◆林育凱

淺析隔離網(wǎng)閘與防火墻在網(wǎng)絡(luò)安全中的綜合利用

◆林育凱

（泉州市第一醫(yī)院 福建 362000）

隨著時(shí)代的進(jìn)步和科技的發(fā)展，人們對(duì)隱私權(quán)的保護(hù)越來越重視，醫(yī)院的網(wǎng)絡(luò)系統(tǒng)安全受到了人們的廣泛關(guān)注。醫(yī)院的人口流動(dòng)性大，所需記載的信息量多，醫(yī)院的計(jì)算機(jī)網(wǎng)絡(luò)安全管理系統(tǒng)承擔(dān)著十分重要的作用和意義；只有建立計(jì)算機(jī)網(wǎng)絡(luò)安全方能保障醫(yī)院信息化建設(shè)的順利進(jìn)行，避免攻擊者利用網(wǎng)絡(luò)系統(tǒng)的安全漏洞進(jìn)行竊聽、冒充、詐騙等有損于合法用戶的行為，因而隔離網(wǎng)閘技術(shù)與防火墻技術(shù)是當(dāng)前我國網(wǎng)絡(luò)安全領(lǐng)域主要應(yīng)用的針對(duì)網(wǎng)絡(luò)安全進(jìn)行保護(hù)的手段。本文從保障醫(yī)院網(wǎng)絡(luò)高度安全的角度出發(fā)，分析了隔離網(wǎng)閘的數(shù)據(jù)交換方式，分別對(duì)隔離網(wǎng)閘與防火墻進(jìn)行了分析和對(duì)比，希望對(duì)醫(yī)院的網(wǎng)絡(luò)安全管理提供幫助，為網(wǎng)絡(luò)技術(shù)健康、穩(wěn)定的發(fā)展做出貢獻(xiàn)。

醫(yī)院信息系統(tǒng)；隔離網(wǎng)閘；防火墻；網(wǎng)絡(luò)安全

1 我國網(wǎng)絡(luò)安全管理概述

進(jìn)入21世紀(jì)以來，我國的經(jīng)濟(jì)、文化、科技發(fā)展速度迅猛，對(duì)于信息化的建設(shè)也越來越完善，醫(yī)院系統(tǒng)的網(wǎng)絡(luò)系統(tǒng)也具備了非常強(qiáng)大的功能，為人們的工作、生活提供了極大的便利，網(wǎng)絡(luò)技術(shù)已經(jīng)滲透到社會(huì)的各行各業(yè)，網(wǎng)絡(luò)安全手段的應(yīng)用也隨著使用者的增多而增多，網(wǎng)絡(luò)攻擊、病毒入侵等安全問題頻發(fā)，保障網(wǎng)絡(luò)系統(tǒng)安全、穩(wěn)定運(yùn)行的難度越來越大；可以看出，在現(xiàn)實(shí)生活中，網(wǎng)絡(luò)技術(shù)的應(yīng)用就像一把雙刃劍，給人們帶來方便的同時(shí)，由于一些網(wǎng)絡(luò)軟件程序的缺陷或者使用者對(duì)網(wǎng)絡(luò)的不當(dāng)應(yīng)用，網(wǎng)絡(luò)安全不能得到持續(xù)、穩(wěn)定的保障.目前我國的網(wǎng)絡(luò)安全管理主要還是應(yīng)用防火墻、IDS、IPS、以及2000年以后出現(xiàn)的網(wǎng)閘技術(shù)。防火墻在網(wǎng)絡(luò)安全系統(tǒng)中的應(yīng)用最廣也是最常見的網(wǎng)絡(luò)安全防護(hù)措施，能夠有效防止外部入侵的惡意攻擊對(duì)企業(yè)網(wǎng)絡(luò)的破壞，可以24小時(shí)對(duì)網(wǎng)絡(luò)系統(tǒng)實(shí)時(shí)監(jiān)控。IDS，（Intrusion Detection System），全稱是入侵檢測系統(tǒng)，IPS，（Intrusion Prevention System），全稱為入侵防御系統(tǒng)。IDS 是指依照一定的安全管理程序，對(duì)網(wǎng)絡(luò)系統(tǒng)的運(yùn)行情況進(jìn)行實(shí)時(shí)監(jiān)視，盡可能發(fā)現(xiàn)各種惡意攻擊行為，進(jìn)而保障網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行，保護(hù)用戶的信息的機(jī)密性、完整性不受損害。IPS入侵防御系統(tǒng)是對(duì)防病毒軟件和防火墻的補(bǔ)充手段。入侵防御系統(tǒng)可以監(jiān)視網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)信息傳輸行為的計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)設(shè)備，能夠隔離和中斷一些不正常網(wǎng)絡(luò)資料傳輸行為。網(wǎng)閘隔離主要應(yīng)用于網(wǎng)絡(luò)模型各層之間的隔離，利用網(wǎng)絡(luò)隔離技術(shù)斷開外部主機(jī)與內(nèi)部主機(jī)的連通，在特定情況下，有條件的連通外部主機(jī)與內(nèi)部主機(jī)，進(jìn)行數(shù)據(jù)傳遞，保證網(wǎng)絡(luò)安全的前提下，盡可能互聯(lián)互通，如果不安全，必須斷開隔離。

2 網(wǎng)絡(luò)安全系統(tǒng)存在的弊端

全球信息化時(shí)代的到來，促使網(wǎng)絡(luò)系統(tǒng)的使用規(guī)模逐漸增大，對(duì)網(wǎng)絡(luò)系統(tǒng)的安全保障而言，工作難度隨之增大，網(wǎng)絡(luò)攻擊日益泛濫，傳統(tǒng)的網(wǎng)絡(luò)系統(tǒng)保護(hù)技術(shù)已經(jīng)不能滿足人們對(duì)網(wǎng)絡(luò)系統(tǒng)安全的要求，以往的以防火墻為核心的網(wǎng)絡(luò)安全防御保護(hù)體系還存在著諸多弊端，網(wǎng)閘隔離技術(shù)雖然在某些數(shù)據(jù)庫系統(tǒng)或某些文件的交換系統(tǒng)保護(hù)隔離中效果顯著，但是就目前而言網(wǎng)閘隔離還在邏輯隔離的范圍內(nèi)，防火墻雖然保護(hù)功能強(qiáng)大，卻不能對(duì)病毒進(jìn)行查殺，無法抵御來自內(nèi)部網(wǎng)絡(luò)的攻擊，對(duì)網(wǎng)絡(luò)系統(tǒng)的保護(hù)功能還不夠全面。

2.1 隔離網(wǎng)閘的優(yōu)缺點(diǎn)分析

網(wǎng)閘隔離的使用是對(duì)以往的以防火墻為核心的網(wǎng)絡(luò)安全防御保護(hù)體系的一大補(bǔ)充，網(wǎng)閘隔離又被稱為安全隔離與數(shù)據(jù)交換系統(tǒng)，在數(shù)據(jù)擺渡方面占用技術(shù)方面的優(yōu)勢，對(duì)于數(shù)據(jù)交換的速度和穩(wěn)定性優(yōu)于其他網(wǎng)絡(luò)安全保護(hù)技術(shù)，此外，網(wǎng)閘技術(shù)對(duì)系統(tǒng)的保護(hù)作用效果顯著，隔離徹底，外部主機(jī)與內(nèi)部主機(jī)完全斷開，外部的侵入攻擊和安全威脅無法進(jìn)入內(nèi)網(wǎng)，內(nèi)部主機(jī)的安全性得到保證，網(wǎng)閘的增強(qiáng)型保護(hù)框架可以有效辨認(rèn)外來的惡意攻擊程序，使網(wǎng)絡(luò)訪問的安全得到保障。盡管網(wǎng)閘隔離的邏輯隔離功能強(qiáng)大，因?yàn)槠涮厥獾膽?yīng)用特性，導(dǎo)致了網(wǎng)閘隔離的實(shí)際應(yīng)用中并不普遍，還存在很多不足之處。網(wǎng)閘隔離的缺點(diǎn)：網(wǎng)閘的網(wǎng)閘隔離技術(shù)成本高，耗費(fèi)大量人力物力。因?yàn)榫W(wǎng)閘隔離技術(shù)的操作要求相關(guān)設(shè)備的存儲(chǔ)容量要大，網(wǎng)閘技術(shù)根本無法應(yīng)用，甚至?xí)蛟O(shè)備存儲(chǔ)不足造成其他損害，可見若設(shè)備存儲(chǔ)量達(dá)不到要求，網(wǎng)閘技術(shù)根本無法發(fā)揮其作用，同時(shí)網(wǎng)閘技術(shù)的應(yīng)用成功與否，還要依托技術(shù)人員的技術(shù)水平高低，若技術(shù)人員水平不足，對(duì)外部入侵的數(shù)據(jù)處理不當(dāng)，也會(huì)使網(wǎng)閘技術(shù)的保護(hù)作用大大降低；此外，網(wǎng)閘技術(shù)最大的缺點(diǎn)就是適用范圍狹窄，對(duì)于數(shù)據(jù)交換要求嚴(yán)苛，如安全網(wǎng)閘只支持靜態(tài)數(shù)據(jù)的交換，且交換的數(shù)據(jù)必須應(yīng)用網(wǎng)閘要求的特有的交換模塊，不利于網(wǎng)閘技術(shù)的廣泛推廣。

2.2 防火墻技術(shù)的優(yōu)缺點(diǎn)分析

防火墻（FireWall）是計(jì)算機(jī)硬件和軟件的結(jié)合，防火墻的應(yīng)用很大程度地提高了網(wǎng)絡(luò)系統(tǒng)的安全性，是保護(hù)系統(tǒng)安全的第一道防線，就目前的形式來看，在現(xiàn)代網(wǎng)絡(luò)安全中，防火墻的使用最為普遍，尤其是在醫(yī)院信息平臺(tái)的建設(shè)中，防火墻發(fā)揮著無可取代的作用。防火墻大體上分為代理服務(wù)器、應(yīng)用級(jí)網(wǎng)關(guān)、數(shù)據(jù)包過濾三大類，數(shù)據(jù)包過濾（Packet Filtering）技術(shù)又被稱為訪問控制表，是指防火墻在網(wǎng)絡(luò)層對(duì)數(shù)據(jù)進(jìn)行篩選，這種方式安裝簡便，使用難度低，價(jià)格經(jīng)濟(jì)實(shí)惠，但是安全系數(shù)低是數(shù)據(jù)包過濾防火墻最大的缺點(diǎn)，如果數(shù)據(jù)包過濾防火墻被外部惡意程序攻擊，極易對(duì)主機(jī)的軟件造成破壞，甚至主機(jī)也要受到攻擊，無法杜絕安全漏洞；另外，數(shù)據(jù)包的源地址也極易暴露，很可能被企圖不良的人冒用。代理服務(wù)又叫作TPC通道，這種技術(shù)將跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段，它的出現(xiàn)彌補(bǔ)了另外兩種防火墻技術(shù)的不足，有效斷開防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)之間的連接。防火墻的缺點(diǎn)還包括不能有效阻止利用TCP/IP協(xié)議進(jìn)行的攻擊，對(duì)服務(wù)器合法開放的端口的攻擊也無力反抗，這些缺點(diǎn)都極大地增加了網(wǎng)絡(luò)安全的隱患，是網(wǎng)絡(luò)安全受到威脅的主要原因。

3 優(yōu)化網(wǎng)絡(luò)安全管理的方法

隔離網(wǎng)閘與防火墻在網(wǎng)絡(luò)安全中綜合利用：

隔離網(wǎng)閘與防火墻在網(wǎng)絡(luò)安全中的作用都是無可替代的。網(wǎng)閘技術(shù)不能替代防火墻技術(shù)，防火墻技術(shù)的入侵檢測和防病毒系統(tǒng)在保護(hù)網(wǎng)絡(luò)方面獨(dú)具優(yōu)勢；但是網(wǎng)閘隔離技術(shù)也有其不可替代的優(yōu)勢，網(wǎng)閘隔離定位精準(zhǔn)，目標(biāo)清晰，在網(wǎng)絡(luò)中斷的情況下，隔離網(wǎng)閘在無網(wǎng)絡(luò)的情況下發(fā)揮保護(hù)網(wǎng)絡(luò)系統(tǒng)安全的作用，仍然可以實(shí)現(xiàn)信息的交換，保證用戶的正常使用。而防火墻主要是發(fā)揮訪問控制類作用，會(huì)在不破壞網(wǎng)絡(luò)連通的情況下進(jìn)行訪問控制；網(wǎng)閘的應(yīng)用實(shí)現(xiàn)了不同網(wǎng)絡(luò)之間數(shù)據(jù)安全的交互，分別對(duì)數(shù)據(jù)庫系統(tǒng)就、文件同步系統(tǒng)進(jìn)行保護(hù)和隔離，網(wǎng)閘隔離中應(yīng)用的第三方應(yīng)用數(shù)據(jù)庫隔離保護(hù)框架有效地對(duì)TCP/IP協(xié)議進(jìn)行安全隔離，網(wǎng)閘隔離對(duì)木馬、病毒的攻擊十分敏感，一經(jīng)發(fā)現(xiàn)，立即阻斷，有效保證了應(yīng)用程序的安全。

4 結(jié)語

綜上所述，隔離網(wǎng)閘與防火墻在網(wǎng)絡(luò)安全中的綜合利用，有利于提高網(wǎng)絡(luò)系統(tǒng)的整體的安全系數(shù)；科學(xué)文化的發(fā)展帶動(dòng)了我國人們經(jīng)濟(jì)、生活水平的提高，網(wǎng)絡(luò)技術(shù)的普及帶給人們美好的生活體驗(yàn)，互聯(lián)網(wǎng)的發(fā)明推動(dòng)了人類社會(huì)的進(jìn)步的同時(shí)，也給人類帶來很多難題，網(wǎng)絡(luò)安全問題在目前仍然是全球都亟待解決的問題，隔離網(wǎng)閘技術(shù)中的鏈路層斷開技術(shù)通過阻斷TCP/IP的穿透，從根源上阻止了黑客對(duì)網(wǎng)絡(luò)的攻擊，補(bǔ)充防火墻技術(shù)存在的漏洞，其安全性優(yōu)于許多傳統(tǒng)的網(wǎng)絡(luò)保護(hù)程序，隔離網(wǎng)閘與防火墻在網(wǎng)絡(luò)安全中進(jìn)行綜合利用，可以有效地防止外部程序的惡意入侵，保障用戶使用計(jì)算機(jī)網(wǎng)絡(luò)的安全性，促進(jìn)我國網(wǎng)絡(luò)安全的工又好又快地發(fā)展。

[1]王永謙.淺析隔離網(wǎng)閘與防火墻在網(wǎng)絡(luò)安全中的綜合利用[J].科學(xué)大眾：科學(xué)教育，2007（6）：88-88.

[2]永林.基于安全的自由—天行網(wǎng)安“隔離網(wǎng)閘”網(wǎng)絡(luò)安全系統(tǒng)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2002（8）.

[3]張雷，李菁姝，馬宇新.利用網(wǎng)閘實(shí)現(xiàn)中國醫(yī)院知識(shí)總庫（CHKD）的內(nèi)外網(wǎng)互訪[J].時(shí)代教育，2015（1）：152-152.

[4]崔萌，于承斌.基于防火墻的雙出口路由策略的設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)系統(tǒng)應(yīng)用，2010，19（6）：131-134.

[5]蘇飛.某醫(yī)院與外網(wǎng)采用網(wǎng)閘隔離設(shè)備的效果測試報(bào)告[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2008（11）：73-75.