基于下一代防火墙技术在医院网络安全中的应用

2022-03-19 00:34陈博
网络安全技术与应用 2022年1期
关键词:安全策略报文防火墙

◆陈博

基于下一代防火墙技术在医院网络安全中的应用

◆陈博

(郑州市骨科医院 河南 450000)

网络安全问题一直是制约着互联网发展的重要因素,如何提高网络的安全性是当今世界面临的重大课题。防火墙技术作为网络安全的第一道门,一直深受企事业单位的重视。本文基于医院网络环境应用,结合华为下一代防火墙技术与IPSec VPN技术对网络安全技术进行研究,就如何对医疗设备信息脱敏传输,且能保障数据传输的安全性展开探讨,并对项目实施结果进行分析,供相关读者参考。

网络安全;防火墙;VPN技术

智慧型数字化医院的建设是现代各个医疗系统发展的重点。其中主要包括远程医疗系统、医保系统、新农合系统、网上预约挂号系统以及区域医疗信息平台共享等众多外部系统,促进各个机构之间的信息共享和数据交换。但在与外部数据交换的过程中,可能会遭受到类似患者信息泄露、数据库被入侵或者病毒攻击等网络危害,给医院信息化发展带来极大的阻碍。防火墙技术作为防范外部入侵的第一道屏障,主要通过对数据流的分级管控,配合其自身的入侵防御等功能,将逐步提升对内外网络的安全管理。本文主要以华为下一代防火墙为例,重点介绍下一代防火墙技术在医院内部的应用情况以及IPSec VPN技术,供相关读者参考。

1 下一代防火墙技术

防火墙是一种静态安全技术,主要是通过安全策略对网络的访问行为实施有效管理,而策略之外的网络访问行为则无法控制。下一代防火墙主要是为了应对更加复杂的网络环境而设计,不仅具有传统防火墙的数据包过滤、网络地址转换(NAT)、协议状态检查等功能,而且实现了第七层的应用防御,并在复杂的网络环境中针对细粒度网络进行探测。安全策略是防火墙的基本安全控制机制,其规则方式主要由匹配条件与处理方式两个部分共同构成。匹配条件主要是以逻辑表达式的形式呈现,当网络流量经过防火墙时,若匹配条件的逻辑表达式为真,则说明该流量与当前规则匹配成功。但是,为了防止对端可能的攻击性行为,需要对外部转发的数据包设置访问控制列表,并对数据进行访问控制。

目前大多数网络应用都是借助于TCP/IP协议族实现信息传递,而防火墙大都是以TCP/IP协议族为基础而设计。TCP/IP协议族具有明显的层次特性,且每个层次都会有不同的作用。防火墙会针对不同层次上的信息流量,采用不同的控制策略。下面主要针对防火墙安全策略划分进行详细介绍。

2 防火墙安全策略划分

安全策略的作用就是对通过防火墙的数据流进行检验,且只允许符合安全策略的合法数据流通过。如图1所示为防火墙网络安全级别及报文流动指向模型。防火墙是通过接口来连接网络,将接口划分到安全区域后,通过接口就能把安全区域和网络关联起来,并且有目的地控制着报文向不同的安全区域之间进行数据交换。

图1 网络安全级别及报文流动指向

防火墙上默认有三个安全区域,分别是Trust、DMZ和Untrust。Trust代表区域内受信任程度较高的网络,通常指的是单位的内部网络,其可信级别要高于其他网络;DMZ区域属于隔离区,受信任程度中等,通常是指某些特殊的服务器既需要访问内网,又有部分业务需要访问外网的情况。Untrust区域的是不受信任的网络,主要指仅需访问外网的用户或服务器。在防火墙安全策略中,每一个安全区域都必须有一个安全级别,该安全级别是唯一的,用数字1-100来表示。数字越大,则表示该区域内的网络越可信。根据图1的安全级别设置,防火墙上的各个安全区域之间有了等级明确的域间关系,并且不同级别之间的网络流量不互通,即使低级别的网络区域感染病毒,病毒也很难向高级别的安全区域蔓延。

3 IPSec VPN技术

IPSec(Internet Protocol Security)作为一种开放标准的安全框架结构,在数据传输方面具有机密性、完整性和防重放等的特性,适用于远端异地传输。IPSec VPN体系结构主要由AH(Authentication Header)、ESP(Encapsulating Security Payload)、和IKE(Internet Key Exchange)协议套件组成。AH协议主要提供有数据源验证、数据完整性校验和防报文重放功能,但AH并不加密所保护的数据报文;ESP协议除了提供AH协议的所有功能外,还可提供对IP报文的机密功能。IKE协议用于自动协商AH和ESP所使用的密码算法。IPSec VPN的建立主要包括两个阶段。第一阶段包含主模式交换和野蛮模式交换,一般情况下,由于双方建立可信隧道的两端IP是固定的,常选用主模式交换进行协商,包括策略协商、DH算法交换,以及DH交换的进一步认证。第二个阶段主要是建立SA认证,第二阶段协商消息受第一阶段SA保护,任何没有第一阶段SA保护的消息都会被拒收。

IPSec VPN在实际应用中场景非常广泛,包括站点到站点(site to site)、端到端(End to End)、端到站点(End to site)等。本文主要介绍在医院与器械厂商之间构建一条可信的site to site的数据通信隧道,用来传输设备运行状况信息,方便工程师对设备进行远程诊断,实现安全互联。

4 基于IPSec VPN的医疗设备远程诊断

医院有很多大型的医疗设备,每天也有大量的病人需要通过机器做检查,因此也要经常对设备进行保养和检修。但由于诸多原因,工程师不能经常在现场检查,因此需要对机器进行远程诊断。一些厂商人员为了便利,仅仅配置一台4G路由器的方式将设备直接通过网线连入路由器上互联网,在远端直接获取数据,中间没有任何防护措施。这种方法简单易施行,但对医院而言就等于直接让内网服务器接入互联网,成为管理上的漏洞,并且无法管控数据流向,容易造成数据泄露,也可能会被黑客利用,风险危害极大。因此,利用防火墙的防范功能和IPSec VPN的数据加密算法来传输数据是一种更为可信的解决方式,并且能直观地反映数据流量的大小,方便院方网络管理人员管控。表1所示为某医疗器械公司的VPN客户端配置参数,院方将根据此参数来调节防火墙上的VPN参数进行数据连接。

4.1 参数设置(表1)

表1 VPN客户端参数

客户端建立VPN网关具体参数 vpn设备cisco VPN gateway10.69.83.176/20 Encryption Domain150.2.0.0/16 IPSecEncapulationTunnel Mode IPSec Protocol TypeESP(IP Protocol 50) IPSec Cipher AlgorithmAES 256 IPSec Authentication SHA-2 IPSec lifetime3600sec

4.2 实验方法

首先在防火墙上划分安全区域,这里将对端内网为可信度级别设为60,低于院内网可信度85。依据表1提供的参数,在防火墙上添加源地址10.69.83.176/20和目的地址150.2.0.0/16,传输模式设为隧道模式,采用与共享密钥方式进行传输,加密算法采用三重数据加密算法3DES方式,以提高信息传输的安全性,认证方式为MD5,确保信息传输完整一致。

4.3 实验结果

根据部署好的安全策略,我们进行数据通讯测试。从图2可以看出,IKE协商的两个阶段已经成功,即:第一阶段在网络上建立一个IKE SA,为阶段二协商提供保护,医院这边选用主模式;第二阶段在阶段一建立的IKE SA的保护下完成IPSec SA的协商,采用快速模式。并且在防火墙上已经看到有流量经过,对端收到了对机器设备参数的采集信息。

图2 VPN协商成功

图3所示为VPN网络连接状态。从图中可以看出,两端之间已经建立连接。而医院人员可以根据网络流量的大小对网络信息传输进行评估,保障远程诊断的顺利进行。

图3 VPN网络连接状态

5 结束语

本文主要针对防火墙的安全策略分析,依据现有条件下院内需求,采用防火墙技术搭建一条IPSec VPN隧道为医疗设备远程诊断,不仅保证数据流量高效稳定,更提升了传输安全性。随着医院未来业务开展越来越广泛,防火墙技术与VPN技术也将更多地应用于为医患服务的项目中去。因此,如何保证数据更加安全有效地传输,防范医院内部网络安全将成为医院以后信息化建设的重点。

[1]宫彦婷,荣文英,王彪. 基于主动防御的数据库防火墙设计与实现[J]. 中国数字医学,2013.

[2]胡宝芳,王红,张霞. 基于移动代理的虚拟专用网安全系统[J]. 计算机应用,2005.

[3]吕晓娟. 医院信息化建设管理的现实问题与相关探讨 [J]. 中国数字医学,2017.

[4]郭德超,邱鸿钟,梁瑞琼. 防火墙与入侵检测系统在医院网络安全中的应用[J]. 中国数字医学,2019.

[5]鲁茜,黄岳,黄家平. 基于医联体的医院信息化建设[J].医学信息学,2019.

[6]任浩,刘燕燕,许鹏. 智慧医院信息备份的研究与应用 [J]. 网络安全技术与应用,2020.

[7]韩向非,郭幽燕,王建勋,等. 基于信息技术基础架构库的医院IT服务实践探索[J]. 中国数字医学,2017.

猜你喜欢
安全策略报文防火墙
基于J1939 协议多包报文的时序研究及应用
低轨星座短报文通信中的扩频信号二维快捕优化与实现
CTCS-2级报文数据管理需求分析和实现
基于可视化的安全策略链编排框架
全民总动员,筑牢防火墙
构建防控金融风险“防火墙”
浅析反驳类报文要点
多媒体教学服务器限制访问的一种措施
浅析涉密信息系统安全策略
地铁客运组织方式及安全分析