联系电话 : 0791-86284147转8007 18970098088 邮箱地址 : zhang_,