◆高涌皓 馮海云 李丹彤

基于智能型防火墻INTRANET網(wǎng)絡(luò)安全技術(shù)探討

◆高涌皓 馮海云 李丹彤

（延安大學(xué)附屬醫(yī)院 陜西 716000）

伴隨科學(xué)技術(shù)水平的不斷提升，許多新技術(shù)、新理念被成功應(yīng)用在Intranet當(dāng)中，推動(dòng)著此領(lǐng)域的發(fā)展與完善。在整個(gè)Intranet架構(gòu)當(dāng)中，最核心特征即為安全性，且隨著Intranet的廣泛應(yīng)用，其安全性越發(fā)成為人們關(guān)注的重、熱點(diǎn)。本文針對(duì)傳統(tǒng)防火墻的不足，提出了一種以智能型防火墻為基礎(chǔ)的Intranet網(wǎng)絡(luò)安全技術(shù)方案，并總結(jié)了其實(shí)現(xiàn)方法，望能為相關(guān)領(lǐng)域研究提供借鑒。

Intranet；智能型防火墻；網(wǎng)絡(luò)安全

在整個(gè)Intranet架構(gòu)中，其最核心特征即為其安全性。通過(guò)合理設(shè)置防火墻，有助于對(duì)網(wǎng)絡(luò)通信量進(jìn)行有效監(jiān)控，促進(jìn)網(wǎng)絡(luò)安全性的提升。但需要指出的是，因傳統(tǒng)型防火墻難以從根本上滿足當(dāng)前的多層面網(wǎng)絡(luò)安全需要，無(wú)法對(duì)非法訪問(wèn)用戶實(shí)施攔截，因而需要更新、優(yōu)化防火墻。防火墻是一類(lèi)安全防范方案的總稱，同時(shí)也是一種有效且實(shí)用的網(wǎng)絡(luò)安全模型，其能夠?qū)M(jìn)出網(wǎng)通信量進(jìn)行實(shí)時(shí)監(jiān)測(cè)，完成一些高質(zhì)量的任務(wù)，即能夠讓那些經(jīng)核準(zhǔn)且安全的信息進(jìn)入，而對(duì)于那些對(duì)企業(yè)造成威脅的數(shù)據(jù)，則阻止其進(jìn)入?，F(xiàn)階段，伴隨網(wǎng)絡(luò)技術(shù)的越發(fā)成熟與完善，其雖然使網(wǎng)絡(luò)應(yīng)用水平得到大幅提升，但也加重了網(wǎng)絡(luò)攻擊頻率，而且手段也變得越發(fā)高明。自此，需要改進(jìn)、優(yōu)化傳統(tǒng)防火墻。本文圍繞智能型防火墻，分析Intranet網(wǎng)絡(luò)安全技術(shù)，現(xiàn)探討如下。

1 傳統(tǒng)防火墻技術(shù)概述

1.1 防火墻服務(wù)目的分析

針對(duì)Intranet而言，安全性作為其核心與根本，主要體現(xiàn)在如下方面：其一為完整的網(wǎng)絡(luò)信息；其二是網(wǎng)絡(luò)信息的保密；其三為網(wǎng)絡(luò)服務(wù)的可用性。而對(duì)于與之相對(duì)應(yīng)的防火墻來(lái)講，一般情況下，主要有如下服務(wù)目的：（1）阻止外部人員進(jìn)入Intranet網(wǎng)絡(luò)，將那些不安全服務(wù)以及非法用戶過(guò)濾掉；（2）阻止入侵者靠近防御設(shè)施；（3）就人們對(duì)特殊站點(diǎn)的訪問(wèn)進(jìn)行限制；（4）便于Intranet的監(jiān)視。所以，針對(duì)傳統(tǒng)防火墻而言，要達(dá)成此技術(shù)，依據(jù)其工作方式的不同，可將其劃分成兩大類(lèi)型，其一為代理服務(wù)型防火墻；其二是信息包過(guò)濾型防火墻。

1.2 包過(guò)濾型防火墻

需要指出的是，通常將包過(guò)濾型防火墻設(shè)置在邏輯層與網(wǎng)絡(luò)級(jí)之間的網(wǎng)絡(luò)層（IP層），其功能多借助包檢查模塊來(lái)最終達(dá)成；此模塊一般在數(shù)據(jù)鏈路層與網(wǎng)絡(luò)層之間工作，即IP層與TCP層間，需在TCP層及操作系統(tǒng)運(yùn)作前，對(duì)IP包實(shí)施處理，也就是依據(jù)系統(tǒng)事先所設(shè)置的過(guò)濾邏輯，對(duì)整個(gè)數(shù)據(jù)流當(dāng)中的各數(shù)據(jù)包進(jìn)行檢查，然后依據(jù)數(shù)據(jù)包的目標(biāo)地址、源地址等，來(lái)明確此數(shù)據(jù)包是否被準(zhǔn)許通過(guò)。需要強(qiáng)調(diào)的是，包過(guò)濾防火墻實(shí)為一種以數(shù)據(jù)包過(guò)濾為基礎(chǔ)的防火墻。此類(lèi)防火墻有著不錯(cuò)的安全性，最突出特點(diǎn)即為對(duì)用戶透明，即無(wú)需用戶登錄賬號(hào)、密碼；因此，此種防火墻有著比較快的運(yùn)行速度，而且維護(hù)方便，一般將其當(dāng)做第一道防線。但需要說(shuō)明的是，其也有不足，即無(wú)記賬功能，一般無(wú)用戶的使用記錄，如此一來(lái)，在訪問(wèn)記錄當(dāng)中，難以找出黑客的攻擊記錄。另外，對(duì)于包過(guò)濾來(lái)講，其還有其他弱點(diǎn)，即難以在用戶級(jí)別上實(shí)施過(guò)濾，也就是難以對(duì)用戶進(jìn)行鑒別，不能防止IP地址被盜用。

1.3 應(yīng)用代理服務(wù)

針對(duì)應(yīng)用代理服務(wù)而言，實(shí)際就是防火墻之外的計(jì)算機(jī)系統(tǒng)應(yīng)用層所對(duì)應(yīng)的鏈接，是在2個(gè)終止在應(yīng)用代理服務(wù)的鏈接來(lái)達(dá)成的，如此一來(lái)，便能夠較好實(shí)現(xiàn)對(duì)防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的隔離。而對(duì)于代理服務(wù)在Intranet防火墻網(wǎng)關(guān)上所設(shè)置的應(yīng)用，實(shí)際就是在網(wǎng)管員拒絕或準(zhǔn)許下的特定服務(wù)或應(yīng)用程序，此外，還可根據(jù)現(xiàn)實(shí)需要，對(duì)其他功能進(jìn)行應(yīng)用，如報(bào)告、過(guò)濾、數(shù)據(jù)流監(jiān)控及記錄等。

應(yīng)用代理服務(wù)能夠根據(jù)具體需要，提供更加安全且實(shí)用的選項(xiàng)。在具體功能上，通常能夠?qū)⒕W(wǎng)絡(luò)與外部世界相連接，其針對(duì)客戶而言，好似一臺(tái)真的服務(wù)器，而對(duì)于外界的服務(wù)器來(lái)考量，其又如1臺(tái)客戶機(jī)。如果應(yīng)用代理服務(wù)器對(duì)用戶請(qǐng)求予以接受后，會(huì)對(duì)用戶請(qǐng)求的站點(diǎn)進(jìn)行檢查，評(píng)定其與設(shè)定要求是否相符，若對(duì)用戶訪問(wèn)此站點(diǎn)給予允許，那么應(yīng)用代理服務(wù)器便會(huì)如同客戶一樣，去此站點(diǎn)將所需要的信息取回，然后向用戶發(fā)送。需要強(qiáng)調(diào)的是，應(yīng)用代理服務(wù)器具有高速緩存功能，并且在緩存過(guò)程中，可以將用戶經(jīng)常訪問(wèn)站點(diǎn)的內(nèi)容儲(chǔ)存起來(lái)，當(dāng)下一用戶對(duì)同一站點(diǎn)進(jìn)行訪問(wèn)時(shí)，其服務(wù)器便無(wú)需去獲取相同的內(nèi)容，這樣一來(lái)，不僅可節(jié)省時(shí)間，而且還有助于網(wǎng)絡(luò)資源的節(jié)約，但伴隨媒體服務(wù)的日漸增多，應(yīng)用代理服務(wù)的不足也隨之凸顯，如果需增設(shè)一新的媒體服務(wù)，那么需重新設(shè)置應(yīng)用代理服務(wù)器，提示應(yīng)用代理有著并不靈活的防火墻。

2 智能型防火墻的基本原理及實(shí)現(xiàn)路徑

2.1 堡壘主機(jī)及其實(shí)現(xiàn)

堡壘主機(jī)實(shí)為一個(gè)連接點(diǎn)，能夠?qū)⒏鱅ntranet連接在一起。針對(duì)此連接點(diǎn)而言，其不僅有著重要地位，而且還容易遭受攻擊，為了能夠提高系統(tǒng)的整體安全性，需對(duì)LINUX操作系統(tǒng)（源代碼公開(kāi)）進(jìn)行詳細(xì)、全面且嚴(yán)格的安全化處理，采用經(jīng)過(guò)安全化處理的LINUX操作系統(tǒng)，并將其當(dāng)作堡壘主機(jī)所對(duì)應(yīng)的操作系統(tǒng)。安全化方法為：針對(duì)SMTP.FTP.WAIS.HTTP.Gopher等所保留的基本網(wǎng)絡(luò)服務(wù)，改寫(xiě)其代碼，從此些服務(wù)當(dāng)中，將過(guò)濾功能進(jìn)行分離。專(zhuān)門(mén)構(gòu)建一個(gè)應(yīng)用過(guò)濾管理模塊，此模塊在堡壘主機(jī)上運(yùn)行，能夠統(tǒng)一調(diào)度、管理經(jīng)過(guò)凈化處理之后的全部網(wǎng)絡(luò)應(yīng)用代理服務(wù)。在對(duì)過(guò)濾管理器進(jìn)行實(shí)際應(yīng)用時(shí)，其核心工作即為在協(xié)議最低層，對(duì)傳送至堡壘主機(jī)的信息包進(jìn)行完全截取，然后對(duì)信息包進(jìn)行逐層分析（自底層協(xié)議到高層協(xié)議），從中將那些相關(guān)于安全策略的信息進(jìn)行提取，且以保密方式向智能認(rèn)證服務(wù)器傳送與分析；與此同時(shí)，負(fù)責(zé)對(duì)智能認(rèn)證服務(wù)器保密回傳的應(yīng)用代理過(guò)濾信息進(jìn)行接收。

2.2 智能認(rèn)證服務(wù)器及實(shí)現(xiàn)

在整個(gè)智能型防火墻當(dāng)中，智能認(rèn)證服務(wù)器為其安全決策控制中心。在此服務(wù)器當(dāng)中，保存有諸多關(guān)于安全決策的數(shù)據(jù)庫(kù)，比如網(wǎng)絡(luò)安全數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)安全知識(shí)庫(kù)及過(guò)濾策略數(shù)據(jù)庫(kù)等。不同數(shù)據(jù)庫(kù)能經(jīng)人機(jī)接口，由網(wǎng)絡(luò)管理員（具有權(quán)限）進(jìn)行查閱與修改。針對(duì)各個(gè)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)而言，其基本功能有：（1）過(guò)濾策略數(shù)據(jù)庫(kù)實(shí)為對(duì)推理機(jī)進(jìn)行存放，并實(shí)現(xiàn)過(guò)濾策略產(chǎn)生的重要內(nèi)部形式，提供給過(guò)濾原文發(fā)生器，由其對(duì)前、后的過(guò)濾策略進(jìn)行對(duì)照，最終使過(guò)濾指令產(chǎn)生。（2）在網(wǎng)絡(luò)安全知識(shí)庫(kù)當(dāng)中，會(huì)將網(wǎng)絡(luò)專(zhuān)家對(duì)各種網(wǎng)絡(luò)攻擊進(jìn)行判斷、處理之后的經(jīng)驗(yàn)性知識(shí)予以保存，如郵件攻擊、口令探詢攻擊及專(zhuān)家對(duì)IP地址欺騙等的判斷處理策略。此外，還儲(chǔ)存有策略性知識(shí)（能夠?qū)Ξ?dāng)前通信狀態(tài)異常，但是難以確定是否為攻擊的處理）。（3）在安全數(shù)據(jù)庫(kù)當(dāng)中，不僅儲(chǔ)存有用戶權(quán)限數(shù)據(jù)，而且還保存有由應(yīng)用過(guò)濾管理器所收集的，與數(shù)據(jù)有緊密關(guān)聯(lián)的各種數(shù)據(jù)，如通信狀態(tài)、通信信息等，提供給推理機(jī)，由其對(duì)數(shù)據(jù)包的前、后狀態(tài)進(jìn)行對(duì)比，得到更為準(zhǔn)確、可靠且充分的網(wǎng)絡(luò)信息，為安全過(guò)濾決策提供切實(shí)支撐。需要指出的是，智能認(rèn)證服務(wù)程序、網(wǎng)絡(luò)數(shù)據(jù)庫(kù)乃是智能認(rèn)證服務(wù)器的核心部分，同時(shí)還是一種典型的專(zhuān)家系統(tǒng)，其能夠借助堡壘主機(jī)當(dāng)中的相關(guān)應(yīng)用程序，對(duì)信息進(jìn)行過(guò)濾管理及保密傳送，以此來(lái)驅(qū)動(dòng)運(yùn)行。如果外部主機(jī)需要對(duì)Intranet進(jìn)行訪問(wèn)，其在具體的數(shù)據(jù)包上，需要先獲得外部路由器的準(zhǔn)許，這樣才能更好進(jìn)入到DMZ網(wǎng)絡(luò)當(dāng)中；而對(duì)于其內(nèi)部的路由器而言，需確保Intranet網(wǎng)絡(luò)當(dāng)中的所有請(qǐng)求均可以進(jìn)入到DMZ網(wǎng)絡(luò)中，最后傳送至堡壘主機(jī)的指定端口。還需要強(qiáng)調(diào)的是，分析數(shù)據(jù)包的前方路由器有無(wú)過(guò)濾規(guī)則（針對(duì)此數(shù)據(jù)包），如果有規(guī)則禁止傳輸，此數(shù)據(jù)包便會(huì)被拋棄；若有規(guī)則準(zhǔn)許傳輸，則此數(shù)據(jù)包便能夠順利通過(guò)防火墻。另外，如果數(shù)據(jù)包與路由器上的所有規(guī)則均不滿足，其堡壘主機(jī)上的所配置的應(yīng)用過(guò)濾管理，便會(huì)在協(xié)議最底層，對(duì)此數(shù)據(jù)包實(shí)施截取，然后自底層協(xié)議至高層，對(duì)數(shù)據(jù)包進(jìn)行逐層分析，然后從中將那些與安全策略有關(guān)聯(lián)的信息進(jìn)行提取，且將所得到的信息以一種保密的方式向智能認(rèn)證服務(wù)器傳送，由其來(lái)進(jìn)行深層剖析。

3 結(jié)語(yǔ)

綜上，要想保障Intranet的安全性，需要滿足三個(gè)特征，即機(jī)密性、完整性與可用性。針對(duì)Intranet網(wǎng)絡(luò)安全來(lái)講，其涉及比較寬的范圍，因此，需強(qiáng)化此領(lǐng)域的創(chuàng)新。本文首先分析了傳統(tǒng)防火墻，探討了一種以智能型防火墻為基礎(chǔ)的Intranet網(wǎng)絡(luò)安全方案及具體的實(shí)現(xiàn)思路，從中得知，其選用的過(guò)濾規(guī)則的自動(dòng)配置、自動(dòng)產(chǎn)生技術(shù)，可使Intranet管理人員的勞動(dòng)強(qiáng)度得到大幅減輕，防止由于人工修改過(guò)濾規(guī)則而引發(fā)不當(dāng)或錯(cuò)誤，且將傳統(tǒng)防火墻所存在的不足予以克服，因而是一種不錯(cuò)的防火墻系統(tǒng)模型。

[1]郭帥，譚超，王龍. Internet/Intranet網(wǎng)絡(luò)安全技術(shù)及安全機(jī)制分析[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2020，231（3）：21-22.

[2]張佳發(fā). 一種基于人工智能的網(wǎng)絡(luò)安全防御模型研究[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2020，5（1）：15-17.

[3]陳中男. 淺談?dòng)?jì)算機(jī)網(wǎng)絡(luò)安全中防火墻技術(shù)的探索與運(yùn)用[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2019，219（3）：25-26.

[4]孫書(shū)彤. 人工智能技術(shù)在網(wǎng)絡(luò)空間安全防御中的應(yīng)用研究[J]. 無(wú)線互聯(lián)科技，2019，16（23）：130-131.