多线路接入医院网络实现多种应用的实践研究
2013-01-27欧志文伍平阳罗志恒禤睿平
欧志文,伍平阳,罗志恒,禤睿平
广东省第二人民医院 信息科,广东 广州 510317
0 前言
随着信息技术的发展,医院的业务系统也越来越依靠互联网络为平台,开展多种多样的办公业务,包括日常使用的办公系统、邮件系统、医保系统,还有越来越成熟的虚拟私人网络(VPN)业务等等。由于开展的业务日益增长,如果每种业务都使用各自的网络设备来提供接入,必然会导致网络拓扑复杂,网络难以管理,甚至于网络安全易于受到威胁等问题的出现。这些都是医院网络不稳定的因素[1],因此需要对这些设备与外部连接的网络进行优化与整合。
1 医院网络结构与分析
目前与医院日常工作相关的网络业务主要有:互联网业务、医保业务、办公系统业务、预约挂号业务、VPN业务等。这些业务分别通过不同的互联网络或专用网络来实现,如中国电信、中国联通、医保专用网等。为保证医院业务信息安全,我院对所用外网的接入采用统一入口,即用一个网关设备进行所有线路统一接入后,再连接到局域网内[2-3]。其优点如下:
(1)拓扑结构相对简单,线路清晰、分明,排除故障方便。
(2)易于对外网接入进行扩展。当有新的外网连接需要时,一般情况下不需要增加专用设备,就可以对其进行扩展接入。
(3)可减少设备,部署简便。凡是需要发送外出的数据包,只需要经过唯一的网关设备。减少了UTM、防火墙等安全设备的部署,节省成本。
2 应用技术概述
传统的路由器最基本的任务是承载内网与公网的路由转换,实现内外网的网络地址转换(Network Address Translation,NAT)功能。另外,传统的路由器虽然能使用策略路由、访问控制列表进行设置规则,允许或禁止某些IP或协议进行通讯,但它本身并不对通过的数据包进行安全检测。所以,除使用路由器外,企业通常都要选择使用防火墙进行数据包检测,以达到安全防御的目的[4-5]。而Cisco ASA(思科网络安全产品)则集多种功能于一身,包括路由功能、NAT功能、防火墙功能、VPN功能等。
3 网络接入策略的设计与实现
本研究选用思科ASA5550作为接入设备,并实施相关配置[6-7]。根据目前业务的需要,现有3条网络线路需要接入。电信互联网、医保专用网、联通互联网,接口配置如下:
(1)接入线路一。电信互联网,接入端口GigabitEthernet0/0
interface GigabitEthernet0/0:
description Connect_CT_Internet //描述端口功能;
nameif outside //定义端口名称outside;
security-level 0 //设定端口安全级别;
ip address 59.40.61.216 255.255.255.248 //设定端口IP地址。
(2)接入线路二。医保专用网,接入端口GigabitEthernet0/1
interface GigabitEthernet0/1:
description connect-to-SYB //描述端口功能;
nameif SYB //定义端口名称SYB;
security-level 0 //设定端口安全级别;
ip address 129.0.21.113 255.255.255.0 //设定端口IP地址。
(3)接入线路三。联通互联网,接入端口GigabitEthernet0/2
interface GigabitEthernet0/2:
description Connect_UN_Internet //描述端口功能;
nameif outside_un //定义端口名称outside_un;
security-level 0 //设定端口安全级别;
ip address 210.21.117.121 255.255.255.248//设定端口IP地址。
3条线路接入后,要实现的相应任务是:当访问互联网是电信网络时,数据包则通过电信端口发送到电信网络;当访问外网是联通网络时,数据包则通过联通端口发送到联通网络;当办理医保业务时,数据包则从医保专用网端口发送,以完成业务通讯。
4 NAT功能实现
NAT是将IP 数据包头中的IP 地址转换为另一个IP 地址的过程[8-10]。NAT的实现方式有3种,即静态转换、动态转换和端口多路复用。根据实际需求,在实现访问互联网的同时也连接医保网并实现VPN功能。
global (SYB) 1 interface //定义全局地址,凡经过SYB端口发出的IP以转换为该端口的指定IP;
global (outside) 2 interface//凡经过outside端口发出的IP以转换为该端口的指定IP;
global (outside_un) 2 interface nat (inside) 0 access-list govpn // go-vpn是访问列表,同时表示通过该访问列表的地址不需要转换,即免除NAT;
nat (inside) 1 access-list ISP_SYB // ISP_SYB是访问列表;
nat (inside) 2 0.0.0.0 0.0.0.0 //定义内网的所有地址转换成全局地址。
在配置过程中,电信网与联通网的外网接口的NAT配置都是使用ID为2。相应的命令nat (inside) 2 0.0.0.0 0.0.0.0也是使用ID为2,内网所有IP对外访问。如果通过电信网访问,则对外转换的地址为电信的外网地址;如果通过联通网访问,则对外转换的地址为联通的外网地址;如果访问医保网,则转换成医保网端口地址进行通讯。
5 访问列表控制功能的实现
访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问,是保证网络安全最重要的核心策略之一。实际访问控制列表(Access Control list,ACL)是应用在路由器接口的指令列表,这些指令列表用来告诉网关设备哪些数据包可以收、哪些数据包需要拒绝。至于数据包是被接收还是拒绝,可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。
在配置ASA的过程中,访问控制列表起到十分重要的作用。首先就是限制数据的走向,在VPN与医保专用网上,我们使用控制列表进行处理[11]。在VPN上配置命令:
access-list go-vpn extended permit ip 192.168.0.0 255.255.0.0 192.168.30.0 255.255.255.0。
使内部IP能访问在外网VPN所分到的IP,其中192.168.30.0是分配给VPN的IP段。
在医保专用网上,配置命令:
access-list ISP_SYB extended permit ip 192.168.0.0 255.255.0.0 object-group ISP_SYB。
允许内网的IP段能访问到医保网,其中,object-group ISP_SYB被定义为医保专用网段。定义添加相应的访问列表,目的就是根据需要,控制业务通讯路径,允许哪些业务终端能操作哪些业务。
6 VPN业务实现
VPN属于远程访问技术,简单地说就是利用公网链路架设私有网络。实际上VPN使用的是互联网上的公用链路,故称为虚拟专用网[12-13],即VPN实质上就是利用加密技术在公网上封装出一个数据通讯隧道。因此,我们也搭建了VPN网络,以方便员工日常工作。利用VPN可非常方便地访问内网资源。
首先开启VPN服务[14]:
Webvpn enable outside //在outside端口启用VPN业务;svc image disk0:/anyconnect-win-2.1.0148-k9.pkg 1 //设置SVC的镜像文件的位置;
svc enable //启用SSL VPN 客户端;
tunnel-group-list enable group-policy ssl internal //创建组策略;
group-policy ssl attributes //设置组策略的属性;
vpn-tunnel-protocol svc webvpn
split-tunnel-policy tunnelspecified
split-tunnel-network-list value split-ssl // split-ssl是访问列表
webvpn;
然后针对连接的VPN终端建立一个IP地址池:
ip local pool ssl-user 192.168.30.30-192.168.30.80
配置完成后,还需要配置登录用户:
username user1 password sONi.McIiKEbrZ10 encrypted
username user1 attributes
vpn-group-policy ssl
vpn-idle-timeout 10
vpn-filter value filter-ssl
service-type remote-access
通过搭建VPN平台,实现远程办公,当员工在外出差,可以随时在互联网连接VPN处理办公业务,审批待办事情,了解单位实时情况。
7 预约挂号实现
我院的预约挂号服务器放置于内部网络,通过外网访问互联网连接到我院的网址。要能外网访问到内网服务器,则需要通过内外网进行端口映射[15]。一般情况下,互联网提供商都会提供几个互联网固定的IP,我们就使用其中一个(与接入端口GigabitEthernet0/0的IP不一样)作为映射,实际上是使用了静态NAT功能来实现此功能,命令如下:
static (inside,outside) tcp 59.40.61.217 8004 192.168.3.211 8004 netmask 255.255.255.255 //把内网IP 8004端口映射到外网IP 8004端口。
通过对ASA配置,把多条线路同时接入集中设备,实现多种应用业务,解决了因多条线路接入使用多个网络设备导致网络拓扑复杂、设备成本高等问题,同时提高了网络安全性能及可扩展性。
[1]周文杰.医院信息网络系统安全[J].中国医疗设备,2008,23(2):30-31.
[2]张艳.医院外网信息系统建设实践[J].医疗装备,2007,20(6):21-22.
[3]李凤娟.论医院网络系统的平台建设与模块设计[J].科教导刊,2012,(3):117-118.
[4]谢希仁.计算机网络[M].北京:电子工业出版社,2005:138-232.
[5]张卫,王能,俞黎阳,等.计算机网络工程[M].北京:清华大学出版社,2004:94-189.
[6]Jazib Frahim.Cisco ASA 设备使用指南[M].北京:人民邮电出版社,2010:110-178.
[7]思科多合一系统级安全工具[J].计算机安全,2005(6):51.
[8]白海,郭代丽.思科ASA系列防火墙NAT解析[J].中国教育网络,2011,(9):76-77.
[9]张知青,王碧玉.浅谈网络地址转换(NAT)的三种方式[J].中小企业管理与科技,2011,(28):206-207.
[10]刘风华,丁贺龙,张永平.关于NAT技术的研究与应用[J].计算机工程与设计,2006,27(10):1815-1817.
[11]邵新,郑朝巍.利用ACL与NAT完成内部HIS与外部医保网的对接[J].医疗设备信息,2006,21(7):29-30.
[12]孙雪梅,翟凤杰.VPN技术为医院信息化的安全性护航[J].中国医疗设备,2008,23(6):30-31.
[13]王克.浅析虚拟专业网络VPN技术[J].计算机光盘软件与应用, 2011,(14):112.
[14]苏和.巧配VPN安全隧道[J].中国教育网络,2009,(11):74-76.
[15]吴飞,杨宏桥,张瞩熹.基于安全数据交换的网上预约挂号系统的设计与实现[J].中国医疗设备,2009,24(1):27-29.