基于路由和远程访问的网络安全

洪瑞安，黄毅，吴雅云，蔡守玮

中国人民解放军第一八○医院信息科，福建 泉州 362000

基于路由和远程访问的网络安全

洪瑞安，黄毅，吴雅云，蔡守玮

中国人民解放军第一八○医院信息科，福建 泉州 362000

目的基于路由和远程访问技术，保护医院网络安全。方法利用路由解析设备对Windows server 2003自带的路由和远程访问服务进行配置，建立医院网络的“防火墙”。结果有效地隐藏了互联网网站服务器与医院业务网站服务器直连网段。结论对路由和远程访问服务进行配置，在一定程度上保障了医院业务网站服务器的安全。

医院门户网站；路由解析；远程访问；网络安全

随着信息化的发展，许多医院为了提供更多的医疗服务，陆续建立了自己的门户网站，在网上拓展医疗业务，而医疗数据的安全性越来越受到市民关注。虽然医院引进了网闸等物理隔离设备，保证了内网数据库的安全，但却忽略了外网服务器的防患。由于架设网站的服务器操作系统存在着一些漏洞，不能及时发现打补丁，小则在网络管理中心进行管控扫描时报警，大则被黑客利用攻击而导致门户网站瘫痪、崩溃甚至敏感数据泄露。为了解决以上问题，我院在防火墙紧缺的情况下，通过使用 Windows server 2003 自带的路由和远程访问服务[1]来实现地址转换，既保证了内外网正常通讯，同时也保证了医院内网数据的安全[2]。

1 网络环境介绍

医院门户网站的数据有两种。一种是静态数据，这种数据不需要与医院内网数据库进行交互；另一种是动态数据，这种数据需要与医院内网数据库进行交互。我们把门户网站中有与医院内网数据库进行数据交互的服务（可能存在漏洞又不能及时解决的服务），独立部署在医院业务网站服务器上。在医院业务网站服务器安装2张网卡，其中1张网卡与互联网门户网站服务器直连，另外1张网卡与内网的安全隔离设备连接，通过安全隔离设备与医院内网数据库交互数据。在医院业务网站服务器前端增设1台互联网门户网站服务器充当前置机，互联网门户网站服务器安装2张网卡，1张网卡与医院业务网站服务器直连，另1张网卡与互联网的路由解析器相连，再接入互联网。网络环境与部署，见图1。

图1 网络环境与部署示意图

2 医院业务网站服务器的安全

使用2台不同网段服务器保障医院业务安全。访问互联网门户网站服务器，通过公布在互联网的域名则能访问到医院的门户网站，即访问静态数据。如果访问域名加端口号网站，则会根据路由解析设备做的端口配置，及路由和远程访问做的配置进行地址转换来访问医院业务网站服务器所部属的网站。这样通过互联网门户网站服务器就能够访问到医院业务网站服务器的数据，同时医院业务网站服务器也没有直接暴露在互联网下，即不能直接从互联网访问到医院业务网站服务器的网站，这在一定程度上保证了医院业务网站服务器的安全。

3 地址转换配置

3.1 路由解析设备的端口配置

路由解析设备的端口配置是对要访问的医院业务网站 服 务 器 的 端 口 号 进 行 地 址 映 射[3]。 即 在 端 口 配 置 中 添加 1 条配置，如端口号为 8080，映射到所需访问的网段192.168.19.0（与医院业务网站服务器网卡 1 同一网段）中指 定 IP 地 址 192.168.19.112， 再添 加 1 条 静 态 路 由 记 录，IP 为 192.168.19.0，网关为 192.168.1.5（与互联网门户网站服务器网卡 1同地址）。当访问域名加上端口号时，路由解析设备就会根据设置好的记录跳转到互联网门户网站服务器的网卡 2 段中[4]。然后再根据路由和远程访问的配置进行下一步跳转。

3.2 路由和远程访问的配置

在互联网门户网站服务器打开管理工具菜单，双击“路由和远程访问”，选择本地服务器的名称，右键点击“配置并启用路由和远程访问”，然后根据提示点击下一步，选择“自定义配置”选项，点击下一步，选择“NAT和基本防火墙”，点击下一步，再根据提示点击完成，即已启用路由和远程访问的服务。

我们将互联网网站 服务器网卡 1 命名为 Internet，网卡 2 命名为 Internet-zhilian。在 IP 路由选择中选择 “静态路由”，右键点击“新建静态路由”。如选择接口 Internet，目 标 为 192.168.1.0 网 段， 网 络 掩 码 为 255.255.255.0， 网关为 192.168.1.1，建立 Internet静 态 路由 ；同 样，选择接口 internet-zhilian，目标为 192.168.19.0 网段，网络掩码为255.255.255.0，网关为 192.168.19.122，建立 Internet-zhilian静态路。其界面图，见图 3～4。

图3 Internet静态路由示意图

图4 Internet-zhilian静态路由示意图

在 IP 路由选择中选择“IGMP”，右键点击“新增接口”，选择接口 Internet，点击确定，启用 IGMP 属性 ；同样，选择 接 口 Internet-zhilian， 启 用 Internet-zhilian IGMP 属 性。IGMP 属性界面图，见图 5～6。

图5 Internet IGMP属性示意图

图6 Internet-zhilian IGMP属性示意图

在 IP 路由选择中选择“NAT/基本防火墙”，右键点击“新增接口”，选择接口 Internet，点击确定，选择“专用接口连接到专用网络”，点击确定 ；同样右键点击“新增接口”，选择接口 Internet-zhilian，点击确定，选择“公用接口连接到 Internet”，再选择“在此接口启用 NAT”，点击确定[5]。NAT/基本防火墙示介面图，见图 7～8。

图7 Internet NAT/基本防火墙示意图

图8 Internet-zhilian NAT/基本防火墙示意图

通过上述4个步骤的配置，即可完成访问域名加端口号从互联网门户网站服务器跳转到访问医院业务服务器。

4 结语

利用路由解析设备及配置 Windows server 2003 自带的路由和远程访问服务进行配置，能及时有效地解决防火墙等物理防护设备紧缺时存在的网络安全隐患[6-8]。通过系统自带的路由和远程访问服务进行配置能有效地隐藏互联网网站服务器与医院业务网站服务器直连网段，使医院业务网站服务器没有直接暴露在互联网下，在一定程度上保障了医院业务网站服务器的安全。

[1] 陈国耿．利用NAT实现医院局域网连接INTERNET[J]．实用医技杂志,2006,13(5):831-832．

[2] 贺抒,梁昔明．NAT技术分析及其在防火墙中的应用[J]．微计算机信息,2005,(1):167-168．

[3] 李翔,唐慧．NAT在配置医院连接医保数据中心的应用[J]．医疗卫生装备,2009,30(11):46-47．

[4] 刘风华,丁贺龙,张永平．关于NAT技术的研究与应用[J]．计算机工程与设计,2006,27(10):1814-1817．

[5] 龚晓华．基于NAT的网络防护技术及安全网关的研究[J]．电脑知识与技术,2009,5(21):5676-5677．

[6] 欧志文,伍平阳,罗志恒,等．多线路接入医院网络实现多种应用的实践研究[J]．中国医疗设备,2013,28(7):40-42．

[7] 谢希仁．计算机网络[M]．北京:电子工业出版社,2010:171-175．

[8] 宣小玲．NAT转换在局域网的应用 [J]．电脑知识与技术,2007, 3(15):660．

Network Security Based on Routing and Remote Access

HONG Rui-an, HUANG Yi, WU Ya-yun, CAI Shou-wei
Department of Information, The 180thHospital of PLA, Quanzhou Fujian 362000, China

ObjectiveTo protect hospital network security based on routing and remote access.MethodsThe configuration of the routing and remote access service affiliated to Windows server 2003 was conducted with routing parsing equipment to establish the firewall of hospital network.ResultsThe directly connected network segments of servers of Internet website and hospital business website have been hided effectively.ConclusionTo some extent, the conf i guration of the routing and remote access service has ensured the security of hospital business website server.

hospital web portals; routing parsing; remote access; network security

TP393.08

A

10.3969/j.issn.1674-1633.2014.08.015

1674-1633(2014)08-0052-03

2014-01-21

2014-02-11

作者邮箱：18750601053@163．com