张 利 曾德高
湖南省肿瘤医院中南大学湘雅医学院附属肿瘤医院放疗物理室,湖南长沙 410013
[摘要] 构筑基于Linux的防火墙可以有效地解决放疗综合科网络与医院大网络之间医学影像数据的互传共享及计划录入问题。该研究主要从安全性、稳定性、高效性角度阐述Linux iptables规则的灵活运用。着重论叙了三网卡Linux防火墙系统的安装、配置以及测试。
[教育期刊网 http://www.jyqkw.com
关键词 ] Linux;放疗网络;iptables规则;安全性
[中图分类号]R734.2 [文献标识码] A [文章编号] 1672-5654(2015)03(a)-0139-02
The Application of Linux firewall in Radiotherapy network
ZHANG Li ZENG Degao
Radiotherapy department of physics Central South University Cancer Hospital of Xiangya Medical College Affiliated Tumor Hospital of Hunan Province,Changsha,Hunan Province,410013 China
[Abstract] To building a firewall based on Linux can effectively solve the problem of medical image data between the department of radiotherapy comprehensive network and hospital large network mutual sharing and planned entry problems. Flexibility in the use of this article focuses on Linux iptables rules from the security, stability, high efficiency angle. Mainly discusses the three card Linux firewall system installation, configuration and test.
[Key words] Linux;Radiotherapy network;Iptables;Safety
[作者简介] 张利(1984-),女,湖南株洲人,本科,肿瘤放射物理,湖南省肿瘤医院。
现代化放射治疗除了医疗技术现代化、设备现代化,信息和管理手段也要现代化[1]。放射治疗的信息化程度标志着一个医院放疗技术的发展水平。放射治疗信息化发展的主要目标之一就是整合全医院的各种资源,为医院的医疗、科研、教学提供一个共享平台。
放疗中心是肿瘤医院不可缺少的科室。该院放疗中心设有模拟定位室、型模室、后装治疗室、物理室、放疗技术组和热疗室,承担全院放射治疗方面的临床、科研、教学工作。放疗中心有Varian、Mosaiq、Precise等网络系统。经过前期的信息化建设,建成了基本适应放射治疗应用系统要求的网络基础平台[1]。
当前,该院医院大网络与放疗综合科网络各自处于不同的网络环境,两个网络之间存在物理隔离,不能有效的传输数据。影像数据刻盘、拷盘浪费大量人力物力,且必须满足医生能够在放疗病房(医院大网络)访问计划管理系统(放疗综合科网络)。短时间内通过改变网络结构将放疗网络融入医院大网络不现实。而Linux系统集合了硬件配置要求低,稳定、安全性能高,内核功能强大等优点。且Linux防火墙在应用中发展和完善,形成功能强大的netfilter/iptables架构,已经实现了商用防火墙的大部分功能,其低廉的价格和良好的安全性已经得到了越来越广泛的关注。对于中小局域网络而言,购买商用防火墙系统需要较大的资金投入[2]。构筑基于Linux的防火墙来解决上述问题可以达到成本小,见效快,安全可靠的效果,因此,Linux防火墙应运而生。
首先,根据实际情况定义防火墙的访问规则:①内部可以有选择访问外部;②外部可以有选择访问内部;③DMZ不能访问外部;④外部可以访问DMZ;⑤DMZ不能访问内部;⑥内部可以访问DMZ。
其次,选择一台三网卡工作站(可自行安装独立网卡),选择Ubuntu 12.04 Server 版(无图形界面)Linux操作系统。具体配置如下。
1分别配置好防火墙的三个网卡接口信息
2为了使FORWARDl链能够转发数据包,需要运行echo命令开启路由转发功能
3配置iptables 安全策略
#只允许放疗综合科内部用户访问防火墙
iptables-A INPUT -i eth1 -s 192.168.1.0/24 -j ACCEPT
#允许放疗大科病房主机(属于医院大网络)访问计划管理系统
iptables-A FORWARD -s 192.168.2.100 -j ACCEPT
iptables-A FORWARD-s 172.25.0.0/19 -d 192.168.2.100 -j ACCEPT
#允许内网用户访问计划管理系统
iptables-A FORWARD-s 192.168.2.100 -j ACCEPT
iptables-A FORWARD-s 192.168.1.0/24 -d 192.168.2.100 -j ACCEPT
#允许放诊科CT传送图像至CMS_XIO服务器
iptables -A FORWARD -s 192.168.1.81 -j ACCEPT
iptables -A FORWARD -s 172.25.2.106 -d 192.168.1.81 -j ACCEPT
允许放诊科CT传图像至MastetPlan服务器
iptables -A FORWARD -s 192.168.1.130 -j ACCEPT
iptables -A FORWARD -s 172.25.2.106 -d 192.168.1.130 -j ACCEPT
允许放诊科CT传图像至Pinnacle服务器
iptables -A FORWARD -s 192.168.1.146 -j ACCEPT
iptables -A FORWARD -s 172.25.2.106 -d 192.168.1.146 -j ACCEPT
#允许此主机上医院网络系统方便邮件传送资料
iptables -A FORWARD -s 192.168.1.151 -j ACCEPT
iptables -A FORWARD -d 192.168.1.151 -j ACCEPT
#此主机禁止上医院HIS系统
iptables -A FORWARD-s 192.168.1.200 -d 172.26.100.100/29 -j ACCEPT
#允许此主机上医院电子图书馆查阅资料
iptables-A FORWARD-s 192.168.1.200 -d 172.26.100.144/29 -j ACCEPT
#允许特定主机上院网络(结合上述FORWARD规则链)
iptables-t nat-A POSTROUTING-s 192.168.1.128-o eth0 -j SNAT --to 172.25.25.100
iptables-t nat -A POSTROUTING-s 192.168.1.151-o eth0 -j SNAT-to 172.25.25.100
iptables-t nat -A POSTROUTING-s 192.168.2.200-o eth0 -j SNAT -to 172.16.25.100
#开放放疗科计划管理系统80端口
iptables -t nat -A PREROUTING -d 172.25.25.100 -p tcp --dport 80 -j DNAT --to-destination 192.168.2.128:80
#开放104端口传输DICOM影像图至CMS_XIO服务器
iptables -t nat -A PREROUTING -d 172.25.25.100 -p tcp --dport 104 -j DNAT --to-destination 192.168.1.100:104
#开放104端口传输DICOM影像图至MastetPlan服务器
iptables -t nat -A PREROUTING -d 172.25.25.100 -p tcp --dport 10400 -j DNAT --to-destination 192.168.1.130:104
#开放104端口传输DICOM影像图至Pinnacle服务器
iptables-t nat-A PREROUTING -d 172.25.25.100-p tcp-dport 20400 -j DNAT -to-destination 192.168.1.146:104
将以上规则连同echo命令一起保存至脚本iptables.sh ,执行命令chmod 744 iptables.sh使该脚本具有-rwxr--r--权限。
4测试规则是否生效
①内网主机Ping防火墙内网口ip地址,可以测试内部用户对防火墙是否具有主动访问的权限。(防火墙提供Samba文件服务、SSH远程访问服务)
②外网主机Ping防火墙外网口ip地址,可以测试外部用户对防火墙是否具有主动访问的权限。(拒绝一切外部对防火墙的直接访问)
③外网主机telnet 外网接口+80或者104、10400、20400可以测试外部用户主动对DMZ区计划管理系统的访问及CMS_XIO、MastetPlan、Pinnacle服务器影像图片的接收情况。
5结论
通过安全策略的分析和端口的设计证明,Linux防火墙可以很好地解决了内部、外部、DMZ三者之间网络的互通及安全问题,体现了iptables安全策略灵活的特性。通过实例证明该方案是高效、安全、可行的。组织机构可以根据实际情况,变更安全策略,自行加入新的规则与服务。
但是,防火墙仅仅还只是机构总统安全策略的一部分,而不是一个解决网络安全问题的万能药方。并不意味着有了防火墙,防火墙内的人就可以高枕无忧了,网络上的“黑客”无时无刻不在寻找着各种防火墙的安全漏洞。同时,防火墙也不能解决进入防火墙的数据导致的安全问题,例如病毒等。一个安全的网络体系结构,仅仅从软件上去实现是不够的,它需要所有与它有关的人的共同协作与保护。
[教育期刊网 http://www.jyqkw.com
参考文献]
[1] 吴智理,倪千禧,张九堂.堆叠技术在放疗网络中的应用[J].医疗数字化,2014,29(8):55-57.
[2] 郑超,等.基于Linux防火墙的局域网安全环境设计与实现[J].科学技术与工程,2008,8(11):2854-2857.
[3] 吴丹,徐玲,吴建军. 三层交换技术在大型医疗设备互联时的应用[J].中国医疗设备,2010,25(7):48-49.
[4] 纽罗涌,汪觉民.医院病理信息系统与全院PACS信息交换设计[J].医疗装备,2006(4):14-16.
[5] 郑坤,谢松城,管炜桥,等.ISO 80001国际标准-关于医疗设备与网络集成之风险管理.[J].中国医疗设备,2012,27(8):93-94,124.
Zheng Kun,Xie Song-cheng,Guan Wei-qiao et al.ISO 80001:Risk Management of Mediacal Equipment Integnating IT Network [J].China Medical Devices,2012,27(8):93-94,124.
[6] 彭明辰.临床工程学科建设之我见[J].中国医疗设备,2009,24(1):1-2.
Peng Ming-chen.My 0pinion of Construction in Clinical Engineering D iscoplines[J].China Medical Devices,2009,24(1):1-2.
[7] Ted Conhen .AAM I’s Bench marking Solution:Analysis of cosy of Service Ratio and Other Metric[J].Bio medical Instrumentation & Technology,2010.
[8] P.Gupta,S.Lin,and D.Stiliadis,High-Speed Policybased Packet Forwarding Using Efficient Multi-dimensional Range Matching[J].Proc.ACM SIGCOMM,2011:191-203.
(收稿日期:2014-12-03)