崔愛(ài)國(guó)

（蘇州建設(shè)交通高等職業(yè)技術(shù)學(xué)校，江蘇 蘇州 215000）

基于智能型防火墻INTRANET下的網(wǎng)絡(luò)安全技術(shù)

崔愛(ài)國(guó)

（蘇州建設(shè)交通高等職業(yè)技術(shù)學(xué)校，江蘇 蘇州 215000）

Intranet最關(guān)鍵的一個(gè)特征就是安全性，隨著Intranet的快速發(fā)展及廣泛應(yīng)用，其安全性成為重點(diǎn)關(guān)注的問(wèn)題。本文分析傳統(tǒng)防火墻的類(lèi)型及存在的主要缺陷，介紹智能型防火墻日常工作原理、設(shè)計(jì)結(jié)構(gòu)，提出基于智能型防火墻INTR ANET下網(wǎng)絡(luò)安全技術(shù)的實(shí)現(xiàn)方法，這種設(shè)計(jì)方案克服傳統(tǒng)防火墻對(duì)沒(méi)有列出的黑客攻擊不予理睬等弊端，提高網(wǎng)絡(luò)的安全性和可靠性。

智能型防火墻；INTR ANET;網(wǎng)絡(luò)安全技術(shù)

1 引言

設(shè)置合理的防火墻，能有效監(jiān)控網(wǎng)絡(luò)通信量，提升網(wǎng)絡(luò)的安全性。由于傳統(tǒng)型防火墻無(wú)法滿(mǎn)足新時(shí)期網(wǎng)絡(luò)安全需求，無(wú)法對(duì)內(nèi)部的非法訪(fǎng)問(wèn)用戶(hù)展開(kāi)相應(yīng)的攔截。隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)安全問(wèn)題顯得更加重要。若遭到非法用戶(hù)的入侵，那么其數(shù)據(jù)信息的安全性無(wú)法得到保護(hù)。為防止上述情況出現(xiàn)，必須設(shè)計(jì)合理的網(wǎng)絡(luò)安全保護(hù)措施。為保證Intranet的安全性，必須合理改進(jìn)防火墻技術(shù)，深入研究以智能型防火墻為基礎(chǔ)的Intranet網(wǎng)絡(luò)安全技術(shù)，為提升網(wǎng)絡(luò)安全發(fā)揮著重要作用。

2 概述傳統(tǒng)防火墻的主要類(lèi)型及不足之處

2.1 傳統(tǒng)型防火墻的主要類(lèi)型

隨著信息技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)安全問(wèn)題顯得尤為重要。傳統(tǒng)防火墻主要分為代理服務(wù)型、包過(guò)濾型兩種情況。代理服務(wù)型防火墻又稱(chēng)作應(yīng)用型防火墻，其工作重點(diǎn)就是把外部應(yīng)用與內(nèi)部網(wǎng)絡(luò)實(shí)施安全檢查后展開(kāi)連接。代理服務(wù)器把經(jīng)過(guò)的所有應(yīng)用和連接詳細(xì)記錄，便于實(shí)施安全檢查或采集相關(guān)的數(shù)據(jù)信息，從而確保數(shù)據(jù)信息的安全性。代理服務(wù)型防火墻具有極好的安全性能，但實(shí)施網(wǎng)絡(luò)訪(fǎng)問(wèn)時(shí)，因受到數(shù)據(jù)處理等不同因素的影響其速度、性能降低，缺乏靈活性。包過(guò)濾型一般處在協(xié)議網(wǎng)絡(luò)層內(nèi)，主要是根據(jù)已設(shè)定的模塊對(duì)各個(gè)數(shù)據(jù)包展開(kāi)檢查、過(guò)濾處理，其反應(yīng)速度較快且便于維護(hù)。包過(guò)濾型防火墻對(duì)于所訪(fǎng)問(wèn)的用戶(hù)具有透明性，但其無(wú)法詳細(xì)記錄相關(guān)信息，可以阻止外部私自訪(fǎng)問(wèn)的用戶(hù)。傳統(tǒng)過(guò)濾型防火墻工作原理如圖1。

圖1 傳統(tǒng)過(guò)濾型防火墻工作原理

過(guò)濾型防火墻設(shè)置在內(nèi)部與外部網(wǎng)絡(luò)之間，是內(nèi)外網(wǎng)絡(luò)傳送、接收數(shù)據(jù)信息的必經(jīng)之路，所有進(jìn)出的數(shù)據(jù)均要與防火墻進(jìn)行匹配和處理。過(guò)濾規(guī)則作為傳統(tǒng)過(guò)濾型防火墻的核心技術(shù)，創(chuàng)建合理的過(guò)濾規(guī)則是保證網(wǎng)絡(luò)系統(tǒng)安全的重點(diǎn)措施，過(guò)濾規(guī)則借助網(wǎng)絡(luò)數(shù)據(jù)包報(bào)頭內(nèi)的IP地址、端口等信息，上述字段組成過(guò)濾規(guī)則的必要條件。但是，過(guò)濾型防火墻對(duì)內(nèi)部訪(fǎng)問(wèn)無(wú)法登記，極易泄露內(nèi)部的信息資料。其過(guò)濾型防火墻的規(guī)則匹配比較單一，如果匹配無(wú)效極易發(fā)生異常行為，從而加大網(wǎng)絡(luò)風(fēng)險(xiǎn)。

2.2 傳統(tǒng)型防火墻不足之處

隨著科學(xué)技術(shù)的快速發(fā)展，網(wǎng)絡(luò)安全面臨更嚴(yán)重的威脅。傳統(tǒng)型防火墻已無(wú)法適應(yīng)新時(shí)期發(fā)展要求，應(yīng)用過(guò)程中存在部分不足之處，主要表現(xiàn)在以下方面：①傳統(tǒng)防火墻無(wú)法依據(jù)網(wǎng)絡(luò)信息的狀態(tài)進(jìn)行自動(dòng)調(diào)整；②傳統(tǒng)防火墻缺少自動(dòng)過(guò)濾、屏蔽不良信息的功能，對(duì)并未羅列的入侵方式或病毒不能有效阻止。③傳統(tǒng)型防火墻整理資料過(guò)程中，方式過(guò)于單一，不能合理有效運(yùn)用數(shù)據(jù)資料，防范功能較低，不能開(kāi)展深層次的檢測(cè)工作。

3 簡(jiǎn)述智能型防火墻工作原理

智能型防火墻日常工作時(shí)，如果Intranet主機(jī)向Internet主機(jī)發(fā)出連接信息，必須使用IP地址。反言之，若Internet主機(jī)向Intranet發(fā)出連接信息過(guò)程中，必須借助網(wǎng)關(guān)映射至Intranet主機(jī)上。同時(shí)，DMZ中堡壘主機(jī)過(guò)濾程序能夠順利通過(guò)安全通道，從而實(shí)現(xiàn)與內(nèi)部智能認(rèn)證服務(wù)器合理通信的目的。因智能認(rèn)證服務(wù)器支持秘密傳送信息，因此，它能夠修改網(wǎng)絡(luò)系統(tǒng)內(nèi)外路由器表，也可以合理調(diào)整過(guò)濾規(guī)則。智能防火墻系統(tǒng)的認(rèn)證服務(wù)程序與過(guò)濾管理程序之間合理協(xié)調(diào)，不單單可以在堡壘主機(jī)上正常運(yùn)行，也能在服務(wù)器上正常工作。

4 基于智能型防火墻INTRANET下的網(wǎng)絡(luò)安全技術(shù)實(shí)現(xiàn)方法

4.1 智能型防火墻的結(jié)構(gòu)

分析傳統(tǒng)型防火墻相關(guān)內(nèi)容后，傳統(tǒng)型防火墻使用的工作方式比較單一，若網(wǎng)絡(luò)系統(tǒng)遭受外部入侵，導(dǎo)致Intranet網(wǎng)絡(luò)完全暴露在非法用戶(hù)面前。所以，研究、開(kāi)發(fā)智能型防火墻對(duì)保障Intranet網(wǎng)絡(luò)安全顯得尤為重要。智能型防火墻主要由智能主機(jī)、堡壘主機(jī)、內(nèi)外路由器、認(rèn)證服務(wù)器等結(jié)構(gòu)組合而成，其具體結(jié)構(gòu)如圖2。其中，DMZ是內(nèi)外路由器在Intranet與Internet之間構(gòu)建的安全子網(wǎng)。

圖2 智能型防火墻結(jié)構(gòu)簡(jiǎn)圖

4.2 內(nèi)外路由器

現(xiàn)階段，Intranet網(wǎng)絡(luò)設(shè)置TCP/IP協(xié)議存在部分安全漏洞或不全機(jī)制，導(dǎo)致網(wǎng)絡(luò)極易受到黑客的攻擊。因此，必須設(shè)計(jì)一套完善的安全技術(shù)，確保網(wǎng)絡(luò)的安全性。設(shè)置外部路由器能預(yù)防外部非法用戶(hù)攻擊，例如：源地址欺騙等。網(wǎng)絡(luò)地址轉(zhuǎn)換器又稱(chēng)作地址共享器，設(shè)計(jì)初衷是解決IP地址的訪(fǎng)問(wèn)缺陷。內(nèi)部路由器設(shè)置在DMZ和Intranet之間，確保網(wǎng)絡(luò)系統(tǒng)不受到DMZ、Internet的不良侵犯，預(yù)防網(wǎng)絡(luò)廣播的數(shù)據(jù)包進(jìn)入DMZ的網(wǎng)絡(luò)。如果處在缺省狀態(tài)下，內(nèi)部路由器支持各類(lèi)主機(jī)發(fā)布的請(qǐng)求到達(dá)堡壘主機(jī)，不支持未經(jīng)認(rèn)可的外部主機(jī)訪(fǎng)問(wèn)Intranet網(wǎng)絡(luò)。

4.3 堡壘主機(jī)系統(tǒng)

設(shè)計(jì)堡壘主機(jī)能起著連接內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)的作用，但堡壘主機(jī)極易遭受攻擊。因此，必須設(shè)計(jì)合理的安全性保護(hù)措施。因此，合理設(shè)計(jì)堡壘主機(jī)—Linux操作系統(tǒng)，實(shí)施科學(xué)縝密的安全處理，具體操作如下：保留SMTP、HTTP等基本網(wǎng)絡(luò)服務(wù)，重新改寫(xiě)其源代碼，將源代碼的過(guò)濾功能逐漸分離。創(chuàng)建新的過(guò)濾管理器模塊，在模塊在堡壘主機(jī)上運(yùn)行，容易管理、調(diào)度所使用的代碼服務(wù)。設(shè)置過(guò)濾管理器能攔截所有經(jīng)堡壘主機(jī)發(fā)布的信息，并逐層分析其協(xié)議信息，及時(shí)存儲(chǔ)安全的數(shù)據(jù)信息，最終將秘密傳輸給智能認(rèn)證服務(wù)器，由智能服務(wù)器對(duì)所接收的信息展開(kāi)處理分析，分析完成再次傳送至應(yīng)用過(guò)濾管理器，通過(guò)過(guò)濾管理器重新配置信息，在一定程度上激發(fā)有關(guān)代理展開(kāi)相應(yīng)的工作。

4.4 智能認(rèn)證服務(wù)器

智能認(rèn)證服務(wù)器作為智能型防火墻的決策控制中心，該服務(wù)器存儲(chǔ)大量的與安全決策相關(guān)的數(shù)據(jù)庫(kù)，主要包括過(guò)濾策略數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)安全數(shù)據(jù)庫(kù)等。不同數(shù)據(jù)庫(kù)采用統(tǒng)一的人機(jī)接口通過(guò)所設(shè)定權(quán)限的管理員進(jìn)行修改或查閱。網(wǎng)絡(luò)數(shù)據(jù)庫(kù)具有如下功能：⑴網(wǎng)絡(luò)安全知識(shí)庫(kù)包含大量的網(wǎng)絡(luò)攻擊知識(shí)及策略，同時(shí)，也存在一系列處理攻擊的方法，便于工作人員合理運(yùn)用。⑵安全數(shù)據(jù)庫(kù)中存儲(chǔ)用戶(hù)權(quán)限的相關(guān)數(shù)據(jù)，能有效存儲(chǔ)過(guò)濾器管理器接收的信息，收集的信息包括信息狀態(tài)、應(yīng)用情況等。同時(shí)，網(wǎng)絡(luò)安全知識(shí)庫(kù)能存儲(chǔ)專(zhuān)家判斷及處理不同網(wǎng)絡(luò)攻擊的經(jīng)驗(yàn)知識(shí)，如：郵件攻擊、蠕蟲(chóng)攻擊、口令探詢(xún)攻擊等一系處理方法。⑶過(guò)濾策略數(shù)據(jù)庫(kù)作為存儲(chǔ)推理機(jī)形成過(guò)濾策略的主要形式，對(duì)過(guò)濾原文發(fā)生器實(shí)施前后策略提出合理參考，從而制定科學(xué)合理的過(guò)濾指令。

智能認(rèn)證服務(wù)器的核心包括網(wǎng)絡(luò)數(shù)據(jù)庫(kù)、認(rèn)證服務(wù)程序，主要借助堡壘主機(jī)的應(yīng)用過(guò)濾管理器傳遞信息進(jìn)行操作。若外部主機(jī)訪(fǎng)問(wèn)Intranet，此時(shí)需要借助外部路由器審核數(shù)據(jù)包，審核完成后方可放行。若審核不通過(guò)，就無(wú)法進(jìn)入DMZ網(wǎng)絡(luò)。內(nèi)部路由器確保Intranet網(wǎng)絡(luò)的各項(xiàng)請(qǐng)求進(jìn)入

DMZ網(wǎng)絡(luò)，隨之進(jìn)入堡壘主機(jī)設(shè)定的端口。通過(guò)上述分析可知，智能認(rèn)證服務(wù)器將通信數(shù)據(jù)接收器收集的信息存儲(chǔ)在網(wǎng)絡(luò)安全數(shù)據(jù)庫(kù)內(nèi)，網(wǎng)絡(luò)安全數(shù)據(jù)庫(kù)根據(jù)數(shù)據(jù)變化情況，在一定程度上促進(jìn)推理機(jī)開(kāi)展工作。推理機(jī)通過(guò)安全知識(shí)庫(kù)內(nèi)專(zhuān)家豐富的經(jīng)驗(yàn)，對(duì)剛進(jìn)入數(shù)據(jù)庫(kù)的信息實(shí)施分析，找尋與其相關(guān)的各類(lèi)處理，再次對(duì)比、分析，從而獲得相應(yīng)的過(guò)濾對(duì)策。如果信息不安全，可以通過(guò)人機(jī)接口對(duì)網(wǎng)絡(luò)管理人員發(fā)出報(bào)警信息。網(wǎng)絡(luò)管理人員接收?qǐng)?bào)警信號(hào)后，針對(duì)出現(xiàn)的不良情況展開(kāi)合理處理。這一情況下，過(guò)濾器對(duì)剛形成的過(guò)濾對(duì)策內(nèi)部代碼實(shí)施形式轉(zhuǎn)化，依據(jù)具體狀況實(shí)施相應(yīng)的處理措施。由此可知，智能型防火墻內(nèi)部和外部路由器依據(jù)具體情況實(shí)現(xiàn)Intranet與Internet網(wǎng)絡(luò)通訊，也可通過(guò)代理服務(wù)程序?qū)崿F(xiàn)通信。

5 結(jié)束語(yǔ)

總之，為預(yù)防網(wǎng)絡(luò)數(shù)據(jù)信息泄露，必須保證Intranet網(wǎng)絡(luò)的安全性，改進(jìn)傳統(tǒng)防火墻的存在的弊端勢(shì)在必行。開(kāi)發(fā)智能化防火墻技術(shù)，如果數(shù)據(jù)包無(wú)法滿(mǎn)足路由器的各項(xiàng)規(guī)則，其堡壘主機(jī)使用的過(guò)濾管理器可以完全截取數(shù)據(jù)包協(xié)議最底層的信息，隨之將底層協(xié)議放入高層協(xié)議層進(jìn)行分析，從而有效效降低Intranet管理者的負(fù)擔(dān)，做好網(wǎng)絡(luò)安全的護(hù)駕保航工作。

[1]趙可新，陳玉芳．包過(guò)濾防火墻系統(tǒng)的設(shè)計(jì)與研究[J]．現(xiàn)代電子技術(shù)，2012，34(6)：112-113，117．

[2]趙中營(yíng)，徐佩鋒．網(wǎng)絡(luò)安全技術(shù)及其缺陷[J]．計(jì)算機(jī)光盤(pán)軟件與應(yīng)用，2013，23(17)：152-152，154．

[3]頊霞．智能型防火墻INTR ANET條件下的網(wǎng)絡(luò)安全技術(shù)分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015，11(4)：140，142．

[4]孟慶威．淺析計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)--防火墻[J]．計(jì)算機(jī)光盤(pán)軟件與應(yīng)用，2013，16(12)：170-171．

[5]夏躍偉，牛文倩，劉金廣，等．基于Linux平臺(tái)防止IP欺騙的SYN攻擊防火墻的設(shè)計(jì)與實(shí)現(xiàn)[J]．現(xiàn)代電子技術(shù)，2014，15(9)：83-85．

[6]吳凱．探討網(wǎng)絡(luò)安全技術(shù)中防火墻和IDS聯(lián)動(dòng)的應(yīng)用分析[J]．網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2014，7(1)：31，33．

[7]李進(jìn)軍．關(guān)于智能型防火墻INTR ANET網(wǎng)絡(luò)安全技術(shù)的相關(guān)研究與分析[J]．?dāng)?shù)字化用戶(hù)，2014，17(15)：91-92．

[8]宋鐵石，李同偉，王冠，等．以智能型防火墻為基礎(chǔ)的INTR ANET網(wǎng)絡(luò)安全技術(shù)[J]．電腦開(kāi)發(fā)與應(yīng)用，2014，11(3)：17-18，21．

Network Security Technology under INTRANET Based on Intelligent Firewall

CuiAiguo
(Suzhou Institute of Constrction and Communications,Suzhou 215000,Jiangsu)

tract】 One of the key features of Intranet is security.With the rapid development and wide application of Intranet,security becomes the key problem.This paper analyzes the types of traditional firewall and its main defects,introduces the principle and structure of intelligent firewall,and the proposes the realization method of network security technology under INTRANET based on intelligent firewall,which overcomes the defects in traditional firewall,and improves the safety and reliability of the network.

words】 intelligent firewall;INTRANET;network security technology

TP393.08

A

1008-6609(2016)09-0033-03

崔愛(ài)國(guó)，男，江蘇鹽城人，本科，講師，研究方向：計(jì)算機(jī)技術(shù)。