基于智能型防火墻INTRANET網絡安全技術探討

◆高涌皓 馮海云 李丹彤

基于智能型防火墻INTRANET網絡安全技術探討

◆高涌皓 馮海云 李丹彤

（延安大學附屬醫(yī)院 陜西 716000）

伴隨科學技術水平的不斷提升，許多新技術、新理念被成功應用在Intranet當中，推動著此領域的發(fā)展與完善。在整個Intranet架構當中，最核心特征即為安全性，且隨著Intranet的廣泛應用，其安全性越發(fā)成為人們關注的重、熱點。本文針對傳統(tǒng)防火墻的不足，提出了一種以智能型防火墻為基礎的Intranet網絡安全技術方案，并總結了其實現(xiàn)方法，望能為相關領域研究提供借鑒。

Intranet；智能型防火墻；網絡安全

在整個Intranet架構中，其最核心特征即為其安全性。通過合理設置防火墻，有助于對網絡通信量進行有效監(jiān)控，促進網絡安全性的提升。但需要指出的是，因傳統(tǒng)型防火墻難以從根本上滿足當前的多層面網絡安全需要，無法對非法訪問用戶實施攔截，因而需要更新、優(yōu)化防火墻。防火墻是一類安全防范方案的總稱，同時也是一種有效且實用的網絡安全模型，其能夠對進出網通信量進行實時監(jiān)測，完成一些高質量的任務，即能夠讓那些經核準且安全的信息進入，而對于那些對企業(yè)造成威脅的數(shù)據(jù)，則阻止其進入。現(xiàn)階段，伴隨網絡技術的越發(fā)成熟與完善，其雖然使網絡應用水平得到大幅提升，但也加重了網絡攻擊頻率，而且手段也變得越發(fā)高明。自此，需要改進、優(yōu)化傳統(tǒng)防火墻。本文圍繞智能型防火墻，分析Intranet網絡安全技術，現(xiàn)探討如下。

1 傳統(tǒng)防火墻技術概述

1.1 防火墻服務目的分析

針對Intranet而言，安全性作為其核心與根本，主要體現(xiàn)在如下方面：其一為完整的網絡信息；其二是網絡信息的保密；其三為網絡服務的可用性。而對于與之相對應的防火墻來講，一般情況下，主要有如下服務目的：（1）阻止外部人員進入Intranet網絡，將那些不安全服務以及非法用戶過濾掉；（2）阻止入侵者靠近防御設施；（3）就人們對特殊站點的訪問進行限制；（4）便于Intranet的監(jiān)視。所以，針對傳統(tǒng)防火墻而言，要達成此技術，依據(jù)其工作方式的不同，可將其劃分成兩大類型，其一為代理服務型防火墻；其二是信息包過濾型防火墻。

1.2 包過濾型防火墻

需要指出的是，通常將包過濾型防火墻設置在邏輯層與網絡級之間的網絡層（IP層），其功能多借助包檢查模塊來最終達成；此模塊一般在數(shù)據(jù)鏈路層與網絡層之間工作，即IP層與TCP層間，需在TCP層及操作系統(tǒng)運作前，對IP包實施處理，也就是依據(jù)系統(tǒng)事先所設置的過濾邏輯，對整個數(shù)據(jù)流當中的各數(shù)據(jù)包進行檢查，然后依據(jù)數(shù)據(jù)包的目標地址、源地址等，來明確此數(shù)據(jù)包是否被準許通過。需要強調的是，包過濾防火墻實為一種以數(shù)據(jù)包過濾為基礎的防火墻。此類防火墻有著不錯的安全性，最突出特點即為對用戶透明，即無需用戶登錄賬號、密碼；因此，此種防火墻有著比較快的運行速度，而且維護方便，一般將其當做第一道防線。但需要說明的是，其也有不足，即無記賬功能，一般無用戶的使用記錄，如此一來，在訪問記錄當中，難以找出黑客的攻擊記錄。另外，對于包過濾來講，其還有其他弱點，即難以在用戶級別上實施過濾，也就是難以對用戶進行鑒別，不能防止IP地址被盜用。

1.3 應用代理服務

針對應用代理服務而言，實際就是防火墻之外的計算機系統(tǒng)應用層所對應的鏈接，是在2個終止在應用代理服務的鏈接來達成的，如此一來，便能夠較好實現(xiàn)對防火墻內外計算機系統(tǒng)的隔離。而對于代理服務在Intranet防火墻網關上所設置的應用，實際就是在網管員拒絕或準許下的特定服務或應用程序，此外，還可根據(jù)現(xiàn)實需要，對其他功能進行應用，如報告、過濾、數(shù)據(jù)流監(jiān)控及記錄等。

應用代理服務能夠根據(jù)具體需要，提供更加安全且實用的選項。在具體功能上，通常能夠將網絡與外部世界相連接，其針對客戶而言，好似一臺真的服務器，而對于外界的服務器來考量，其又如1臺客戶機。如果應用代理服務器對用戶請求予以接受后，會對用戶請求的站點進行檢查，評定其與設定要求是否相符，若對用戶訪問此站點給予允許，那么應用代理服務器便會如同客戶一樣，去此站點將所需要的信息取回，然后向用戶發(fā)送。需要強調的是，應用代理服務器具有高速緩存功能，并且在緩存過程中，可以將用戶經常訪問站點的內容儲存起來，當下一用戶對同一站點進行訪問時，其服務器便無需去獲取相同的內容，這樣一來，不僅可節(jié)省時間，而且還有助于網絡資源的節(jié)約，但伴隨媒體服務的日漸增多，應用代理服務的不足也隨之凸顯，如果需增設一新的媒體服務，那么需重新設置應用代理服務器，提示應用代理有著并不靈活的防火墻。

2 智能型防火墻的基本原理及實現(xiàn)路徑

2.1 堡壘主機及其實現(xiàn)

堡壘主機實為一個連接點，能夠將各Intranet連接在一起。針對此連接點而言，其不僅有著重要地位，而且還容易遭受攻擊，為了能夠提高系統(tǒng)的整體安全性，需對LINUX操作系統(tǒng)（源代碼公開）進行詳細、全面且嚴格的安全化處理，采用經過安全化處理的LINUX操作系統(tǒng)，并將其當作堡壘主機所對應的操作系統(tǒng)。安全化方法為：針對SMTP.FTP.WAIS.HTTP.Gopher等所保留的基本網絡服務，改寫其代碼，從此些服務當中，將過濾功能進行分離。專門構建一個應用過濾管理模塊，此模塊在堡壘主機上運行，能夠統(tǒng)一調度、管理經過凈化處理之后的全部網絡應用代理服務。在對過濾管理器進行實際應用時，其核心工作即為在協(xié)議最低層，對傳送至堡壘主機的信息包進行完全截取，然后對信息包進行逐層分析（自底層協(xié)議到高層協(xié)議），從中將那些相關于安全策略的信息進行提取，且以保密方式向智能認證服務器傳送與分析；與此同時，負責對智能認證服務器保密回傳的應用代理過濾信息進行接收。

2.2 智能認證服務器及實現(xiàn)

在整個智能型防火墻當中，智能認證服務器為其安全決策控制中心。在此服務器當中，保存有諸多關于安全決策的數(shù)據(jù)庫，比如網絡安全數(shù)據(jù)庫、網絡安全知識庫及過濾策略數(shù)據(jù)庫等。不同數(shù)據(jù)庫能經人機接口，由網絡管理員（具有權限）進行查閱與修改。針對各個網絡數(shù)據(jù)庫而言，其基本功能有：（1）過濾策略數(shù)據(jù)庫實為對推理機進行存放，并實現(xiàn)過濾策略產生的重要內部形式，提供給過濾原文發(fā)生器，由其對前、后的過濾策略進行對照，最終使過濾指令產生。（2）在網絡安全知識庫當中，會將網絡專家對各種網絡攻擊進行判斷、處理之后的經驗性知識予以保存，如郵件攻擊、口令探詢攻擊及專家對IP地址欺騙等的判斷處理策略。此外，還儲存有策略性知識（能夠對當前通信狀態(tài)異常，但是難以確定是否為攻擊的處理）。（3）在安全數(shù)據(jù)庫當中，不僅儲存有用戶權限數(shù)據(jù)，而且還保存有由應用過濾管理器所收集的，與數(shù)據(jù)有緊密關聯(lián)的各種數(shù)據(jù)，如通信狀態(tài)、通信信息等，提供給推理機，由其對數(shù)據(jù)包的前、后狀態(tài)進行對比，得到更為準確、可靠且充分的網絡信息，為安全過濾決策提供切實支撐。需要指出的是，智能認證服務程序、網絡數(shù)據(jù)庫乃是智能認證服務器的核心部分，同時還是一種典型的專家系統(tǒng)，其能夠借助堡壘主機當中的相關應用程序，對信息進行過濾管理及保密傳送，以此來驅動運行。如果外部主機需要對Intranet進行訪問，其在具體的數(shù)據(jù)包上，需要先獲得外部路由器的準許，這樣才能更好進入到DMZ網絡當中；而對于其內部的路由器而言，需確保Intranet網絡當中的所有請求均可以進入到DMZ網絡中，最后傳送至堡壘主機的指定端口。還需要強調的是，分析數(shù)據(jù)包的前方路由器有無過濾規(guī)則（針對此數(shù)據(jù)包），如果有規(guī)則禁止傳輸，此數(shù)據(jù)包便會被拋棄；若有規(guī)則準許傳輸，則此數(shù)據(jù)包便能夠順利通過防火墻。另外，如果數(shù)據(jù)包與路由器上的所有規(guī)則均不滿足，其堡壘主機上的所配置的應用過濾管理，便會在協(xié)議最底層，對此數(shù)據(jù)包實施截取，然后自底層協(xié)議至高層，對數(shù)據(jù)包進行逐層分析，然后從中將那些與安全策略有關聯(lián)的信息進行提取，且將所得到的信息以一種保密的方式向智能認證服務器傳送，由其來進行深層剖析。

3 結語

綜上，要想保障Intranet的安全性，需要滿足三個特征，即機密性、完整性與可用性。針對Intranet網絡安全來講，其涉及比較寬的范圍，因此，需強化此領域的創(chuàng)新。本文首先分析了傳統(tǒng)防火墻，探討了一種以智能型防火墻為基礎的Intranet網絡安全方案及具體的實現(xiàn)思路，從中得知，其選用的過濾規(guī)則的自動配置、自動產生技術，可使Intranet管理人員的勞動強度得到大幅減輕，防止由于人工修改過濾規(guī)則而引發(fā)不當或錯誤，且將傳統(tǒng)防火墻所存在的不足予以克服，因而是一種不錯的防火墻系統(tǒng)模型。

[1]郭帥，譚超，王龍. Internet/Intranet網絡安全技術及安全機制分析[J]. 網絡安全技術與應用，2020，231（3）：21-22.

[2]張佳發(fā). 一種基于人工智能的網絡安全防御模型研究[J]. 網絡安全技術與應用，2020，5（1）：15-17.

[3]陳中男. 淺談計算機網絡安全中防火墻技術的探索與運用[J]. 網絡安全技術與應用，2019，219（3）：25-26.

[4]孫書彤. 人工智能技術在網絡空間安全防御中的應用研究[J]. 無線互聯(lián)科技，2019，16（23）：130-131.