【www.zhangdahai.com--个人工作总结】
【摘要】针对医院与社区卫生服务中心需要传输数据的需求,通过分析对比多种联网方式的优劣,解决其中经济成本、网络信息安全等方面的问题,建立起基于ADSL的远程医院工作网络。
【关键词】社区卫生服务中心;远程工作站;IPSec VPN
【中图分类号】R197.324 【文献标识码】B 【文章编号】1006-1959(2009)08-0033-01
按照党的十七大精神,在新医改方案中,社区卫生服务成为重点之一,其信息网络建设被提到了前台。
1 现有情况
我院近年改、扩建原有三处社区卫生服务中心,它们都需要与医院内网连接,进行划价收费,访问内网应用服务器等多种业务。社区卫生服务中心作为一个小型医疗单位,也承担着疫情等的网络直报。同时,社区卫生服务中心还需要网络管理员远程管理其内网环境,解决突发情况。这些都需要一个统一、稳定、高效、安全的远程环境来提供的支持。
2 网络的设计原则
这个远程环境要保障网络的绝对可用性,还应具有安全性、可扩展性、可管理性、经济性,这个是基本原则。
通过调研,组建网络可有如下几种方式:自拉光纤、租用线路、2.4G无线、普通ADSL。依上述设计原则,将优劣比较如下:①自拉光纤优:线路稳定,带宽达10G。劣:三个卫生中心星状分布,直线总距离约7Km,工程复杂,成本高。现阶段数据传输量有限,大量带宽被浪费。②租用线路优:托管给电信,质量有保障。劣:费用高。③2.4G无线优:部署方便快捷,成本较低。劣:无线微波易受气候,粉尘,高层建筑,其他2.4G频段等的影响,不稳定。④ADSL优:成本低,不受地点限制,可扩展性好,线路相对稳定,带宽1-6Mbps满足应用需要。劣:信息从因特网传输,数据实时性,完整性,真实性等受到考验。通过研究,决定在解决安全问题的基础上使用ADSL方式,构建医院与社区卫生服务中心的信息网络。
3解决安全问题,构建稳定网络
VPN“Virtual Private Network”,即“虚拟专用网络”,VPN被定义为通过因特网,建立的一个临时、安全的连接,是一条穿过混乱因特网络的可靠隧道,是企业内部网的扩展。可帮助远程用户、公司分支机构等内部网建立可信的安全连接,并保证数据的安全传输。
本网络的构建基于上述VPN技术,成熟的解决了数据从因特网传输带来的安全问题。采用星型拓扑具有良好的可扩充性、远程管理简单方便、经济成本也得到控制。
3.1 医院至社区卫生服务中心
3.1.1 医院:ADSL Modem拨号上线,ISP分配IP,终端服务器上的DDNS Client(动态域名服务客户端)向DDNS Server(动态域名服务服务器)更新自己的二级域名和IP。ISP的DNS可从DDNS Server获得医院二级域名和IP。
3.1.2 社区卫生服务中心:ADSL Modem拨号上线,由FortiGate 2910c向医院二级域名发起Ipsec隧道协商申请,ISP的DNS查询到医院二级域名对应IP后,将申请发至此IP。
3.1.3 医院:FortiGate 200收到申请,通过IKE认证预共享密钥策略,验证对端身份合法,建立Ipsec隧道并协商安全性参数后,建立安全IPSec会话,并启动医院内网到社区卫生服务中心内网的路由。
3.1.4 社区卫生服务中心:身份验证通过,安全IPSec会话建立,路由建立后,内网工作站即可与医院各服务器连接,获取提交数据。
3.2 远程管理
3.2.1 医院:同3.1.1
3.2.2 远程管理端:ADSL Modem拨号上线,远程桌面连接到医院的二级域名,ISP的DNS查询到医院二级域名对应IP后,将远程桌面连接申请转发至此IP。
3.2.3 医院端:FortiGate 200收到申请后,通过预定义的端口转发策略,将连接申请转发至内网终端服务器。
3.2.4 内网终端服务器:收到连接的申请后,通过用户身份验证,响应连接,分配权限给不同用户,此时远程用户即可在终端服务器上进行工作。
3.3 安全性及优势
3.3.1 所有网络出口均采用ADSL网络,其中医院为6M,其余1-2M,成本低。ADSL的IP可变换,可使针对固定IP的网络攻击失效。
3.3.2 在“希网网络”申请的免费动态域名支持动态域名服务,可通过内部协议,加快查询速度,且能避免DNS缓冲带来的问题。
3.3.3 IPSec协议体系,含网络认证协议(AH)、封装安全载荷协议(ESP)、密钥管理协议(IKE)和加密算法等。其规定了对等层间的安全协议、确定了安全算法和密钥交换,向上提供了访问控制、数据源认证、数据加密等网络安全服务。我们用IPSec VPN组建网络,使其安全性得到保障。
3.3.4 远程桌面连接的默认端口是3389,终端服务器上的此端口被替代,如5412,启动远程桌面连接时将端口号加在动态域名之后即可,如”abc.省略:5412” 。FortiGate 200收到远程连接申请后,将申请转发至终端服务器的此端口。这样避开了因特网上针对3389端口的恶意程序。
3.3.5 所有登录口令,均采用字母+数字,共10位以上,并定期更换,有效防止暴力破解。
4 运行情况
本院三处社区卫生服务中心在不同时间按照上述方法进行改造,均取得非常满意的效果,通过IPSec VPN互ping不同子网地址,响应时间均在100ms以内,平均50~60ms。网络管理员对这种远程管理方式也给予了肯定,称节省时间和精力。至此,基于ADSL的远程医院工作站,在本院和三个社区卫生服务中心,以及远程管理的实施,取得圆满成功。
参考文献
[1] IPSec: VPN的安全实施/IPSec:Securing VPNs 作者:Davis, [美]Carlton R
[2] 雷震甲.网络工程师教程
作者单位:410001 湖南省长沙市中医医院
