防火墻與入侵檢測技術聯動的急救網絡安全探討

陳澤強

摘 要：文章結合海南省海口市120急救中心計算機網絡安全性設計的實際方案，詳細分析了目前計算機網絡安全的重要性及存在的問題提出了基于防火墻與入侵檢測技術聯動的海口市120急救中心計算機網絡安全性的設計，作為對一個急救網絡系統安全性設計的初步探討。

關鍵詞：院前急救；網絡安全；防火墻；入侵檢測技術

隨著計算機網絡的飛速發展，Internet正在越來越多地融入社會的各行各業。我國的120院前急救工作擔負著保障國民健康的重任，是我國醫療衛生行業的支柱。近年來，隨著計算機網絡技術的不斷發展和進步，醫療衛生行業的計算機網絡應用也取得了相當大的進步，隨著急救醫療信息系統應用的快速發展，建立一個安全、可靠、功能齊全的急救網絡信息系統，己成為國內當前各個120急救中心息化建設的必由之路。雖然計算機網絡技術和信息系統給120院前急救帶來了許多的便利，但也同樣存在著一定的安全性問題——那就是計算機網絡系統的安全性問題。院前急救是一個救死扶傷、挽救生命的機構，因此，計算機網絡系統既要防止利用計算機進行網絡犯罪，又要防止網絡數據的丟失及非法用戶的侵入，確保急救信息系統穩定、安全、可靠地運行[1]。

基于以上原因，我們在建設海口市120急救網絡信息系統的時候，始終將系統的安全性問題放在首位，采用了高性能的網絡安全設備來構建計算機網絡系統，從而保證了系統在建成的幾年時間內一直安全穩定地運行，支撐了海口市120急救日常主要業務工作，為單位的正常運轉發揮了重要的作用。本論文主要論述了基于防火墻與入侵檢測技術聯動的海口市120急救中心計算機網絡安全性的設計與防護策略，作為對一個急救網絡系統安全性的初步探討。

1 防火墻概述

根據國家標準GB/T 20281-2006《信息安全技術防火墻技術要求和測試評價方法》，防火墻也叫防護墻，是指一種在外部網絡與內部網絡之間的網絡安全設備，也稱為一個分離器，一個限制器，能有效地監控流經防火墻的數據，保證內部網絡和隔離區（Demilitarized Zone，DMZ）的安全。防火墻具有以下3種基本性質：（1）是不同網絡與網絡之間信息的唯一安全出入口。（2）只有符合防火墻安全策略的信息才能通過出入口，在數據流經的過程之中對數據進行審核[2]。（3）本身不能影響網絡信息的流通。

1.1防火墻技術分類

1.1.1包過濾技術

防火墻上的包過濾主要工作在傳輸層和網絡層，它根據經過防火墻的每個數據包的目標IP地址、源IP地址、協議類型、端口號等信息來決定是否將該數據包通過還是丟棄，從而達到對進出防火墻的數據進行檢測和限制的目的。在發展過程中它經歷了兩個時期，第一個稱為靜態包過濾，第二個稱為動態包過濾。

（1）靜態包過濾技術：當要過濾數據包時，把數據包中報頭的數據與訪問控制列表中的數據進行對比，決定該傳輸是被丟棄還是允許通過。這些規則常稱為數據包過濾訪問控制列表（ Access Control List，ACL）。

（2）動態包過濾技術：首先將進出防火墻的數據包當成一個個的會話，然后在訪問控制列表中建立狀態表，利用狀態表判斷是否符合會話所處的狀態，若符合則允許通過否則禁止數據包經過[3-4]。

1.1.2應用代理技術

代理防火墻為它們所支持的協議提供全面的協議意識安全分析。應用代理技術的發展也經歷了兩個版本，第一代的應用層網關技術，第二代的自適應代理技術。

（1）應用層網關技術：數據包先在應用網關進行合法認汪.通過以后將數據包發送到準備好的機器上通信，應用層上的數據包在傳輸層進行通信。

（2）自適應代理技術：在對防火墻進行配置時，用戶通過相應Proxy的管理界面對所需要的服務類型、安全級別等信息進行設置；然后再根據配置的具體信息，決定是使用代理服務從相關的路徑轉發數據包[5]。

1.2防火墻主要功能

防火墻能提高網絡、服務器群以及各種應用系統的安全性，它主要有以下功能。

（l）網絡安全的屏障。對網絡存取和訪問進行審計和監督，提供內部網絡的可靠性和安全性，對網絡攻擊進行檢測和報警，過濾不安全的服務。

（2）強化網絡安全策略。通過整體的安全管理，在安全策略上可以實現安全技術應用（包括身份認汪、加密、口令密碼等），過濾掉不可靠、不安全的服務和潛在的非法用戶。

（3）防止內部信息外泄。對于內部網絡，對于各種應用服務，通過設置不同的安全級別，實現內部重點網段的隔離，從而保護內部網絡的安全性，同時限制敏感的安全問題避免影響整個網絡。

（4）實現虛擬專用網的連接。虛擬專用網通過防火墻技術，有效保護和防范因特網內部網絡服務特性[2]。

2入侵檢測系統

入侵檢測是一種主動防御系統，在一定程度上預防和檢測來自內部和外部的入侵，是對防火墻不足的彌補。主要通過對計算機網絡或計算機系統中的若干關鍵點收集信息并對其進行分析，從中發現網絡或系統中是否有違反安全策略的行為和被攻擊的跡象。

2.1入侵檢測技術

根據采用的分析方法將其可分為異常檢測和誤用檢測兩種。

（1）異常檢測。首先建立起一定的數據轉發規則，然后基于這個活動規則對進入的數據包進行審計，發現與設定的規則不符時，則將其判斷為異常行為并做好統計上報。

（2）誤用檢測。它是通過把數據包報頭的信息和入侵檢測系統建立起來的控制列表中的信息做對比，把違反安全策略的行為進行標記并統計上報。誤用檢測具有較高的檢測率和準確率。

2.2入侵檢測的發展

隨著IPV6應用范圍的擴展，入侵檢測系統支持IPV6將是一大發展趨勢。IPV6擴展了地址空間，協議本身提供加密和認證功能，因此，面向IPV6的入侵檢測系統主要解決如下問題。

（l）大規模網絡環境下的入侵檢測。由于IPV6支持超大規模的網絡環境，面向IPV6的入侵檢測系統要解決大數據量的問題，需要融合分布式體系結構和高性能計算技術。

（2）認證和加密情況下的網絡監聽。IPV6協議本身支持加密和認證的特點，極大地增加了面向IPV6的入侵檢測系統監聽網絡數據包內容的難度，極端情況下，甚至需要首先獲得通信雙方會話密鑰[6]。

3 入侵檢測系統與防火墻的聯動部署

部署入侵檢測系統（Intrusion Detection Systems，IDS），應當將其掛接在所有所關注的流量都必須流經的鏈路上，即IDS采用旁路部署方式接入網絡，這些流量通常是指需要進行監視和統計的網絡報文。IDS和防火墻均具備對方不可代替的功能，所以在大多數網絡的應用中，防火墻用于防范外部的網絡威脅，IDS用于檢測內部網絡，兩者共存形成互補，使120的網絡體系處于安全、穩定的運行中。由于網絡的安全設施和安全防范措施也一般都部署在外部網絡入口，即數據包經過的地方。因此，在聯動方案中我們針對120急救中心內部網絡的存在的安全問題，使用了重要的網絡安全設備，包括防火墻和入侵檢測系統等，對整個內部網絡中的信息通信和數據交互都進行檢測、防護，保證單位內部網絡的信息安全[7]。入侵檢測系統與防火墻的聯動部署如圖l所示。

（1）入侵檢測引擎放在防火墻的非信任區。在這種情況下，入侵檢測系統能接收到外部網絡接口的所有信息，管理員能夠清楚地看到來自外部的入侵企圖，即可及時動態阻斷發生攻擊的連接。

（2）入侵檢測系統放在防火墻的信任區。檢測系統在這個位置通過掃描經過周界防火墻的網絡流量及內部訪問情況，找出可疑行為，向管理員發出威脅安全的警告。

（3）在防火墻的信任區與非信任區均設置入侵檢測系統，這樣對于來自外部和內部的入侵攻擊都能夠檢測到。

（4）入侵檢測系統放在防火墻的隔離區。防火墻的隔離區是信任區和非信任區之間的緩沖區域，把Web，E-Mail，文件傳輸協議（File Transfer Protocol，FTP）等允許外部訪問的服務器單獨接在該區端口[3]。 此外，根據網絡的拓撲結構不同，入侵檢測系統的監聽端口可以接共享煤質的集線器、交換機的調試端口或專為監聽所增設的分接器。

4結語

綜上所述，通過全面考慮海口120網絡的安全、操作系統的安全、應用程序的安全和用戶數據的安全，文章采用基于防火墻和入侵檢測技術的論述和聯動部署設計。此外，網絡傳輸的信息安全方面還將Web頁面超高速緩存、VPN和帶寬管理等前沿技術與防火墻與入侵檢測技術結合起來，構成了安全的聯動部署，最終形成更加安全的網絡安全屏障體系統。

[參考文獻]

[1]翁昌晶，劉謙.大型綜合醫院計算機網絡系統的安全性設計[J].醫學信息，2004 （5）：251-252

[2]陳波，于冷.信息安全案例教程[J]技術與應用，2015 （4）：45.

[3]張威，潘小鳳.防火墻與入侵檢測技術探討[J].南京工業職業技術學院學報，2008 （2）：61-63

[4]百度文庫.防火墻的分類[EB/OL]（ 2011-05-06）[2018-02-09] .https：//wenku.baidu.com/view/2ld728f8fab069dc50220lbe.html

[5]林玉梅.防火墻技術及其應用研究[J]軟件導刊，2012 （9）：160-162

[6]柴晨陽.基于神經網絡集成的入侵檢測研究[D].長沙：湖南大學，2007.

[7]鄒輝.入侵監測系統（IDS）的應用研究[D].北京：首都經濟貿易大學，2012.