虞宏達

（溫州醫(yī)科大學附屬眼視光醫(yī)院，浙江 溫州 325000）

Wi-Fi 6技術以及新應用已經(jīng)鋪天蓋地而來，Wi-Fi 6屬于802.11ax協(xié)議，該技術最多將和8個設備進行通信，其速度最高高達9.6 Gbps，速度大幅度提升，會帶來一個嶄新的無線時代。以下為傳統(tǒng)Wi-Fi和Wi-Fi 6的對比區(qū)別。

圖1 傳統(tǒng)Wi-Fi和Wi-Fi 6的對比

如在醫(yī)院使用如此高速實用的Wi-Fi 6技術，并做好內(nèi)網(wǎng)的監(jiān)控和邊界的安全防護，一張高速和安全的無線網(wǎng)絡結構就應運而生。

1 傳統(tǒng)環(huán)境下無線網(wǎng)絡建設的不足

1.1 傳統(tǒng)無線網(wǎng)絡規(guī)劃不合理

傳統(tǒng)醫(yī)院網(wǎng)絡規(guī)劃為一核心虛擬化組，加DHCP服務器，每個樓層一臺匯聚，匯聚下聯(lián)接入交換機，接入交換機再連接客戶端。且無線網(wǎng)絡和有線網(wǎng)絡是混搭在一起使用，結構如下圖所示。

如圖2所示，管理上較為艱難，拓撲較為復雜，有線網(wǎng)絡不僅影響了無線網(wǎng)絡的使用，客戶端的網(wǎng)關還在核心上，如有線網(wǎng)絡某個節(jié)點發(fā)生故障，有線和無線勢必會相互影響。其次，無線網(wǎng)絡與有線網(wǎng)絡出口帶寬共用，當有線網(wǎng)絡帶寬達到即將飽和時，無線網(wǎng)絡出口速度將會很慢，無線網(wǎng)絡無線ap的發(fā)射無線信號的性能又較差，導致訪問不夠快。部分醫(yī)療無線手持設備聯(lián)網(wǎng)速度和切換無線網(wǎng)絡移動切換速度較慢，也會影響了醫(yī)生和護士的工作效率。

圖2 無線網(wǎng)絡和有線網(wǎng)絡混搭使用結構圖

1.2 傳統(tǒng)無線網(wǎng)絡安全性較差

無線網(wǎng)絡傳統(tǒng)模式，大多使用WEP，WPA的加密方式，接入密碼復雜度不高，長度不高，而這些協(xié)議和方法是不安全的，沒有做到MAC地址過濾的認證方式，直接或者間接得知密碼后，即可接入無線網(wǎng)絡，不需要任何認證，沒有準入條件。因此，傳統(tǒng)無線網(wǎng)絡安全性較差。

1.3 傳統(tǒng)無線網(wǎng)絡缺少防護和監(jiān)控設備

傳統(tǒng)無線網(wǎng)絡被認為可用就行，某些用戶在成功連接無線網(wǎng)絡后，有意或無意間訪問了一些違法、違規(guī)的活動鏈接或與工作不相關的網(wǎng)站，對醫(yī)院整體網(wǎng)絡造成了直接或間接的危害，而且無法查證，讓網(wǎng)絡管理者陷入了被動，無法追溯緣由。其實，是缺少防范安全和追溯的硬件設備。

2 無線網(wǎng)絡架構部署

本設計對以上項目的不足之處進行了改進，設計出了如下無線網(wǎng)絡結構方案。根據(jù)安全、高速的前提，在又不影響有線網(wǎng)絡的條件下，實現(xiàn)最安全、最高速無線網(wǎng)絡架構，而且又要讓維護人員管理方便。新增一條百兆無線專線寬帶，單獨給無線網(wǎng)絡一個互聯(lián)網(wǎng)出口，與有線互聯(lián)網(wǎng)出口物理隔離。架設一張無線網(wǎng)絡與醫(yī)院有線網(wǎng)絡進行邏輯隔離，如無線網(wǎng)絡設備有訪問HIS、LIS、EMR、PACS等業(yè)務需求，可在與醫(yī)院有線網(wǎng)絡互聯(lián)的下一代防火墻上進行授權開通訪問，防火墻ACL策略實現(xiàn)金融級別的端口白名單模式。每個匯聚間，單獨架設一個匯聚交換機，下聯(lián)接無線的接入POE交換機。如下圖3所示。

圖3 無線網(wǎng)絡結構方案

2.1 無線網(wǎng)絡核心區(qū)域設計

整體網(wǎng)絡架構分為三層，核心層，匯聚層，接入層的網(wǎng)絡結構。無線設備管理地址網(wǎng)關和無線客戶端網(wǎng)關均配置在一臺園區(qū)級核心交換機上，DHCP服務配置在另一臺交換機上。這樣設計是為了讓無線客戶端無縫漫游，用戶移動中，不會因為IP地址變化而使得客戶端重新連接，保證無縫接入，移動中同一設備IP地址不發(fā)生變化。旁掛一臺無線控制器，對所有無線設備統(tǒng)一管理和下發(fā)配置。匯聚層部署匯聚交換機，分布于各自的配線間中，與核心交換機二層透明連接。接入層，在各樓層的弱電間內(nèi)部署POE交換機，供無線設備連接和供電使用。 外網(wǎng)部分，采購一條電信運營商的200 M光纖線路專線作為互聯(lián)網(wǎng)出口，架設一臺下一代防火墻，做互聯(lián)網(wǎng)出口的防火墻使用，同時需配備實時更新的入侵檢測和防病毒模塊，而且ACL級別實現(xiàn)到金融級的端口級別，非常好地保護了無線網(wǎng)絡互訪的信息安全。

2.2 無線AP接入設計

本設計采用無線控制器和無線ap的管理模式。在業(yè)務較多，工作繁忙的門診，病區(qū)以及行政人員密集的區(qū)域，需采用高密的無線設備。在手術中心，消毒供應室等封閉區(qū)域，可采用普通的無線設備，來確保信號強度，保證上網(wǎng)的流程性。高密度無線AP相比普通無線AP體積要較大，如下圖所示。

圖4 高密度無線AP和普通無線AP

2.3 與醫(yī)院內(nèi)網(wǎng)互聯(lián)設計

連接無線網(wǎng)絡的設備一般都是手機和筆記本，加上一系列的無線醫(yī)療設備，手機和筆記本一般不需要訪問院內(nèi)HIS、LIS、EMR、PASC等系統(tǒng)，只可上微信QQ等應用外網(wǎng)功能即可。無線醫(yī)療設備必須與院內(nèi)HIS、LIS、EMR、PASC等系統(tǒng)對接，因此，在無線網(wǎng)絡和院內(nèi)核心之間架設一臺下一代防火墻進行邏輯隔離和策略管理。該防火墻提供IPS規(guī)則庫和病毒庫功能，對惡意威脅會進行識別，所有的ACL策略采用默認禁止，授權開放的模式，而且級別實現(xiàn)到金融級別。同時，無線網(wǎng)絡也接入到醫(yī)院內(nèi)網(wǎng)使用的態(tài)勢感知平臺中，內(nèi)網(wǎng)進行統(tǒng)一監(jiān)控和報警處理。在出口處單獨架設一臺上網(wǎng)行為管理，可與醫(yī)院內(nèi)網(wǎng)的全網(wǎng)行為管理共同使用，對用戶的流量進行分析和甄別，追溯源頭。態(tài)勢感知，下一代防火墻和上網(wǎng)行為管理三管齊下，非常好地保護了無線網(wǎng)絡和內(nèi)網(wǎng)互訪的信息安全。

2.4 無線網(wǎng)絡安全性控制設計

無線網(wǎng)絡的安全性控制具體可分為以下幾點，

（1）無線控制器對無線ap進行統(tǒng)一管理和下發(fā)配置，無線客戶端接入無線時，需要登記設備的MAC地址方可接入。

（2）加強無線接入的密碼，不少于3種字符類型，密碼超過8位長度。

（3）可根據(jù)實際情況，隱藏無線信號，關閉廣播功能。

（4）在無線控制器中，無線ap的接入采用白名單模式，可根據(jù)ap 的序列號和MAC地址進行綁定方可接入。

3 無線網(wǎng)絡設備設計

3.1 無線交換機設計

無線網(wǎng)關核心交換機采用華三品牌的交換機，LS-6520X系列的三層交換機，匯聚層使用LS-5130S-52P-EI系列交換機，接入層使用LS-5130S-28P-HPWR-EI 的poe交換機。

圖5 華三交換機

3.2 無線設備設計

無線設備采用支持Wi-Fi6技術的某廠商品牌，無線控制器采用WX3520H型號，普通無線AP為EWP-WA5320-FIT型號，高密度無線AP為EWP-WA5530-FIT，以上無線AP均支持Wi-Fi6功能。

3.3 內(nèi)網(wǎng)互聯(lián)設備設計

下一代防火墻選用深信服品牌，為AF-1000-B1350-2M，該系列產(chǎn)品主流是防御安全病毒的下一代防火墻，配備了實時更新的入侵檢測和防病毒模塊，同時建立金融級別的ACL策略。防火墻所有的ACL策略采用默認禁止，授權開放的模式，而且級別實現(xiàn)到端口級別，保護了無線網(wǎng)絡互訪的信息安全，提供了更深一層的保障。同時，也將無線網(wǎng)絡接入到深信服態(tài)勢感知和上網(wǎng)行為管理中，更好地監(jiān)控甄別了無線用戶流量。

圖6 華三無線AP

圖7 深信服下一代防火墻

4 結語

目前無線網(wǎng)絡在各行業(yè)使用都很普遍，隨著近幾年信息網(wǎng)絡安全趨勢越來越嚴峻，一旦遭受攻擊和威脅，就會造成很大的損失。醫(yī)院高速安全的無線網(wǎng)絡建設，還有很多值得深入研究的地方，可以預見，在將來，Wi-Fi6級別高速安全的無線網(wǎng)絡，將會越來越流行。