基于Wi-Fi 6技术的医院高安全性无线网络设计

2022-03-01虞宏达

大众标准化 2022年2期

虞宏达

（温州医科大学附属眼视光医院，浙江温州 325000）

Wi-Fi 6技术以及新应用已经铺天盖地而来，Wi-Fi 6属于802.11ax协议，该技术最多将和8个设备进行通信，其速度最高高达9.6 Gbps，速度大幅度提升，会带来一个崭新的无线时代。以下为传统Wi-Fi和Wi-Fi 6的对比区别。

图1 传统Wi-Fi和Wi-Fi 6的对比

如在医院使用如此高速实用的Wi-Fi 6技术，并做好内网的监控和边界的安全防护，一张高速和安全的无线网络结构就应运而生。

1 传统环境下无线网络建设的不足

1.1 传统无线网络规划不合理

传统医院网络规划为一核心虚拟化组，加DHCP服务器，每个楼层一台汇聚，汇聚下联接入交换机，接入交换机再连接客户端。且无线网络和有线网络是混搭在一起使用，结构如下图所示。

如图2所示，管理上较为艰难，拓扑较为复杂，有线网络不仅影响了无线网络的使用，客户端的网关还在核心上，如有线网络某个节点发生故障，有线和无线势必会相互影响。其次，无线网络与有线网络出口带宽共用，当有线网络带宽达到即将饱和时，无线网络出口速度将会很慢，无线网络无线ap的发射无线信号的性能又较差，导致访问不够快。部分医疗无线手持设备联网速度和切换无线网络移动切换速度较慢，也会影响了医生和护士的工作效率。

图2 无线网络和有线网络混搭使用结构图

1.2 传统无线网络安全性较差

无线网络传统模式，大多使用WEP，WPA的加密方式，接入密码复杂度不高，长度不高，而这些协议和方法是不安全的，没有做到MAC地址过滤的认证方式，直接或者间接得知密码后，即可接入无线网络，不需要任何认证，没有准入条件。因此，传统无线网络安全性较差。

1.3 传统无线网络缺少防护和监控设备

传统无线网络被认为可用就行，某些用户在成功连接无线网络后，有意或无意间访问了一些违法、违规的活动链接或与工作不相关的网站，对医院整体网络造成了直接或间接的危害，而且无法查证，让网络管理者陷入了被动，无法追溯缘由。其实，是缺少防范安全和追溯的硬件设备。

2 无线网络架构部署

本设计对以上项目的不足之处进行了改进，设计出了如下无线网络结构方案。根据安全、高速的前提，在又不影响有线网络的条件下，实现最安全、最高速无线网络架构，而且又要让维护人员管理方便。新增一条百兆无线专线宽带，单独给无线网络一个互联网出口，与有线互联网出口物理隔离。架设一张无线网络与医院有线网络进行逻辑隔离，如无线网络设备有访问HIS、LIS、EMR、PACS等业务需求，可在与医院有线网络互联的下一代防火墙上进行授权开通访问，防火墙ACL策略实现金融级别的端口白名单模式。每个汇聚间，单独架设一个汇聚交换机，下联接无线的接入POE交换机。如下图3所示。

图3 无线网络结构方案

2.1 无线网络核心区域设计

整体网络架构分为三层，核心层，汇聚层，接入层的网络结构。无线设备管理地址网关和无线客户端网关均配置在一台园区级核心交换机上，DHCP服务配置在另一台交换机上。这样设计是为了让无线客户端无缝漫游，用户移动中，不会因为IP地址变化而使得客户端重新连接，保证无缝接入，移动中同一设备IP地址不发生变化。旁挂一台无线控制器，对所有无线设备统一管理和下发配置。汇聚层部署汇聚交换机，分布于各自的配线间中，与核心交换机二层透明连接。接入层，在各楼层的弱电间内部署POE交换机，供无线设备连接和供电使用。外网部分，采购一条电信运营商的200 M光纤线路专线作为互联网出口，架设一台下一代防火墙，做互联网出口的防火墙使用，同时需配备实时更新的入侵检测和防病毒模块，而且ACL级别实现到金融级的端口级别，非常好地保护了无线网络互访的信息安全。

2.2 无线AP接入设计

本设计采用无线控制器和无线ap的管理模式。在业务较多，工作繁忙的门诊，病区以及行政人员密集的区域，需采用高密的无线设备。在手术中心，消毒供应室等封闭区域，可采用普通的无线设备，来确保信号强度，保证上网的流程性。高密度无线AP相比普通无线AP体积要较大，如下图所示。

图4 高密度无线AP和普通无线AP

2.3 与医院内网互联设计

连接无线网络的设备一般都是手机和笔记本，加上一系列的无线医疗设备，手机和笔记本一般不需要访问院内HIS、LIS、EMR、PASC等系统，只可上微信QQ等应用外网功能即可。无线医疗设备必须与院内HIS、LIS、EMR、PASC等系统对接，因此，在无线网络和院内核心之间架设一台下一代防火墙进行逻辑隔离和策略管理。该防火墙提供IPS规则库和病毒库功能，对恶意威胁会进行识别，所有的ACL策略采用默认禁止，授权开放的模式，而且级别实现到金融级别。同时，无线网络也接入到医院内网使用的态势感知平台中，内网进行统一监控和报警处理。在出口处单独架设一台上网行为管理，可与医院内网的全网行为管理共同使用，对用户的流量进行分析和甄别，追溯源头。态势感知，下一代防火墙和上网行为管理三管齐下，非常好地保护了无线网络和内网互访的信息安全。

2.4 无线网络安全性控制设计

无线网络的安全性控制具体可分为以下几点，

（1）无线控制器对无线ap进行统一管理和下发配置，无线客户端接入无线时，需要登记设备的MAC地址方可接入。

（2）加强无线接入的密码，不少于3种字符类型，密码超过8位长度。

（3）可根据实际情况，隐藏无线信号，关闭广播功能。

（4）在无线控制器中，无线ap的接入采用白名单模式，可根据ap 的序列号和MAC地址进行绑定方可接入。

3 无线网络设备设计

3.1 无线交换机设计

无线网关核心交换机采用华三品牌的交换机，LS-6520X系列的三层交换机，汇聚层使用LS-5130S-52P-EI系列交换机，接入层使用LS-5130S-28P-HPWR-EI 的poe交换机。

图5 华三交换机

3.2 无线设备设计

无线设备采用支持Wi-Fi6技术的某厂商品牌，无线控制器采用WX3520H型号，普通无线AP为EWP-WA5320-FIT型号，高密度无线AP为EWP-WA5530-FIT，以上无线AP均支持Wi-Fi6功能。

3.3 内网互联设备设计

下一代防火墙选用深信服品牌，为AF-1000-B1350-2M，该系列产品主流是防御安全病毒的下一代防火墙，配备了实时更新的入侵检测和防病毒模块，同时建立金融级别的ACL策略。防火墙所有的ACL策略采用默认禁止，授权开放的模式，而且级别实现到端口级别，保护了无线网络互访的信息安全，提供了更深一层的保障。同时，也将无线网络接入到深信服态势感知和上网行为管理中，更好地监控甄别了无线用户流量。