陈泽强

摘 要：文章结合海南省海口市120急救中心计算机网络安全性设计的实际方案，详细分析了目前计算机网络安全的重要性及存在的问题提出了基于防火墙与入侵检测技术联动的海口市120急救中心计算机网络安全性的设计，作为对一个急救网络系统安全性设计的初步探讨。

关键词：院前急救；网络安全；防火墙；入侵检测技术

随着计算机网络的飞速发展，Internet正在越来越多地融入社会的各行各业。我国的120院前急救工作担负着保障国民健康的重任，是我国医疗卫生行业的支柱。近年来，随着计算机网络技术的不断发展和进步，医疗卫生行业的计算机网络应用也取得了相当大的进步，随着急救医疗信息系统应用的快速发展，建立一个安全、可靠、功能齐全的急救网络信息系统，己成为国内当前各个120急救中心息化建设的必由之路。虽然计算机网络技术和信息系统给120院前急救带来了许多的便利，但也同样存在着一定的安全性问题——那就是计算机网络系统的安全性问题。院前急救是一个救死扶伤、挽救生命的机构，因此，计算机网络系统既要防止利用计算机进行网络犯罪，又要防止网络数据的丢失及非法用户的侵入，确保急救信息系统稳定、安全、可靠地运行[1]。

基于以上原因，我们在建设海口市120急救网络信息系统的时候，始终将系统的安全性问题放在首位，采用了高性能的网络安全设备来构建计算机网络系统，从而保证了系统在建成的几年时间内一直安全稳定地运行，支撑了海口市120急救日常主要业务工作，为单位的正常运转发挥了重要的作用。本论文主要论述了基于防火墙与入侵检测技术联动的海口市120急救中心计算机网络安全性的设计与防护策略，作为对一个急救网络系统安全性的初步探讨。

1 防火墙概述

根据国家标准GB/T 20281-2006《信息安全技术防火墙技术要求和测试评价方法》，防火墙也叫防护墙，是指一种在外部网络与内部网络之间的网络安全设备，也称为一个分离器，一个限制器，能有效地监控流经防火墙的数据，保证内部网络和隔离区（Demilitarized Zone，DMZ）的安全。防火墙具有以下3种基本性质：（1）是不同网络与网络之间信息的唯一安全出入口。（2）只有符合防火墙安全策略的信息才能通过出入口，在数据流经的过程之中对数据进行审核[2]。（3）本身不能影响网络信息的流通。

1.1防火墙技术分类

1.1.1包过滤技术

防火墙上的包过滤主要工作在传输层和网络层，它根据经过防火墙的每个数据包的目标IP地址、源IP地址、协议类型、端口号等信息来决定是否将该数据包通过还是丢弃，从而达到对进出防火墙的数据进行检测和限制的目的。在发展过程中它经历了两个时期，第一个称为静态包过滤，第二个称为动态包过滤。

（1）静态包过滤技术：当要过滤数据包时，把数据包中报头的数据与访问控制列表中的数据进行对比，决定该传输是被丢弃还是允许通过。这些规则常称为数据包过滤访问控制列表（ Access Control List，ACL）。

（2）动态包过滤技术：首先将进出防火墙的数据包当成一个个的会话，然后在访问控制列表中建立状态表，利用状态表判断是否符合会话所处的状态，若符合则允许通过否则禁止数据包经过[3-4]。

1.1.2应用代理技术

代理防火墙为它们所支持的协议提供全面的协议意识安全分析。应用代理技术的发展也经历了两个版本，第一代的应用层网关技术，第二代的自适应代理技术。

（1）应用层网关技术：数据包先在应用网关进行合法认汪.通过以后将数据包发送到准备好的机器上通信，应用层上的数据包在传输层进行通信。

（2）自适应代理技术：在对防火墙进行配置时，用户通过相应Proxy的管理界面对所需要的服务类型、安全级别等信息进行设置；然后再根据配置的具体信息，决定是使用代理服务从相关的路径转发数据包[5]。

1.2防火墙主要功能

防火墙能提高网络、服务器群以及各种应用系统的安全性，它主要有以下功能。

（l）网络安全的屏障。对网络存取和访问进行审计和监督，提供內部网络的可靠性和安全性，对网络攻击进行检测和报警，过滤不安全的服务。

（2）强化网络安全策略。通过整体的安全管理，在安全策略上可以实现安全技术应用（包括身份认汪、加密、口令密码等），过滤掉不可靠、不安全的服务和潜在的非法用户。

（3）防止内部信息外泄。对于内部网络，对于各种应用服务，通过设置不同的安全级别，实现内部重点网段的隔离，从而保护内部网络的安全性，同时限制敏感的安全问题避免影响整个网络。

（4）实现虚拟专用网的连接。虚拟专用网通过防火墙技术，有效保护和防范因特网内部网络服务特性[2]。

2入侵检测系统

入侵检测是一种主动防御系统，在一定程度上预防和检测来自内部和外部的入侵，是对防火墙不足的弥补。主要通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。

2.1入侵检测技术

根据采用的分析方法将其可分为异常检测和误用检测两种。

（1）异常检测。首先建立起一定的数据转发规则，然后基于这个活动规则对进入的数据包进行审计，发现与设定的规则不符时，则将其判断为异常行为并做好统计上报。

（2）误用检测。它是通过把数据包报头的信息和入侵检测系统建立起来的控制列表中的信息做对比，把违反安全策略的行为进行标记并统计上报。误用检测具有较高的检测率和准确率。

2.2入侵检测的发展

随着IPV6应用范围的扩展，入侵检测系统支持IPV6将是一大发展趋势。IPV6扩展了地址空间，协议本身提供加密和认证功能，因此，面向IPV6的入侵检测系统主要解决如下问题。

（l）大规模网络环境下的入侵检测。由于IPV6支持超大规模的网络环境，面向IPV6的入侵检测系统要解决大数据量的问题，需要融合分布式体系结构和高性能计算技术。

（2）认证和加密情况下的网络监听。IPV6协议本身支持加密和认证的特点，极大地增加了面向IPV6的入侵检测系统监听网络数据包内容的难度，极端情况下，甚至需要首先获得通信双方会话密钥[6]。

3 入侵检测系统与防火墙的联动部署

部署入侵检测系统（Intrusion Detection Systems，IDS），应当将其挂接在所有所关注的流量都必须流经的链路上，即IDS采用旁路部署方式接入网络，这些流量通常是指需要进行监视和统计的网络报文。IDS和防火墙均具备对方不可代替的功能，所以在大多数网络的应用中，防火墙用于防范外部的网络威胁，IDS用于检测内部网络，两者共存形成互补，使120的网络体系处于安全、稳定的运行中。由于网络的安全设施和安全防范措施也一般都部署在外部网络入口，即数据包经过的地方。因此，在联动方案中我们针对120急救中心内部网络的存在的安全问题，使用了重要的网络安全设备，包括防火墙和入侵检测系统等，对整个内部网络中的信息通信和数据交互都进行检测、防护，保证单位内部网络的信息安全[7]。入侵检测系统与防火墙的联动部署如图l所示。

（1）入侵检测引擎放在防火墙的非信任区。在这种情况下，入侵检测系统能接收到外部网络接口的所有信息，管理员能够清楚地看到来自外部的入侵企图，即可及时动态阻断发生攻击的连接。

（2）入侵检测系统放在防火墙的信任区。检测系统在这个位置通过扫描经过周界防火墙的网络流量及内部访问情况，找出可疑行为，向管理员发出威胁安全的警告。

（3）在防火墙的信任区与非信任区均设置入侵检测系统，这样对于来自外部和内部的入侵攻击都能够检测到。

（4）入侵检测系统放在防火墙的隔离区。防火墙的隔离区是信任区和非信任区之间的缓冲区域，把Web，E-Mail，文件传输协议（File Transfer Protocol，FTP）等允许外部访问的服务器单独接在该区端口[3]。 此外，根据网络的拓扑结构不同，入侵检测系统的监听端口可以接共享煤质的集线器、交换机的调试端口或专为监听所增设的分接器。

4结语

综上所述，通过全面考虑海口120网络的安全、操作系统的安全、应用程序的安全和用户数据的安全，文章采用基于防火墙和入侵检测技术的论述和联动部署设计。此外，网络传输的信息安全方面还将Web页面超高速缓存、VPN和带宽管理等前沿技术与防火墙与入侵检测技术结合起來，构成了安全的联动部署，最终形成更加安全的网络安全屏障体系统。

[参考文献]

[1]翁昌晶，刘谦.大型综合医院计算机网络系统的安全性设计[J].医学信息，2004 （5）：251-252

[2]陈波，于冷.信息安全案例教程[J]技术与应用，2015 （4）：45.

[3]张威，潘小凤.防火墙与入侵检测技术探讨[J].南京工业职业技术学院学报，2008 （2）：61-63

[4]百度文库.防火墙的分类[EB/OL]（ 2011-05-06）[2018-02-09] .https：//wenku.baidu.com/view/2ld728f8fab069dc50220lbe.html

[5]林玉梅.防火墙技术及其应用研究[J]软件导刊，2012 （9）：160-162

[6]柴晨阳.基于神经网络集成的入侵检测研究[D].长沙：湖南大学，2007.

[7]邹辉.入侵监测系统（IDS）的应用研究[D].北京：首都经济贸易大学，2012.