洪瑞安，黃毅，吳雅云，蔡守瑋

中國(guó)人民解放軍第一八○醫(yī)院信息科，福建 泉州 362000

基于路由和遠(yuǎn)程訪問的網(wǎng)絡(luò)安全

洪瑞安，黃毅，吳雅云，蔡守瑋

中國(guó)人民解放軍第一八○醫(yī)院信息科，福建 泉州 362000

目的基于路由和遠(yuǎn)程訪問技術(shù)，保護(hù)醫(yī)院網(wǎng)絡(luò)安全。方法利用路由解析設(shè)備對(duì)Windows server 2003自帶的路由和遠(yuǎn)程訪問服務(wù)進(jìn)行配置，建立醫(yī)院網(wǎng)絡(luò)的“防火墻”。結(jié)果有效地隱藏了互聯(lián)網(wǎng)網(wǎng)站服務(wù)器與醫(yī)院業(yè)務(wù)網(wǎng)站服務(wù)器直連網(wǎng)段。結(jié)論對(duì)路由和遠(yuǎn)程訪問服務(wù)進(jìn)行配置，在一定程度上保障了醫(yī)院業(yè)務(wù)網(wǎng)站服務(wù)器的安全。

醫(yī)院門戶網(wǎng)站；路由解析；遠(yuǎn)程訪問；網(wǎng)絡(luò)安全

隨著信息化的發(fā)展，許多醫(yī)院為了提供更多的醫(yī)療服務(wù)，陸續(xù)建立了自己的門戶網(wǎng)站，在網(wǎng)上拓展醫(yī)療業(yè)務(wù)，而醫(yī)療數(shù)據(jù)的安全性越來越受到市民關(guān)注。雖然醫(yī)院引進(jìn)了網(wǎng)閘等物理隔離設(shè)備，保證了內(nèi)網(wǎng)數(shù)據(jù)庫的安全，但卻忽略了外網(wǎng)服務(wù)器的防患。由于架設(shè)網(wǎng)站的服務(wù)器操作系統(tǒng)存在著一些漏洞，不能及時(shí)發(fā)現(xiàn)打補(bǔ)丁，小則在網(wǎng)絡(luò)管理中心進(jìn)行管控掃描時(shí)報(bào)警，大則被黑客利用攻擊而導(dǎo)致門戶網(wǎng)站癱瘓、崩潰甚至敏感數(shù)據(jù)泄露。為了解決以上問題，我院在防火墻緊缺的情況下，通過使用 Windows server 2003 自帶的路由和遠(yuǎn)程訪問服務(wù)[1]來實(shí)現(xiàn)地址轉(zhuǎn)換，既保證了內(nèi)外網(wǎng)正常通訊，同時(shí)也保證了醫(yī)院內(nèi)網(wǎng)數(shù)據(jù)的安全[2]。

1 網(wǎng)絡(luò)環(huán)境介紹

醫(yī)院門戶網(wǎng)站的數(shù)據(jù)有兩種。一種是靜態(tài)數(shù)據(jù)，這種數(shù)據(jù)不需要與醫(yī)院內(nèi)網(wǎng)數(shù)據(jù)庫進(jìn)行交互；另一種是動(dòng)態(tài)數(shù)據(jù)，這種數(shù)據(jù)需要與醫(yī)院內(nèi)網(wǎng)數(shù)據(jù)庫進(jìn)行交互。我們把門戶網(wǎng)站中有與醫(yī)院內(nèi)網(wǎng)數(shù)據(jù)庫進(jìn)行數(shù)據(jù)交互的服務(wù)（可能存在漏洞又不能及時(shí)解決的服務(wù)），獨(dú)立部署在醫(yī)院業(yè)務(wù)網(wǎng)站服務(wù)器上。在醫(yī)院業(yè)務(wù)網(wǎng)站服務(wù)器安裝2張網(wǎng)卡，其中1張網(wǎng)卡與互聯(lián)網(wǎng)門戶網(wǎng)站服務(wù)器直連，另外1張網(wǎng)卡與內(nèi)網(wǎng)的安全隔離設(shè)備連接，通過安全隔離設(shè)備與醫(yī)院內(nèi)網(wǎng)數(shù)據(jù)庫交互數(shù)據(jù)。在醫(yī)院業(yè)務(wù)網(wǎng)站服務(wù)器前端增設(shè)1臺(tái)互聯(lián)網(wǎng)門戶網(wǎng)站服務(wù)器充當(dāng)前置機(jī)，互聯(lián)網(wǎng)門戶網(wǎng)站服務(wù)器安裝2張網(wǎng)卡，1張網(wǎng)卡與醫(yī)院業(yè)務(wù)網(wǎng)站服務(wù)器直連，另1張網(wǎng)卡與互聯(lián)網(wǎng)的路由解析器相連，再接入互聯(lián)網(wǎng)。網(wǎng)絡(luò)環(huán)境與部署，見圖1。

圖1 網(wǎng)絡(luò)環(huán)境與部署示意圖

2 醫(yī)院業(yè)務(wù)網(wǎng)站服務(wù)器的安全

使用2臺(tái)不同網(wǎng)段服務(wù)器保障醫(yī)院業(yè)務(wù)安全。訪問互聯(lián)網(wǎng)門戶網(wǎng)站服務(wù)器，通過公布在互聯(lián)網(wǎng)的域名則能訪問到醫(yī)院的門戶網(wǎng)站，即訪問靜態(tài)數(shù)據(jù)。如果訪問域名加端口號(hào)網(wǎng)站，則會(huì)根據(jù)路由解析設(shè)備做的端口配置，及路由和遠(yuǎn)程訪問做的配置進(jìn)行地址轉(zhuǎn)換來訪問醫(yī)院業(yè)務(wù)網(wǎng)站服務(wù)器所部屬的網(wǎng)站。這樣通過互聯(lián)網(wǎng)門戶網(wǎng)站服務(wù)器就能夠訪問到醫(yī)院業(yè)務(wù)網(wǎng)站服務(wù)器的數(shù)據(jù)，同時(shí)醫(yī)院業(yè)務(wù)網(wǎng)站服務(wù)器也沒有直接暴露在互聯(lián)網(wǎng)下，即不能直接從互聯(lián)網(wǎng)訪問到醫(yī)院業(yè)務(wù)網(wǎng)站服務(wù)器的網(wǎng)站，這在一定程度上保證了醫(yī)院業(yè)務(wù)網(wǎng)站服務(wù)器的安全。

3 地址轉(zhuǎn)換配置

3.1 路由解析設(shè)備的端口配置

路由解析設(shè)備的端口配置是對(duì)要訪問的醫(yī)院業(yè)務(wù)網(wǎng)站 服 務(wù) 器 的 端 口 號(hào) 進(jìn) 行 地 址 映 射[3]。 即 在 端 口 配 置 中 添加 1 條配置，如端口號(hào)為 8080，映射到所需訪問的網(wǎng)段192.168.19.0（與醫(yī)院業(yè)務(wù)網(wǎng)站服務(wù)器網(wǎng)卡 1 同一網(wǎng)段）中指 定 IP 地 址 192.168.19.112， 再添 加 1 條 靜 態(tài) 路 由 記 錄，IP 為 192.168.19.0，網(wǎng)關(guān)為 192.168.1.5（與互聯(lián)網(wǎng)門戶網(wǎng)站服務(wù)器網(wǎng)卡 1同地址）。當(dāng)訪問域名加上端口號(hào)時(shí)，路由解析設(shè)備就會(huì)根據(jù)設(shè)置好的記錄跳轉(zhuǎn)到互聯(lián)網(wǎng)門戶網(wǎng)站服務(wù)器的網(wǎng)卡 2 段中[4]。然后再根據(jù)路由和遠(yuǎn)程訪問的配置進(jìn)行下一步跳轉(zhuǎn)。

3.2 路由和遠(yuǎn)程訪問的配置

在互聯(lián)網(wǎng)門戶網(wǎng)站服務(wù)器打開管理工具菜單，雙擊“路由和遠(yuǎn)程訪問”，選擇本地服務(wù)器的名稱，右鍵點(diǎn)擊“配置并啟用路由和遠(yuǎn)程訪問”，然后根據(jù)提示點(diǎn)擊下一步，選擇“自定義配置”選項(xiàng)，點(diǎn)擊下一步，選擇“NAT和基本防火墻”，點(diǎn)擊下一步，再根據(jù)提示點(diǎn)擊完成，即已啟用路由和遠(yuǎn)程訪問的服務(wù)。

我們將互聯(lián)網(wǎng)網(wǎng)站 服務(wù)器網(wǎng)卡 1 命名為 Internet，網(wǎng)卡 2 命名為 Internet-zhilian。在 IP 路由選擇中選擇 “靜態(tài)路由”，右鍵點(diǎn)擊“新建靜態(tài)路由”。如選擇接口 Internet，目 標(biāo) 為 192.168.1.0 網(wǎng) 段， 網(wǎng) 絡(luò) 掩 碼 為 255.255.255.0， 網(wǎng)關(guān)為 192.168.1.1，建立 Internet靜 態(tài) 路由 ；同 樣，選擇接口 internet-zhilian，目標(biāo)為 192.168.19.0 網(wǎng)段，網(wǎng)絡(luò)掩碼為255.255.255.0，網(wǎng)關(guān)為 192.168.19.122，建立 Internet-zhilian靜態(tài)路。其界面圖，見圖 3～4。

圖3 Internet靜態(tài)路由示意圖

圖4 Internet-zhilian靜態(tài)路由示意圖

在 IP 路由選擇中選擇“IGMP”，右鍵點(diǎn)擊“新增接口”，選擇接口 Internet，點(diǎn)擊確定，啟用 IGMP 屬性 ；同樣，選擇 接 口 Internet-zhilian， 啟 用 Internet-zhilian IGMP 屬 性。IGMP 屬性界面圖，見圖 5～6。

圖5 Internet IGMP屬性示意圖

圖6 Internet-zhilian IGMP屬性示意圖

在 IP 路由選擇中選擇“NAT/基本防火墻”，右鍵點(diǎn)擊“新增接口”，選擇接口 Internet，點(diǎn)擊確定，選擇“專用接口連接到專用網(wǎng)絡(luò)”，點(diǎn)擊確定 ；同樣右鍵點(diǎn)擊“新增接口”，選擇接口 Internet-zhilian，點(diǎn)擊確定，選擇“公用接口連接到 Internet”，再選擇“在此接口啟用 NAT”，點(diǎn)擊確定[5]。NAT/基本防火墻示介面圖，見圖 7～8。

圖7 Internet NAT/基本防火墻示意圖

圖8 Internet-zhilian NAT/基本防火墻示意圖

通過上述4個(gè)步驟的配置，即可完成訪問域名加端口號(hào)從互聯(lián)網(wǎng)門戶網(wǎng)站服務(wù)器跳轉(zhuǎn)到訪問醫(yī)院業(yè)務(wù)服務(wù)器。

4 結(jié)語

利用路由解析設(shè)備及配置 Windows server 2003 自帶的路由和遠(yuǎn)程訪問服務(wù)進(jìn)行配置，能及時(shí)有效地解決防火墻等物理防護(hù)設(shè)備緊缺時(shí)存在的網(wǎng)絡(luò)安全隱患[6-8]。通過系統(tǒng)自帶的路由和遠(yuǎn)程訪問服務(wù)進(jìn)行配置能有效地隱藏互聯(lián)網(wǎng)網(wǎng)站服務(wù)器與醫(yī)院業(yè)務(wù)網(wǎng)站服務(wù)器直連網(wǎng)段，使醫(yī)院業(yè)務(wù)網(wǎng)站服務(wù)器沒有直接暴露在互聯(lián)網(wǎng)下，在一定程度上保障了醫(yī)院業(yè)務(wù)網(wǎng)站服務(wù)器的安全。

[1] 陳國(guó)耿．利用NAT實(shí)現(xiàn)醫(yī)院局域網(wǎng)連接INTERNET[J]．實(shí)用醫(yī)技雜志,2006,13(5):831-832．

[2] 賀抒,梁昔明．NAT技術(shù)分析及其在防火墻中的應(yīng)用[J]．微計(jì)算機(jī)信息,2005,(1):167-168．

[3] 李翔,唐慧．NAT在配置醫(yī)院連接醫(yī)保數(shù)據(jù)中心的應(yīng)用[J]．醫(yī)療衛(wèi)生裝備,2009,30(11):46-47．

[4] 劉風(fēng)華,丁賀龍,張永平．關(guān)于NAT技術(shù)的研究與應(yīng)用[J]．計(jì)算機(jī)工程與設(shè)計(jì),2006,27(10):1814-1817．

[5] 龔曉華．基于NAT的網(wǎng)絡(luò)防護(hù)技術(shù)及安全網(wǎng)關(guān)的研究[J]．電腦知識(shí)與技術(shù),2009,5(21):5676-5677．

[6] 歐志文,伍平陽,羅志恒,等．多線路接入醫(yī)院網(wǎng)絡(luò)實(shí)現(xiàn)多種應(yīng)用的實(shí)踐研究[J]．中國(guó)醫(yī)療設(shè)備,2013,28(7):40-42．

[7] 謝希仁．計(jì)算機(jī)網(wǎng)絡(luò)[M]．北京:電子工業(yè)出版社,2010:171-175．

[8] 宣小玲．NAT轉(zhuǎn)換在局域網(wǎng)的應(yīng)用 [J]．電腦知識(shí)與技術(shù),2007, 3(15):660．

Network Security Based on Routing and Remote Access

HONG Rui-an, HUANG Yi, WU Ya-yun, CAI Shou-wei
Department of Information, The 180thHospital of PLA, Quanzhou Fujian 362000, China

ObjectiveTo protect hospital network security based on routing and remote access.MethodsThe configuration of the routing and remote access service affiliated to Windows server 2003 was conducted with routing parsing equipment to establish the firewall of hospital network.ResultsThe directly connected network segments of servers of Internet website and hospital business website have been hided effectively.ConclusionTo some extent, the conf i guration of the routing and remote access service has ensured the security of hospital business website server.

hospital web portals; routing parsing; remote access; network security

TP393.08

A

10.3969/j.issn.1674-1633.2014.08.015

1674-1633(2014)08-0052-03

2014-01-21

2014-02-11

作者郵箱：18750601053@163．com