Linux防火墻在放療網(wǎng)絡(luò)中的應(yīng)用

張 利 曾德高

湖南省腫瘤醫(yī)院中南大學(xué)湘雅醫(yī)學(xué)院附屬腫瘤醫(yī)院放療物理室，湖南長沙 410013

Linux防火墻在放療網(wǎng)絡(luò)中的應(yīng)用

張 利 曾德高

湖南省腫瘤醫(yī)院中南大學(xué)湘雅醫(yī)學(xué)院附屬腫瘤醫(yī)院放療物理室，湖南長沙 410013

構(gòu)筑基于Linux的防火墻可以有效地解決放療綜合科網(wǎng)絡(luò)與醫(yī)院大網(wǎng)絡(luò)之間醫(yī)學(xué)影像數(shù)據(jù)的互傳共享及計(jì)劃錄入問題。該研究主要從安全性、穩(wěn)定性、高效性角度闡述Linux iptables規(guī)則的靈活運(yùn)用。著重論敘了三網(wǎng)卡Linux防火墻系統(tǒng)的安裝、配置以及測(cè)試。

Linux；放療網(wǎng)絡(luò)；iptables規(guī)則；安全性

現(xiàn)代化放射治療除了醫(yī)療技術(shù)現(xiàn)代化、設(shè)備現(xiàn)代化，信息和管理手段也要現(xiàn)代化[1]。放射治療的信息化程度標(biāo)志著一個(gè)醫(yī)院放療技術(shù)的發(fā)展水平。放射治療信息化發(fā)展的主要目標(biāo)之一就是整合全醫(yī)院的各種資源，為醫(yī)院的醫(yī)療、科研、教學(xué)提供一個(gè)共享平臺(tái)。

放療中心是腫瘤醫(yī)院不可缺少的科室。該院放療中心設(shè)有模擬定位室、型模室、后裝治療室、物理室、放療技術(shù)組和熱療室，承擔(dān)全院放射治療方面的臨床、科研、教學(xué)工作。放療中心有Varian、Mosaiq、Precise等網(wǎng)絡(luò)系統(tǒng)。經(jīng)過前期的信息化建設(shè)，建成了基本適應(yīng)放射治療應(yīng)用系統(tǒng)要求的網(wǎng)絡(luò)基礎(chǔ)平臺(tái)[1]。

當(dāng)前，該院醫(yī)院大網(wǎng)絡(luò)與放療綜合科網(wǎng)絡(luò)各自處于不同的網(wǎng)絡(luò)環(huán)境，兩個(gè)網(wǎng)絡(luò)之間存在物理隔離，不能有效的傳輸數(shù)據(jù)。影像數(shù)據(jù)刻盤、拷盤浪費(fèi)大量人力物力，且必須滿足醫(yī)生能夠在放療病房（醫(yī)院大網(wǎng)絡(luò)）訪問計(jì)劃管理系統(tǒng)（放療綜合科網(wǎng)絡(luò)）。短時(shí)間內(nèi)通過改變網(wǎng)絡(luò)結(jié)構(gòu)將放療網(wǎng)絡(luò)融入醫(yī)院大網(wǎng)絡(luò)不現(xiàn)實(shí)。而Linux系統(tǒng)集合了硬件配置要求低，穩(wěn)定、安全性能高，內(nèi)核功能強(qiáng)大等優(yōu)點(diǎn)。且Linux防火墻在應(yīng)用中發(fā)展和完善，形成功能強(qiáng)大的netfilter/iptables架構(gòu)，已經(jīng)實(shí)現(xiàn)了商用防火墻的大部分功能，其低廉的價(jià)格和良好的安全性已經(jīng)得到了越來越廣泛的關(guān)注。對(duì)于中小局域網(wǎng)絡(luò)而言，購買商用防火墻系統(tǒng)需要較大的資金投入[2]。構(gòu)筑基于Linux的防火墻來解決上述問題可以達(dá)到成本小，見效快，安全可靠的效果，因此，Linux防火墻應(yīng)運(yùn)而生。

首先，根據(jù)實(shí)際情況定義防火墻的訪問規(guī)則：①內(nèi)部可以有選擇訪問外部；②外部可以有選擇訪問內(nèi)部；③DMZ不能訪問外部；④外部可以訪問DMZ；⑤DMZ不能訪問內(nèi)部；⑥內(nèi)部可以訪問DMZ。

其次，選擇一臺(tái)三網(wǎng)卡工作站（可自行安裝獨(dú)立網(wǎng)卡），選擇Ubuntu 12.04 Server版（無圖形界面）Linux操作系統(tǒng)。具體配置如下。

利用Linux防火墻的iptables安全策略可以有效地解決聯(lián)網(wǎng)、互通及安全問題

1 分別配置好防火墻的三個(gè)網(wǎng)卡接口信息

2 為了使FORWARDl鏈能夠轉(zhuǎn)發(fā)數(shù)據(jù)包，需要運(yùn)行echo命令開啟路由轉(zhuǎn)發(fā)功能

3 配置iptables安全策略

#開放104端口傳輸DICOM影像圖至Pinnacle服務(wù)器

iptables-t nat-A PREROUTING-d 172.25.25.100-p tcp-dport 20400-j DNAT-to-destination 192.168.1.146:104

將以上規(guī)則連同echo命令一起保存至腳本iptables.sh，執(zhí)行命令chmod 744 iptables.sh使該腳本具有-rwxr--r--權(quán)限。

4 測(cè)試規(guī)則是否生效

①內(nèi)網(wǎng)主機(jī)Ping防火墻內(nèi)網(wǎng)口ip地址，可以測(cè)試內(nèi)部用戶對(duì)防火墻是否具有主動(dòng)訪問的權(quán)限。（防火墻提供Samba文件服務(wù)、SSH遠(yuǎn)程訪問服務(wù)）

②外網(wǎng)主機(jī)Ping防火墻外網(wǎng)口ip地址，可以測(cè)試外部用戶對(duì)防火墻是否具有主動(dòng)訪問的權(quán)限。（拒絕一切外部對(duì)防火墻的直接訪問）

③外網(wǎng)主機(jī)telnet外網(wǎng)接口+80或者104、10400、20400可以測(cè)試外部用戶主動(dòng)對(duì)DMZ區(qū)計(jì)劃管理系統(tǒng)的訪問及CMS_XIO、MastetPlan、Pinnacle服務(wù)器影像圖片的接收情況。

5 結(jié)論

通過安全策略的分析和端口的設(shè)計(jì)證明，Linux防火墻可以很好地解決了內(nèi)部、外部、DMZ三者之間網(wǎng)絡(luò)的互通及安全問題，體現(xiàn)了iptables安全策略靈活的特性。通過實(shí)例證明該方案是高效、安全、可行的。組織機(jī)構(gòu)可以根據(jù)實(shí)際情況，變更安全策略，自行加入新的規(guī)則與服務(wù)。

但是，防火墻僅僅還只是機(jī)構(gòu)總統(tǒng)安全策略的一部分，而不是一個(gè)解決網(wǎng)絡(luò)安全問題的萬能藥方。并不意味著有了防火墻，防火墻內(nèi)的人就可以高枕無憂了，網(wǎng)絡(luò)上的“黑客”無時(shí)無刻不在尋找著各種防火墻的安全漏洞。同時(shí)，防火墻也不能解決進(jìn)入防火墻的數(shù)據(jù)導(dǎo)致的安全問題，例如病毒等。一個(gè)安全的網(wǎng)絡(luò)體系結(jié)構(gòu)，僅僅從軟件上去實(shí)現(xiàn)是不夠的，它需要所有與它有關(guān)的人的共同協(xié)作與保護(hù)。

[1]吳智理,倪千禧,張九堂.堆疊技術(shù)在放療網(wǎng)絡(luò)中的應(yīng)用[J].醫(yī)療數(shù)字化, 2014,29(8):55-57.

[2]鄭超,等.基于Linux防火墻的局域網(wǎng)安全環(huán)境設(shè)計(jì)與實(shí)現(xiàn)[J].科學(xué)技術(shù)與工程,2008,8(11):2854-2857.

[3]吳丹,徐玲,吳建軍.三層交換技術(shù)在大型醫(yī)療設(shè)備互聯(lián)時(shí)的應(yīng)用[J].中國醫(yī)療設(shè)備,2010,25(7):48-49.

[4]紐羅涌,汪覺民.醫(yī)院病理信息系統(tǒng)與全院PACS信息交換設(shè)計(jì)[J].醫(yī)療裝備,2006(4):14-16.

[5]鄭坤,謝松城,管煒橋,等.ISO 80001國際標(biāo)準(zhǔn)-關(guān)于醫(yī)療設(shè)備與網(wǎng)絡(luò)集成之風(fēng)險(xiǎn)管理.[J].中國醫(yī)療設(shè)備,2012,27(8):93-94,124. Zheng Kun,Xie Song-cheng,Guan Wei-qiao et al.ISO 80001:Risk Management of Mediacal Equipment Integnating IT Network[J].China Medical Devices,2012,27(8):93-94,124.

[6]彭明辰.臨床工程學(xué)科建設(shè)之我見[J].中國醫(yī)療設(shè)備,2009,24(1):1-2. Peng Ming-chen.My 0pinion of Construction in Clinical Engineering D iscoplines[J].China Medical Devices，2009,24(1):1-2.

[7]Ted Conhen.AAM I’s Bench marking Solution:Analysis of cosy of Service Ratio and Other Metric[J].Biomedical Instrumentation&Technology, 2010.

[8]P.Gupta,S.Lin,and D.Stiliadis,High-Speed Policybased Packet Forwarding Using Efficient Multi-dimensional Range Matching[J].Proc.ACM SIGCOMM，2011：191-203.

The Application of Linux firewall in Radiotherapy network

ZHANG Li ZENG Degao
Radiotherapy department of physics Central South University Cancer Hospital of Xiangya Medical College Affiliated Tumor Hospital of Hunan Province,Changsha,Hunan Province,410013 China

To building a firewall based on Linux can effectively solve the problem ofmedical image data between the department of radiotherapy comprehensive network and hospital large network mutual sharing and planned entry problems.Flexibility in the use of this article focuses on Linux iptables rules from the security,stability,high efficiency angle.Mainly discusses the three card Linux firewall system installation,configuration and test.

Linux;Radiotherapy network;Iptables;Safety

R734.2

A

1672-5654（2015）03（a）-0139-02

2014-12-03）

張利（1984-），女，湖南株洲人，本科，腫瘤放射物理，湖南省腫瘤醫(yī)院。