基于智能型防火墙INTRANET网络安全技术探讨
2021-03-07高涌皓冯海云李丹彤
◆高涌皓 冯海云 李丹彤
基于智能型防火墙INTRANET网络安全技术探讨
◆高涌皓 冯海云 李丹彤
(延安大学附属医院 陕西 716000)
伴随科学技术水平的不断提升,许多新技术、新理念被成功应用在Intranet当中,推动着此领域的发展与完善。在整个Intranet架构当中,最核心特征即为安全性,且随着Intranet的广泛应用,其安全性越发成为人们关注的重、热点。本文针对传统防火墙的不足,提出了一种以智能型防火墙为基础的Intranet网络安全技术方案,并总结了其实现方法,望能为相关领域研究提供借鉴。
Intranet;智能型防火墙;网络安全
在整个Intranet架构中,其最核心特征即为其安全性。通过合理设置防火墙,有助于对网络通信量进行有效监控,促进网络安全性的提升。但需要指出的是,因传统型防火墙难以从根本上满足当前的多层面网络安全需要,无法对非法访问用户实施拦截,因而需要更新、优化防火墙。防火墙是一类安全防范方案的总称,同时也是一种有效且实用的网络安全模型,其能够对进出网通信量进行实时监测,完成一些高质量的任务,即能够让那些经核准且安全的信息进入,而对于那些对企业造成威胁的数据,则阻止其进入。现阶段,伴随网络技术的越发成熟与完善,其虽然使网络应用水平得到大幅提升,但也加重了网络攻击频率,而且手段也变得越发高明。自此,需要改进、优化传统防火墙。本文围绕智能型防火墙,分析Intranet网络安全技术,现探讨如下。
1 传统防火墙技术概述
1.1 防火墙服务目的分析
针对Intranet而言,安全性作为其核心与根本,主要体现在如下方面:其一为完整的网络信息;其二是网络信息的保密;其三为网络服务的可用性。而对于与之相对应的防火墙来讲,一般情况下,主要有如下服务目的:(1)阻止外部人员进入Intranet网络,将那些不安全服务以及非法用户过滤掉;(2)阻止入侵者靠近防御设施;(3)就人们对特殊站点的访问进行限制;(4)便于Intranet的监视。所以,针对传统防火墙而言,要达成此技术,依据其工作方式的不同,可将其划分成两大类型,其一为代理服务型防火墙;其二是信息包过滤型防火墙。
1.2 包过滤型防火墙
需要指出的是,通常将包过滤型防火墙设置在逻辑层与网络级之间的网络层(IP层),其功能多借助包检查模块来最终达成;此模块一般在数据链路层与网络层之间工作,即IP层与TCP层间,需在TCP层及操作系统运作前,对IP包实施处理,也就是依据系统事先所设置的过滤逻辑,对整个数据流当中的各数据包进行检查,然后依据数据包的目标地址、源地址等,来明确此数据包是否被准许通过。需要强调的是,包过滤防火墙实为一种以数据包过滤为基础的防火墙。此类防火墙有着不错的安全性,最突出特点即为对用户透明,即无需用户登录账号、密码;因此,此种防火墙有着比较快的运行速度,而且维护方便,一般将其当做第一道防线。但需要说明的是,其也有不足,即无记账功能,一般无用户的使用记录,如此一来,在访问记录当中,难以找出黑客的攻击记录。另外,对于包过滤来讲,其还有其他弱点,即难以在用户级别上实施过滤,也就是难以对用户进行鉴别,不能防止IP地址被盗用。
1.3 应用代理服务
针对应用代理服务而言,实际就是防火墙之外的计算机系统应用层所对应的链接,是在2个终止在应用代理服务的链接来达成的,如此一来,便能够较好实现对防火墙内外计算机系统的隔离。而对于代理服务在Intranet防火墙网关上所设置的应用,实际就是在网管员拒绝或准许下的特定服务或应用程序,此外,还可根据现实需要,对其他功能进行应用,如报告、过滤、数据流监控及记录等。
应用代理服务能够根据具体需要,提供更加安全且实用的选项。在具体功能上,通常能够将网络与外部世界相连接,其针对客户而言,好似一台真的服务器,而对于外界的服务器来考量,其又如1台客户机。如果应用代理服务器对用户请求予以接受后,会对用户请求的站点进行检查,评定其与设定要求是否相符,若对用户访问此站点给予允许,那么应用代理服务器便会如同客户一样,去此站点将所需要的信息取回,然后向用户发送。需要强调的是,应用代理服务器具有高速缓存功能,并且在缓存过程中,可以将用户经常访问站点的内容储存起来,当下一用户对同一站点进行访问时,其服务器便无需去获取相同的内容,这样一来,不仅可节省时间,而且还有助于网络资源的节约,但伴随媒体服务的日渐增多,应用代理服务的不足也随之凸显,如果需增设一新的媒体服务,那么需重新设置应用代理服务器,提示应用代理有着并不灵活的防火墙。
2 智能型防火墙的基本原理及实现路径
2.1 堡垒主机及其实现
堡垒主机实为一个连接点,能够将各Intranet连接在一起。针对此连接点而言,其不仅有着重要地位,而且还容易遭受攻击,为了能够提高系统的整体安全性,需对LINUX操作系统(源代码公开)进行详细、全面且严格的安全化处理,采用经过安全化处理的LINUX操作系统,并将其当作堡垒主机所对应的操作系统。安全化方法为:针对SMTP.FTP.WAIS.HTTP.Gopher等所保留的基本网络服务,改写其代码,从此些服务当中,将过滤功能进行分离。专门构建一个应用过滤管理模块,此模块在堡垒主机上运行,能够统一调度、管理经过净化处理之后的全部网络应用代理服务。在对过滤管理器进行实际应用时,其核心工作即为在协议最低层,对传送至堡垒主机的信息包进行完全截取,然后对信息包进行逐层分析(自底层协议到高层协议),从中将那些相关于安全策略的信息进行提取,且以保密方式向智能认证服务器传送与分析;与此同时,负责对智能认证服务器保密回传的应用代理过滤信息进行接收。
2.2 智能认证服务器及实现
在整个智能型防火墙当中,智能认证服务器为其安全决策控制中心。在此服务器当中,保存有诸多关于安全决策的数据库,比如网络安全数据库、网络安全知识库及过滤策略数据库等。不同数据库能经人机接口,由网络管理员(具有权限)进行查阅与修改。针对各个网络数据库而言,其基本功能有:(1)过滤策略数据库实为对推理机进行存放,并实现过滤策略产生的重要内部形式,提供给过滤原文发生器,由其对前、后的过滤策略进行对照,最终使过滤指令产生。(2)在网络安全知识库当中,会将网络专家对各种网络攻击进行判断、处理之后的经验性知识予以保存,如邮件攻击、口令探询攻击及专家对IP地址欺骗等的判断处理策略。此外,还储存有策略性知识(能够对当前通信状态异常,但是难以确定是否为攻击的处理)。(3)在安全数据库当中,不仅储存有用户权限数据,而且还保存有由应用过滤管理器所收集的,与数据有紧密关联的各种数据,如通信状态、通信信息等,提供给推理机,由其对数据包的前、后状态进行对比,得到更为准确、可靠且充分的网络信息,为安全过滤决策提供切实支撑。需要指出的是,智能认证服务程序、网络数据库乃是智能认证服务器的核心部分,同时还是一种典型的专家系统,其能够借助堡垒主机当中的相关应用程序,对信息进行过滤管理及保密传送,以此来驱动运行。如果外部主机需要对Intranet进行访问,其在具体的数据包上,需要先获得外部路由器的准许,这样才能更好进入到DMZ网络当中;而对于其内部的路由器而言,需确保Intranet网络当中的所有请求均可以进入到DMZ网络中,最后传送至堡垒主机的指定端口。还需要强调的是,分析数据包的前方路由器有无过滤规则(针对此数据包),如果有规则禁止传输,此数据包便会被抛弃;若有规则准许传输,则此数据包便能够顺利通过防火墙。另外,如果数据包与路由器上的所有规则均不满足,其堡垒主机上的所配置的应用过滤管理,便会在协议最底层,对此数据包实施截取,然后自底层协议至高层,对数据包进行逐层分析,然后从中将那些与安全策略有关联的信息进行提取,且将所得到的信息以一种保密的方式向智能认证服务器传送,由其来进行深层剖析。
3 结语
综上,要想保障Intranet的安全性,需要满足三个特征,即机密性、完整性与可用性。针对Intranet网络安全来讲,其涉及比较宽的范围,因此,需强化此领域的创新。本文首先分析了传统防火墙,探讨了一种以智能型防火墙为基础的Intranet网络安全方案及具体的实现思路,从中得知,其选用的过滤规则的自动配置、自动产生技术,可使Intranet管理人员的劳动强度得到大幅减轻,防止由于人工修改过滤规则而引发不当或错误,且将传统防火墙所存在的不足予以克服,因而是一种不错的防火墙系统模型。
[1]郭帅,谭超,王龙. Internet/Intranet网络安全技术及安全机制分析[J]. 网络安全技术与应用,2020,231(3):21-22.
[2]张佳发. 一种基于人工智能的网络安全防御模型研究[J]. 网络安全技术与应用,2020,5(1):15-17.
[3]陈中男. 浅谈计算机网络安全中防火墙技术的探索与运用[J]. 网络安全技术与应用,2019,219(3):25-26.
[4]孙书彤. 人工智能技术在网络空间安全防御中的应用研究[J]. 无线互联科技,2019,16(23):130-131.