论文部分内容阅读
[摘要]:分布式防火墙技术的使用可以加强内外网关之间数据交换的安全性,采用默认路由,静态路由,网络地址转换等技术实现医院网双出口的设计及配置,是两出口协调工作,合理的分担了进出医院网的流量,提高了医院网双出口的利用率。
[关键词]:防火墙;网络应用;静态路由;医院网络
中图分类号:TU56+1.66 文献标识码:TU 文章编号:1009-914X(2013)01- 0243-01
1、引言
防火墙,是用来防范非授权的访问,保护信息安全的一个或一组系统,它在内部网络和外部网络之间架起的一层屏障,它综合采用验证、过滤及应用网关等技术,加强内外网络之间的访问控制,它对两个网络间传输的报文和连接方式按照一定的安全策略进行检查,从而达到保护内部网络的目的。一般意义上的防火墙用于非授权访问的防范,这种防范对于企事业单位的网络安全起到了非常重要的作用。防火墙是在内部网与外部网之间实施安全防范的系统,它限制外界用户对内部网络的访问,管理内部用户访问外部网络的权限,保护着主机信息在网络上的安全。
2、医院网络访问速度的制约因素
医院网是医疗的信息化建设的基础设施,是医学科研管理信息化和现代化的重要平台。大部分医院网从初建至今已有几年的历史。由于医院的办公和信息查询等需求,一般做法是引入一条宽带网络,在引入一条专业医疗信息网络,但是由于专业的医疗信息与其他非医疗网络如CHINANET之间存在瓶颈,所以从医疗网访问诸如新浪、搜狐等非医疗网站点时速度相对较慢。在网络资源分配上,可以同时开通网通线路和专业医疗信息网线路,这样做的好处是可以同时高速访问医疗网资源和非医疗网资源,满足医师查询医疗信息和办公的需求。
接入医疗信息网后,医院网应满足如下需求:
(1)客户端IP地址设置不受影响,即不用重新设置地址就可以正常上网;
(2)客户端访问医疗信息网的网站时,走医疗信息网线路,访问其他站点时,走网通线路。
(3)尽可能的节约医院网调整、改造的投资。
3、网络双出口解决方案
目前解决网络双出口的方案通常会使用默认路由、静态路由、NAT转换等技术。
3.1静态路由
静态路由是在路由器中设置的固定的路由表。除非网络管理员干预,否则静态路由不会发生变化。静态路由的优点是简单、高效、可靠。在所有的路由中,静态路由优先级最高。当动态路由与静态路由发生冲突时,以静态路由为准。这种方式对于上网的路由选择与用户无关,用户的上网方式无需进行任何改动,可操作性较好。同时,网络管理人员可以根据两个出口的带宽和流量情况,调整路由指向。
建立静态路由的命令为:
ip route 目的地址网络 目的网络子网掩码 下一跳地址
3.2默認路由
默认路由是一种特殊的静态路由,指的是当路由表中与包的目的地址之间没有匹配的表项时路由器能够做出的选择。默认路由在某些时候非常有效,当存在末梢网络时,默认路由会大大简化路由器的配置,减轻管理员的工作负担,提高网络性能.
3.3NAT技术
NAT是Network Address Translation的缩略,顾名思义就是网络IP地址的转换。NAT的出现是为了解决IP日益短缺的问题,将多个内部地址映射为少数几个甚至一个公网地址。这样,就可以让我们内部网中的计算机通过伪IP访问INTERNET的资源。目前NAT功能通常被集成到路由器、防火墙等设备中。NAT设置可以分为静态地址转换、动态地址转换和端口地址转换。
3.3.1静态地址转换
静态地址转换将内部合法地址与内部本地地址进行一对一地转换,且需要指定和哪个合法地址进行转换。如果内部网络有WWW服务器或FTP服务器等可以为外部用户提供服务,则这些服务器的IP地址必须采用静态地址转换,以便外部用户可以使用这些服务。
3.3.2动态地址转换
动态地址转换也是将内部本地地址与内部合法地址一对一地转换,但是动态地址转换是从内部合法地址池中动态地选择一个未使用的地址来对内部本地地址进行转换的。
3.3.3端口地址转换
端口地址转换首先是一种动态地址转换,但是它可以允许多个内部本地地址共用一个内部合法地址。对只申请到少量IP地址但却经常同时有多个用户上外部网络的情况,这种转换极为有用。
4、双出口解决方案技术措施
此技术方案采用策略路由结合网络地址转换和访问控制列表来具体实现,可在医院网络出口采用NAT和策略路由技术,对于访问目标地址不在CERNET范围之内的,或属于公众网的地址,首先通过NAT进行网络地址转换,然后将请求通过网通出口路由出去,将计算机与CERNET及其联网单位的通信通过CERNET出口进行。
由于涉及到网络安全机密,医院网的各个接口地址均由其他地址代替。
4.1核心交换机的配置
核心交换机的配置分为两步,首先设置默认路由指向连接网通路由器,然后对于所有走医疗信息网流量设置静态路由,指向连接医疗信息网的路由器。
由于医疗信息网上经常会增删一些IP地址,未免IP地址有变化或者医疗信息网站点不全面,可从医疗信息网下载最新地址列表。同时为避免静态路由条目太多,可使用超网技术合并一些相似的IP地址。
4.2在防火墙上进行NAT配置
通常的做法是将NAT放在路由器上,由于路由器采用硬件技术进行数据包转发,具有转发速度快的特点,但路由器是靠软件来实现地址转换的,当地址转换列表大量产生时,会导致路由器的CPU的利用率过高甚至产生宕机现象。
在路由器满负荷工作时,防火墙、核心交换机的负荷却很低,还没有充分发挥这些设备的性能,所以将路由器的工作分散到防火墙上。利用防火墙作NAT,无论转换速度还是处理能力都比用路由器做NAT效果好得多,不会出现占用CPU资源过高的现象。
5、结束语
医院网按新的拓扑结构设置后,很好的解决了以前在医院网双出口实施中存在的问题,运行以来效果很好,由于在核心交换机上作优化的策略路由,利用防火墙作网络地址转换,医院网用户既可以高速地访问医疗信息网上的资源,本地ISP出口也不显得拥挤不堪。医院网的双出口已为越来越多的医院所采纳。
参考文献:
[1]李华飚,柳帧良.防火墙核心技术精解[M].北京:中国水利水电出版社,2005.09
[2]V.V.Preetham.Internet安全与防火墙[M].北京:清华大学出版社.2004.07
[3]赵戈,等.用分布式防火墙构造网络安全体系[J].计算机应用研究.2004.02
[关键词]:防火墙;网络应用;静态路由;医院网络
中图分类号:TU56+1.66 文献标识码:TU 文章编号:1009-914X(2013)01- 0243-01
1、引言
防火墙,是用来防范非授权的访问,保护信息安全的一个或一组系统,它在内部网络和外部网络之间架起的一层屏障,它综合采用验证、过滤及应用网关等技术,加强内外网络之间的访问控制,它对两个网络间传输的报文和连接方式按照一定的安全策略进行检查,从而达到保护内部网络的目的。一般意义上的防火墙用于非授权访问的防范,这种防范对于企事业单位的网络安全起到了非常重要的作用。防火墙是在内部网与外部网之间实施安全防范的系统,它限制外界用户对内部网络的访问,管理内部用户访问外部网络的权限,保护着主机信息在网络上的安全。
2、医院网络访问速度的制约因素
医院网是医疗的信息化建设的基础设施,是医学科研管理信息化和现代化的重要平台。大部分医院网从初建至今已有几年的历史。由于医院的办公和信息查询等需求,一般做法是引入一条宽带网络,在引入一条专业医疗信息网络,但是由于专业的医疗信息与其他非医疗网络如CHINANET之间存在瓶颈,所以从医疗网访问诸如新浪、搜狐等非医疗网站点时速度相对较慢。在网络资源分配上,可以同时开通网通线路和专业医疗信息网线路,这样做的好处是可以同时高速访问医疗网资源和非医疗网资源,满足医师查询医疗信息和办公的需求。
接入医疗信息网后,医院网应满足如下需求:
(1)客户端IP地址设置不受影响,即不用重新设置地址就可以正常上网;
(2)客户端访问医疗信息网的网站时,走医疗信息网线路,访问其他站点时,走网通线路。
(3)尽可能的节约医院网调整、改造的投资。
3、网络双出口解决方案
目前解决网络双出口的方案通常会使用默认路由、静态路由、NAT转换等技术。
3.1静态路由
静态路由是在路由器中设置的固定的路由表。除非网络管理员干预,否则静态路由不会发生变化。静态路由的优点是简单、高效、可靠。在所有的路由中,静态路由优先级最高。当动态路由与静态路由发生冲突时,以静态路由为准。这种方式对于上网的路由选择与用户无关,用户的上网方式无需进行任何改动,可操作性较好。同时,网络管理人员可以根据两个出口的带宽和流量情况,调整路由指向。
建立静态路由的命令为:
ip route 目的地址网络 目的网络子网掩码 下一跳地址
3.2默認路由
默认路由是一种特殊的静态路由,指的是当路由表中与包的目的地址之间没有匹配的表项时路由器能够做出的选择。默认路由在某些时候非常有效,当存在末梢网络时,默认路由会大大简化路由器的配置,减轻管理员的工作负担,提高网络性能.
3.3NAT技术
NAT是Network Address Translation的缩略,顾名思义就是网络IP地址的转换。NAT的出现是为了解决IP日益短缺的问题,将多个内部地址映射为少数几个甚至一个公网地址。这样,就可以让我们内部网中的计算机通过伪IP访问INTERNET的资源。目前NAT功能通常被集成到路由器、防火墙等设备中。NAT设置可以分为静态地址转换、动态地址转换和端口地址转换。
3.3.1静态地址转换
静态地址转换将内部合法地址与内部本地地址进行一对一地转换,且需要指定和哪个合法地址进行转换。如果内部网络有WWW服务器或FTP服务器等可以为外部用户提供服务,则这些服务器的IP地址必须采用静态地址转换,以便外部用户可以使用这些服务。
3.3.2动态地址转换
动态地址转换也是将内部本地地址与内部合法地址一对一地转换,但是动态地址转换是从内部合法地址池中动态地选择一个未使用的地址来对内部本地地址进行转换的。
3.3.3端口地址转换
端口地址转换首先是一种动态地址转换,但是它可以允许多个内部本地地址共用一个内部合法地址。对只申请到少量IP地址但却经常同时有多个用户上外部网络的情况,这种转换极为有用。
4、双出口解决方案技术措施
此技术方案采用策略路由结合网络地址转换和访问控制列表来具体实现,可在医院网络出口采用NAT和策略路由技术,对于访问目标地址不在CERNET范围之内的,或属于公众网的地址,首先通过NAT进行网络地址转换,然后将请求通过网通出口路由出去,将计算机与CERNET及其联网单位的通信通过CERNET出口进行。
由于涉及到网络安全机密,医院网的各个接口地址均由其他地址代替。
4.1核心交换机的配置
核心交换机的配置分为两步,首先设置默认路由指向连接网通路由器,然后对于所有走医疗信息网流量设置静态路由,指向连接医疗信息网的路由器。
由于医疗信息网上经常会增删一些IP地址,未免IP地址有变化或者医疗信息网站点不全面,可从医疗信息网下载最新地址列表。同时为避免静态路由条目太多,可使用超网技术合并一些相似的IP地址。
4.2在防火墙上进行NAT配置
通常的做法是将NAT放在路由器上,由于路由器采用硬件技术进行数据包转发,具有转发速度快的特点,但路由器是靠软件来实现地址转换的,当地址转换列表大量产生时,会导致路由器的CPU的利用率过高甚至产生宕机现象。
在路由器满负荷工作时,防火墙、核心交换机的负荷却很低,还没有充分发挥这些设备的性能,所以将路由器的工作分散到防火墙上。利用防火墙作NAT,无论转换速度还是处理能力都比用路由器做NAT效果好得多,不会出现占用CPU资源过高的现象。
5、结束语
医院网按新的拓扑结构设置后,很好的解决了以前在医院网双出口实施中存在的问题,运行以来效果很好,由于在核心交换机上作优化的策略路由,利用防火墙作网络地址转换,医院网用户既可以高速地访问医疗信息网上的资源,本地ISP出口也不显得拥挤不堪。医院网的双出口已为越来越多的医院所采纳。
参考文献:
[1]李华飚,柳帧良.防火墙核心技术精解[M].北京:中国水利水电出版社,2005.09
[2]V.V.Preetham.Internet安全与防火墙[M].北京:清华大学出版社.2004.07
[3]赵戈,等.用分布式防火墙构造网络安全体系[J].计算机应用研究.2004.02