歐志文，伍平陽，羅志恒，禤睿平

廣東省第二人民醫(yī)院 信息科，廣東 廣州 510317

0 前言

隨著信息技術(shù)的發(fā)展，醫(yī)院的業(yè)務(wù)系統(tǒng)也越來越依靠互聯(lián)網(wǎng)絡(luò)為平臺，開展多種多樣的辦公業(yè)務(wù)，包括日常使用的辦公系統(tǒng)、郵件系統(tǒng)、醫(yī)保系統(tǒng)，還有越來越成熟的虛擬私人網(wǎng)絡(luò)（VPN）業(yè)務(wù)等等。由于開展的業(yè)務(wù)日益增長，如果每種業(yè)務(wù)都使用各自的網(wǎng)絡(luò)設(shè)備來提供接入，必然會導(dǎo)致網(wǎng)絡(luò)拓?fù)鋸?fù)雜，網(wǎng)絡(luò)難以管理，甚至于網(wǎng)絡(luò)安全易于受到威脅等問題的出現(xiàn)。這些都是醫(yī)院網(wǎng)絡(luò)不穩(wěn)定的因素[1]，因此需要對這些設(shè)備與外部連接的網(wǎng)絡(luò)進(jìn)行優(yōu)化與整合。

1 醫(yī)院網(wǎng)絡(luò)結(jié)構(gòu)與分析

目前與醫(yī)院日常工作相關(guān)的網(wǎng)絡(luò)業(yè)務(wù)主要有：互聯(lián)網(wǎng)業(yè)務(wù)、醫(yī)保業(yè)務(wù)、辦公系統(tǒng)業(yè)務(wù)、預(yù)約掛號業(yè)務(wù)、VPN業(yè)務(wù)等。這些業(yè)務(wù)分別通過不同的互聯(lián)網(wǎng)絡(luò)或?qū)Ｓ镁W(wǎng)絡(luò)來實現(xiàn)，如中國電信、中國聯(lián)通、醫(yī)保專用網(wǎng)等。為保證醫(yī)院業(yè)務(wù)信息安全，我院對所用外網(wǎng)的接入采用統(tǒng)一入口，即用一個網(wǎng)關(guān)設(shè)備進(jìn)行所有線路統(tǒng)一接入后，再連接到局域網(wǎng)內(nèi)[2-3]。其優(yōu)點如下：

（1）拓?fù)浣Y(jié)構(gòu)相對簡單，線路清晰、分明，排除故障方便。

（2）易于對外網(wǎng)接入進(jìn)行擴(kuò)展。當(dāng)有新的外網(wǎng)連接需要時，一般情況下不需要增加專用設(shè)備，就可以對其進(jìn)行擴(kuò)展接入。

（3）可減少設(shè)備，部署簡便。凡是需要發(fā)送外出的數(shù)據(jù)包，只需要經(jīng)過唯一的網(wǎng)關(guān)設(shè)備。減少了UTM、防火墻等安全設(shè)備的部署，節(jié)省成本。

2 應(yīng)用技術(shù)概述

傳統(tǒng)的路由器最基本的任務(wù)是承載內(nèi)網(wǎng)與公網(wǎng)的路由轉(zhuǎn)換，實現(xiàn)內(nèi)外網(wǎng)的網(wǎng)絡(luò)地址轉(zhuǎn)換（Network Address Translation，NAT）功能。另外，傳統(tǒng)的路由器雖然能使用策略路由、訪問控制列表進(jìn)行設(shè)置規(guī)則，允許或禁止某些IP或協(xié)議進(jìn)行通訊，但它本身并不對通過的數(shù)據(jù)包進(jìn)行安全檢測。所以，除使用路由器外，企業(yè)通常都要選擇使用防火墻進(jìn)行數(shù)據(jù)包檢測，以達(dá)到安全防御的目的[4-5]。而Cisco ASA（思科網(wǎng)絡(luò)安全產(chǎn)品）則集多種功能于一身，包括路由功能、NAT功能、防火墻功能、VPN功能等。

3 網(wǎng)絡(luò)接入策略的設(shè)計與實現(xiàn)

本研究選用思科ASA5550作為接入設(shè)備，并實施相關(guān)配置[6-7]。根據(jù)目前業(yè)務(wù)的需要，現(xiàn)有3條網(wǎng)絡(luò)線路需要接入。電信互聯(lián)網(wǎng)、醫(yī)保專用網(wǎng)、聯(lián)通互聯(lián)網(wǎng)，接口配置如下：

（1）接入線路一。電信互聯(lián)網(wǎng)，接入端口GigabitEthernet0/0

interface GigabitEthernet0/0：

description Connect_CT_Internet //描述端口功能；

nameif outside //定義端口名稱outside；

security-level 0 //設(shè)定端口安全級別；

ip address 59.40.61.216 255.255.255.248 //設(shè)定端口IP地址。

（2）接入線路二。醫(yī)保專用網(wǎng)，接入端口GigabitEthernet0/1

interface GigabitEthernet0/1：

description connect-to-SYB //描述端口功能；

nameif SYB //定義端口名稱SYB；

security-level 0 //設(shè)定端口安全級別；

ip address 129.0.21.113 255.255.255.0 //設(shè)定端口IP地址。

（3）接入線路三。聯(lián)通互聯(lián)網(wǎng)，接入端口GigabitEthernet0/2

interface GigabitEthernet0/2：

description Connect_UN_Internet //描述端口功能；

nameif outside_un //定義端口名稱outside_un；

security-level 0 //設(shè)定端口安全級別；

ip address 210.21.117.121 255.255.255.248//設(shè)定端口IP地址。

3條線路接入后，要實現(xiàn)的相應(yīng)任務(wù)是：當(dāng)訪問互聯(lián)網(wǎng)是電信網(wǎng)絡(luò)時，數(shù)據(jù)包則通過電信端口發(fā)送到電信網(wǎng)絡(luò)；當(dāng)訪問外網(wǎng)是聯(lián)通網(wǎng)絡(luò)時，數(shù)據(jù)包則通過聯(lián)通端口發(fā)送到聯(lián)通網(wǎng)絡(luò)；當(dāng)辦理醫(yī)保業(yè)務(wù)時，數(shù)據(jù)包則從醫(yī)保專用網(wǎng)端口發(fā)送，以完成業(yè)務(wù)通訊。

4 NAT功能實現(xiàn)

NAT是將IP 數(shù)據(jù)包頭中的IP 地址轉(zhuǎn)換為另一個IP 地址的過程[8-10]。NAT的實現(xiàn)方式有3種，即靜態(tài)轉(zhuǎn)換、動態(tài)轉(zhuǎn)換和端口多路復(fù)用。根據(jù)實際需求，在實現(xiàn)訪問互聯(lián)網(wǎng)的同時也連接醫(yī)保網(wǎng)并實現(xiàn)VPN功能。

global (SYB) 1 interface //定義全局地址，凡經(jīng)過SYB端口發(fā)出的IP以轉(zhuǎn)換為該端口的指定IP；

global (outside) 2 interface//凡經(jīng)過outside端口發(fā)出的IP以轉(zhuǎn)換為該端口的指定IP；

global (outside_un) 2 interface nat (inside) 0 access-list govpn // go-vpn是訪問列表，同時表示通過該訪問列表的地址不需要轉(zhuǎn)換，即免除NAT；

nat (inside) 1 access-list ISP_SYB // ISP_SYB是訪問列表；

nat (inside) 2 0.0.0.0 0.0.0.0 //定義內(nèi)網(wǎng)的所有地址轉(zhuǎn)換成全局地址。

在配置過程中，電信網(wǎng)與聯(lián)通網(wǎng)的外網(wǎng)接口的NAT配置都是使用ID為2。相應(yīng)的命令nat (inside) 2 0.0.0.0 0.0.0.0也是使用ID為2，內(nèi)網(wǎng)所有IP對外訪問。如果通過電信網(wǎng)訪問，則對外轉(zhuǎn)換的地址為電信的外網(wǎng)地址；如果通過聯(lián)通網(wǎng)訪問，則對外轉(zhuǎn)換的地址為聯(lián)通的外網(wǎng)地址；如果訪問醫(yī)保網(wǎng)，則轉(zhuǎn)換成醫(yī)保網(wǎng)端口地址進(jìn)行通訊。

5 訪問列表控制功能的實現(xiàn)

訪問控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問，是保證網(wǎng)絡(luò)安全最重要的核心策略之一。實際訪問控制列表（Access Control list，ACL）是應(yīng)用在路由器接口的指令列表，這些指令列表用來告訴網(wǎng)關(guān)設(shè)備哪些數(shù)據(jù)包可以收、哪些數(shù)據(jù)包需要拒絕。至于數(shù)據(jù)包是被接收還是拒絕，可以由類似于源地址、目的地址、端口號等的特定指示條件來決定。

在配置ASA的過程中，訪問控制列表起到十分重要的作用。首先就是限制數(shù)據(jù)的走向，在VPN與醫(yī)保專用網(wǎng)上，我們使用控制列表進(jìn)行處理[11]。在VPN上配置命令：

access-list go-vpn extended permit ip 192.168.0.0 255.255.0.0 192.168.30.0 255.255.255.0。

使內(nèi)部IP能訪問在外網(wǎng)VPN所分到的IP，其中192.168.30.0是分配給VPN的IP段。

在醫(yī)保專用網(wǎng)上，配置命令：

access-list ISP_SYB extended permit ip 192.168.0.0 255.255.0.0 object-group ISP_SYB。

允許內(nèi)網(wǎng)的IP段能訪問到醫(yī)保網(wǎng)，其中，object-group ISP_SYB被定義為醫(yī)保專用網(wǎng)段。定義添加相應(yīng)的訪問列表，目的就是根據(jù)需要，控制業(yè)務(wù)通訊路徑，允許哪些業(yè)務(wù)終端能操作哪些業(yè)務(wù)。

6 VPN業(yè)務(wù)實現(xiàn)

VPN屬于遠(yuǎn)程訪問技術(shù)，簡單地說就是利用公網(wǎng)鏈路架設(shè)私有網(wǎng)絡(luò)。實際上VPN使用的是互聯(lián)網(wǎng)上的公用鏈路，故稱為虛擬專用網(wǎng)[12-13]，即VPN實質(zhì)上就是利用加密技術(shù)在公網(wǎng)上封裝出一個數(shù)據(jù)通訊隧道。因此，我們也搭建了VPN網(wǎng)絡(luò)，以方便員工日常工作。利用VPN可非常方便地訪問內(nèi)網(wǎng)資源。

首先開啟VPN服務(wù)[14]：

Webvpn enable outside //在outside端口啟用VPN業(yè)務(wù)；svc image disk0:/anyconnect-win-2.1.0148-k9.pkg 1 //設(shè)置SVC的鏡像文件的位置；

svc enable //啟用SSL VPN 客戶端；

tunnel-group-list enable group-policy ssl internal //創(chuàng)建組策略；

group-policy ssl attributes //設(shè)置組策略的屬性；

vpn-tunnel-protocol svc webvpn

split-tunnel-policy tunnelspecified

split-tunnel-network-list value split-ssl // split-ssl是訪問列表

webvpn；

然后針對連接的VPN終端建立一個IP地址池：

ip local pool ssl-user 192.168.30.30-192.168.30.80

配置完成后，還需要配置登錄用戶：

username user1 password sONi.McIiKEbrZ10 encrypted

username user1 attributes

vpn-group-policy ssl

vpn-idle-timeout 10

vpn-filter value filter-ssl

service-type remote-access

通過搭建VPN平臺，實現(xiàn)遠(yuǎn)程辦公，當(dāng)員工在外出差，可以隨時在互聯(lián)網(wǎng)連接VPN處理辦公業(yè)務(wù)，審批待辦事情，了解單位實時情況。

7 預(yù)約掛號實現(xiàn)

我院的預(yù)約掛號服務(wù)器放置于內(nèi)部網(wǎng)絡(luò)，通過外網(wǎng)訪問互聯(lián)網(wǎng)連接到我院的網(wǎng)址。要能外網(wǎng)訪問到內(nèi)網(wǎng)服務(wù)器，則需要通過內(nèi)外網(wǎng)進(jìn)行端口映射[15]。一般情況下，互聯(lián)網(wǎng)提供商都會提供幾個互聯(lián)網(wǎng)固定的IP，我們就使用其中一個（與接入端口GigabitEthernet0/0的IP不一樣）作為映射，實際上是使用了靜態(tài)NAT功能來實現(xiàn)此功能，命令如下：

static (inside,outside) tcp 59.40.61.217 8004 192.168.3.211 8004 netmask 255.255.255.255 //把內(nèi)網(wǎng)IP 8004端口映射到外網(wǎng)IP 8004端口。

通過對ASA配置，把多條線路同時接入集中設(shè)備，實現(xiàn)多種應(yīng)用業(yè)務(wù)，解決了因多條線路接入使用多個網(wǎng)絡(luò)設(shè)備導(dǎo)致網(wǎng)絡(luò)拓?fù)鋸?fù)雜、設(shè)備成本高等問題，同時提高了網(wǎng)絡(luò)安全性能及可擴(kuò)展性。

[1]周文杰.醫(yī)院信息網(wǎng)絡(luò)系統(tǒng)安全[J].中國醫(yī)療設(shè)備,2008,23(2):30-31.

[2]張艷.醫(yī)院外網(wǎng)信息系統(tǒng)建設(shè)實踐[J].醫(yī)療裝備,2007,20(6):21-22.

[3]李鳳娟.論醫(yī)院網(wǎng)絡(luò)系統(tǒng)的平臺建設(shè)與模塊設(shè)計[J].科教導(dǎo)刊,2012,(3):117-118.

[4]謝希仁.計算機(jī)網(wǎng)絡(luò)[M].北京:電子工業(yè)出版社,2005:138-232.

[5]張衛(wèi),王能,俞黎陽,等.計算機(jī)網(wǎng)絡(luò)工程[M].北京:清華大學(xué)出版社,2004:94-189.

[6]Jazib Frahim.Cisco ASA 設(shè)備使用指南[M].北京:人民郵電出版社,2010:110-178.

[7]思科多合一系統(tǒng)級安全工具[J].計算機(jī)安全,2005(6):51.

[8]白海,郭代麗.思科ASA系列防火墻NAT解析[J].中國教育網(wǎng)絡(luò),2011,(9):76-77.

[9]張知青,王碧玉.淺談網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）的三種方式[J].中小企業(yè)管理與科技,2011,(28):206-207.

[10]劉風(fēng)華,丁賀龍,張永平.關(guān)于NAT技術(shù)的研究與應(yīng)用[J].計算機(jī)工程與設(shè)計,2006,27(10):1815-1817.

[11]邵新,鄭朝巍.利用ACL與NAT完成內(nèi)部HIS與外部醫(yī)保網(wǎng)的對接[J].醫(yī)療設(shè)備信息,2006,21(7):29-30.

[12]孫雪梅,翟鳳杰.VPN技術(shù)為醫(yī)院信息化的安全性護(hù)航[J].中國醫(yī)療設(shè)備,2008,23(6):30-31.

[13]王克.淺析虛擬專業(yè)網(wǎng)絡(luò)VPN技術(shù)[J].計算機(jī)光盤軟件與應(yīng)用, 2011,(14):112.

[14]蘇和.巧配VPN安全隧道[J].中國教育網(wǎng)絡(luò),2009,(11):74-76.

[15]吳飛,楊宏橋,張矚熹.基于安全數(shù)據(jù)交換的網(wǎng)上預(yù)約掛號系統(tǒng)的設(shè)計與實現(xiàn)[J].中國醫(yī)療設(shè)備,2009,24(1):27-29.