医院无线网络解决方案

医院无线网络解决方案专业的新型同频组网技术，保障医疗终端零漫游体验多种认证方式，让病人、家属、医生、护士、医疗终端都能安全地接入无线网络丰富的角色权限控制和安全策略，保障网络安全性多种网络优化策略，保证无线网络飞速体验效果无线网络提供易于管理界面操作界面和移动APP管理，让无线网络管理更加便捷提供白金级售后服务承诺：（1）三十分钟内问题必应；（2）AP一年包换；（3）好件先行；（4）小时级备件库。1安全的无线网络环境1.1内网权限管控携手深信服在应用层积累的10多年的专业、精细的应用识别技术，融合上网行为管理功能，精准识别各类应用程序，将应用识别控制策略应用到WLAN中，并将应用识别技术应用到AP上，实现内网权限管控。医疗移动终端只能使用医疗APP访问资源，不允许使用IM、IE等无关网络应用，并且不同的终端、不同的位置、不同的时间段使用时，获得不一样的访问权限。1.2无线空口安全医院WLAN网的无线空口安全威胁主要来自非法接入点、空口窃听、恶意攻击。•非法接入点非法接入点，如私接无线接入点、共享热点、AD-Hoc等，其威胁主要是对医院无线网的干扰以及诱使用户接入从而盗取用户信息，通过wIPS，检测无线环境中存在的攻击和危险行为，实时告警并产生日志，并对指定类型的攻击对象执行反制。wIDS无线入侵检测可检测无线环境中存在的攻击和危险行为，并对指定类型的攻击对象执行反制。非法入?的检测包括：钓鱼AP（相同或相似SSID）、非法Ad-Hoc、有干扰的邻居AP。无线入侵检测可以根据用户配置的反制策略来作检测，检测到非法AP后，根据配置构造安全日志或者下发反制命令。由策略中指定的AP伪装成要反制的对象发送解关联帧，实行周期性反制。空口窃听众所周知，无线网络是以空气为介质进行传播的，数据通常被暴露在空气中，高校中一些好奇的学生利用无线空口抓包工具进行破解账号密码、数据分析等，对医院WLAN网的造成安全隐患，通过对无线空口进行WPA/WPA2/WAPI安全加密，或采用高安全性的802.1X、第二代Portal认证，对用户认证数据以及业务数据进行安全加密，可有效防止空口数据被窃听。恶意攻击医院网络中典型的恶意攻击包括DDOS攻击、PING攻击、ARP欺骗攻击，DDOS攻击、PING攻击等洪泛攻击可以使主机资源被耗尽，从而达到攻击的目的致使服务器瘫痪、无法访问的情况。信锐通过在无线层面的攻击检测技术可以将攻击终端加入到动态黑名单中冻结一段时间并产生告警通知，有效预防AP接入资源、服务器等资源被耗尽。同时，不影响其他终端的正常接入。1.3行为审计记录医院网络属于公共网络，接入用户数量众多，为了进一步保证医院的信息安全，对特定的系统资源以及网络舆论进行保护。对与医院的系统、BBS论坛、贴吧等相关的网络行为进行审计记录，当疑似出现安全问题时，能够做到有迹可循。针对于无线用户的上网行为审计，包括但不限于HTTP夕卜发内容、访问的网站和下载、邮件、FTP、TELNET、其它网络应用、网页内容、ACL拒绝行为、以及上网流量与时长控制。信锐技术提供完善的审计数据包，用以和佛山公共WIFI系统里的审计数据包对接，满足了佛山市网监在公共WIFI领域的审计加密要求。目前信锐技术是唯一一家可与佛山网监系统直接对接的厂家。1.4安全隔离对VLAN内的用户进行安全隔离，禁止同一VLAN内的用户之间相互通信同时，一来可以提高网络安全性，避免某些感染了病毒的终端传播病毒的风险，最大限度地确保医院WLAN网的安全；二来可以禁止用户之间利用无线网络进行内网传输，避免无线空口资源被滥用的情况。1.5防的鱼WIFI所谓钓鱼WiFi,就是黑客或不良分子在公共场所搭建"免费”WiFi,或者搭建与原无线网络相似或相同的无线网络（SSID），诱使无线客户端访问虚假的无线接入点，从而达到截获其账号、密码等信息的目的。信锐除了具备强大的行为管理、应用控制外，也具备无线入侵检测系统（wIDS）、无线入侵预防系统（wIPS），它是通过软、硬件，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。利用wIPS技术，可以对非法接入点进行检测以及反制，可以对具备某些特性，如特定SSID（与原网络相同或相似）非法AP的MAC（物理地址）或者非无线控制器所管理的AP发射出的无线信号，进行时时扫描、检测，对检测到的钓鱼WiFi后可对其进行反制，引导无线终端不接入钓鱼WiFi。反制后的结果就是：钓鱼WiFi对于用户来说，就是没用。1.6绑定终端的安全准入1、用户MAC绑定，用户在首次接入无线网络时输入用户名、密码就能直接绑定终端的MAC地址，IT管理员无需介入，既保障了接入设备的可信性，也减轻了IT管理员的负担。若是用户名、密码被盗用，绑定了非法终端的MAC地址，用户在正常接入时就能发现问题，IT管理员可及时强制下线非法终端加入黑名单，并人工绑定合法终端的MAC地址，黑客用窃取的用户名、密码也无法登陆，因为其MAC地址不对。2、若是认为MAC地址容易串改，信锐无线提供了更安全的证书认证方式，并且内建了CA证书服务器，无需第三方的证书服务器的支持。医院通过邮件或移动存储设备分发证书给信任的移动终端（手机、PAD、笔记本），用户安装了证书后，需要与控制器进行加密的双向证书认证才能通过验证，用户只需要在第一次连接网络时输入自己的用户、密码，再次连接医院网络时，可以直接连接上网。这样即使泄漏了用户、密码，黑客也由于没有证书，而无法接入到无线网络，达到了更高的安全性。3、MAC地址白名单，对于配发移动智能终端的医院，可以批量采集配发终端的MAC地址，只有在这个白名单中的终端才能接入无线网络，预防非法终端的接入1.7射频控制策略医院在晚上凌晨以后，正常情况都是没有人使用无线网络的，那么信锐无线网络能自动关闭射频信号，一方面能节省电，另一方面又能防止非法用户利用深夜时间入侵无线网络，做一些非法入侵的操作，保障医院无线数据的安全，另外为了更加人性化，还增加了设置基于SSID的例外无线网络，可以选择性的关闭SSID。2医院无线快速上网设计2.1保证医疗应用的优先传输信锐技术研发的无线网络动态带宽分配，当无线接入点带宽不足时，无线网络的保证带宽将按照设定的权重对所在接入点带宽进行分配；无线接入点带宽充足时，将不受此限制。业务网络，例如办公网络，可以配置权重较大，用于保证办公应用的正常业务通信；非重要网络，例如访客网络，可以配置权重较小，用于限制非重要网络的上网带宽，以免影响其他无线网络。每个无线网络上用户可以自定义基于应用的子通道，用户可以设置通道间的带宽占用比例，当无线网络带宽不足时，通道间的保证带宽将按照设定的比例进行带宽分配，无线网络带宽充足时不受此比例限制。例如办公网络中，可配置P2P子通道，配置权重最小；办公OA系统对应的子通道权重最大；互联网应用对应的子通道权重介于两者之间。2.2提升无线传输性能防低速终端传统的无线随着低速终端的接入会导致高速终端速率被拉低从而导致整体吞吐率下降，客户业务响应缓慢，严重影响终端的应用访问体验。信锐技术进行了无线底层的技术改进，提出"防终端拖滞"创新专利支持用户平均分配带宽，根据时间公平算法，防止单个终端拉低网络整体速度。佬统无线信锐无线典士用时I貌配带宽，根据时间公平算法，防止单个终端拉低网络整体速度。佬统无线信锐无线典士用时I貌•广播优化及提速自动组播提速：将广播包原有的发送速度提高，加快广播包的传输效率，保证每个终端可以收到组播包，提升带宽吞吐。ARP广播转单播通过对ARP发送机制的优化提升ARP效率减少不必要的广播泛洪。禁止DHCP请求发往无线终端：通过对DHCP发送机制的优化提升DHCP效率。接入终端速度限制：支持接入终端速度限制，禁止低于一定速度的终端接入，提升整体网络速度。口】砌林E靠对景定以止斗证粳叔捎人点迎置西有给照镇童建与豪全,谊里f洲禽调•元摇空中优化,天绒入侵翩I,杀组皿帼镇童建与豪全,谊里f洲禽调•元摇空中优化,天绒入侵翩I,杀组皿帼M,天线魄潮腐/天线顷叱或微J第止D皿一腱北无艘湍切于书匕尤••:砒：由工三心巨性二，*买:、.白，柱、.占源m..ytM象三占¥切孝如日.逐：洵侦：.•VLAN划分利用VLAN地址池，减少广播域，减少广播泛洪，提升无线网络带宽资源的利用率。2.3高密区域稳定快速接入在门诊室、病房等人员高密的区域，通常会有多个无线热点的信号覆盖，信锐技术无线解决方案会根据每个AP的负载情况，将用户自动分配到信号强、接入人数少的AP上，同时会选择优先负载到干扰比较小的5G频段上，确保每个无线用户都能获得畅快的网络体验。除了基于人数的负载外，信锐技术还能基于2.4G和8G的双频段进行智能双频负载。智能双频负载：2.4G和5G之间可实现自动负载，引导5G终端优先接入干扰比较小的5G网络，提升无线接入质量。3医院无线网络抗干扰性设计3.1WLAN对医疗器械产生干扰的预案医院医疗器械工作频段如下:WLAN工作在2.4G和8G，所以WLAN产品并不会对医疗设备造成影响。针对于可能产生干扰的监护仪、微波治疗仪和微波炉，需要明确其工作频段，若2.4GWLAN网络会影响到这些设备，则对应的区域不覆盖2.4G，采用8G网络进行覆盖，以及采用定向天线覆盖的方式。3.2信道规划使用2.4GHz网络为例，为保证信道之间不相互干扰，要求两个信道之间间隔5个信道以上。也就是说，在无线覆盖区域内，最多可以提供3个不重叠的信道同时工作，通常采用1、6、11三个信道。WLAN频率规划需综合考虑建筑结构、穿透损耗以及布线系统等具体情况进行。如果部署的是双频人？，则一个AP可以同时发射2.4G网络和8G网络。对于8G网络来说，最多可以提供5个不重叠的信道同时工作，分别是149、153、157、161、165五个信道，这样对于AP点位的部署非常灵活，可以有效降低无线干扰，提高无线上网速度。除此之外，国家针对于802.11人€：新一代无线网络，也逐渐的开放了更多的频段，拥有13个不重叠、不干扰的无线信道。5G网络具有无线传输快、环境干扰小的优势。2.4G网络信道规划如下图（5G网络信道规划类似）：图纸中橙色、蓝色、黄色信号圈分别为1、6、11信道。圆心点为AP部署位置。4医院无线网络稳定可靠性设计4.1医院内网QOS单AP的无线连接速率从几年前的54M、150M到现在的300M、600M，甚至G比特,无线连接速率不断增大，除去报文额外开销，加上在实际环境中速度衰减以及无线终端的协议支持，实际有效可用的空口资源有限，并且AP的空口资源会随着接入人数的增加而递减,有效的管理AP的空口资源如同流量控制一样重要，合理分配空口资源可以提高用户传输速度，提高用户上网体验。NAC支持基于应用、SSID的空口资源分配，并支持802.11e/WMM优先级设置，全面保障无线空口资源的合理利用。•基于SSID的空口资源管理通过基于SSID的空口资源分配，将同一个AP上的多个SSID按照百分比进行分配，比如医院内网SSID分配80%，病患访客SSID分配20%，智能带宽动态分配，保障重要SSID的流量的优先级。•基于业务类型的空口资源管理基于内网应用的资源调度深度识别各类应用程序将控制策略应用到AP无线空口上，保障无线医疗重要业务应用流量（查房系统/HIS/PACS）优先通行。•用户间平均分配带宽用户间平均分配带宽，终端公平调度（时间公平算法），避免低速终端长时间暂用无线空口资源而造成的整体网络性能低下的问题，提升整体上网体验。•WMM/802.11eIEEE802.11e为基于802.11协议的WLAN体系添加了QoS特性，通过IEEE802.11e标准，通过设置QoS优先级，可以保障重要业务类型应用的优先处理能力，比如语音、视频。4.2流量控制对于任何一个网络来说，流量控制都是非常必要的。网络越大，用户越多，流量控制的重要性越大，由于互联网出口带宽资源的宝贵加上互联网应用所需要的带宽越来越大，如何合理的利用有限的带宽资源极为关键。•基于业务类型的流量控制根据业务类型进行流量控制可以有效保证用户的上网体验将流量带宽根据业务类型的重要性以及实际情况进行通道划分，可以按照业务系统、网页浏览、视频、下载、其他等划分整体流量，并设置优先级，避免大流量的网络应用影响重要业务应用的正常使用。•基于用户/用户组的流量控制根据实际情况，对用户进行最大上行和下行带宽限制，防止单用户过度、不合理的使用网络带宽而影响其他用户的正常使用。•基于AP/AP组的流量控制不同的场景下，用户数不一样，合理的根据实际使用需求进行带宽划分可以有效保证上网效果，根据AP/AP组进行带宽分配，为某个重要区域划分足够的带宽，保证上网效果。•动态流量控制通过动态流量控制，根据实际带宽使用情况，实时调整通道流量，重要业务系统设置为保证通道，非重要应用设置为限制通道，当非重要应用的限制通道有空余带宽时，可以分配给保证通道使用。AC1+1冗余随着医院应用的壮大，势必会给网络核心设备带来巨大的压力，其业务量的提高、访问量和数据流量的快速增长，其处理能力和计算强度也相应地增大，使得单一控制器设备"压力山大”。通过部署2台控制器，实现医院无线网络的冗余灾备，增加网络可靠性，避免单点故障。两台控制器实现冗余热备方案，一台为主机，一台为备机，当主机运行正常时，备机处于待命状态，主机上的必要配置（例如WLAN配置，用户信息等）同步到备机上面，一旦主机出现运行故障，则AP自动切换到备机上运行，保证用户业务不中断；当主机恢#后,AP切换回主机。AP灾备冗余传统的AC+FITAP网络架构，AC作为无线网络中最核心的设备，当AC宕机之后，无线网络将变得不可用，通过AP灾备冗余方案，当AP与无线控制器因外界因素（如AC宕机、控制器与核心交换机网线断开）造成的通信连接断开后，自动启用应急策略或应急SSID，新接入的用户会划分到指定的应急VLAN以及分配相应的应急角色，仍然能保证用户正常上网以及新用户的认证接入，当网络恢复正常时，这些用户会从灾备角色中剔除，提高网络的稳定性和可靠性。4.5防终端粘滞漫游传统的无线漫游依赖的是终端自己的特性，无法做到可控制，而信锐技术提供的"防终端粘滞"弥补了这块的缺陷。通过防终端粘滞功能，信锐无线可以引导无线终端更快的漫游到无线服务能力更好的无线热点上，让客户得到更好的无线网络体验。漫游后终端的vlan、角色、IP保持不变，用户无感知。编能旎图厄：防箜端粘滞/让无堵更加快速5医院无线网络运营维护设计1设备集中管理编能旎图厄：防箜端粘滞/让无堵更加快速AP零配置通过信锐有线无线统一集中管理平台，AP安装前无需对设备进行任何配置，部署完成后由无线控制器统一下发配置，极大的减少实施和维护的工作量及成本。配置支持自动以及手工备份和还原，双重保证无线热点的24小时不间断运行。可视化热点地图设备后期维护中，通过统一管理平台内置的图形化热点分析界面，热点地图展示可有效地帮助网络管理人员快速地分析和掌握设备的实时运行状态和负载情况。以地图式的展现方式，分层管理设备，以掌握设备的实时运行状态。热点位图还提供人流密度分析、终端位置的快速定位、事件告警等机制，帮助网管更好地管理无线网络。可有效查找到问题点，轻松完成维护工作。通过对部署在覆盖目标的AP进行分组管理，比如按照建筑物划分管理组，方便IT管理员管理运维。同时，IT管理员可在控制器上可统一查看所有AP的运行情况（如AP接入用户、AP带宽使用情况、设备利用率、AP在线情况等），当AP设备出现异常或故障时，会出现告警事件帮助IT管理员及时排除问题。

云升级所有无线热点支持从云端自动升级到最新的版本，不同硬件型号入？能自动判断并完成升级，无线客户手工干预，降低了后续升级维护成本。客户可选择夜里自动升级，减少白天升级导致的业务中断问题。远程AP智能连接分支部署远程AP，需要接入到总部的无线控制器，以便通过无线网络访问总部的资源，而总部的出口IP经常变换，给远程AP连接总部带来极大的困扰。信锐技术提供智能连接技术，总部IP变换对于远程AP而言是透明的，不需要任何手工操作便可快速地恢复网络，保证业务不中断。2分级分权管理医院WLAN网覆盖范围巨大，包括门诊楼、住院楼、行政楼、学术中心、、科研所、食堂、室外场景等，无线控制器下面管理众多的无线AP，对于医院信息管理人员造成较大的工作负担，通过信锐的分级分权管理，超级管理员可以分配不同的管理员分别管理各自权限区域的无线AP，可以精细到对某AP分组有管理权限，该管理员可以在该AP分组上建立无线网络，能够激活、删除接入点，能够对AP的配置进行编辑修改。除此之外，还可以指定管理员针对每个页面的只读或编辑权限，控制粒度到控制器上的各个页面，对某个页面没有读权限则登录时不显示。3移动APP管理为方便IT人员进行网络管理，信锐技术提供移动APP，可关联当前网络控制器，通过移动APP，即可查看当前控制器状态、接入点状态、无线网络状态，并且可通过APP随时随地修改无线网络配置和进行mac地址绑定审批操作。同时，无线网络告警信息也可通过APP推送给IT管理人员，方便IT人员及时处理网络故障事件。送给IT管理人员，方便IT人员及时处理网络故障事件。6医院用户上网行为管理控制网络应用极其丰富，尤其随着大量社交型网络应用的出现，用户将个人网络行为带入办公场所，由此引发各种管理和安全问题。6.1员工上网权限控制全面的应用识别帮助管理员透彻了解网络应用现状和用户行为，保障管理效果。信锐无线控制器拥有国内最大的应用识别库，可以精准识别2000种以上网络主流应用，并且有专业的研发团队定期维护更新，保证库处于最新状态，提高应用识别准确率。除了精准的应用识别库，还提供丰富的、灵活的控制策略，医院可以针对不同的用户、不同的接入位置、不同的时间段进行员工的上网访问权限控制通过基于应用层的访问控制，灵活控制员工的上网权限，每一个员工都只能访问已授权访问的系统，防止非法的、未经授权的越权访问，相比于传统的基于MAC、IP地址、端口的ACL访问控制策略更精准、更强大。有戒与无线一体化「统一的应用披制.融.用户上网q亍为审计6.2允许访问指定网站在医院办公时，往往会对研发部门进行网络限制，不允许其上外网，但是呢，研发很多时候都需要在网络上搜索资料，这时就可以里访问控制策略中配置全局排除地址，如设置域名，这样就允许研发进行百度资料查询。可以使用在在多种无线部署时，用户终端接入无线网络，在认证前不允许上网，但是可以配置官网排除地址，允许用户浏览客户官方网站或者允许上某个网络等的场景。6.3员工上网行为审计信锐技术上网审计功能，支持对有线用户和无线用户的网络行为和内容进行审计，包括但不限于HTTP外发内容、访问的网站和下载、邮件、FTP、TELNET、其它已识别和未识别的网络应用、网页内容、ACL拒绝行为、以及审计用户访问应用的流量与时长。通过配置审计策略，在角色中弓I用相应用审计策略，并给用户分配相应的角色，即可实现对用户的审计。并支持排除审计应用、开启审计和关闭审计功能。从此，上网用户看过什么、做过什么，您全知道。且完全满足公安部令第82号令。6.4据中心报表功能针对医院有线无线网络完成用户的接入、认证，同时对用户的网络行为和内容进行审计，审计的结果保存于数据中心。信锐无线支持内置数据中心和外置数据中心两种保留方式。其中内置的数据中心可以配置日志保留天数、磁盘预警百分比。除了将审计的结果保存于数据中心之外，我们还提供多种类型的报表，这些报表可以更好的帮助客户分析网络状态，为客户提供更方便、快捷的的管理维护方法，以及更深层次的挖掘上网用户价值，助无线增值一臂之力。7无线网络信息推送方案7.1个性化信息推送界面在WiFi入口进行医院信息、特色科室信息、每日坐诊专家等信息全屏展示，用户连接医院WiFi时，会观看到推送的信息。医