基于MNSS的醫院PIX防火墻仿真實驗設計

蔣韜 吳響 黃怡鶴 俞穩龍

摘 要：隨著醫院醫療水平的提升和病患診療數據的增多，如何安全隔離內外網，保護醫療數據的安全，成了目前各大醫院需要考慮的問題。PIX防火墻是思科公司自主開發的防火墻設備，具有路由策略過濾，內網與外網隔絕等功能。文章基于MNSS（Medical Network System Simulator）仿真軟件模擬醫院PIX防火墻，以達到醫院內外網防火墻實驗研究需求。

關鍵詞：醫院數據安全；MNSS；仿真實驗；PIX防火墻

中圖分類號：TN711 文獻標志碼：A 文章編號：2095-2945（2018）13-0044-02

Abstract： With the improvement of medical level of hospitals and the increase of patient diagnosis and treatment data， how to safely isolate the inside and outside network and protect the safety of medical data have become the problems that need to be considered by the major hospitals at present. PIX Firewall is a firewall device developed by Cisco Company. It has the functions of routing policy filtering， intranet isolation and so on. This paper simulates the hospital PIX firewall based on MNSS （Medical Network System Simulator） in order to meet the need of the experimental research on the firewall inside and outside the hospital.

Keywords： hospital data security； MNSS； simulation experiment； PIX Firewall

1 概述

隨著“互聯網+醫療”時代的到來，數字醫院、智慧醫院等概念逐漸興起，醫院信息化的趨勢愈加明顯[1]。然而在醫院業務不斷拓寬的同時，頻繁的醫院內外部數據交流和信息共享給了不法分子可趁之機。醫院信息系統中保存著大量患者的隱私信息，一旦泄露將帶來難以預計的損失。因此，對醫院網絡安全的研究刻不容緩。

針對傳統網絡實驗教學中設備短缺等共性問題，我校借助MNSS模擬器模擬醫院內外網防火墻[2]，以幫助學生在虛擬仿真實驗平臺上完成醫院網絡拓撲搭建和內外網管理過程，既降低實驗成本，又保證實驗效果和教學質量。本文將結合醫院實際情況，詳細講解PIX防火墻技術在醫院信息安全領域中的應用。

2 防火墻相關簡介

2.1 防火墻定義及分類

防火墻是作用于網絡系統邊界的一種軟件或者硬件。通過建立訪問規則和安全策略隔離兩個網絡，以實現訪問控制。它是內外網絡之間數據流通的唯一通道，決定外部網絡對內部的訪問權限，最大程度地攔截非法入侵等[3]。

防火墻大致分為三類：網絡層包過濾型、應用層代理服務型與復合型，具體如下：

（1）網絡層包過濾型防火墻通常被安置于路由器上，通過ACL實現訪問控制[4]。通過建立的訪問規則對接收的每一個數據包進行判斷以決定是否轉發或拋棄。和規則匹配的數據包會被轉發，反之則會被拋棄。其中，包過濾的主要檢測對象是源IP地址、目標IP地址、協議類型、端口等信息[5]。

（2）應用層代理服務型防火墻利用代理服務器將內網與外網分開。代理服務器在兩者之間充當中轉站的角色，避免內部用戶與外部不受信任的主機直接建立聯系。同時代理服務器可以提供詳細的日志和審計功能，提高網絡安全度[6]。

（3）復合型防火墻是上述兩者的結合，繼承了兩者的優點。其中，Cisco PIX防火墻就是這一類型的防火墻。

2.2 PIX防火墻

PIX防火墻是思科公司開發的防火墻產品，能夠滿足多種設計方案要求。一般情況下，PIX防火墻僅有兩個接口：內部接口連接到受防火墻保護的醫院內網，而外部接口連接到因特網。它使用網絡地址轉換技術將內部主機的地址進行映射，使之映射為外部地址。并將所有會話的狀態信息都寫入狀態表中進行記憶，對所有通過防火墻的外部數據流進行比對，若存在于狀態表中，那么數據流則可以通過防火墻，來到內部網絡。而那些不存在于狀態表的外部數據流，則要分辨它們是否違背安全協議，如若沒有違背安全協議，就可以將其存入狀態表中去。但是若違背安全協議，那么就要將包舍棄，不允許其通過防火墻，拒絕數據流進入到內部網絡。這種機制控制了外部網絡對醫院內部大數據資源的訪問，安全隔離內外網，起到保護患者隱私的效果[7]。

3 實驗仿真設計

3.1 實驗拓撲

在MNSS的工作區域中搭建醫院內外網隔離網絡拓撲圖。如圖1所示，R1為互聯網服務提供商，模擬外網；R2為醫院邊界出口路由器，模擬內網；R3為DMZ的網關路由器，模擬資源庫區域。其中，所有路由器設備都是通過c7200系列路由器模擬的，全網通過OSPF路由協議實現互聯。

3.2 IP地址分配

實驗關鍵設備及其接口地址配置如表1。

3.3 PIX關鍵配置

（1）outside區域的配置如下：PIX（config-if）#nameif outside ！將接口命名為outside

PIX（config-if）#security-level 0 ！將安全級別設為0

（2）inside區域的配置如下：

PIX（config-if）#nameif inside PIX（config-if）#security-level 100

（3）dmz區域的配置如下：

PIX（config-if）#nameif dmz PIX（config-if）#security-level 50

（4）NAT地址轉換相關配置如下：

PIX（config）#nat （inside） 1 172.16.2.0 255.255.255.0 ！允許內網流量通過PIX

PIX（config）#global （outside） 1 192.168.1.3-192.168.1.5 netmask 255.255.255.0 ！使用global命令設置地址池

PIX（config）#global （dmz） 1 200.1.2.3-200.1.2.4 netmask 255.255.255.0

PIX（config）#route inside 172.16.2.0 255.255.255.0 172.16.1.2 ！實現到內部網絡的路由，設置下一跳地址

（5）外網對DMZ區的訪問配置如下：

PIX（config）#static （dmz，outside） 200.1.2.1 192.168.1.2

4 驗證與分析

在PC上測試遠程登錄INTERNET中的本地主機200.1.2.2，測試結果如下：

PC#Telnet 200.1.2.2

Trying 200.1.2.2 … Open

User Access Verification

Password：

Internet>

結果表明內網流量是可以通過醫院PIX防火墻的。這是因為內部發出的流量在經過PIX訪問外部（或者DMZ）時，內部地址會被轉化成地址池中的外部地址（或者DMZ地址）。

5 結束語

在本文中，我們以Cisco PIX 804為例介紹了PIX 防火墻在醫院網絡系統中的應用，通過在MNSS中模擬醫院網絡的仿真實驗，驗證了PIX防火墻具有路由策略過濾、內網與外網隔絕等功能，從而保證醫院內部網絡的安全，有效防范來自因特網的非法攻擊。

參考文獻：

[1]許培海，宗文紅，周洲，等.我國公立醫院數字醫療建設現狀調查與分析[J].中國衛生信息管理雜志，2015（2）：124-130.

[2]王競，吳響，黃怡鶴，等.醫學院校物聯網工程專業虛擬仿真實驗教學體系建設與實踐[J].高教學刊，2017（21）：35-37.

[3]陳香芹.淺析防火墻技術在醫院網絡中的應用[J].中國新技術新產品，2016（2）：182.

[4]吳剛.Cisco路由器ACL剖析[J].計算機安全，2010（9）：91-94.

[5]李琳.試析計算機防火墻技術及其應用[J].信息安全與技術，2012（8）：46-48+51.

[6]張玲麗.基于GNS3虛擬機的PIX防火墻配置實例[J].數字通信，2014（5）：78-80.

[7]夏青，石駿驥.構筑圖書館Cisco PIX防火墻系統[J].遼寧稅務高等專科學校學報，2005，17（2）：43-44.