基于Wi-Fi 6技術(shù)的醫(yī)院高安全性無線網(wǎng)絡(luò)設(shè)計(jì)

虞宏達(dá)

（溫州醫(yī)科大學(xué)附屬眼視光醫(yī)院，浙江 溫州 325000）

Wi-Fi 6技術(shù)以及新應(yīng)用已經(jīng)鋪天蓋地而來，Wi-Fi 6屬于802.11ax協(xié)議，該技術(shù)最多將和8個(gè)設(shè)備進(jìn)行通信，其速度最高高達(dá)9.6 Gbps，速度大幅度提升，會(huì)帶來一個(gè)嶄新的無線時(shí)代。以下為傳統(tǒng)Wi-Fi和Wi-Fi 6的對(duì)比區(qū)別。

圖1 傳統(tǒng)Wi-Fi和Wi-Fi 6的對(duì)比

如在醫(yī)院使用如此高速實(shí)用的Wi-Fi 6技術(shù)，并做好內(nèi)網(wǎng)的監(jiān)控和邊界的安全防護(hù)，一張高速和安全的無線網(wǎng)絡(luò)結(jié)構(gòu)就應(yīng)運(yùn)而生。

1 傳統(tǒng)環(huán)境下無線網(wǎng)絡(luò)建設(shè)的不足

1.1 傳統(tǒng)無線網(wǎng)絡(luò)規(guī)劃不合理

傳統(tǒng)醫(yī)院網(wǎng)絡(luò)規(guī)劃為一核心虛擬化組，加DHCP服務(wù)器，每個(gè)樓層一臺(tái)匯聚，匯聚下聯(lián)接入交換機(jī)，接入交換機(jī)再連接客戶端。且無線網(wǎng)絡(luò)和有線網(wǎng)絡(luò)是混搭在一起使用，結(jié)構(gòu)如下圖所示。

如圖2所示，管理上較為艱難，拓?fù)漭^為復(fù)雜，有線網(wǎng)絡(luò)不僅影響了無線網(wǎng)絡(luò)的使用，客戶端的網(wǎng)關(guān)還在核心上，如有線網(wǎng)絡(luò)某個(gè)節(jié)點(diǎn)發(fā)生故障，有線和無線勢(shì)必會(huì)相互影響。其次，無線網(wǎng)絡(luò)與有線網(wǎng)絡(luò)出口帶寬共用，當(dāng)有線網(wǎng)絡(luò)帶寬達(dá)到即將飽和時(shí)，無線網(wǎng)絡(luò)出口速度將會(huì)很慢，無線網(wǎng)絡(luò)無線ap的發(fā)射無線信號(hào)的性能又較差，導(dǎo)致訪問不夠快。部分醫(yī)療無線手持設(shè)備聯(lián)網(wǎng)速度和切換無線網(wǎng)絡(luò)移動(dòng)切換速度較慢，也會(huì)影響了醫(yī)生和護(hù)士的工作效率。

圖2 無線網(wǎng)絡(luò)和有線網(wǎng)絡(luò)混搭使用結(jié)構(gòu)圖

1.2 傳統(tǒng)無線網(wǎng)絡(luò)安全性較差

無線網(wǎng)絡(luò)傳統(tǒng)模式，大多使用WEP，WPA的加密方式，接入密碼復(fù)雜度不高，長(zhǎng)度不高，而這些協(xié)議和方法是不安全的，沒有做到MAC地址過濾的認(rèn)證方式，直接或者間接得知密碼后，即可接入無線網(wǎng)絡(luò)，不需要任何認(rèn)證，沒有準(zhǔn)入條件。因此，傳統(tǒng)無線網(wǎng)絡(luò)安全性較差。

1.3 傳統(tǒng)無線網(wǎng)絡(luò)缺少防護(hù)和監(jiān)控設(shè)備

傳統(tǒng)無線網(wǎng)絡(luò)被認(rèn)為可用就行，某些用戶在成功連接無線網(wǎng)絡(luò)后，有意或無意間訪問了一些違法、違規(guī)的活動(dòng)鏈接或與工作不相關(guān)的網(wǎng)站，對(duì)醫(yī)院整體網(wǎng)絡(luò)造成了直接或間接的危害，而且無法查證，讓網(wǎng)絡(luò)管理者陷入了被動(dòng)，無法追溯緣由。其實(shí)，是缺少防范安全和追溯的硬件設(shè)備。

2 無線網(wǎng)絡(luò)架構(gòu)部署

本設(shè)計(jì)對(duì)以上項(xiàng)目的不足之處進(jìn)行了改進(jìn)，設(shè)計(jì)出了如下無線網(wǎng)絡(luò)結(jié)構(gòu)方案。根據(jù)安全、高速的前提，在又不影響有線網(wǎng)絡(luò)的條件下，實(shí)現(xiàn)最安全、最高速無線網(wǎng)絡(luò)架構(gòu)，而且又要讓維護(hù)人員管理方便。新增一條百兆無線專線寬帶，單獨(dú)給無線網(wǎng)絡(luò)一個(gè)互聯(lián)網(wǎng)出口，與有線互聯(lián)網(wǎng)出口物理隔離。架設(shè)一張無線網(wǎng)絡(luò)與醫(yī)院有線網(wǎng)絡(luò)進(jìn)行邏輯隔離，如無線網(wǎng)絡(luò)設(shè)備有訪問HIS、LIS、EMR、PACS等業(yè)務(wù)需求，可在與醫(yī)院有線網(wǎng)絡(luò)互聯(lián)的下一代防火墻上進(jìn)行授權(quán)開通訪問，防火墻ACL策略實(shí)現(xiàn)金融級(jí)別的端口白名單模式。每個(gè)匯聚間，單獨(dú)架設(shè)一個(gè)匯聚交換機(jī)，下聯(lián)接無線的接入POE交換機(jī)。如下圖3所示。

圖3 無線網(wǎng)絡(luò)結(jié)構(gòu)方案

2.1 無線網(wǎng)絡(luò)核心區(qū)域設(shè)計(jì)

整體網(wǎng)絡(luò)架構(gòu)分為三層，核心層，匯聚層，接入層的網(wǎng)絡(luò)結(jié)構(gòu)。無線設(shè)備管理地址網(wǎng)關(guān)和無線客戶端網(wǎng)關(guān)均配置在一臺(tái)園區(qū)級(jí)核心交換機(jī)上，DHCP服務(wù)配置在另一臺(tái)交換機(jī)上。這樣設(shè)計(jì)是為了讓無線客戶端無縫漫游，用戶移動(dòng)中，不會(huì)因?yàn)镮P地址變化而使得客戶端重新連接，保證無縫接入，移動(dòng)中同一設(shè)備IP地址不發(fā)生變化。旁掛一臺(tái)無線控制器，對(duì)所有無線設(shè)備統(tǒng)一管理和下發(fā)配置。匯聚層部署匯聚交換機(jī)，分布于各自的配線間中，與核心交換機(jī)二層透明連接。接入層，在各樓層的弱電間內(nèi)部署POE交換機(jī)，供無線設(shè)備連接和供電使用。 外網(wǎng)部分，采購(gòu)一條電信運(yùn)營(yíng)商的200 M光纖線路專線作為互聯(lián)網(wǎng)出口，架設(shè)一臺(tái)下一代防火墻，做互聯(lián)網(wǎng)出口的防火墻使用，同時(shí)需配備實(shí)時(shí)更新的入侵檢測(cè)和防病毒模塊，而且ACL級(jí)別實(shí)現(xiàn)到金融級(jí)的端口級(jí)別，非常好地保護(hù)了無線網(wǎng)絡(luò)互訪的信息安全。

2.2 無線AP接入設(shè)計(jì)

本設(shè)計(jì)采用無線控制器和無線ap的管理模式。在業(yè)務(wù)較多，工作繁忙的門診，病區(qū)以及行政人員密集的區(qū)域，需采用高密的無線設(shè)備。在手術(shù)中心，消毒供應(yīng)室等封閉區(qū)域，可采用普通的無線設(shè)備，來確保信號(hào)強(qiáng)度，保證上網(wǎng)的流程性。高密度無線AP相比普通無線AP體積要較大，如下圖所示。

圖4 高密度無線AP和普通無線AP

2.3 與醫(yī)院內(nèi)網(wǎng)互聯(lián)設(shè)計(jì)

連接無線網(wǎng)絡(luò)的設(shè)備一般都是手機(jī)和筆記本，加上一系列的無線醫(yī)療設(shè)備，手機(jī)和筆記本一般不需要訪問院內(nèi)HIS、LIS、EMR、PASC等系統(tǒng)，只可上微信QQ等應(yīng)用外網(wǎng)功能即可。無線醫(yī)療設(shè)備必須與院內(nèi)HIS、LIS、EMR、PASC等系統(tǒng)對(duì)接，因此，在無線網(wǎng)絡(luò)和院內(nèi)核心之間架設(shè)一臺(tái)下一代防火墻進(jìn)行邏輯隔離和策略管理。該防火墻提供IPS規(guī)則庫(kù)和病毒庫(kù)功能，對(duì)惡意威脅會(huì)進(jìn)行識(shí)別，所有的ACL策略采用默認(rèn)禁止，授權(quán)開放的模式，而且級(jí)別實(shí)現(xiàn)到金融級(jí)別。同時(shí)，無線網(wǎng)絡(luò)也接入到醫(yī)院內(nèi)網(wǎng)使用的態(tài)勢(shì)感知平臺(tái)中，內(nèi)網(wǎng)進(jìn)行統(tǒng)一監(jiān)控和報(bào)警處理。在出口處單獨(dú)架設(shè)一臺(tái)上網(wǎng)行為管理，可與醫(yī)院內(nèi)網(wǎng)的全網(wǎng)行為管理共同使用，對(duì)用戶的流量進(jìn)行分析和甄別，追溯源頭。態(tài)勢(shì)感知，下一代防火墻和上網(wǎng)行為管理三管齊下，非常好地保護(hù)了無線網(wǎng)絡(luò)和內(nèi)網(wǎng)互訪的信息安全。

2.4 無線網(wǎng)絡(luò)安全性控制設(shè)計(jì)

無線網(wǎng)絡(luò)的安全性控制具體可分為以下幾點(diǎn)，

（1）無線控制器對(duì)無線ap進(jìn)行統(tǒng)一管理和下發(fā)配置，無線客戶端接入無線時(shí)，需要登記設(shè)備的MAC地址方可接入。

（2）加強(qiáng)無線接入的密碼，不少于3種字符類型，密碼超過8位長(zhǎng)度。

（3）可根據(jù)實(shí)際情況，隱藏?zé)o線信號(hào)，關(guān)閉廣播功能。

（4）在無線控制器中，無線ap的接入采用白名單模式，可根據(jù)ap 的序列號(hào)和MAC地址進(jìn)行綁定方可接入。

3 無線網(wǎng)絡(luò)設(shè)備設(shè)計(jì)

3.1 無線交換機(jī)設(shè)計(jì)

無線網(wǎng)關(guān)核心交換機(jī)采用華三品牌的交換機(jī)，LS-6520X系列的三層交換機(jī)，匯聚層使用LS-5130S-52P-EI系列交換機(jī)，接入層使用LS-5130S-28P-HPWR-EI 的poe交換機(jī)。

圖5 華三交換機(jī)

3.2 無線設(shè)備設(shè)計(jì)

無線設(shè)備采用支持Wi-Fi6技術(shù)的某廠商品牌，無線控制器采用WX3520H型號(hào)，普通無線AP為EWP-WA5320-FIT型號(hào)，高密度無線AP為EWP-WA5530-FIT，以上無線AP均支持Wi-Fi6功能。

3.3 內(nèi)網(wǎng)互聯(lián)設(shè)備設(shè)計(jì)

下一代防火墻選用深信服品牌，為AF-1000-B1350-2M，該系列產(chǎn)品主流是防御安全病毒的下一代防火墻，配備了實(shí)時(shí)更新的入侵檢測(cè)和防病毒模塊，同時(shí)建立金融級(jí)別的ACL策略。防火墻所有的ACL策略采用默認(rèn)禁止，授權(quán)開放的模式，而且級(jí)別實(shí)現(xiàn)到端口級(jí)別，保護(hù)了無線網(wǎng)絡(luò)互訪的信息安全，提供了更深一層的保障。同時(shí)，也將無線網(wǎng)絡(luò)接入到深信服態(tài)勢(shì)感知和上網(wǎng)行為管理中，更好地監(jiān)控甄別了無線用戶流量。

圖6 華三無線AP

圖7 深信服下一代防火墻

4 結(jié)語

目前無線網(wǎng)絡(luò)在各行業(yè)使用都很普遍，隨著近幾年信息網(wǎng)絡(luò)安全趨勢(shì)越來越嚴(yán)峻，一旦遭受攻擊和威脅，就會(huì)造成很大的損失。醫(yī)院高速安全的無線網(wǎng)絡(luò)建設(shè)，還有很多值得深入研究的地方，可以預(yù)見，在將來，Wi-Fi6級(jí)別高速安全的無線網(wǎng)絡(luò)，將會(huì)越來越流行。