基于智能型防火墻INTRANET網絡安全技術探討

◆胡明杰

（淮北職業技術學院 安徽 235000）

伴隨社會經濟的持續、快速發展，科學技術的不斷推新，許多新技術、新理念在各領域中得到廣泛應用。在對企業INTRANET 方案進行設計、制定時，需要設計一個囊括多手段、多層次并且全方位的安全防護系統。原因在于伴隨INTRANET 的不斷發展與應用，確保其安全的重要性越發凸顯，當前的網絡安全已經成為對網絡技術深層次發展產生影響的關鍵因素。針對防火墻技術而言，其實質是一種實用、有效，并且已經得到廣泛應用的網絡安全技術，其不僅是一種防范措施，而且還是一種有效的網絡安全模型。防火墻能夠對進出網絡通信量進行監測，從而能夠高質量地完成原本無法完成的任務。需要指出的是，因防火墻實為一種被動技術，其對網絡邊界與服務進行了假設，所以，對于內部的非法訪問，無法進行全面性控制，所以防火墻對于獨立的網絡而言，比較實用，而針對INTRANET 等來講，則為一種相對集中的網絡。本文以智能型防火墻為基礎，就其INTRANET網絡安全技術探討如下。

1 傳統防火墻技術分析

1.1 包過濾型防火墻

針對此種防火墻而言，其位于邏輯層與網絡級之間的網絡層（IP層），并且通常由包檢查模塊來實現，此模塊在數據鏈路層與網絡層之間工作，即位于IP 層與TCP 層之間，其需要在TCP 層與操作系統前，處理IP 包，也就是依據系統事先設定的過濾邏輯，對整個數據流當中的各數據包進行檢查，然后依據數據包的目標地質、源地址，及包所使用端口，并對是否允許此數據包通過予以明確。包過濾防火墻實質是以數據包過濾為基礎的防火墻。針對此類防火墻而言，其擁有比較好的安全性，最突出優點在于，它對用戶而言是透明的，即在登錄時，無須密碼與用戶名，此種防火墻有著比較快的速度，而且還便于維護，一般當作第一道防線。但需強調的是，其也有著比較明顯的不足，即無記賬功能，一般情況下，它缺少用戶的使用記錄，這便難以從訪問記錄當中找出黑客的攻擊記錄。但如果對一個包過濾式防火墻進行攻擊，難度不大。還需說明的是，包過濾式的防火墻的配置較為煩瑣，其雖然能夠對他人進入內網的行為予以阻擋，但也不會告知究竟是誰進入到系統。另外，其雖然能夠阻止外部對私有網絡的訪問，但卻無法將內部的訪問數據給記錄下來。

1.2 INTRANET 的安全性以及防火墻服務目的

針對INTRANET 安全性而言，其主要包含三部分，其一為網絡信息的完整性，其二是網絡信息的保密性，其三為網絡服務的可用性。一般情況下，防火墻能夠同時為多目標提供服務：（1）預防他人進入INTRANET網絡，將那些不安全服務以及非法用戶給過濾掉；（2）制止入侵者靠近你的防御設施；（3）對人們訪問特殊站點加以限制；（4）便于INTRANET 監視。所以，在能夠運用傳統防火墻的各種技術當中，依據其工作方式不同，可將其分為兩種類型，其一為代理服務型防火墻，其二是信息包過濾型防火墻。

2 傳統防火墻技術實際使用中所存在的突出問題

傳統防火墻所存在的問題為：（1）防火墻系統無法借助網絡信息、網絡狀態進行規則的自動調整；（2）包過濾防火墻有著較高的效率，但較難制定其規則；當采用的是代理防火墻規則時，其往往有著比較強的針對性，但卻有著較低的工作效率；（3）在使用包過濾防火墻過濾時，其信息比較單一，包過濾堡壘主機對于外路由器Web 服務器與應用過濾時采用的信息，無法彼此利用；（4）防火墻在具體的工作方式上，極為被動，針對沒有列出的網絡攻擊，無法及時制止；當防火墻出現被攻破的情況后，難以及時發現，也無法及時控制。為了能夠將此些問題給有效地解決掉，積極找尋防火墻安全策略制定中網絡與應用層信息的綜合應用策略，剖析防火墻過濾對內路由器規則自動配置、自動產生的途徑，制定了一種以屏蔽子網為基礎的混合智能型防火墻模型，且對其具體的實現方法進行了研究。

3 智能型防火墻的結構體系分析

3.1 結構描述

經上述分析得知，傳統的包過濾型防火墻以及代理服務防火墻有著比較單一的形式，如果外部黑客進行攻擊，INTRANET網絡便會被暴露出來，而對于智能防火墻而言，通常情況下，會采用一種組合結構，其在具體結構上主要由堡壘主機、智能認證服務器、內外路由器及智能主機等構成。針對內外路由器來分析，其在各INTRANET網之間，能夠構建一個安全子網，即非軍事區（DMZ）。而諸如Modern組、堡壘主機、信息服務器會被設置在DMZ 網絡當中，而對于智能認證服務器而言，則需要設在INTRANET網絡當中。

3.2 內外路由器

現階段，INTRANET網絡大多采用的是TCP/IP 協議族，其在實際應用中，往往會存在一些安全漏洞，而且在具體的安全機制上，也存在不健全的情況，INTRANET網絡上的黑客通常會借此而侵入。為此，需要采用各種安全技術，開展網絡安全性管理與建設。針對外部路由器而言，一般會被用于外部攻擊的預防，比如源地址欺騙、源路由攻擊等，且還會對INTRANET 到DMZ 的訪問進行管理。針對網絡地址轉換器而言，其又被稱作地址共享器，或者是地址映射器，起初的用途是解決IP 地址不足的問題，而當前多用作網絡安全。而針對內部路由器而言，多用作INTRANET 與DMZ 之間的IP 包過濾等，為INTRANET 提供保護，使其不受INTRANET、DMZ 的侵擾，預防INTRANET網當中的數據包流入到DMZ 網絡中。當處于缺省狀態時，內部路由器準許任意主機的請求，能夠達到堡壘主機，而對于沒有經過認證的外部主機的訪問，則予以制止。

4 智能型防火墻的實現方法

（1）堡壘主機及其實現方法。所謂堡壘主機，從根本上來講，即為不同INTRANET 的連接點。此連接點有著重要地位，且容易遭受攻擊，為了能夠提高其安全性，可以對LINUX 操作系統進行安全化處理，采用有著更高安全性的LINUX 系統當作堡壘主機的操作系統。安全化做法：針對所保留的諸如FTP.SMTP 等網絡服務，對其代碼予以改寫，在這些服務當中將其中的過濾功能分離出來，專門構建一個模塊，使此模塊在堡壘主機上運行；針對凈化之后的全部網絡應用代理服務，開展統一化的調度與管理。之所以選用過濾管理器，其核心工作是在協議最底層，截取到達堡壘主機的信息包，在此之后，自底層協議至高層協議，對信息包進行逐層分析，從中對那些與安全策略有關的信息進行提取，且向智能認證服務器進行傳送，由其進行分析。（2）智能認證服務器及其實現方法。智能認證服務器實為整個智能型防火墻的安全決策控制中心，在此服務器上，需要保留諸多相關于安全決策的數據庫，也就是網絡安全數據庫、過濾策略數據庫等。不同數據庫能夠通過統一的人機接口，由具有權限的網絡管理員進行查閱與修改。

5 結語

綜上，INTRANET網絡數據安全的主要特性為機密性、完整性與可用性，INTRANET網絡安全囊括的范圍較廣，是國家網絡安全的基石。本文探討了一種以智能型防火墻INTRANET網絡安全為基礎的方案，并指出了其模型與實現方法，即選用過慮規則的自動配置與自動產生技術，從而使INTRANET 管理人員的勞動強度大幅降低，防止傳統防火墻遭受黑客攻擊，提高整個網絡的安全性。