基于MNSS的医院PIX防火墙仿真实验设计

众创空间Technology Innovation and Application2018年13期基于MNSS的医院P IX防火墙仿真实验设计*
蒋韬，吴响，黄怡鹤，俞稳龙
(徐州医科大学医学信息学院，江苏徐州221000)
摘要：随着医院医疗水平的提升和病患诊疗数据的增多，如何安全隔离内外网，保护医疗数据的安全，成了目前各大医院需要考虑的问题。

P IX防火墙是思科公司自主开发的防火墙设备，具有路由策略过滤，内网与外网隔绝等功能。

文章基于MNSS(Medical Network System Simulator)仿真软件模拟医院H X防火墙，以达到医院内外网防火墙实验研究需求。

关键词：医院数据安全;M NSS;仿真实验;P IX防火墙
中图分类号:TN711 文献标志码：A 文章编号=2095-2945(2018) 13-0044-02
Abstract: With the improvement of medical level of hospitals and the increase of patient diagnosis and treatment data, how to safely isolate the inside and outside network and protect the safety of medical data have become the problems that need to be con­sidered by the major hospitals at present. PIX Firewall is a firewall device developed by Cisco Company. It has the functions of routing policy filtering, intranet isolation and so on. This paper simulates the hospital PIX firewall based on MNSS (Medical Network System Simulator) in order to meet the need of the experimental research on the firewall inside and outside the hospital.
Keywords: hospital data security; MNSS; simulation experiment; PIX Firewall
1概述
随着“互联网+医疗”时代的到来，数字医院、智慧医院 等概念逐渐兴起，医院信息化的趋势愈加明显[1]。

然而在医 院业务不断拓宽的同时，频繁的医院内外部数据交流和信 息共享给了不法分子可趁之机。

医院信息系统中保存着大 量患者的隐私信息，一旦泄露将带来难以预计的损失。

因此，对医院网络安全的研究刻不容缓。

针对传统网络实验教学中设备短缺等共性问题，我校 借助M N S S模拟器模拟医院内外网防火墙^以帮助学生在虚拟仿真实验平台上完成医院网络拓扑搭建和内外网 管理过程，既降低实验成本，又保证实验效果和教学质量。

本文将结合医院实际情况，详细讲解P I X防火墙技术在医 院信息安全领域中的应用。

2防火墙相关简介
2.1防火墙定义及分类
防火墙是作用于网络系统边界的一种软件或者硬件。

通过建立访问规则和安全策略隔离两个网络，以实现访问 控制。

它是内外网络之间数据流通的唯一通道，决定外部 网络对内部的访问权限，最大程度地拦截非法人侵等[3]。

防火墙大致分为三类：网络层包过滤型、应用层代理 服务型与复合型，具体如下：
(1)网络层包过滤型防火墙通常被安置于路由器上，通过A C L实现访问控制[4]。

通过建立的访问规则对接收的 每一个数据包进行判断以决定是否转发或抛弃。

和规则匹 配的数据包会被转发，反之则会被抛弃。

其中，包过滤的主要检测对象是源IP地址、目标IP地址、协议类型、端口等
信息[5]。

(2)应用层代理服务型防火墙利用代理服务器将内网 与外网分开。

代理服务器在两者之间充当中转站的角色，
避免内部用户与外部不受信任的主机直接建立联系。

同时
代理服务器可以提供详细的日志和审计功能，提高网络安
全度[6]。

(3) 复合型防火墙是上述两者的结合，继承了两者的 优点。

其中，Cisco P IX防火墙就是这一•类型的防火墙。

2.2 P IX防火墙
P IX防火墙是思科公司开发的防火墙产品，能够满足
多种设计方案要求。

一般情况下，P IX防火墙仅有两个接
口：内部接口连接到受防火墙保护的医院内网，而外部接
口连接到因特网。

它使用网络地址转换技术将内部主机的
地址进行映射，使之映射为外部地址。

并将所有会话的状
态信息都写人状态表中进行记忆，对所有通过防火墙的外
部数据流进行比对，若存在于状态表中，那么数据流则可
以通过防火墙，来到内部网络。

而那些不存在于状态表的
外部数据流，则要分辨它们是否违背安全协议，如若没有
违背安全协议，就可以将其存人状态表中去。

但是若违背
安全协议，那么就要将包舍弃，不允许其通过防火墙，拒绝
数据流进人到内部网络。

这种机制控制了外部网络对医院
内部大数据资源的访问，安全隔离内外网，起到保护患者
隐私的效果[7]。

3实验仿真设计
*基金项目：江苏省现代教育技术研究重点项目“面向个性化学习推荐系统的差分隐私模型研究及其在MNSS中的应用冶(编号:2017-R-57922);赛尔网络下一代互联网技术创新项目“基于IPv6的医学信息虚拟仿真教学平台MNSSv6的研发与构建冶(编号:NGII20170515)
作者简介：蒋韬（1996-)，男，汉族，本科，主要从事医学信息工程方面的研究；吴响，副高职称，工学博士，思科认证互联网专家(CCIE#22702)，江苏省“双创计划”江苏省医学会医学信息学分会委员，江苏省计算机学会嵌入式与物联网分会委员，物联网应用高级工程师，徐州医科大学 优秀共产党员。

2018年13期Technology Innovation and Application众创空间
图1实验拓扑图
PIX (config)#global (outside) 1 192.168.1.3 -192.168.1.5 netmask 255.255.255.0 !使用 global 命令设
置地址池
PIX (config)#global (dmz) 1 200.1.2.3 -200.1.2.4 netmask 255.255.255.0
PIX (config)#route inside 172.16.2.0 255.255.255.0 172.16.1.2 !实现到内部网络的路由，设置下一 跳地址
(5)外网对DMZ区的访问配置 如下：
PIX(config)#static (dmz,outside) 200.1.2.1 192.168.1.2
4验证与分析
在P C上测试远程登录INTER­NET 中的本地主机 200.1.2.2,测试 结果如下：
PC#Telnet 200.1.2.2
Trying 200.1.2.2 …Open
3.1实验拓扑
在MNSS的工作区域中搭建医院内外网隔离网络拓 扑图。

如图1所示，R1为互联网服务提供商，模拟外网;R2 为医院边界出口路由器，模拟内网;R3为DMZ的网关路 由器，模拟资源库区域。

其中，所有路由器设备都是通过 c7200系列路由器模拟的，全网通过OSPF路由协议实现 互联。

User Access Verification
Password:
Internet〉
结果表明内网流量是可以通过医院P IX防火墙的。

这 是因为内部发出的流量在经过PIX访问外部（或者DMZ)时，内部地址会被转化成地址池中的外部地址(或者DMZ 地址)。

3.2 IP地址分配
实验关键设备及其接口地址配置如表1。

表1实验关键设备及接口 IP地址
设备端口IP地址备注
F0/0172.16.1.1/24
PIX F1/0200.1.1.1/24Internet己桥接到真实网络F2/0192.168.1.1/24
5结束语
在本文中，我们以Cisco PIX 804为例介绍了 P I X防 火墙在医院网络系统中的应用，通过在MNSS中模拟医院 网络的仿真实验，验证了 P IX防火墙具有路由策略过滤、内网与外网隔绝等功能，从而保证医院内部网络的安全，有效防范来自因特网的非法攻击。

3.3 PIX关键配置
(1 )outside 区域的配置如下：PIX (config-if)#nameif outside ！将接口命名为 outside
PIX(config-if)#security-level 0 ！将安全级别设为 0
(2) inside区域的配置如下：
PIX (config-if)#nameif inside PIX (config-if)#security- level 100
(3)dmz区域的配置如下：
PIX(config-if)#nameif dmz PIX(config-if)#security-level 50
(4) NAT地址转换相关配置如下：
PIX(config)#nat (inside) 1172.16.2.0 255.255.255.0 ！允许内网流量通过PIX 参考文献：
[1] 许培海，宗文红，周洲，等.我国公立医院数字医疗建设现状调查与分析[J].中国卫生信息管理杂志，2015(2): 124-130.
[2] 王竞，吴响，黄怡鹤，等.医学院校物联网工程专业虚拟仿真实验教学体系建设与实践[J].高教学刊，2017(21):35-37.
[3] 陈香芹.浅析防火墙技术在医院网络中的应用[J].中国新技术新产品，2016(2): 182.
[4] 吴刚.Cisco路由器A C L剖析[J].计算机安全，2010(9)：91-94.
[5] 李琳.试析计算机防火墙技术及其应用[J].信息安全与技术，2012(8)：46-48+51.
[6] 张玲丽.基于G N S3虚拟机的P I X防火墙配置实例[J].数字通信，2014(5): 78-80.
[7] 夏青，石骏骥■构筑图书馆Cisco P IX防火墙系统[J].辽宁税务高等专科学校学报，2005，17(2):43-44.
-45
-。