【文章內(nèi)容簡介】 P/IP 網(wǎng)絡(luò)協(xié)議本身易受到攻擊，該協(xié)議本身的安全問題極大地影響到上層應(yīng)用的安全。 (2) Inter 上廣為傳插的易用黑客和解密工具使很多網(wǎng)絡(luò)用戶輕易地獲得了攻擊網(wǎng)絡(luò)的方法和手段。 (3) 快速的軟件升級周期，會造成問題軟件的出現(xiàn)，經(jīng)常會出現(xiàn)操作系統(tǒng)和應(yīng)用程序存在新的攻擊漏洞。 (4) 現(xiàn)行法規(guī)政策和管理方面存在不足。目前我國針對計算機及網(wǎng)絡(luò)信息保護的條款不細致，網(wǎng)上保密的法規(guī)制度可操作性不強，執(zhí)行不力。同時，不少單位沒有從管理制度、人員和技術(shù)上建立相應(yīng)的安全防范機制。缺乏行之有效的安全檢查保護措施，甚至有一些網(wǎng)絡(luò)管理員利用職務(wù)之便從事網(wǎng)上違法行為。 醫(yī)院作為數(shù)據(jù)密集發(fā)生地，每天都會產(chǎn)生大量病人費用、臨床醫(yī)囑以及電子病歷等重要數(shù)據(jù)，現(xiàn)在，醫(yī)院從病人入院到出院的整個醫(yī)療活動均在計算 機網(wǎng)絡(luò)上運行。因此，保障數(shù)據(jù)安全首先要保證服務(wù)器免受外網(wǎng)的攻擊、破壞。防火墻主要用于加強內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間訪問控制的保護系統(tǒng)，有效地起到了保護內(nèi)部網(wǎng)路資源免受非法入侵的作用，是構(gòu)造安全網(wǎng)絡(luò)環(huán)境的基礎(chǔ)工程［２］。它通常被安置在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的連接點上，將內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)隔離。因此，在網(wǎng)絡(luò)拓撲上，防火墻應(yīng)當處在網(wǎng)絡(luò)的出口處和不同安全等級區(qū)域的結(jié)合點處 。 三、防火墻技術(shù) （一）防火墻的介紹 防火墻指的是一個由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護屏障 .是一種獲取安全性方法的形象說法，它是一種計算機硬件和軟件的結(jié)合，使 Inter 與 Intra 之間建立起一個安全網(wǎng)關(guān)（ Security Gateway），從而保護內(nèi)部網(wǎng)免受非法用戶的侵入，防火 4 墻主要由服務(wù)訪問規(guī)則、驗證工具、包過濾和應(yīng)用網(wǎng)關(guān) 4 個部分組成，防火墻就是一個位于計算機和它所連接的網(wǎng)絡(luò)之間的軟件或硬件。該計算機流入流出的所有網(wǎng)絡(luò)通信和數(shù)據(jù)包均要經(jīng)過此防火墻。 在網(wǎng)絡(luò)中，所謂“防火墻”，是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng) (如 Inter)分開的方法，它實際上是一種隔離技術(shù)。防火墻是在兩個網(wǎng)絡(luò)通訊 時執(zhí)行的一種訪問控制尺度，它能允許你“同意”的人和數(shù)據(jù)進入你的網(wǎng)絡(luò)，同時將你“不同意”的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問你的網(wǎng)絡(luò)。換句話說，如果不通過防火墻，公司內(nèi)部的人就無法訪問 Inter， Inter 上的人也無法和公司內(nèi)部的人進行通信。 防火墻產(chǎn)品的三代體系架構(gòu)主要為： 第一代架構(gòu)：主要是以單一 cpu作為整個系統(tǒng)業(yè)務(wù)和管理的核心， cpu有 x8powerpc、 mips 等多類型，產(chǎn)品主要表現(xiàn)形式是 pc 機、工控機、 pcbox 或 riscbox等； 第二代架構(gòu)：以 np 或 asic 作為業(yè)務(wù)處理的主要核心，對一般安全業(yè)務(wù)進行加速，嵌入式 cpu 為管理核心，產(chǎn)品主要表現(xiàn)形式為 box 等； 第三代架構(gòu)： iss(integrated security system)集成安全體系架構(gòu)，以高速安全處理芯片作為業(yè)務(wù)處理的主要核心，采用高性能 cpu 發(fā)揮多種安全業(yè)務(wù)的高層應(yīng)用，產(chǎn)品主要表現(xiàn)形式為基于電信級的高可靠、背板交換式的機架式設(shè)備，容量大性能高，各單元及系統(tǒng)更為靈活。 防火墻是網(wǎng)絡(luò)安全策略的有機組成部分，它通過控制和監(jiān)測網(wǎng)絡(luò)之間的信息交換和訪問行為來實現(xiàn)對 網(wǎng)絡(luò)安全的有效管理。從總體上看，防火墻應(yīng)該具有以下基本功能： (1) 報警功能，將任何有網(wǎng)絡(luò)連接請求的程序通知用戶，用戶自行判斷是否放行也或阻斷其程序連接網(wǎng)絡(luò)。 (2) 黑白名單功能，可以對現(xiàn)在或曾經(jīng)請求連接網(wǎng)絡(luò)的程序進行規(guī)則設(shè)置。包括以后不準許連接網(wǎng)網(wǎng)等功能。 (3) 局域網(wǎng)查詢功能，可以查詢本局域網(wǎng)內(nèi)其用戶，并顯示各用戶主機名。 5 (4) 流量查看功能，對計算機進出數(shù)據(jù)流量進行查看，直觀的完整的查看實時數(shù)據(jù)量和上傳下載數(shù)據(jù)率。 (5) 端口掃描功能，戶自可以掃描本機端口，端口范圍為 065535 端口，掃描完后將顯示已開放的端口。 (6) 系統(tǒng)日志功能， 日志分為流量日志和安全日志，流量日志是記錄不同時間數(shù)據(jù)包進去計算機的情況，分別記錄目標地址，對方地址，端口號等。安全日志負責記錄請求連接網(wǎng)絡(luò)的程序，其中包括記錄下程序的請求連網(wǎng)時間，程序目錄路徑等。 (7) 系統(tǒng)服務(wù)功能，可以方便的查看所以存在于計算機內(nèi)的服務(wù)程序?？梢躁P(guān)閉，啟動，暫停計算機內(nèi)的服務(wù)程序。 (8) 連網(wǎng) /斷網(wǎng)功能，在不使用物理方法下使用戶計算機連接網(wǎng)絡(luò)或斷開網(wǎng)絡(luò)。 完成以上功能使系統(tǒng)能對程序連接網(wǎng)絡(luò)進行管理，大大提高了用戶上網(wǎng)的效率，降低的上網(wǎng)風險。從而用戶上網(wǎng)娛樂的質(zhì)量達到提高，同時也達到網(wǎng)絡(luò)安全保護的目 的。 （二） 防火墻技術(shù) 包過濾 (PacketFilter)技術(shù)是基于 IP 地址來監(jiān)視并過濾網(wǎng)絡(luò)上流入和流出的 IP 包，它只允許與指定的 IP 地址通信。它的作用是在可信任網(wǎng)絡(luò)和不可信任網(wǎng)絡(luò)之間有選擇地安排數(shù)據(jù)包的去向。信息過濾規(guī)則是以其所收到的數(shù)據(jù)包頭信息為基礎(chǔ)，包頭信息中包括 IP 源地址， IP 目標端地址、封裝協(xié)議類型等。當一個數(shù)據(jù)包滿足過濾規(guī)則，則允許此數(shù)據(jù)包通過，否則拒絕此包通過，起到了保護內(nèi)部網(wǎng)絡(luò)的作用。 代理服務(wù)是運行在防火墻主機上的專門的應(yīng)用程序，它位于內(nèi)部網(wǎng)絡(luò)上的用戶和外部網(wǎng)上 的服務(wù)之間，內(nèi)部用戶和外部網(wǎng)服務(wù)彼此不能直接通信，只能分別與代理打交道。代理負責接收外部網(wǎng)服務(wù)請求，再把它們轉(zhuǎn)發(fā)到具體的服務(wù)中。 代理服務(wù)防火墻可以配置成允許來自內(nèi)部網(wǎng)絡(luò)的任何連接，它也可以配置成要求用戶認證后才建立連接，為安全性提供了額外的保證，使得從