随着信息化的发展,许多医院为了提供更多的医疗服务,陆续建立了自己的门户网站,在网上拓展医疗业务,而医疗数据的安全性越来越受到市民关注。虽然医院引进了网闸等物理隔离设备,保证了内网数据库的安全,但却忽略了外网服务器的防患。由于架设网站的服务器操作系统存在着一些漏洞,不能及时发现打补丁,小则在网络管理中心进行管控扫描时报警,大则被黑客利用攻击而导致门户网站瘫痪、崩溃甚至敏感数据泄露。为了解决以上问题,我院在防火墙紧缺的情况下,通过使用Windows server 2003自带的路由和远程访问服务来实现地址转换,既保证了内外网正常通讯,同时也保证了医院内网数据的安全。
1网络环境介绍
医院门户网站的数据有两种。一种是静态数据,这种数据不需要与医院内网数据库进行交互;另一种是动态数据,这种数据需要与医院内网数据库进行交互。我们把门户网站中有与医院内网数据库进行数据交互的服务(可能存在漏洞又不能及时解决的服务),独立部署在医院业务网站服务器上。在医院业务网站服务器安装2张网卡,其中1张网卡与互联网门户网站服务器直连,另外1张网卡与内网的安全隔离设备连接,通过安全隔离设备与医院内网数据库交互数据。在医院业务网站服务器前端增设1台互联网门户网站服务器充当前置机,互联网门户网站服务器安装2张网卡,1张网卡与医院业务网站服务器直连,另1张网卡与互联网的路由解析器相连,再接入互联网。
2医院业务网站服务器的安全
使用2台不同网段服务器保障医院业务安全。访问互联网门户网站服务器,通过公布在互联网的域名则能访问到医院的门户网站,即访问静态数据。如果访问域名加端口号网站,则会根据路由解析设备做的端口配置,及路由和远程访问做的配置进行地址转换来访问医院业务网站服务器所部属的网站。这样通过互联网门户网站服务器就能够访问到医院业务网站服务器的数据,同时医院业务网站服务器也没有直接暴露在互联网下,即不能直接从互联网访问到医院业务网站服务器的网站,这在一定程度上保证了医院业务网站服务器的安全。
3地址转换配置
3.1路由解析设备的端口配置
路由解析设备的端口配置是对要访问的医院业务网站服务器的端口号进行地址映射。即在端口配置中添加1条配置,如端口号为8080,映射到所需访问的网段192.168.19.0(与医院业务网站服务器网卡1同一网段)中指定IP地址192.168.19.112,再添加1条静态路由记录,IP为192.168.19.0网关为192.168.1.5(与互联网门户网站服务器网卡1同地址)。当访问域名加上端口号时,路由解析设备就会根据设置好的记录跳转到互联网门户网站服务器的网卡2段中。然后再根据路由和远程访问的配置进行下一步跳转。
3.2路由和远程访问的配置
在互联网门户网站服务器打开管理工具菜单,双击路由和远程访问,选择本地服务器的名称,右键点击配置并启用路由和远程访问,然后根据提示点击下一步,选择自定义配置选项,点击下一步,选择NAT和基本防火墙,点击下一步,再根据提示点击完成,即已启用路由和远程访问的服务。
我们将互联网网站服务器网卡1命名为Internet,网卡2命名为Internet-zhilian。在IP路由选择中选择静态路由,右键点击新建静态路由。如选择接口Internet,目标为192.168.1.0网段,网络掩码为255.255.255.0,网关为192.168.1.1,建立Internet静态路由;同样,选择接口intemet-zhilian,目标为192.168.19.0网段,网络掩码为255.255.255.0,网关为192.168.19.122,建立Internet-zhilian静态路。
在平路由选择中选择IGMP,右键点击新增接口,选择接口Internet,点击确定,启用IGMP属性;同样,选择接口Internet-zhilian,启用Internet-zhilian IGMP属性。
在IP路由选择中选择NAT/基本防火墙,右键点击新增接口,选择接口Internet,点击确定,选择专用接口连接到专用网络,点击确定;同样右键点击新增接口,选择接口Internet-zhilian,点击确定,选择公用接口连接到Internet,再选择在此接口启用NAT,点击确定。
通过上述4个步骤的配置,即可完成访问域名加端口号从互联网门户网站服务器跳转到访问医院业务服务器。
4结语
利用路由解析设备及配置Windows server 2003自带的路由和远程访问服务进行配置,能及时有效地解决防火墙等物理防护设备紧缺时存在的网络安全隐患。通过系统自带的路由和远程访问服务进行配置能有效地隐藏互联网网站服务器与医院业务网站服务器直连网段,使医院业务网站服务器没有直接暴露在互联网下,在一定程度上保障了医院业务网站服务器的安全。