基于路由和遠程訪問的網絡安全

洪瑞安，黃毅，吳雅云，蔡守瑋

中國人民解放軍第一八○醫院信息科，福建 泉州 362000

基于路由和遠程訪問的網絡安全

洪瑞安，黃毅，吳雅云，蔡守瑋

中國人民解放軍第一八○醫院信息科，福建 泉州 362000

目的基于路由和遠程訪問技術，保護醫院網絡安全。方法利用路由解析設備對Windows server 2003自帶的路由和遠程訪問服務進行配置，建立醫院網絡的“防火墻”。結果有效地隱藏了互聯網網站服務器與醫院業務網站服務器直連網段。結論對路由和遠程訪問服務進行配置，在一定程度上保障了醫院業務網站服務器的安全。

醫院門戶網站；路由解析；遠程訪問；網絡安全

隨著信息化的發展，許多醫院為了提供更多的醫療服務，陸續建立了自己的門戶網站，在網上拓展醫療業務，而醫療數據的安全性越來越受到市民關注。雖然醫院引進了網閘等物理隔離設備，保證了內網數據庫的安全，但卻忽略了外網服務器的防患。由于架設網站的服務器操作系統存在著一些漏洞，不能及時發現打補丁，小則在網絡管理中心進行管控掃描時報警，大則被黑客利用攻擊而導致門戶網站癱瘓、崩潰甚至敏感數據泄露。為了解決以上問題，我院在防火墻緊缺的情況下，通過使用 Windows server 2003 自帶的路由和遠程訪問服務[1]來實現地址轉換，既保證了內外網正常通訊，同時也保證了醫院內網數據的安全[2]。

1 網絡環境介紹

醫院門戶網站的數據有兩種。一種是靜態數據，這種數據不需要與醫院內網數據庫進行交互；另一種是動態數據，這種數據需要與醫院內網數據庫進行交互。我們把門戶網站中有與醫院內網數據庫進行數據交互的服務（可能存在漏洞又不能及時解決的服務），獨立部署在醫院業務網站服務器上。在醫院業務網站服務器安裝2張網卡，其中1張網卡與互聯網門戶網站服務器直連，另外1張網卡與內網的安全隔離設備連接，通過安全隔離設備與醫院內網數據庫交互數據。在醫院業務網站服務器前端增設1臺互聯網門戶網站服務器充當前置機，互聯網門戶網站服務器安裝2張網卡，1張網卡與醫院業務網站服務器直連，另1張網卡與互聯網的路由解析器相連，再接入互聯網。網絡環境與部署，見圖1。

圖1 網絡環境與部署示意圖

2 醫院業務網站服務器的安全

使用2臺不同網段服務器保障醫院業務安全。訪問互聯網門戶網站服務器，通過公布在互聯網的域名則能訪問到醫院的門戶網站，即訪問靜態數據。如果訪問域名加端口號網站，則會根據路由解析設備做的端口配置，及路由和遠程訪問做的配置進行地址轉換來訪問醫院業務網站服務器所部屬的網站。這樣通過互聯網門戶網站服務器就能夠訪問到醫院業務網站服務器的數據，同時醫院業務網站服務器也沒有直接暴露在互聯網下，即不能直接從互聯網訪問到醫院業務網站服務器的網站，這在一定程度上保證了醫院業務網站服務器的安全。

3 地址轉換配置

3.1 路由解析設備的端口配置

路由解析設備的端口配置是對要訪問的醫院業務網站 服 務 器 的 端 口 號 進 行 地 址 映 射[3]。 即 在 端 口 配 置 中 添加 1 條配置，如端口號為 8080，映射到所需訪問的網段192.168.19.0（與醫院業務網站服務器網卡 1 同一網段）中指 定 IP 地 址 192.168.19.112， 再添 加 1 條 靜 態 路 由 記 錄，IP 為 192.168.19.0，網關為 192.168.1.5（與互聯網門戶網站服務器網卡 1同地址）。當訪問域名加上端口號時，路由解析設備就會根據設置好的記錄跳轉到互聯網門戶網站服務器的網卡 2 段中[4]。然后再根據路由和遠程訪問的配置進行下一步跳轉。

3.2 路由和遠程訪問的配置

在互聯網門戶網站服務器打開管理工具菜單，雙擊“路由和遠程訪問”，選擇本地服務器的名稱，右鍵點擊“配置并啟用路由和遠程訪問”，然后根據提示點擊下一步，選擇“自定義配置”選項，點擊下一步，選擇“NAT和基本防火墻”，點擊下一步，再根據提示點擊完成，即已啟用路由和遠程訪問的服務。

我們將互聯網網站 服務器網卡 1 命名為 Internet，網卡 2 命名為 Internet-zhilian。在 IP 路由選擇中選擇 “靜態路由”，右鍵點擊“新建靜態路由”。如選擇接口 Internet，目 標 為 192.168.1.0 網 段， 網 絡 掩 碼 為 255.255.255.0， 網關為 192.168.1.1，建立 Internet靜 態 路由 ；同 樣，選擇接口 internet-zhilian，目標為 192.168.19.0 網段，網絡掩碼為255.255.255.0，網關為 192.168.19.122，建立 Internet-zhilian靜態路。其界面圖，見圖 3～4。

圖3 Internet靜態路由示意圖

圖4 Internet-zhilian靜態路由示意圖

在 IP 路由選擇中選擇“IGMP”，右鍵點擊“新增接口”，選擇接口 Internet，點擊確定，啟用 IGMP 屬性 ；同樣，選擇 接 口 Internet-zhilian， 啟 用 Internet-zhilian IGMP 屬 性。IGMP 屬性界面圖，見圖 5～6。

圖5 Internet IGMP屬性示意圖

圖6 Internet-zhilian IGMP屬性示意圖

在 IP 路由選擇中選擇“NAT/基本防火墻”，右鍵點擊“新增接口”，選擇接口 Internet，點擊確定，選擇“專用接口連接到專用網絡”，點擊確定 ；同樣右鍵點擊“新增接口”，選擇接口 Internet-zhilian，點擊確定，選擇“公用接口連接到 Internet”，再選擇“在此接口啟用 NAT”，點擊確定[5]。NAT/基本防火墻示介面圖，見圖 7～8。

圖7 Internet NAT/基本防火墻示意圖

圖8 Internet-zhilian NAT/基本防火墻示意圖

通過上述4個步驟的配置，即可完成訪問域名加端口號從互聯網門戶網站服務器跳轉到訪問醫院業務服務器。

4 結語

利用路由解析設備及配置 Windows server 2003 自帶的路由和遠程訪問服務進行配置，能及時有效地解決防火墻等物理防護設備緊缺時存在的網絡安全隱患[6-8]。通過系統自帶的路由和遠程訪問服務進行配置能有效地隱藏互聯網網站服務器與醫院業務網站服務器直連網段，使醫院業務網站服務器沒有直接暴露在互聯網下，在一定程度上保障了醫院業務網站服務器的安全。

[1] 陳國耿．利用NAT實現醫院局域網連接INTERNET[J]．實用醫技雜志,2006,13(5):831-832．

[2] 賀抒,梁昔明．NAT技術分析及其在防火墻中的應用[J]．微計算機信息,2005,(1):167-168．

[3] 李翔,唐慧．NAT在配置醫院連接醫保數據中心的應用[J]．醫療衛生裝備,2009,30(11):46-47．

[4] 劉風華,丁賀龍,張永平．關于NAT技術的研究與應用[J]．計算機工程與設計,2006,27(10):1814-1817．

[5] 龔曉華．基于NAT的網絡防護技術及安全網關的研究[J]．電腦知識與技術,2009,5(21):5676-5677．

[6] 歐志文,伍平陽,羅志恒,等．多線路接入醫院網絡實現多種應用的實踐研究[J]．中國醫療設備,2013,28(7):40-42．

[7] 謝希仁．計算機網絡[M]．北京:電子工業出版社,2010:171-175．

[8] 宣小玲．NAT轉換在局域網的應用 [J]．電腦知識與技術,2007, 3(15):660．

Network Security Based on Routing and Remote Access

HONG Rui-an, HUANG Yi, WU Ya-yun, CAI Shou-wei
Department of Information, The 180thHospital of PLA, Quanzhou Fujian 362000, China

ObjectiveTo protect hospital network security based on routing and remote access.MethodsThe configuration of the routing and remote access service affiliated to Windows server 2003 was conducted with routing parsing equipment to establish the firewall of hospital network.ResultsThe directly connected network segments of servers of Internet website and hospital business website have been hided effectively.ConclusionTo some extent, the conf i guration of the routing and remote access service has ensured the security of hospital business website server.

hospital web portals; routing parsing; remote access; network security

TP393.08

A

10.3969/j.issn.1674-1633.2014.08.015

1674-1633(2014)08-0052-03

2014-01-21

2014-02-11

作者郵箱：18750601053@163．com