蔣韜 吳響 黃怡鶴 俞穩(wěn)龍

摘 要：隨著醫(yī)院醫(yī)療水平的提升和病患診療數(shù)據(jù)的增多，如何安全隔離內(nèi)外網(wǎng)，保護醫(yī)療數(shù)據(jù)的安全，成了目前各大醫(yī)院需要考慮的問題。PIX防火墻是思科公司自主開發(fā)的防火墻設(shè)備，具有路由策略過濾，內(nèi)網(wǎng)與外網(wǎng)隔絕等功能。文章基于MNSS（Medical Network System Simulator）仿真軟件模擬醫(yī)院PIX防火墻，以達到醫(yī)院內(nèi)外網(wǎng)防火墻實驗研究需求。

關(guān)鍵詞：醫(yī)院數(shù)據(jù)安全；MNSS；仿真實驗；PIX防火墻

中圖分類號：TN711 文獻標志碼：A 文章編號：2095-2945（2018）13-0044-02

Abstract： With the improvement of medical level of hospitals and the increase of patient diagnosis and treatment data， how to safely isolate the inside and outside network and protect the safety of medical data have become the problems that need to be considered by the major hospitals at present. PIX Firewall is a firewall device developed by Cisco Company. It has the functions of routing policy filtering， intranet isolation and so on. This paper simulates the hospital PIX firewall based on MNSS （Medical Network System Simulator） in order to meet the need of the experimental research on the firewall inside and outside the hospital.

Keywords： hospital data security； MNSS； simulation experiment； PIX Firewall

1 概述

隨著“互聯(lián)網(wǎng)+醫(yī)療”時代的到來，數(shù)字醫(yī)院、智慧醫(yī)院等概念逐漸興起，醫(yī)院信息化的趨勢愈加明顯[1]。然而在醫(yī)院業(yè)務(wù)不斷拓寬的同時，頻繁的醫(yī)院內(nèi)外部數(shù)據(jù)交流和信息共享給了不法分子可趁之機。醫(yī)院信息系統(tǒng)中保存著大量患者的隱私信息，一旦泄露將帶來難以預(yù)計的損失。因此，對醫(yī)院網(wǎng)絡(luò)安全的研究刻不容緩。

針對傳統(tǒng)網(wǎng)絡(luò)實驗教學中設(shè)備短缺等共性問題，我校借助MNSS模擬器模擬醫(yī)院內(nèi)外網(wǎng)防火墻[2]，以幫助學生在虛擬仿真實驗平臺上完成醫(yī)院網(wǎng)絡(luò)拓撲搭建和內(nèi)外網(wǎng)管理過程，既降低實驗成本，又保證實驗效果和教學質(zhì)量。本文將結(jié)合醫(yī)院實際情況，詳細講解PIX防火墻技術(shù)在醫(yī)院信息安全領(lǐng)域中的應(yīng)用。

2 防火墻相關(guān)簡介

2.1 防火墻定義及分類

防火墻是作用于網(wǎng)絡(luò)系統(tǒng)邊界的一種軟件或者硬件。通過建立訪問規(guī)則和安全策略隔離兩個網(wǎng)絡(luò)，以實現(xiàn)訪問控制。它是內(nèi)外網(wǎng)絡(luò)之間數(shù)據(jù)流通的唯一通道，決定外部網(wǎng)絡(luò)對內(nèi)部的訪問權(quán)限，最大程度地攔截非法入侵等[3]。

防火墻大致分為三類：網(wǎng)絡(luò)層包過濾型、應(yīng)用層代理服務(wù)型與復合型，具體如下：

（1）網(wǎng)絡(luò)層包過濾型防火墻通常被安置于路由器上，通過ACL實現(xiàn)訪問控制[4]。通過建立的訪問規(guī)則對接收的每一個數(shù)據(jù)包進行判斷以決定是否轉(zhuǎn)發(fā)或拋棄。和規(guī)則匹配的數(shù)據(jù)包會被轉(zhuǎn)發(fā)，反之則會被拋棄。其中，包過濾的主要檢測對象是源IP地址、目標IP地址、協(xié)議類型、端口等信息[5]。

（2）應(yīng)用層代理服務(wù)型防火墻利用代理服務(wù)器將內(nèi)網(wǎng)與外網(wǎng)分開。代理服務(wù)器在兩者之間充當中轉(zhuǎn)站的角色，避免內(nèi)部用戶與外部不受信任的主機直接建立聯(lián)系。同時代理服務(wù)器可以提供詳細的日志和審計功能，提高網(wǎng)絡(luò)安全度[6]。

（3）復合型防火墻是上述兩者的結(jié)合，繼承了兩者的優(yōu)點。其中，Cisco PIX防火墻就是這一類型的防火墻。

2.2 PIX防火墻

PIX防火墻是思科公司開發(fā)的防火墻產(chǎn)品，能夠滿足多種設(shè)計方案要求。一般情況下，PIX防火墻僅有兩個接口：內(nèi)部接口連接到受防火墻保護的醫(yī)院內(nèi)網(wǎng)，而外部接口連接到因特網(wǎng)。它使用網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)將內(nèi)部主機的地址進行映射，使之映射為外部地址。并將所有會話的狀態(tài)信息都寫入狀態(tài)表中進行記憶，對所有通過防火墻的外部數(shù)據(jù)流進行比對，若存在于狀態(tài)表中，那么數(shù)據(jù)流則可以通過防火墻，來到內(nèi)部網(wǎng)絡(luò)。而那些不存在于狀態(tài)表的外部數(shù)據(jù)流，則要分辨它們是否違背安全協(xié)議，如若沒有違背安全協(xié)議，就可以將其存入狀態(tài)表中去。但是若違背安全協(xié)議，那么就要將包舍棄，不允許其通過防火墻，拒絕數(shù)據(jù)流進入到內(nèi)部網(wǎng)絡(luò)。這種機制控制了外部網(wǎng)絡(luò)對醫(yī)院內(nèi)部大數(shù)據(jù)資源的訪問，安全隔離內(nèi)外網(wǎng)，起到保護患者隱私的效果[7]。

3 實驗仿真設(shè)計

3.1 實驗拓撲

在MNSS的工作區(qū)域中搭建醫(yī)院內(nèi)外網(wǎng)隔離網(wǎng)絡(luò)拓撲圖。如圖1所示，R1為互聯(lián)網(wǎng)服務(wù)提供商，模擬外網(wǎng)；R2為醫(yī)院邊界出口路由器，模擬內(nèi)網(wǎng)；R3為DMZ的網(wǎng)關(guān)路由器，模擬資源庫區(qū)域。其中，所有路由器設(shè)備都是通過c7200系列路由器模擬的，全網(wǎng)通過OSPF路由協(xié)議實現(xiàn)互聯(lián)。

3.2 IP地址分配

實驗關(guān)鍵設(shè)備及其接口地址配置如表1。

3.3 PIX關(guān)鍵配置

（1）outside區(qū)域的配置如下：PIX（config-if）#nameif outside ！將接口命名為outside

PIX（config-if）#security-level 0 ！將安全級別設(shè)為0

（2）inside區(qū)域的配置如下：

PIX（config-if）#nameif inside PIX（config-if）#security-level 100

（3）dmz區(qū)域的配置如下：

PIX（config-if）#nameif dmz PIX（config-if）#security-level 50

（4）NAT地址轉(zhuǎn)換相關(guān)配置如下：

PIX（config）#nat （inside） 1 172.16.2.0 255.255.255.0 ！允許內(nèi)網(wǎng)流量通過PIX

PIX（config）#global （outside） 1 192.168.1.3-192.168.1.5 netmask 255.255.255.0 ！使用global命令設(shè)置地址池

PIX（config）#global （dmz） 1 200.1.2.3-200.1.2.4 netmask 255.255.255.0

PIX（config）#route inside 172.16.2.0 255.255.255.0 172.16.1.2 ！實現(xiàn)到內(nèi)部網(wǎng)絡(luò)的路由，設(shè)置下一跳地址

（5）外網(wǎng)對DMZ區(qū)的訪問配置如下：

PIX（config）#static （dmz，outside） 200.1.2.1 192.168.1.2

4 驗證與分析

在PC上測試遠程登錄INTERNET中的本地主機200.1.2.2，測試結(jié)果如下：

PC#Telnet 200.1.2.2

Trying 200.1.2.2 … Open

User Access Verification

Password：

Internet>

結(jié)果表明內(nèi)網(wǎng)流量是可以通過醫(yī)院PIX防火墻的。這是因為內(nèi)部發(fā)出的流量在經(jīng)過PIX訪問外部（或者DMZ）時，內(nèi)部地址會被轉(zhuǎn)化成地址池中的外部地址（或者DMZ地址）。

5 結(jié)束語

在本文中，我們以Cisco PIX 804為例介紹了PIX 防火墻在醫(yī)院網(wǎng)絡(luò)系統(tǒng)中的應(yīng)用，通過在MNSS中模擬醫(yī)院網(wǎng)絡(luò)的仿真實驗，驗證了PIX防火墻具有路由策略過濾、內(nèi)網(wǎng)與外網(wǎng)隔絕等功能，從而保證醫(yī)院內(nèi)部網(wǎng)絡(luò)的安全，有效防范來自因特網(wǎng)的非法攻擊。

參考文獻：

[1]許培海，宗文紅，周洲，等.我國公立醫(yī)院數(shù)字醫(yī)療建設(shè)現(xiàn)狀調(diào)查與分析[J].中國衛(wèi)生信息管理雜志，2015（2）：124-130.

[2]王競，吳響，黃怡鶴，等.醫(yī)學院校物聯(lián)網(wǎng)工程專業(yè)虛擬仿真實驗教學體系建設(shè)與實踐[J].高教學刊，2017（21）：35-37.

[3]陳香芹.淺析防火墻技術(shù)在醫(yī)院網(wǎng)絡(luò)中的應(yīng)用[J].中國新技術(shù)新產(chǎn)品，2016（2）：182.

[4]吳剛.Cisco路由器ACL剖析[J].計算機安全，2010（9）：91-94.

[5]李琳.試析計算機防火墻技術(shù)及其應(yīng)用[J].信息安全與技術(shù)，2012（8）：46-48+51.

[6]張玲麗.基于GNS3虛擬機的PIX防火墻配置實例[J].數(shù)字通信，2014（5）：78-80.

[7]夏青，石駿驥.構(gòu)筑圖書館Cisco PIX防火墻系統(tǒng)[J].遼寧稅務(wù)高等?？茖W校學報，2005，17（2）：43-44.