基于智能型防火墻INTRANET網(wǎng)絡安全技術探討

◆胡明杰

（淮北職業(yè)技術學院 安徽 235000）

伴隨社會經(jīng)濟的持續(xù)、快速發(fā)展，科學技術的不斷推新，許多新技術、新理念在各領域中得到廣泛應用。在對企業(yè)INTRANET 方案進行設計、制定時，需要設計一個囊括多手段、多層次并且全方位的安全防護系統(tǒng)。原因在于伴隨INTRANET 的不斷發(fā)展與應用，確保其安全的重要性越發(fā)凸顯，當前的網(wǎng)絡安全已經(jīng)成為對網(wǎng)絡技術深層次發(fā)展產(chǎn)生影響的關鍵因素。針對防火墻技術而言，其實質(zhì)是一種實用、有效，并且已經(jīng)得到廣泛應用的網(wǎng)絡安全技術，其不僅是一種防范措施，而且還是一種有效的網(wǎng)絡安全模型。防火墻能夠?qū)M出網(wǎng)絡通信量進行監(jiān)測，從而能夠高質(zhì)量地完成原本無法完成的任務。需要指出的是，因防火墻實為一種被動技術，其對網(wǎng)絡邊界與服務進行了假設，所以，對于內(nèi)部的非法訪問，無法進行全面性控制，所以防火墻對于獨立的網(wǎng)絡而言，比較實用，而針對INTRANET 等來講，則為一種相對集中的網(wǎng)絡。本文以智能型防火墻為基礎，就其INTRANET網(wǎng)絡安全技術探討如下。

1 傳統(tǒng)防火墻技術分析

1.1 包過濾型防火墻

針對此種防火墻而言，其位于邏輯層與網(wǎng)絡級之間的網(wǎng)絡層（IP層），并且通常由包檢查模塊來實現(xiàn)，此模塊在數(shù)據(jù)鏈路層與網(wǎng)絡層之間工作，即位于IP 層與TCP 層之間，其需要在TCP 層與操作系統(tǒng)前，處理IP 包，也就是依據(jù)系統(tǒng)事先設定的過濾邏輯，對整個數(shù)據(jù)流當中的各數(shù)據(jù)包進行檢查，然后依據(jù)數(shù)據(jù)包的目標地質(zhì)、源地址，及包所使用端口，并對是否允許此數(shù)據(jù)包通過予以明確。包過濾防火墻實質(zhì)是以數(shù)據(jù)包過濾為基礎的防火墻。針對此類防火墻而言，其擁有比較好的安全性，最突出優(yōu)點在于，它對用戶而言是透明的，即在登錄時，無須密碼與用戶名，此種防火墻有著比較快的速度，而且還便于維護，一般當作第一道防線。但需強調(diào)的是，其也有著比較明顯的不足，即無記賬功能，一般情況下，它缺少用戶的使用記錄，這便難以從訪問記錄當中找出黑客的攻擊記錄。但如果對一個包過濾式防火墻進行攻擊，難度不大。還需說明的是，包過濾式的防火墻的配置較為煩瑣，其雖然能夠?qū)λ诉M入內(nèi)網(wǎng)的行為予以阻擋，但也不會告知究竟是誰進入到系統(tǒng)。另外，其雖然能夠阻止外部對私有網(wǎng)絡的訪問，但卻無法將內(nèi)部的訪問數(shù)據(jù)給記錄下來。

1.2 INTRANET 的安全性以及防火墻服務目的

針對INTRANET 安全性而言，其主要包含三部分，其一為網(wǎng)絡信息的完整性，其二是網(wǎng)絡信息的保密性，其三為網(wǎng)絡服務的可用性。一般情況下，防火墻能夠同時為多目標提供服務：（1）預防他人進入INTRANET網(wǎng)絡，將那些不安全服務以及非法用戶給過濾掉；（2）制止入侵者靠近你的防御設施；（3）對人們訪問特殊站點加以限制；（4）便于INTRANET 監(jiān)視。所以，在能夠運用傳統(tǒng)防火墻的各種技術當中，依據(jù)其工作方式不同，可將其分為兩種類型，其一為代理服務型防火墻，其二是信息包過濾型防火墻。

2 傳統(tǒng)防火墻技術實際使用中所存在的突出問題

傳統(tǒng)防火墻所存在的問題為：（1）防火墻系統(tǒng)無法借助網(wǎng)絡信息、網(wǎng)絡狀態(tài)進行規(guī)則的自動調(diào)整；（2）包過濾防火墻有著較高的效率，但較難制定其規(guī)則；當采用的是代理防火墻規(guī)則時，其往往有著比較強的針對性，但卻有著較低的工作效率；（3）在使用包過濾防火墻過濾時，其信息比較單一，包過濾堡壘主機對于外路由器Web 服務器與應用過濾時采用的信息，無法彼此利用；（4）防火墻在具體的工作方式上，極為被動，針對沒有列出的網(wǎng)絡攻擊，無法及時制止；當防火墻出現(xiàn)被攻破的情況后，難以及時發(fā)現(xiàn)，也無法及時控制。為了能夠?qū)⒋诵﹩栴}給有效地解決掉，積極找尋防火墻安全策略制定中網(wǎng)絡與應用層信息的綜合應用策略，剖析防火墻過濾對內(nèi)路由器規(guī)則自動配置、自動產(chǎn)生的途徑，制定了一種以屏蔽子網(wǎng)為基礎的混合智能型防火墻模型，且對其具體的實現(xiàn)方法進行了研究。

3 智能型防火墻的結(jié)構(gòu)體系分析

3.1 結(jié)構(gòu)描述

經(jīng)上述分析得知，傳統(tǒng)的包過濾型防火墻以及代理服務防火墻有著比較單一的形式，如果外部黑客進行攻擊，INTRANET網(wǎng)絡便會被暴露出來，而對于智能防火墻而言，通常情況下，會采用一種組合結(jié)構(gòu)，其在具體結(jié)構(gòu)上主要由堡壘主機、智能認證服務器、內(nèi)外路由器及智能主機等構(gòu)成。針對內(nèi)外路由器來分析，其在各INTRANET網(wǎng)之間，能夠構(gòu)建一個安全子網(wǎng)，即非軍事區(qū)（DMZ）。而諸如Modern組、堡壘主機、信息服務器會被設置在DMZ 網(wǎng)絡當中，而對于智能認證服務器而言，則需要設在INTRANET網(wǎng)絡當中。

3.2 內(nèi)外路由器

現(xiàn)階段，INTRANET網(wǎng)絡大多采用的是TCP/IP 協(xié)議族，其在實際應用中，往往會存在一些安全漏洞，而且在具體的安全機制上，也存在不健全的情況，INTRANET網(wǎng)絡上的黑客通常會借此而侵入。為此，需要采用各種安全技術，開展網(wǎng)絡安全性管理與建設。針對外部路由器而言，一般會被用于外部攻擊的預防，比如源地址欺騙、源路由攻擊等，且還會對INTRANET 到DMZ 的訪問進行管理。針對網(wǎng)絡地址轉(zhuǎn)換器而言，其又被稱作地址共享器，或者是地址映射器，起初的用途是解決IP 地址不足的問題，而當前多用作網(wǎng)絡安全。而針對內(nèi)部路由器而言，多用作INTRANET 與DMZ 之間的IP 包過濾等，為INTRANET 提供保護，使其不受INTRANET、DMZ 的侵擾，預防INTRANET網(wǎng)當中的數(shù)據(jù)包流入到DMZ 網(wǎng)絡中。當處于缺省狀態(tài)時，內(nèi)部路由器準許任意主機的請求，能夠達到堡壘主機，而對于沒有經(jīng)過認證的外部主機的訪問，則予以制止。

4 智能型防火墻的實現(xiàn)方法

（1）堡壘主機及其實現(xiàn)方法。所謂堡壘主機，從根本上來講，即為不同INTRANET 的連接點。此連接點有著重要地位，且容易遭受攻擊，為了能夠提高其安全性，可以對LINUX 操作系統(tǒng)進行安全化處理，采用有著更高安全性的LINUX 系統(tǒng)當作堡壘主機的操作系統(tǒng)。安全化做法：針對所保留的諸如FTP.SMTP 等網(wǎng)絡服務，對其代碼予以改寫，在這些服務當中將其中的過濾功能分離出來，專門構(gòu)建一個模塊，使此模塊在堡壘主機上運行；針對凈化之后的全部網(wǎng)絡應用代理服務，開展統(tǒng)一化的調(diào)度與管理。之所以選用過濾管理器，其核心工作是在協(xié)議最底層，截取到達堡壘主機的信息包，在此之后，自底層協(xié)議至高層協(xié)議，對信息包進行逐層分析，從中對那些與安全策略有關的信息進行提取，且向智能認證服務器進行傳送，由其進行分析。（2）智能認證服務器及其實現(xiàn)方法。智能認證服務器實為整個智能型防火墻的安全決策控制中心，在此服務器上，需要保留諸多相關于安全決策的數(shù)據(jù)庫，也就是網(wǎng)絡安全數(shù)據(jù)庫、過濾策略數(shù)據(jù)庫等。不同數(shù)據(jù)庫能夠通過統(tǒng)一的人機接口，由具有權限的網(wǎng)絡管理員進行查閱與修改。

5 結(jié)語

綜上，INTRANET網(wǎng)絡數(shù)據(jù)安全的主要特性為機密性、完整性與可用性，INTRANET網(wǎng)絡安全囊括的范圍較廣，是國家網(wǎng)絡安全的基石。本文探討了一種以智能型防火墻INTRANET網(wǎng)絡安全為基礎的方案，并指出了其模型與實現(xiàn)方法，即選用過慮規(guī)則的自動配置與自動產(chǎn)生技術，從而使INTRANET 管理人員的勞動強度大幅降低，防止傳統(tǒng)防火墻遭受黑客攻擊，提高整個網(wǎng)絡的安全性。