◆胡明杰

（淮北職業(yè)技術(shù)學(xué)院 安徽 235000）

伴隨社會(huì)經(jīng)濟(jì)的持續(xù)、快速發(fā)展，科學(xué)技術(shù)的不斷推新，許多新技術(shù)、新理念在各領(lǐng)域中得到廣泛應(yīng)用。在對(duì)企業(yè)INTRANET 方案進(jìn)行設(shè)計(jì)、制定時(shí)，需要設(shè)計(jì)一個(gè)囊括多手段、多層次并且全方位的安全防護(hù)系統(tǒng)。原因在于伴隨INTRANET 的不斷發(fā)展與應(yīng)用，確保其安全的重要性越發(fā)凸顯，當(dāng)前的網(wǎng)絡(luò)安全已經(jīng)成為對(duì)網(wǎng)絡(luò)技術(shù)深層次發(fā)展產(chǎn)生影響的關(guān)鍵因素。針對(duì)防火墻技術(shù)而言，其實(shí)質(zhì)是一種實(shí)用、有效，并且已經(jīng)得到廣泛應(yīng)用的網(wǎng)絡(luò)安全技術(shù)，其不僅是一種防范措施，而且還是一種有效的網(wǎng)絡(luò)安全模型。防火墻能夠?qū)M(jìn)出網(wǎng)絡(luò)通信量進(jìn)行監(jiān)測(cè)，從而能夠高質(zhì)量地完成原本無(wú)法完成的任務(wù)。需要指出的是，因防火墻實(shí)為一種被動(dòng)技術(shù)，其對(duì)網(wǎng)絡(luò)邊界與服務(wù)進(jìn)行了假設(shè)，所以，對(duì)于內(nèi)部的非法訪問(wèn)，無(wú)法進(jìn)行全面性控制，所以防火墻對(duì)于獨(dú)立的網(wǎng)絡(luò)而言，比較實(shí)用，而針對(duì)INTRANET 等來(lái)講，則為一種相對(duì)集中的網(wǎng)絡(luò)。本文以智能型防火墻為基礎(chǔ)，就其INTRANET網(wǎng)絡(luò)安全技術(shù)探討如下。

1 傳統(tǒng)防火墻技術(shù)分析

1.1 包過(guò)濾型防火墻

針對(duì)此種防火墻而言，其位于邏輯層與網(wǎng)絡(luò)級(jí)之間的網(wǎng)絡(luò)層（IP層），并且通常由包檢查模塊來(lái)實(shí)現(xiàn)，此模塊在數(shù)據(jù)鏈路層與網(wǎng)絡(luò)層之間工作，即位于IP 層與TCP 層之間，其需要在TCP 層與操作系統(tǒng)前，處理IP 包，也就是依據(jù)系統(tǒng)事先設(shè)定的過(guò)濾邏輯，對(duì)整個(gè)數(shù)據(jù)流當(dāng)中的各數(shù)據(jù)包進(jìn)行檢查，然后依據(jù)數(shù)據(jù)包的目標(biāo)地質(zhì)、源地址，及包所使用端口，并對(duì)是否允許此數(shù)據(jù)包通過(guò)予以明確。包過(guò)濾防火墻實(shí)質(zhì)是以數(shù)據(jù)包過(guò)濾為基礎(chǔ)的防火墻。針對(duì)此類防火墻而言，其擁有比較好的安全性，最突出優(yōu)點(diǎn)在于，它對(duì)用戶而言是透明的，即在登錄時(shí)，無(wú)須密碼與用戶名，此種防火墻有著比較快的速度，而且還便于維護(hù)，一般當(dāng)作第一道防線。但需強(qiáng)調(diào)的是，其也有著比較明顯的不足，即無(wú)記賬功能，一般情況下，它缺少用戶的使用記錄，這便難以從訪問(wèn)記錄當(dāng)中找出黑客的攻擊記錄。但如果對(duì)一個(gè)包過(guò)濾式防火墻進(jìn)行攻擊，難度不大。還需說(shuō)明的是，包過(guò)濾式的防火墻的配置較為煩瑣，其雖然能夠?qū)λ诉M(jìn)入內(nèi)網(wǎng)的行為予以阻擋，但也不會(huì)告知究竟是誰(shuí)進(jìn)入到系統(tǒng)。另外，其雖然能夠阻止外部對(duì)私有網(wǎng)絡(luò)的訪問(wèn)，但卻無(wú)法將內(nèi)部的訪問(wèn)數(shù)據(jù)給記錄下來(lái)。

1.2 INTRANET 的安全性以及防火墻服務(wù)目的

針對(duì)INTRANET 安全性而言，其主要包含三部分，其一為網(wǎng)絡(luò)信息的完整性，其二是網(wǎng)絡(luò)信息的保密性，其三為網(wǎng)絡(luò)服務(wù)的可用性。一般情況下，防火墻能夠同時(shí)為多目標(biāo)提供服務(wù)：（1）預(yù)防他人進(jìn)入INTRANET網(wǎng)絡(luò)，將那些不安全服務(wù)以及非法用戶給過(guò)濾掉；（2）制止入侵者靠近你的防御設(shè)施；（3）對(duì)人們?cè)L問(wèn)特殊站點(diǎn)加以限制；（4）便于INTRANET 監(jiān)視。所以，在能夠運(yùn)用傳統(tǒng)防火墻的各種技術(shù)當(dāng)中，依據(jù)其工作方式不同，可將其分為兩種類型，其一為代理服務(wù)型防火墻，其二是信息包過(guò)濾型防火墻。

2 傳統(tǒng)防火墻技術(shù)實(shí)際使用中所存在的突出問(wèn)題

傳統(tǒng)防火墻所存在的問(wèn)題為：（1）防火墻系統(tǒng)無(wú)法借助網(wǎng)絡(luò)信息、網(wǎng)絡(luò)狀態(tài)進(jìn)行規(guī)則的自動(dòng)調(diào)整；（2）包過(guò)濾防火墻有著較高的效率，但較難制定其規(guī)則；當(dāng)采用的是代理防火墻規(guī)則時(shí)，其往往有著比較強(qiáng)的針對(duì)性，但卻有著較低的工作效率；（3）在使用包過(guò)濾防火墻過(guò)濾時(shí)，其信息比較單一，包過(guò)濾堡壘主機(jī)對(duì)于外路由器Web 服務(wù)器與應(yīng)用過(guò)濾時(shí)采用的信息，無(wú)法彼此利用；（4）防火墻在具體的工作方式上，極為被動(dòng)，針對(duì)沒有列出的網(wǎng)絡(luò)攻擊，無(wú)法及時(shí)制止；當(dāng)防火墻出現(xiàn)被攻破的情況后，難以及時(shí)發(fā)現(xiàn)，也無(wú)法及時(shí)控制。為了能夠?qū)⒋诵﹩?wèn)題給有效地解決掉，積極找尋防火墻安全策略制定中網(wǎng)絡(luò)與應(yīng)用層信息的綜合應(yīng)用策略，剖析防火墻過(guò)濾對(duì)內(nèi)路由器規(guī)則自動(dòng)配置、自動(dòng)產(chǎn)生的途徑，制定了一種以屏蔽子網(wǎng)為基礎(chǔ)的混合智能型防火墻模型，且對(duì)其具體的實(shí)現(xiàn)方法進(jìn)行了研究。

3 智能型防火墻的結(jié)構(gòu)體系分析

3.1 結(jié)構(gòu)描述

經(jīng)上述分析得知，傳統(tǒng)的包過(guò)濾型防火墻以及代理服務(wù)防火墻有著比較單一的形式，如果外部黑客進(jìn)行攻擊，INTRANET網(wǎng)絡(luò)便會(huì)被暴露出來(lái)，而對(duì)于智能防火墻而言，通常情況下，會(huì)采用一種組合結(jié)構(gòu)，其在具體結(jié)構(gòu)上主要由堡壘主機(jī)、智能認(rèn)證服務(wù)器、內(nèi)外路由器及智能主機(jī)等構(gòu)成。針對(duì)內(nèi)外路由器來(lái)分析，其在各INTRANET網(wǎng)之間，能夠構(gòu)建一個(gè)安全子網(wǎng)，即非軍事區(qū)（DMZ）。而諸如Modern組、堡壘主機(jī)、信息服務(wù)器會(huì)被設(shè)置在DMZ 網(wǎng)絡(luò)當(dāng)中，而對(duì)于智能認(rèn)證服務(wù)器而言，則需要設(shè)在INTRANET網(wǎng)絡(luò)當(dāng)中。

3.2 內(nèi)外路由器

現(xiàn)階段，INTRANET網(wǎng)絡(luò)大多采用的是TCP/IP 協(xié)議族，其在實(shí)際應(yīng)用中，往往會(huì)存在一些安全漏洞，而且在具體的安全機(jī)制上，也存在不健全的情況，INTRANET網(wǎng)絡(luò)上的黑客通常會(huì)借此而侵入。為此，需要采用各種安全技術(shù)，開展網(wǎng)絡(luò)安全性管理與建設(shè)。針對(duì)外部路由器而言，一般會(huì)被用于外部攻擊的預(yù)防，比如源地址欺騙、源路由攻擊等，且還會(huì)對(duì)INTRANET 到DMZ 的訪問(wèn)進(jìn)行管理。針對(duì)網(wǎng)絡(luò)地址轉(zhuǎn)換器而言，其又被稱作地址共享器，或者是地址映射器，起初的用途是解決IP 地址不足的問(wèn)題，而當(dāng)前多用作網(wǎng)絡(luò)安全。而針對(duì)內(nèi)部路由器而言，多用作INTRANET 與DMZ 之間的IP 包過(guò)濾等，為INTRANET 提供保護(hù)，使其不受INTRANET、DMZ 的侵?jǐn)_，預(yù)防INTRANET網(wǎng)當(dāng)中的數(shù)據(jù)包流入到DMZ 網(wǎng)絡(luò)中。當(dāng)處于缺省狀態(tài)時(shí)，內(nèi)部路由器準(zhǔn)許任意主機(jī)的請(qǐng)求，能夠達(dá)到堡壘主機(jī)，而對(duì)于沒有經(jīng)過(guò)認(rèn)證的外部主機(jī)的訪問(wèn)，則予以制止。

4 智能型防火墻的實(shí)現(xiàn)方法

（1）堡壘主機(jī)及其實(shí)現(xiàn)方法。所謂堡壘主機(jī)，從根本上來(lái)講，即為不同INTRANET 的連接點(diǎn)。此連接點(diǎn)有著重要地位，且容易遭受攻擊，為了能夠提高其安全性，可以對(duì)LINUX 操作系統(tǒng)進(jìn)行安全化處理，采用有著更高安全性的LINUX 系統(tǒng)當(dāng)作堡壘主機(jī)的操作系統(tǒng)。安全化做法：針對(duì)所保留的諸如FTP.SMTP 等網(wǎng)絡(luò)服務(wù)，對(duì)其代碼予以改寫，在這些服務(wù)當(dāng)中將其中的過(guò)濾功能分離出來(lái)，專門構(gòu)建一個(gè)模塊，使此模塊在堡壘主機(jī)上運(yùn)行；針對(duì)凈化之后的全部網(wǎng)絡(luò)應(yīng)用代理服務(wù)，開展統(tǒng)一化的調(diào)度與管理。之所以選用過(guò)濾管理器，其核心工作是在協(xié)議最底層，截取到達(dá)堡壘主機(jī)的信息包，在此之后，自底層協(xié)議至高層協(xié)議，對(duì)信息包進(jìn)行逐層分析，從中對(duì)那些與安全策略有關(guān)的信息進(jìn)行提取，且向智能認(rèn)證服務(wù)器進(jìn)行傳送，由其進(jìn)行分析。（2）智能認(rèn)證服務(wù)器及其實(shí)現(xiàn)方法。智能認(rèn)證服務(wù)器實(shí)為整個(gè)智能型防火墻的安全決策控制中心，在此服務(wù)器上，需要保留諸多相關(guān)于安全決策的數(shù)據(jù)庫(kù)，也就是網(wǎng)絡(luò)安全數(shù)據(jù)庫(kù)、過(guò)濾策略數(shù)據(jù)庫(kù)等。不同數(shù)據(jù)庫(kù)能夠通過(guò)統(tǒng)一的人機(jī)接口，由具有權(quán)限的網(wǎng)絡(luò)管理員進(jìn)行查閱與修改。

5 結(jié)語(yǔ)

綜上，INTRANET網(wǎng)絡(luò)數(shù)據(jù)安全的主要特性為機(jī)密性、完整性與可用性，INTRANET網(wǎng)絡(luò)安全囊括的范圍較廣，是國(guó)家網(wǎng)絡(luò)安全的基石。本文探討了一種以智能型防火墻INTRANET網(wǎng)絡(luò)安全為基礎(chǔ)的方案，并指出了其模型與實(shí)現(xiàn)方法，即選用過(guò)慮規(guī)則的自動(dòng)配置與自動(dòng)產(chǎn)生技術(shù)，從而使INTRANET 管理人員的勞動(dòng)強(qiáng)度大幅降低，防止傳統(tǒng)防火墻遭受黑客攻擊，提高整個(gè)網(wǎng)絡(luò)的安全性。