基于MNSS的医院PIX防火墙仿真实验设计

蒋韬 吴响 黄怡鹤 俞稳龙

摘 要：随着医院医疗水平的提升和病患诊疗数据的增多，如何安全隔离内外网，保护医疗数据的安全，成了目前各大医院需要考虑的问题。PIX防火墙是思科公司自主开发的防火墙设备，具有路由策略过滤，内网与外网隔绝等功能。文章基于MNSS（Medical Network System Simulator）仿真软件模拟医院PIX防火墙，以达到医院内外网防火墙实验研究需求。

关键词：医院数据安全；MNSS；仿真实验；PIX防火墙

中图分类号：TN711 文献标志码：A 文章编号：2095-2945（2018）13-0044-02

Abstract： With the improvement of medical level of hospitals and the increase of patient diagnosis and treatment data， how to safely isolate the inside and outside network and protect the safety of medical data have become the problems that need to be considered by the major hospitals at present. PIX Firewall is a firewall device developed by Cisco Company. It has the functions of routing policy filtering， intranet isolation and so on. This paper simulates the hospital PIX firewall based on MNSS （Medical Network System Simulator） in order to meet the need of the experimental research on the firewall inside and outside the hospital.

Keywords： hospital data security； MNSS； simulation experiment； PIX Firewall

1 概述

随着“互联网+医疗”时代的到来，数字医院、智慧医院等概念逐渐兴起，医院信息化的趋势愈加明显[1]。然而在医院业务不断拓宽的同时，频繁的医院内外部数据交流和信息共享给了不法分子可趁之机。医院信息系统中保存着大量患者的隐私信息，一旦泄露将带来难以预计的损失。因此，对医院网络安全的研究刻不容缓。

针对传统网络实验教学中设备短缺等共性问题，我校借助MNSS模拟器模拟医院内外网防火墙[2]，以帮助学生在虚拟仿真实验平台上完成医院网络拓扑搭建和内外网管理过程，既降低实验成本，又保证实验效果和教学质量。本文将结合医院实际情况，详细讲解PIX防火墙技术在医院信息安全领域中的应用。

2 防火墙相关简介

2.1 防火墙定义及分类

防火墙是作用于网络系统边界的一种软件或者硬件。通过建立访问规则和安全策略隔离两个网络，以实现访问控制。它是内外网络之间数据流通的唯一通道，决定外部网络对内部的访问权限，最大程度地拦截非法入侵等[3]。

防火墙大致分为三类：网络层包过滤型、应用层代理服务型与复合型，具体如下：

（1）网络层包过滤型防火墙通常被安置于路由器上，通过ACL实现访问控制[4]。通过建立的访问规则对接收的每一个数据包进行判断以决定是否转发或抛弃。和规则匹配的数据包会被转发，反之则会被抛弃。其中，包过滤的主要检测对象是源IP地址、目标IP地址、协议类型、端口等信息[5]。

（2）应用层代理服务型防火墙利用代理服务器将内网与外网分开。代理服务器在两者之间充当中转站的角色，避免内部用户与外部不受信任的主机直接建立联系。同时代理服务器可以提供详细的日志和审计功能，提高网络安全度[6]。

（3）复合型防火墙是上述两者的结合，继承了两者的优点。其中，Cisco PIX防火墙就是这一类型的防火墙。

2.2 PIX防火墙

PIX防火墙是思科公司开发的防火墙产品，能够满足多种设计方案要求。一般情况下，PIX防火墙仅有两个接口：内部接口连接到受防火墙保护的医院内网，而外部接口连接到因特网。它使用网络地址转换技术将内部主机的地址进行映射，使之映射为外部地址。并将所有会话的状态信息都写入状态表中进行记忆，对所有通过防火墙的外部数据流进行比对，若存在于状态表中，那么数据流则可以通过防火墙，来到内部网络。而那些不存在于状态表的外部数据流，则要分辨它们是否违背安全协议，如若没有违背安全協议，就可以将其存入状态表中去。但是若违背安全协议，那么就要将包舍弃，不允许其通过防火墙，拒绝数据流进入到内部网络。这种机制控制了外部网络对医院内部大数据资源的访问，安全隔离内外网，起到保护患者隐私的效果[7]。

3 实验仿真设计

3.1 实验拓扑

在MNSS的工作区域中搭建医院内外网隔离网络拓扑图。如图1所示，R1为互联网服务提供商，模拟外网；R2为医院边界出口路由器，模拟内网；R3为DMZ的网关路由器，模拟资源库区域。其中，所有路由器设备都是通过c7200系列路由器模拟的，全网通过OSPF路由协议实现互联。

3.2 IP地址分配

实验关键设备及其接口地址配置如表1。

3.3 PIX关键配置

（1）outside区域的配置如下：PIX（config-if）#nameif outside ！将接口命名为outside

PIX（config-if）#security-level 0 ！将安全级别设为0

（2）inside区域的配置如下：

PIX（config-if）#nameif inside PIX（config-if）#security-level 100

（3）dmz区域的配置如下：

PIX（config-if）#nameif dmz PIX（config-if）#security-level 50

（4）NAT地址转换相关配置如下：

PIX（config）#nat （inside） 1 172.16.2.0 255.255.255.0 ！允许内网流量通过PIX

PIX（config）#global （outside） 1 192.168.1.3-192.168.1.5 netmask 255.255.255.0 ！使用global命令设置地址池

PIX（config）#global （dmz） 1 200.1.2.3-200.1.2.4 netmask 255.255.255.0

PIX（config）#route inside 172.16.2.0 255.255.255.0 172.16.1.2 ！实现到内部网络的路由，设置下一跳地址

（5）外网对DMZ区的访问配置如下：

PIX（config）#static （dmz，outside） 200.1.2.1 192.168.1.2

4 验证与分析

在PC上测试远程登录INTERNET中的本地主机200.1.2.2，测试结果如下：

PC#Telnet 200.1.2.2

Trying 200.1.2.2 … Open

User Access Verification

Password：

Internet>

结果表明内网流量是可以通过医院PIX防火墙的。这是因为内部发出的流量在经过PIX访问外部（或者DMZ）时，内部地址会被转化成地址池中的外部地址（或者DMZ地址）。

5 结束语

在本文中，我们以Cisco PIX 804为例介绍了PIX 防火墙在医院网络系统中的应用，通过在MNSS中模拟医院网络的仿真实验，验证了PIX防火墙具有路由策略过滤、内网与外网隔绝等功能，从而保证医院内部网络的安全，有效防范来自因特网的非法攻击。

参考文献：

[1]许培海，宗文红，周洲，等.我国公立医院数字医疗建设现状调查与分析[J].中国卫生信息管理杂志，2015（2）：124-130.

[2]王竞，吴响，黄怡鹤，等.医学院校物联网工程专业虚拟仿真实验教学体系建设与实践[J].高教学刊，2017（21）：35-37.

[3]陈香芹.浅析防火墙技术在医院网络中的应用[J].中國新技术新产品，2016（2）：182.

[4]吴刚.Cisco路由器ACL剖析[J].计算机安全，2010（9）：91-94.

[5]李琳.试析计算机防火墙技术及其应用[J].信息安全与技术，2012（8）：46-48+51.

[6]张玲丽.基于GNS3虚拟机的PIX防火墙配置实例[J].数字通信，2014（5）：78-80.

[7]夏青，石骏骥.构筑图书馆Cisco PIX防火墙系统[J].辽宁税务高等专科学校学报，2005，17（2）：43-44.