◆陈博

基于下一代防火墙技术在医院网络安全中的应用

◆陈博

（郑州市骨科医院 河南 450000）

网络安全问题一直是制约着互联网发展的重要因素，如何提高网络的安全性是当今世界面临的重大课题。防火墙技术作为网络安全的第一道门，一直深受企事业单位的重视。本文基于医院网络环境应用，结合华为下一代防火墙技术与IPSec VPN技术对网络安全技术进行研究，就如何对医疗设备信息脱敏传输，且能保障数据传输的安全性展开探讨，并对项目实施结果进行分析，供相关读者参考。

网络安全；防火墙；VPN技术

智慧型数字化医院的建设是现代各个医疗系统发展的重点。其中主要包括远程医疗系统、医保系统、新农合系统、网上预约挂号系统以及区域医疗信息平台共享等众多外部系统，促进各个机构之间的信息共享和数据交换。但在与外部数据交换的过程中，可能会遭受到类似患者信息泄露、数据库被入侵或者病毒攻击等网络危害，给医院信息化发展带来极大的阻碍。防火墙技术作为防范外部入侵的第一道屏障，主要通过对数据流的分级管控，配合其自身的入侵防御等功能，将逐步提升对内外网络的安全管理。本文主要以华为下一代防火墙为例，重点介绍下一代防火墙技术在医院内部的应用情况以及IPSec VPN技术，供相关读者参考。

1 下一代防火墙技术

防火墙是一种静态安全技术，主要是通过安全策略对网络的访问行为实施有效管理，而策略之外的网络访问行为则无法控制。下一代防火墙主要是为了应对更加复杂的网络环境而设计，不仅具有传统防火墙的数据包过滤、网络地址转换（NAT）、协议状态检查等功能，而且实现了第七层的应用防御，并在复杂的网络环境中针对细粒度网络进行探测。安全策略是防火墙的基本安全控制机制，其规则方式主要由匹配条件与处理方式两个部分共同构成。匹配条件主要是以逻辑表达式的形式呈现，当网络流量经过防火墙时，若匹配条件的逻辑表达式为真，则说明该流量与当前规则匹配成功。但是，为了防止对端可能的攻击性行为，需要对外部转发的数据包设置访问控制列表，并对数据进行访问控制。

目前大多数网络应用都是借助于TCP/IP协议族实现信息传递，而防火墙大都是以TCP/IP协议族为基础而设计。TCP/IP协议族具有明显的层次特性，且每个层次都会有不同的作用。防火墙会针对不同层次上的信息流量，采用不同的控制策略。下面主要针对防火墙安全策略划分进行详细介绍。

2 防火墙安全策略划分

安全策略的作用就是对通过防火墙的数据流进行检验，且只允许符合安全策略的合法数据流通过。如图1所示为防火墙网络安全级别及报文流动指向模型。防火墙是通过接口来连接网络，将接口划分到安全区域后，通过接口就能把安全区域和网络关联起来，并且有目的地控制着报文向不同的安全区域之间进行数据交换。

图1 网络安全级别及报文流动指向

防火墙上默认有三个安全区域，分别是Trust、DMZ和Untrust。Trust代表区域内受信任程度较高的网络，通常指的是单位的内部网络，其可信级别要高于其他网络；DMZ区域属于隔离区，受信任程度中等，通常是指某些特殊的服务器既需要访问内网，又有部分业务需要访问外网的情况。Untrust区域的是不受信任的网络，主要指仅需访问外网的用户或服务器。在防火墙安全策略中，每一个安全区域都必须有一个安全级别，该安全级别是唯一的，用数字1-100来表示。数字越大，则表示该区域内的网络越可信。根据图1的安全级别设置，防火墙上的各个安全区域之间有了等级明确的域间关系，并且不同级别之间的网络流量不互通，即使低级别的网络区域感染病毒，病毒也很难向高级别的安全区域蔓延。

3 IPSec VPN技术

IPSec（Internet Protocol Security）作为一种开放标准的安全框架结构，在数据传输方面具有机密性、完整性和防重放等的特性，适用于远端异地传输。IPSec VPN体系结构主要由AH（Authentication Header）、ESP（Encapsulating Security Payload）、和IKE（Internet Key Exchange）协议套件组成。AH协议主要提供有数据源验证、数据完整性校验和防报文重放功能，但AH并不加密所保护的数据报文；ESP协议除了提供AH协议的所有功能外，还可提供对IP报文的机密功能。IKE协议用于自动协商AH和ESP所使用的密码算法。IPSec VPN的建立主要包括两个阶段。第一阶段包含主模式交换和野蛮模式交换，一般情况下，由于双方建立可信隧道的两端IP是固定的，常选用主模式交换进行协商，包括策略协商、DH算法交换，以及DH交换的进一步认证。第二个阶段主要是建立SA认证，第二阶段协商消息受第一阶段SA保护，任何没有第一阶段SA保护的消息都会被拒收。

IPSec VPN在实际应用中场景非常广泛，包括站点到站点（site to site）、端到端（End to End）、端到站点（End to site）等。本文主要介绍在医院与器械厂商之间构建一条可信的site to site的数据通信隧道，用来传输设备运行状况信息，方便工程师对设备进行远程诊断，实现安全互联。

4 基于IPSec VPN的医疗设备远程诊断

医院有很多大型的医疗设备，每天也有大量的病人需要通过机器做检查，因此也要经常对设备进行保养和检修。但由于诸多原因，工程师不能经常在现场检查，因此需要对机器进行远程诊断。一些厂商人员为了便利，仅仅配置一台4G路由器的方式将设备直接通过网线连入路由器上互联网，在远端直接获取数据，中间没有任何防护措施。这种方法简单易施行，但对医院而言就等于直接让内网服务器接入互联网，成为管理上的漏洞，并且无法管控数据流向，容易造成数据泄露，也可能会被黑客利用，风险危害极大。因此，利用防火墙的防范功能和IPSec VPN的数据加密算法来传输数据是一种更为可信的解决方式，并且能直观地反映数据流量的大小，方便院方网络管理人员管控。表1所示为某医疗器械公司的VPN客户端配置参数，院方将根据此参数来调节防火墙上的VPN参数进行数据连接。

4.1 参数设置（表1）

表1 VPN客户端参数

客户端建立VPN网关具体参数 vpn设备cisco VPN gateway10.69.83.176/20 Encryption Domain150.2.0.0/16 IPSecEncapulationTunnel Mode IPSec Protocol TypeESP（IP Protocol 50） IPSec Cipher AlgorithmAES 256 IPSec Authentication SHA-2 IPSec lifetime3600sec

4.2 实验方法

首先在防火墙上划分安全区域，这里将对端内网为可信度级别设为60，低于院内网可信度85。依据表1提供的参数，在防火墙上添加源地址10.69.83.176/20和目的地址150.2.0.0/16，传输模式设为隧道模式，采用与共享密钥方式进行传输，加密算法采用三重数据加密算法3DES方式，以提高信息传输的安全性，认证方式为MD5，确保信息传输完整一致。

4.3 实验结果

根据部署好的安全策略，我们进行数据通讯测试。从图2可以看出，IKE协商的两个阶段已经成功，即：第一阶段在网络上建立一个IKE SA，为阶段二协商提供保护，医院这边选用主模式；第二阶段在阶段一建立的IKE SA的保护下完成IPSec SA的协商，采用快速模式。并且在防火墙上已经看到有流量经过，对端收到了对机器设备参数的采集信息。

图2 VPN协商成功

图3所示为VPN网络连接状态。从图中可以看出，两端之间已经建立连接。而医院人员可以根据网络流量的大小对网络信息传输进行评估，保障远程诊断的顺利进行。

图3 VPN网络连接状态

5 结束语

本文主要针对防火墙的安全策略分析，依据现有条件下院内需求，采用防火墙技术搭建一条IPSec VPN隧道为医疗设备远程诊断，不仅保证数据流量高效稳定，更提升了传输安全性。随着医院未来业务开展越来越广泛，防火墙技术与VPN技术也将更多地应用于为医患服务的项目中去。因此，如何保证数据更加安全有效地传输，防范医院内部网络安全将成为医院以后信息化建设的重点。

[1]宫彦婷，荣文英，王彪. 基于主动防御的数据库防火墙设计与实现[J]. 中国数字医学，2013.

[2]胡宝芳，王红，张霞. 基于移动代理的虚拟专用网安全系统[J]. 计算机应用，2005.

[3]吕晓娟. 医院信息化建设管理的现实问题与相关探讨 [J]. 中国数字医学，2017．

[4]郭德超，邱鸿钟，梁瑞琼. 防火墙与入侵检测系统在医院网络安全中的应用[J]. 中国数字医学，2019.

[5]鲁茜，黄岳，黄家平. 基于医联体的医院信息化建设[J].医学信息学，2019.

[6]任浩，刘燕燕，许鹏. 智慧医院信息备份的研究与应用 [J]. 网络安全技术与应用，2020.

[7]韩向非，郭幽燕，王建勋，等. 基于信息技术基础架构库的医院IT服务实践探索[J]. 中国数字医学，2017.