【黄瑜专栏】软件定义的防火墙：颠覆令人揪心的医院传统网络安全架构

来源：HIT专家网    作者：黄瑜

云南省红河州滇南中心医院信息中心主任 黄瑜

7个月前，借助医院机房搬迁，红河州滇南中心医院成功应用了新一代网络安全平台。

如果说更换核心服务器是一台外科心脏手术，对医院网络的全面调整和安全部署，则可以称得上是对大脑和全身神经系统同时动手术！而这一切都是在信息中心全体同仁辛苦努力下自主规划并实施完成的。

受国内同行专家的启发和鼓励，在此简要回顾这次大手术的几个关键点。本文对于前期大量反复演练模拟，实施期间的通宵奋战，甚至在最后一刻差点放弃的痛苦炼狱过程，均一笔带过，重点阐述新一代医院网络安全平台的实现步骤、方法及7个月来的应用成效，旨在得到同行及专家的指正。

令人揪心的医院网络安全隐患

对医院信息中心而言，网络安全管理技术往往较为薄弱，一般依托专业厂商，通过在医院网络出入口处部署相关安全产品来达到网络安全管理的基本要求，包括最流行的“互联网+应用”的接入等。对医保、银医、4G专网、区域卫生平台等大量需要与医院进行日常交互的外部网络的接入，均缺乏基本的防护，在医院终端访问数据中心的通道则完全没有安全防护。

造成上述医院信息网络安全管理的困境，首要原因是医院网络架构普遍采取传统的物理隔离方式，浪费了大量的网络设备的投资。其次，医院信息网络安全规划和技术应用严重滞后，造成了安全防护特别脆弱，终端获取资源也极不方便。而最让人揪心的是：医院数据中心和整个网络安全状况面临巨大的风险。

颠覆传统：启用软件定义的防火墙全新规划

经过对软件定义的防火墙技术的全方位考察调研，红河州滇南中心医院日前借助中心机房整体搬迁之机，大胆创新，对医院网络从结构到安全，进行了颠覆性改造：自主应用软件定义的防火墙产品，成功打造了新一代的医院网络安全平台。这是一条不同寻常的网络安全管理之路。

以往，医院一般是先把网络构建好，再进行网络安全部署。而我们的这次做法刚好相反，先对网络安全进行顶层设计，再行网络架构。也就是说，网络架构不仅仅是承载整个医院的信息系统应用，更是安全服务的载体。新一代医院网络安全平台应让网络架构发挥最大成效，不但要安全而且要方便，让医院轻松实现需要网络资源的群体安全。

我院刚好面临全院大量增加终端、原使用了15年的中心机房必须搬迁、“互联网+应用”迫在眉睫等几个棘手解决的问题。因此重新梳理规划显得异常重要。事后也证明，做好规划等于成功了一半。

规划的重点是：颠覆传统物理隔离网络架构，在防火墙策略的保护下，使用全网逻辑隔离构建全新网络，并对安全区域重新定义划分。 过去我院采用传统的物理隔离的方式，内外网物理隔离，需要交互的直接通过DMZ区进行交互。如图一所示：

图一：医院传统内外网物理隔离网络架构图

在此网络结构下，医院从核心交换、汇聚及接入，均需要不同的网络链接，来获取被物理隔离的资源。这一网络架构主要存在问题是：（1）从核心交换到汇聚到接入，三层交换设备各需要安装2套；（2）获取内外网资源需要两台终端或两条网络线路；（3）DMZ区可同时链接内外网资源，存在巨大安全漏洞和隐患；（4）作为医院最重要的数据中心和内网客户端无法分离，混杂在一个网络内，无法解决内网自身的不安全问题。

针对以上问题，我们对网络及安全管理作了如图二（医院现网络安全架构）的规划：

图二：全网逻辑隔离的医院网络安全架构

在规划中可以清晰地看到：整个医院网络架构分成了3个区域。其中，软件边缘防火墙和硬件防火墙把“互联网+”及第三方应用隔离在外面。医院传统的内外网合并成全网逻辑隔离区域，该区域与外界交互必须经过软件边缘防火墙和硬件防火墙。最核心的医院数据中心区域架设了软件后端防火墙阵列。在此架构下，当一台防火墙有自身环境故障，阵列将发挥冗余作用，无故障时防火墙负载均衡，网络安全处理能力理论上提升双倍。

显然，凡是和医院数据中心服务器区进行交互，必须经过3道防火墙的隔离和验证。把医院内外网物理隔离合并成逻辑隔离，并且和医院数据中心区域进行了严格的划分。由于网络规则的定义及运用非常严密，且医院终端接入区域和数据中心严格划分，用软件隔离，因此，网络核心交换机、汇聚交换机、接入交换机均直接逻辑隔离。

实现传统网络架构到新布局的切换

按照以上规划，要将传统网络架构切换到整个新布局。切换的难点在于：网络规划、网络原理及网络配置的运用和对软件防火墙安全策略的熟练掌握上。

结合网络构建，全网VLAN划分为8大区域。两台防火墙服务器均启用4块网卡，负责网络安全定义允许的各协议网络数据流，启用DNS服务器配合防火墙对医院所有接入终端进行命名、登记及寻址。

在医院网络不断网的情况下，搬迁冗余核心交换机中的一台到新机房，对网络协议配置进行调整，配置好链接核心的后端防火墙策略。这是一次革命性的改变，在传统的内网终端访问数据中心HIS、LIS、PACS、EMR等所有数据库，都将先经过防火墙验证。调整完毕后，即停止未搬迁的核心交换机，医院网络全网停止服务。然后启用搬迁的核心交换机，在防火墙策略的配合下，在核心交换机上删除DMZ区、原外围隔离区VLAN，防火墙上设置全网不允许外围网络访问，增加新规划的VLAN及相关路由。

测试终端链接情况，很快HIS终端报告链接成功、LIS成功….接着配置边缘防火墙，启用各种访问策略，允许与外界交互的包括互联网、新农合、医保、4G应用均分别一一成功。至此整个网络安全平台架构完成切换。需要强调的是，耗时6小时的正式切换工作，离不开大量前期反复模拟演练和方案完善过程。

基于软件防火墙的应用实例

以下以软件定义的防火墙轻松实现硬件安全设备的产品功能进行部分举例，访问策略针对网络边界的清晰划分，在边缘防火墙和

后端防火墙上轻松设定相关安全策略。

1、入侵检测功能应用，见图三。

图三：入侵防御系统，取代硬件入侵检测设备。

2、出入口控制功能应用，见图四。

图四：出入口控制一目了然，代替出入口控制相关设备

3、上网行为管理功能应用

（1）设置边缘防火墙允许的上网时段，如下图设置工作时间，蓝色区域为工作时段，星期一至星期五每天8:00-12:00 13:00-17:00，星期六8:00-12:00，见图五。

图五：限定IP或某个组群的上午时限

（2）限制只能上某些网址，新建域名集，加入允许访问的网址，见图六。

图六：限制终端范围非经允许的网站

4、web智能筛选应用

在软件防火墙里设置Web访问策略，见图七。

图七：可以允许哪种类型的图片传输，可按文件的内容进行过滤。

5、网闸功能，见图八。

图八：端口任意映射和隐藏，轻松实现网闸功能。

6、互联网+应用在两个软件防火墙的保护下，应用的数据流走向示意图，安全可靠，见图九。

图九：互联网+应用数据流

从以上功能实现看，软件定义的防火墙功能确实十分强大。更多功能的应用，我们还在发掘探索中。其他包括身份认证、VPN、反恶意软件检测等应用，这里就不再一一列举。

新一代软件防火墙，功能覆盖了OSI 7层模型中的上5层，即网络层、传输层、会话层、表示层、应用层，而这5层涵盖了医院网络应用的所有场景。限于篇幅防火墙的部署不再赘述。

经策略部署，仅软件后端防火墙即有七道防线保护着医院信息系统和数据中心的安全：1、边界安全防护（可以通过设置防火墙策略来控制客户端的网络访问，如自定义用户能否访问、何时访问、访问什么、怎样访问等等）；2、关键路径防护（在关键位置增加软件，如外围与内网连接处、内网与服务器群连接处）； 3、应用行为防护（软件有很强的日志记录与自定义查询，以及实时会话监控功能）；4、Web应用防护（软件 提供防范最新的基于 Web 的威胁，包括 URL 过滤、反恶意软件检测和入侵预防等）；5、逻辑隔离区域防护（多层防火墙的设置让核心区坚不可摧）；6、数据安全防护；7、管理安全防护（这些功能均集成到一个统一、易于管理的网关中，从而降低 Web 安全的成本和复杂程度）。

新一代医院网络安全平台效果分析

通过近7个月的应用，目前未出现网络安全问题。

因无需内外网物理隔离，网络设备投入减少一半。尤其在核心交换、楼层汇聚方面的网络设备投资显著减少。因使用软件定义的防火墙，无须购买大量的网络安全产品，前后节约近百万元。而最大的功效是，医院信息中心通过自行部署，对整个医院网络安全的把控能力得到前所未有的提升，信息科团队的安全运维能力将会发挥越来越显著的作用。

作为医疗机构，围绕医疗服务过程中产生的资源，医护及患者需要获取的信息都能极其便捷、智能、安全的获取。如果说硬件的安全防护设备更多的是针对网络的限制部署，而软件则能做到按资源获取的需要来个性化配置。

网络安全永远在路上

网络安全无小事，在普遍的依赖厂商提供的解决方案的现状下，医院自身更多的是被动式接受安全方案，医院自身缺乏对方案的可靠性、经济性及后续运维复杂性的评判和合理定位。

通过这次升级实践，我们探索了一条立足自身规划和实施的医院网络安全建设之路。紧密结合和围绕医院信息化的各种应用，在遵循网络原理的基础上，研究医疗信息化的共享交互规律。

虽然取得了一些宝贵的经验，获得了较好的经济效益，但是依然存在一些问题，如软件防火墙后续版本目前更新缓慢，软件防火墙阵列的NLB功能未成功应用。因此，没有绝对安全的网络，管理制度的完善，日常的巡查以及安全方案运行中的不断完善调整，都是未来需要常抓不懈的。

【作者简介】

黄瑜，初入HIT行业就职于乙方，实施过多家三级医院HIS系统上线工作，后转入甲方工作至今。2007年至今任云南省红河州滇南中心医院/个旧市人民医院信息中心主任，云南省医院协会信息管理专业委员会委员，主持并完成云南省教育厅科研项目一项，获市级科技进步奖两项。