基于智能型防火墻INTRANET下的網絡安全技術

崔愛國

（蘇州建設交通高等職業技術學校，江蘇 蘇州 215000）

基于智能型防火墻INTRANET下的網絡安全技術

崔愛國

（蘇州建設交通高等職業技術學校，江蘇 蘇州 215000）

Intranet最關鍵的一個特征就是安全性，隨著Intranet的快速發展及廣泛應用，其安全性成為重點關注的問題。本文分析傳統防火墻的類型及存在的主要缺陷，介紹智能型防火墻日常工作原理、設計結構，提出基于智能型防火墻INTR ANET下網絡安全技術的實現方法，這種設計方案克服傳統防火墻對沒有列出的黑客攻擊不予理睬等弊端，提高網絡的安全性和可靠性。

智能型防火墻；INTR ANET;網絡安全技術

1 引言

設置合理的防火墻，能有效監控網絡通信量，提升網絡的安全性。由于傳統型防火墻無法滿足新時期網絡安全需求，無法對內部的非法訪問用戶展開相應的攔截。隨著互聯網技術的不斷發展，網絡安全問題顯得更加重要。若遭到非法用戶的入侵，那么其數據信息的安全性無法得到保護。為防止上述情況出現，必須設計合理的網絡安全保護措施。為保證Intranet的安全性，必須合理改進防火墻技術，深入研究以智能型防火墻為基礎的Intranet網絡安全技術，為提升網絡安全發揮著重要作用。

2 概述傳統防火墻的主要類型及不足之處

2.1 傳統型防火墻的主要類型

隨著信息技術的不斷發展，網絡安全問題顯得尤為重要。傳統防火墻主要分為代理服務型、包過濾型兩種情況。代理服務型防火墻又稱作應用型防火墻，其工作重點就是把外部應用與內部網絡實施安全檢查后展開連接。代理服務器把經過的所有應用和連接詳細記錄，便于實施安全檢查或采集相關的數據信息，從而確保數據信息的安全性。代理服務型防火墻具有極好的安全性能，但實施網絡訪問時，因受到數據處理等不同因素的影響其速度、性能降低，缺乏靈活性。包過濾型一般處在協議網絡層內，主要是根據已設定的模塊對各個數據包展開檢查、過濾處理，其反應速度較快且便于維護。包過濾型防火墻對于所訪問的用戶具有透明性，但其無法詳細記錄相關信息，可以阻止外部私自訪問的用戶。傳統過濾型防火墻工作原理如圖1。

圖1 傳統過濾型防火墻工作原理

過濾型防火墻設置在內部與外部網絡之間，是內外網絡傳送、接收數據信息的必經之路，所有進出的數據均要與防火墻進行匹配和處理。過濾規則作為傳統過濾型防火墻的核心技術，創建合理的過濾規則是保證網絡系統安全的重點措施，過濾規則借助網絡數據包報頭內的IP地址、端口等信息，上述字段組成過濾規則的必要條件。但是，過濾型防火墻對內部訪問無法登記，極易泄露內部的信息資料。其過濾型防火墻的規則匹配比較單一，如果匹配無效極易發生異常行為，從而加大網絡風險。

2.2 傳統型防火墻不足之處

隨著科學技術的快速發展，網絡安全面臨更嚴重的威脅。傳統型防火墻已無法適應新時期發展要求，應用過程中存在部分不足之處，主要表現在以下方面：①傳統防火墻無法依據網絡信息的狀態進行自動調整；②傳統防火墻缺少自動過濾、屏蔽不良信息的功能，對并未羅列的入侵方式或病毒不能有效阻止。③傳統型防火墻整理資料過程中，方式過于單一，不能合理有效運用數據資料，防范功能較低，不能開展深層次的檢測工作。

3 簡述智能型防火墻工作原理

智能型防火墻日常工作時，如果Intranet主機向Internet主機發出連接信息，必須使用IP地址。反言之，若Internet主機向Intranet發出連接信息過程中，必須借助網關映射至Intranet主機上。同時，DMZ中堡壘主機過濾程序能夠順利通過安全通道，從而實現與內部智能認證服務器合理通信的目的。因智能認證服務器支持秘密傳送信息，因此，它能夠修改網絡系統內外路由器表，也可以合理調整過濾規則。智能防火墻系統的認證服務程序與過濾管理程序之間合理協調，不單單可以在堡壘主機上正常運行，也能在服務器上正常工作。

4 基于智能型防火墻INTRANET下的網絡安全技術實現方法

4.1 智能型防火墻的結構

分析傳統型防火墻相關內容后，傳統型防火墻使用的工作方式比較單一，若網絡系統遭受外部入侵，導致Intranet網絡完全暴露在非法用戶面前。所以，研究、開發智能型防火墻對保障Intranet網絡安全顯得尤為重要。智能型防火墻主要由智能主機、堡壘主機、內外路由器、認證服務器等結構組合而成，其具體結構如圖2。其中，DMZ是內外路由器在Intranet與Internet之間構建的安全子網。

圖2 智能型防火墻結構簡圖

4.2 內外路由器

現階段，Intranet網絡設置TCP/IP協議存在部分安全漏洞或不全機制，導致網絡極易受到黑客的攻擊。因此，必須設計一套完善的安全技術，確保網絡的安全性。設置外部路由器能預防外部非法用戶攻擊，例如：源地址欺騙等。網絡地址轉換器又稱作地址共享器，設計初衷是解決IP地址的訪問缺陷。內部路由器設置在DMZ和Intranet之間，確保網絡系統不受到DMZ、Internet的不良侵犯，預防網絡廣播的數據包進入DMZ的網絡。如果處在缺省狀態下，內部路由器支持各類主機發布的請求到達堡壘主機，不支持未經認可的外部主機訪問Intranet網絡。

4.3 堡壘主機系統

設計堡壘主機能起著連接內部網絡與互聯網的作用，但堡壘主機極易遭受攻擊。因此，必須設計合理的安全性保護措施。因此，合理設計堡壘主機—Linux操作系統，實施科學縝密的安全處理，具體操作如下：保留SMTP、HTTP等基本網絡服務，重新改寫其源代碼，將源代碼的過濾功能逐漸分離。創建新的過濾管理器模塊，在模塊在堡壘主機上運行，容易管理、調度所使用的代碼服務。設置過濾管理器能攔截所有經堡壘主機發布的信息，并逐層分析其協議信息，及時存儲安全的數據信息，最終將秘密傳輸給智能認證服務器，由智能服務器對所接收的信息展開處理分析，分析完成再次傳送至應用過濾管理器，通過過濾管理器重新配置信息，在一定程度上激發有關代理展開相應的工作。

4.4 智能認證服務器

智能認證服務器作為智能型防火墻的決策控制中心，該服務器存儲大量的與安全決策相關的數據庫，主要包括過濾策略數據庫、網絡安全數據庫等。不同數據庫采用統一的人機接口通過所設定權限的管理員進行修改或查閱。網絡數據庫具有如下功能：⑴網絡安全知識庫包含大量的網絡攻擊知識及策略，同時，也存在一系列處理攻擊的方法，便于工作人員合理運用。⑵安全數據庫中存儲用戶權限的相關數據，能有效存儲過濾器管理器接收的信息，收集的信息包括信息狀態、應用情況等。同時，網絡安全知識庫能存儲專家判斷及處理不同網絡攻擊的經驗知識，如：郵件攻擊、蠕蟲攻擊、口令探詢攻擊等一系處理方法。⑶過濾策略數據庫作為存儲推理機形成過濾策略的主要形式，對過濾原文發生器實施前后策略提出合理參考，從而制定科學合理的過濾指令。

智能認證服務器的核心包括網絡數據庫、認證服務程序，主要借助堡壘主機的應用過濾管理器傳遞信息進行操作。若外部主機訪問Intranet，此時需要借助外部路由器審核數據包，審核完成后方可放行。若審核不通過，就無法進入DMZ網絡。內部路由器確保Intranet網絡的各項請求進入

DMZ網絡，隨之進入堡壘主機設定的端口。通過上述分析可知，智能認證服務器將通信數據接收器收集的信息存儲在網絡安全數據庫內，網絡安全數據庫根據數據變化情況，在一定程度上促進推理機開展工作。推理機通過安全知識庫內專家豐富的經驗，對剛進入數據庫的信息實施分析，找尋與其相關的各類處理，再次對比、分析，從而獲得相應的過濾對策。如果信息不安全，可以通過人機接口對網絡管理人員發出報警信息。網絡管理人員接收報警信號后，針對出現的不良情況展開合理處理。這一情況下，過濾器對剛形成的過濾對策內部代碼實施形式轉化，依據具體狀況實施相應的處理措施。由此可知，智能型防火墻內部和外部路由器依據具體情況實現Intranet與Internet網絡通訊，也可通過代理服務程序實現通信。

5 結束語

總之，為預防網絡數據信息泄露，必須保證Intranet網絡的安全性，改進傳統防火墻的存在的弊端勢在必行。開發智能化防火墻技術，如果數據包無法滿足路由器的各項規則，其堡壘主機使用的過濾管理器可以完全截取數據包協議最底層的信息，隨之將底層協議放入高層協議層進行分析，從而有效效降低Intranet管理者的負擔，做好網絡安全的護駕保航工作。

[1]趙可新，陳玉芳．包過濾防火墻系統的設計與研究[J]．現代電子技術，2012，34(6)：112-113，117．

[2]趙中營，徐佩鋒．網絡安全技術及其缺陷[J]．計算機光盤軟件與應用，2013，23(17)：152-152，154．

[3]頊霞．智能型防火墻INTR ANET條件下的網絡安全技術分析[J].網絡安全技術與應用，2015，11(4)：140，142．

[4]孟慶威．淺析計算機網絡安全技術--防火墻[J]．計算機光盤軟件與應用，2013，16(12)：170-171．

[5]夏躍偉，牛文倩，劉金廣，等．基于Linux平臺防止IP欺騙的SYN攻擊防火墻的設計與實現[J]．現代電子技術，2014，15(9)：83-85．

[6]吳凱．探討網絡安全技術中防火墻和IDS聯動的應用分析[J]．網絡安全技術與應用，2014，7(1)：31，33．

[7]李進軍．關于智能型防火墻INTR ANET網絡安全技術的相關研究與分析[J]．數字化用戶，2014，17(15)：91-92．

[8]宋鐵石，李同偉，王冠，等．以智能型防火墻為基礎的INTR ANET網絡安全技術[J]．電腦開發與應用，2014，11(3)：17-18，21．

Network Security Technology under INTRANET Based on Intelligent Firewall

CuiAiguo
(Suzhou Institute of Constrction and Communications,Suzhou 215000,Jiangsu)

tract】 One of the key features of Intranet is security.With the rapid development and wide application of Intranet,security becomes the key problem.This paper analyzes the types of traditional firewall and its main defects,introduces the principle and structure of intelligent firewall,and the proposes the realization method of network security technology under INTRANET based on intelligent firewall,which overcomes the defects in traditional firewall,and improves the safety and reliability of the network.

words】 intelligent firewall;INTRANET;network security technology

TP393.08

A

1008-6609(2016)09-0033-03

崔愛國，男，江蘇鹽城人，本科，講師，研究方向：計算機技術。