多線路接入醫院網絡實現多種應用的實踐研究

歐志文，伍平陽，羅志恒，禤睿平

廣東省第二人民醫院 信息科，廣東 廣州 510317

0 前言

隨著信息技術的發展，醫院的業務系統也越來越依靠互聯網絡為平臺，開展多種多樣的辦公業務，包括日常使用的辦公系統、郵件系統、醫保系統，還有越來越成熟的虛擬私人網絡（VPN）業務等等。由于開展的業務日益增長，如果每種業務都使用各自的網絡設備來提供接入，必然會導致網絡拓撲復雜，網絡難以管理，甚至于網絡安全易于受到威脅等問題的出現。這些都是醫院網絡不穩定的因素[1]，因此需要對這些設備與外部連接的網絡進行優化與整合。

1 醫院網絡結構與分析

目前與醫院日常工作相關的網絡業務主要有：互聯網業務、醫保業務、辦公系統業務、預約掛號業務、VPN業務等。這些業務分別通過不同的互聯網絡或專用網絡來實現，如中國電信、中國聯通、醫保專用網等。為保證醫院業務信息安全，我院對所用外網的接入采用統一入口，即用一個網關設備進行所有線路統一接入后，再連接到局域網內[2-3]。其優點如下：

（1）拓撲結構相對簡單，線路清晰、分明，排除故障方便。

（2）易于對外網接入進行擴展。當有新的外網連接需要時，一般情況下不需要增加專用設備，就可以對其進行擴展接入。

（3）可減少設備，部署簡便。凡是需要發送外出的數據包，只需要經過唯一的網關設備。減少了UTM、防火墻等安全設備的部署，節省成本。

2 應用技術概述

傳統的路由器最基本的任務是承載內網與公網的路由轉換，實現內外網的網絡地址轉換（Network Address Translation，NAT）功能。另外，傳統的路由器雖然能使用策略路由、訪問控制列表進行設置規則，允許或禁止某些IP或協議進行通訊，但它本身并不對通過的數據包進行安全檢測。所以，除使用路由器外，企業通常都要選擇使用防火墻進行數據包檢測，以達到安全防御的目的[4-5]。而Cisco ASA（思科網絡安全產品）則集多種功能于一身，包括路由功能、NAT功能、防火墻功能、VPN功能等。

3 網絡接入策略的設計與實現

本研究選用思科ASA5550作為接入設備，并實施相關配置[6-7]。根據目前業務的需要，現有3條網絡線路需要接入。電信互聯網、醫保專用網、聯通互聯網，接口配置如下：

（1）接入線路一。電信互聯網，接入端口GigabitEthernet0/0

interface GigabitEthernet0/0：

description Connect_CT_Internet //描述端口功能；

nameif outside //定義端口名稱outside；

security-level 0 //設定端口安全級別；

ip address 59.40.61.216 255.255.255.248 //設定端口IP地址。

（2）接入線路二。醫保專用網，接入端口GigabitEthernet0/1

interface GigabitEthernet0/1：

description connect-to-SYB //描述端口功能；

nameif SYB //定義端口名稱SYB；

security-level 0 //設定端口安全級別；

ip address 129.0.21.113 255.255.255.0 //設定端口IP地址。

（3）接入線路三。聯通互聯網，接入端口GigabitEthernet0/2

interface GigabitEthernet0/2：

description Connect_UN_Internet //描述端口功能；

nameif outside_un //定義端口名稱outside_un；

security-level 0 //設定端口安全級別；

ip address 210.21.117.121 255.255.255.248//設定端口IP地址。

3條線路接入后，要實現的相應任務是：當訪問互聯網是電信網絡時，數據包則通過電信端口發送到電信網絡；當訪問外網是聯通網絡時，數據包則通過聯通端口發送到聯通網絡；當辦理醫保業務時，數據包則從醫保專用網端口發送，以完成業務通訊。

4 NAT功能實現

NAT是將IP 數據包頭中的IP 地址轉換為另一個IP 地址的過程[8-10]。NAT的實現方式有3種，即靜態轉換、動態轉換和端口多路復用。根據實際需求，在實現訪問互聯網的同時也連接醫保網并實現VPN功能。

global (SYB) 1 interface //定義全局地址，凡經過SYB端口發出的IP以轉換為該端口的指定IP；

global (outside) 2 interface//凡經過outside端口發出的IP以轉換為該端口的指定IP；

global (outside_un) 2 interface nat (inside) 0 access-list govpn // go-vpn是訪問列表，同時表示通過該訪問列表的地址不需要轉換，即免除NAT；

nat (inside) 1 access-list ISP_SYB // ISP_SYB是訪問列表；

nat (inside) 2 0.0.0.0 0.0.0.0 //定義內網的所有地址轉換成全局地址。

在配置過程中，電信網與聯通網的外網接口的NAT配置都是使用ID為2。相應的命令nat (inside) 2 0.0.0.0 0.0.0.0也是使用ID為2，內網所有IP對外訪問。如果通過電信網訪問，則對外轉換的地址為電信的外網地址；如果通過聯通網訪問，則對外轉換的地址為聯通的外網地址；如果訪問醫保網，則轉換成醫保網端口地址進行通訊。

5 訪問列表控制功能的實現

訪問控制是網絡安全防范和保護的主要策略，它的主要任務是保證網絡資源不被非法使用和訪問，是保證網絡安全最重要的核心策略之一。實際訪問控制列表（Access Control list，ACL）是應用在路由器接口的指令列表，這些指令列表用來告訴網關設備哪些數據包可以收、哪些數據包需要拒絕。至于數據包是被接收還是拒絕，可以由類似于源地址、目的地址、端口號等的特定指示條件來決定。

在配置ASA的過程中，訪問控制列表起到十分重要的作用。首先就是限制數據的走向，在VPN與醫保專用網上，我們使用控制列表進行處理[11]。在VPN上配置命令：

access-list go-vpn extended permit ip 192.168.0.0 255.255.0.0 192.168.30.0 255.255.255.0。

使內部IP能訪問在外網VPN所分到的IP，其中192.168.30.0是分配給VPN的IP段。

在醫保專用網上，配置命令：

access-list ISP_SYB extended permit ip 192.168.0.0 255.255.0.0 object-group ISP_SYB。

允許內網的IP段能訪問到醫保網，其中，object-group ISP_SYB被定義為醫保專用網段。定義添加相應的訪問列表，目的就是根據需要，控制業務通訊路徑，允許哪些業務終端能操作哪些業務。

6 VPN業務實現

VPN屬于遠程訪問技術，簡單地說就是利用公網鏈路架設私有網絡。實際上VPN使用的是互聯網上的公用鏈路，故稱為虛擬專用網[12-13]，即VPN實質上就是利用加密技術在公網上封裝出一個數據通訊隧道。因此，我們也搭建了VPN網絡，以方便員工日常工作。利用VPN可非常方便地訪問內網資源。

首先開啟VPN服務[14]：

Webvpn enable outside //在outside端口啟用VPN業務；svc image disk0:/anyconnect-win-2.1.0148-k9.pkg 1 //設置SVC的鏡像文件的位置；

svc enable //啟用SSL VPN 客戶端；

tunnel-group-list enable group-policy ssl internal //創建組策略；

group-policy ssl attributes //設置組策略的屬性；

vpn-tunnel-protocol svc webvpn

split-tunnel-policy tunnelspecified

split-tunnel-network-list value split-ssl // split-ssl是訪問列表

webvpn；

然后針對連接的VPN終端建立一個IP地址池：

ip local pool ssl-user 192.168.30.30-192.168.30.80

配置完成后，還需要配置登錄用戶：

username user1 password sONi.McIiKEbrZ10 encrypted

username user1 attributes

vpn-group-policy ssl

vpn-idle-timeout 10

vpn-filter value filter-ssl

service-type remote-access

通過搭建VPN平臺，實現遠程辦公，當員工在外出差，可以隨時在互聯網連接VPN處理辦公業務，審批待辦事情，了解單位實時情況。

7 預約掛號實現

我院的預約掛號服務器放置于內部網絡，通過外網訪問互聯網連接到我院的網址。要能外網訪問到內網服務器，則需要通過內外網進行端口映射[15]。一般情況下，互聯網提供商都會提供幾個互聯網固定的IP，我們就使用其中一個（與接入端口GigabitEthernet0/0的IP不一樣）作為映射，實際上是使用了靜態NAT功能來實現此功能，命令如下：

static (inside,outside) tcp 59.40.61.217 8004 192.168.3.211 8004 netmask 255.255.255.255 //把內網IP 8004端口映射到外網IP 8004端口。

通過對ASA配置，把多條線路同時接入集中設備，實現多種應用業務，解決了因多條線路接入使用多個網絡設備導致網絡拓撲復雜、設備成本高等問題，同時提高了網絡安全性能及可擴展性。

[1]周文杰.醫院信息網絡系統安全[J].中國醫療設備,2008,23(2):30-31.

[2]張艷.醫院外網信息系統建設實踐[J].醫療裝備,2007,20(6):21-22.

[3]李鳳娟.論醫院網絡系統的平臺建設與模塊設計[J].科教導刊,2012,(3):117-118.

[4]謝希仁.計算機網絡[M].北京:電子工業出版社,2005:138-232.

[5]張衛,王能,俞黎陽,等.計算機網絡工程[M].北京:清華大學出版社,2004:94-189.

[6]Jazib Frahim.Cisco ASA 設備使用指南[M].北京:人民郵電出版社,2010:110-178.

[7]思科多合一系統級安全工具[J].計算機安全,2005(6):51.

[8]白海,郭代麗.思科ASA系列防火墻NAT解析[J].中國教育網絡,2011,(9):76-77.

[9]張知青,王碧玉.淺談網絡地址轉換（NAT）的三種方式[J].中小企業管理與科技,2011,(28):206-207.

[10]劉風華,丁賀龍,張永平.關于NAT技術的研究與應用[J].計算機工程與設計,2006,27(10):1815-1817.

[11]邵新,鄭朝巍.利用ACL與NAT完成內部HIS與外部醫保網的對接[J].醫療設備信息,2006,21(7):29-30.

[12]孫雪梅,翟鳳杰.VPN技術為醫院信息化的安全性護航[J].中國醫療設備,2008,23(6):30-31.

[13]王克.淺析虛擬專業網絡VPN技術[J].計算機光盤軟件與應用, 2011,(14):112.

[14]蘇和.巧配VPN安全隧道[J].中國教育網絡,2009,(11):74-76.

[15]吳飛,楊宏橋,張矚熹.基于安全數據交換的網上預約掛號系統的設計與實現[J].中國醫療設備,2009,24(1):27-29.