Linux防火墻在放療網絡中的應用

張 利 曾德高

湖南省腫瘤醫院中南大學湘雅醫學院附屬腫瘤醫院放療物理室，湖南長沙 410013

Linux防火墻在放療網絡中的應用

張 利 曾德高

湖南省腫瘤醫院中南大學湘雅醫學院附屬腫瘤醫院放療物理室，湖南長沙 410013

構筑基于Linux的防火墻可以有效地解決放療綜合科網絡與醫院大網絡之間醫學影像數據的互傳共享及計劃錄入問題。該研究主要從安全性、穩定性、高效性角度闡述Linux iptables規則的靈活運用。著重論敘了三網卡Linux防火墻系統的安裝、配置以及測試。

Linux；放療網絡；iptables規則；安全性

現代化放射治療除了醫療技術現代化、設備現代化，信息和管理手段也要現代化[1]。放射治療的信息化程度標志著一個醫院放療技術的發展水平。放射治療信息化發展的主要目標之一就是整合全醫院的各種資源，為醫院的醫療、科研、教學提供一個共享平臺。

放療中心是腫瘤醫院不可缺少的科室。該院放療中心設有模擬定位室、型模室、后裝治療室、物理室、放療技術組和熱療室，承擔全院放射治療方面的臨床、科研、教學工作。放療中心有Varian、Mosaiq、Precise等網絡系統。經過前期的信息化建設，建成了基本適應放射治療應用系統要求的網絡基礎平臺[1]。

當前，該院醫院大網絡與放療綜合科網絡各自處于不同的網絡環境，兩個網絡之間存在物理隔離，不能有效的傳輸數據。影像數據刻盤、拷盤浪費大量人力物力，且必須滿足醫生能夠在放療病房（醫院大網絡）訪問計劃管理系統（放療綜合科網絡）。短時間內通過改變網絡結構將放療網絡融入醫院大網絡不現實。而Linux系統集合了硬件配置要求低，穩定、安全性能高，內核功能強大等優點。且Linux防火墻在應用中發展和完善，形成功能強大的netfilter/iptables架構，已經實現了商用防火墻的大部分功能，其低廉的價格和良好的安全性已經得到了越來越廣泛的關注。對于中小局域網絡而言，購買商用防火墻系統需要較大的資金投入[2]。構筑基于Linux的防火墻來解決上述問題可以達到成本小，見效快，安全可靠的效果，因此，Linux防火墻應運而生。

首先，根據實際情況定義防火墻的訪問規則：①內部可以有選擇訪問外部；②外部可以有選擇訪問內部；③DMZ不能訪問外部；④外部可以訪問DMZ；⑤DMZ不能訪問內部；⑥內部可以訪問DMZ。

其次，選擇一臺三網卡工作站（可自行安裝獨立網卡），選擇Ubuntu 12.04 Server版（無圖形界面）Linux操作系統。具體配置如下。

利用Linux防火墻的iptables安全策略可以有效地解決聯網、互通及安全問題

1 分別配置好防火墻的三個網卡接口信息

2 為了使FORWARDl鏈能夠轉發數據包，需要運行echo命令開啟路由轉發功能

3 配置iptables安全策略

#開放104端口傳輸DICOM影像圖至Pinnacle服務器

iptables-t nat-A PREROUTING-d 172.25.25.100-p tcp-dport 20400-j DNAT-to-destination 192.168.1.146:104

將以上規則連同echo命令一起保存至腳本iptables.sh，執行命令chmod 744 iptables.sh使該腳本具有-rwxr--r--權限。

4 測試規則是否生效

①內網主機Ping防火墻內網口ip地址，可以測試內部用戶對防火墻是否具有主動訪問的權限。（防火墻提供Samba文件服務、SSH遠程訪問服務）

②外網主機Ping防火墻外網口ip地址，可以測試外部用戶對防火墻是否具有主動訪問的權限。（拒絕一切外部對防火墻的直接訪問）

③外網主機telnet外網接口+80或者104、10400、20400可以測試外部用戶主動對DMZ區計劃管理系統的訪問及CMS_XIO、MastetPlan、Pinnacle服務器影像圖片的接收情況。

5 結論

通過安全策略的分析和端口的設計證明，Linux防火墻可以很好地解決了內部、外部、DMZ三者之間網絡的互通及安全問題，體現了iptables安全策略靈活的特性。通過實例證明該方案是高效、安全、可行的。組織機構可以根據實際情況，變更安全策略，自行加入新的規則與服務。

但是，防火墻僅僅還只是機構總統安全策略的一部分，而不是一個解決網絡安全問題的萬能藥方。并不意味著有了防火墻，防火墻內的人就可以高枕無憂了，網絡上的“黑客”無時無刻不在尋找著各種防火墻的安全漏洞。同時，防火墻也不能解決進入防火墻的數據導致的安全問題，例如病毒等。一個安全的網絡體系結構，僅僅從軟件上去實現是不夠的，它需要所有與它有關的人的共同協作與保護。

[1]吳智理,倪千禧,張九堂.堆疊技術在放療網絡中的應用[J].醫療數字化, 2014,29(8):55-57.

[2]鄭超,等.基于Linux防火墻的局域網安全環境設計與實現[J].科學技術與工程,2008,8(11):2854-2857.

[3]吳丹,徐玲,吳建軍.三層交換技術在大型醫療設備互聯時的應用[J].中國醫療設備,2010,25(7):48-49.

[4]紐羅涌,汪覺民.醫院病理信息系統與全院PACS信息交換設計[J].醫療裝備,2006(4):14-16.

[5]鄭坤,謝松城,管煒橋,等.ISO 80001國際標準-關于醫療設備與網絡集成之風險管理.[J].中國醫療設備,2012,27(8):93-94,124. Zheng Kun,Xie Song-cheng,Guan Wei-qiao et al.ISO 80001:Risk Management of Mediacal Equipment Integnating IT Network[J].China Medical Devices,2012,27(8):93-94,124.

[6]彭明辰.臨床工程學科建設之我見[J].中國醫療設備,2009,24(1):1-2. Peng Ming-chen.My 0pinion of Construction in Clinical Engineering D iscoplines[J].China Medical Devices，2009,24(1):1-2.

[7]Ted Conhen.AAM I’s Bench marking Solution:Analysis of cosy of Service Ratio and Other Metric[J].Biomedical Instrumentation&Technology, 2010.

[8]P.Gupta,S.Lin,and D.Stiliadis,High-Speed Policybased Packet Forwarding Using Efficient Multi-dimensional Range Matching[J].Proc.ACM SIGCOMM，2011：191-203.

The Application of Linux firewall in Radiotherapy network

ZHANG Li ZENG Degao
Radiotherapy department of physics Central South University Cancer Hospital of Xiangya Medical College Affiliated Tumor Hospital of Hunan Province,Changsha,Hunan Province,410013 China

To building a firewall based on Linux can effectively solve the problem ofmedical image data between the department of radiotherapy comprehensive network and hospital large network mutual sharing and planned entry problems.Flexibility in the use of this article focuses on Linux iptables rules from the security,stability,high efficiency angle.Mainly discusses the three card Linux firewall system installation,configuration and test.

Linux;Radiotherapy network;Iptables;Safety

R734.2

A

1672-5654（2015）03（a）-0139-02

2014-12-03）

張利（1984-），女，湖南株洲人，本科，腫瘤放射物理，湖南省腫瘤醫院。