基于智能型防火墙INTRANET下的网络安全技术

崔爱国

（苏州建设交通高等职业技术学校，江苏 苏州 215000）

基于智能型防火墙INTRANET下的网络安全技术

崔爱国

（苏州建设交通高等职业技术学校，江苏 苏州 215000）

Intranet最关键的一个特征就是安全性，随着Intranet的快速发展及广泛应用，其安全性成为重点关注的问题。本文分析传统防火墙的类型及存在的主要缺陷，介绍智能型防火墙日常工作原理、设计结构，提出基于智能型防火墙INTR ANET下网络安全技术的实现方法，这种设计方案克服传统防火墙对没有列出的黑客攻击不予理睬等弊端，提高网络的安全性和可靠性。

智能型防火墙；INTR ANET;网络安全技术

1 引言

设置合理的防火墙，能有效监控网络通信量，提升网络的安全性。由于传统型防火墙无法满足新时期网络安全需求，无法对内部的非法访问用户展开相应的拦截。随着互联网技术的不断发展，网络安全问题显得更加重要。若遭到非法用户的入侵，那么其数据信息的安全性无法得到保护。为防止上述情况出现，必须设计合理的网络安全保护措施。为保证Intranet的安全性，必须合理改进防火墙技术，深入研究以智能型防火墙为基础的Intranet网络安全技术，为提升网络安全发挥着重要作用。

2 概述传统防火墙的主要类型及不足之处

2.1 传统型防火墙的主要类型

随着信息技术的不断发展，网络安全问题显得尤为重要。传统防火墙主要分为代理服务型、包过滤型两种情况。代理服务型防火墙又称作应用型防火墙，其工作重点就是把外部应用与内部网络实施安全检查后展开连接。代理服务器把经过的所有应用和连接详细记录，便于实施安全检查或采集相关的数据信息，从而确保数据信息的安全性。代理服务型防火墙具有极好的安全性能，但实施网络访问时，因受到数据处理等不同因素的影响其速度、性能降低，缺乏灵活性。包过滤型一般处在协议网络层内，主要是根据已设定的模块对各个数据包展开检查、过滤处理，其反应速度较快且便于维护。包过滤型防火墙对于所访问的用户具有透明性，但其无法详细记录相关信息，可以阻止外部私自访问的用户。传统过滤型防火墙工作原理如图1。

图1 传统过滤型防火墙工作原理

过滤型防火墙设置在内部与外部网络之间，是内外网络传送、接收数据信息的必经之路，所有进出的数据均要与防火墙进行匹配和处理。过滤规则作为传统过滤型防火墙的核心技术，创建合理的过滤规则是保证网络系统安全的重点措施，过滤规则借助网络数据包报头内的IP地址、端口等信息，上述字段组成过滤规则的必要条件。但是，过滤型防火墙对内部访问无法登记，极易泄露内部的信息资料。其过滤型防火墙的规则匹配比较单一，如果匹配无效极易发生异常行为，从而加大网络风险。

2.2 传统型防火墙不足之处

随着科学技术的快速发展，网络安全面临更严重的威胁。传统型防火墙已无法适应新时期发展要求，应用过程中存在部分不足之处，主要表现在以下方面：①传统防火墙无法依据网络信息的状态进行自动调整；②传统防火墙缺少自动过滤、屏蔽不良信息的功能，对并未罗列的入侵方式或病毒不能有效阻止。③传统型防火墙整理资料过程中，方式过于单一，不能合理有效运用数据资料，防范功能较低，不能开展深层次的检测工作。

3 简述智能型防火墙工作原理

智能型防火墙日常工作时，如果Intranet主机向Internet主机发出连接信息，必须使用IP地址。反言之，若Internet主机向Intranet发出连接信息过程中，必须借助网关映射至Intranet主机上。同时，DMZ中堡垒主机过滤程序能够顺利通过安全通道，从而实现与内部智能认证服务器合理通信的目的。因智能认证服务器支持秘密传送信息，因此，它能够修改网络系统内外路由器表，也可以合理调整过滤规则。智能防火墙系统的认证服务程序与过滤管理程序之间合理协调，不单单可以在堡垒主机上正常运行，也能在服务器上正常工作。

4 基于智能型防火墙INTRANET下的网络安全技术实现方法

4.1 智能型防火墙的结构

分析传统型防火墙相关内容后，传统型防火墙使用的工作方式比较单一，若网络系统遭受外部入侵，导致Intranet网络完全暴露在非法用户面前。所以，研究、开发智能型防火墙对保障Intranet网络安全显得尤为重要。智能型防火墙主要由智能主机、堡垒主机、内外路由器、认证服务器等结构组合而成，其具体结构如图2。其中，DMZ是内外路由器在Intranet与Internet之间构建的安全子网。

图2 智能型防火墙结构简图

4.2 内外路由器

现阶段，Intranet网络设置TCP/IP协议存在部分安全漏洞或不全机制，导致网络极易受到黑客的攻击。因此，必须设计一套完善的安全技术，确保网络的安全性。设置外部路由器能预防外部非法用户攻击，例如：源地址欺骗等。网络地址转换器又称作地址共享器，设计初衷是解决IP地址的访问缺陷。内部路由器设置在DMZ和Intranet之间，确保网络系统不受到DMZ、Internet的不良侵犯，预防网络广播的数据包进入DMZ的网络。如果处在缺省状态下，内部路由器支持各类主机发布的请求到达堡垒主机，不支持未经认可的外部主机访问Intranet网络。

4.3 堡垒主机系统

设计堡垒主机能起着连接内部网络与互联网的作用，但堡垒主机极易遭受攻击。因此，必须设计合理的安全性保护措施。因此，合理设计堡垒主机—Linux操作系统，实施科学缜密的安全处理，具体操作如下：保留SMTP、HTTP等基本网络服务，重新改写其源代码，将源代码的过滤功能逐渐分离。创建新的过滤管理器模块，在模块在堡垒主机上运行，容易管理、调度所使用的代码服务。设置过滤管理器能拦截所有经堡垒主机发布的信息，并逐层分析其协议信息，及时存储安全的数据信息，最终将秘密传输给智能认证服务器，由智能服务器对所接收的信息展开处理分析，分析完成再次传送至应用过滤管理器，通过过滤管理器重新配置信息，在一定程度上激发有关代理展开相应的工作。

4.4 智能认证服务器

智能认证服务器作为智能型防火墙的决策控制中心，该服务器存储大量的与安全决策相关的数据库，主要包括过滤策略数据库、网络安全数据库等。不同数据库采用统一的人机接口通过所设定权限的管理员进行修改或查阅。网络数据库具有如下功能：⑴网络安全知识库包含大量的网络攻击知识及策略，同时，也存在一系列处理攻击的方法，便于工作人员合理运用。⑵安全数据库中存储用户权限的相关数据，能有效存储过滤器管理器接收的信息，收集的信息包括信息状态、应用情况等。同时，网络安全知识库能存储专家判断及处理不同网络攻击的经验知识，如：邮件攻击、蠕虫攻击、口令探询攻击等一系处理方法。⑶过滤策略数据库作为存储推理机形成过滤策略的主要形式，对过滤原文发生器实施前后策略提出合理参考，从而制定科学合理的过滤指令。

智能认证服务器的核心包括网络数据库、认证服务程序，主要借助堡垒主机的应用过滤管理器传递信息进行操作。若外部主机访问Intranet，此时需要借助外部路由器审核数据包，审核完成后方可放行。若审核不通过，就无法进入DMZ网络。内部路由器确保Intranet网络的各项请求进入

DMZ网络，随之进入堡垒主机设定的端口。通过上述分析可知，智能认证服务器将通信数据接收器收集的信息存储在网络安全数据库内，网络安全数据库根据数据变化情况，在一定程度上促进推理机开展工作。推理机通过安全知识库内专家丰富的经验，对刚进入数据库的信息实施分析，找寻与其相关的各类处理，再次对比、分析，从而获得相应的过滤对策。如果信息不安全，可以通过人机接口对网络管理人员发出报警信息。网络管理人员接收报警信号后，针对出现的不良情况展开合理处理。这一情况下，过滤器对刚形成的过滤对策内部代码实施形式转化，依据具体状况实施相应的处理措施。由此可知，智能型防火墙内部和外部路由器依据具体情况实现Intranet与Internet网络通讯，也可通过代理服务程序实现通信。

5 结束语

总之，为预防网络数据信息泄露，必须保证Intranet网络的安全性，改进传统防火墙的存在的弊端势在必行。开发智能化防火墙技术，如果数据包无法满足路由器的各项规则，其堡垒主机使用的过滤管理器可以完全截取数据包协议最底层的信息，随之将底层协议放入高层协议层进行分析，从而有效效降低Intranet管理者的负担，做好网络安全的护驾保航工作。

[1]赵可新，陈玉芳．包过滤防火墙系统的设计与研究[J]．现代电子技术，2012，34(6)：112-113，117．

[2]赵中营，徐佩锋．网络安全技术及其缺陷[J]．计算机光盘软件与应用，2013，23(17)：152-152，154．

[3]顼霞．智能型防火墙INTR ANET条件下的网络安全技术分析[J].网络安全技术与应用，2015，11(4)：140，142．

[4]孟庆威．浅析计算机网络安全技术--防火墙[J]．计算机光盘软件与应用，2013，16(12)：170-171．

[5]夏跃伟，牛文倩，刘金广，等．基于Linux平台防止IP欺骗的SYN攻击防火墙的设计与实现[J]．现代电子技术，2014，15(9)：83-85．

[6]吴凯．探讨网络安全技术中防火墙和IDS联动的应用分析[J]．网络安全技术与应用，2014，7(1)：31，33．

[7]李进军．关于智能型防火墙INTR ANET网络安全技术的相关研究与分析[J]．数字化用户，2014，17(15)：91-92．

[8]宋铁石，李同伟，王冠，等．以智能型防火墙为基础的INTR ANET网络安全技术[J]．电脑开发与应用，2014，11(3)：17-18，21．

Network Security Technology under INTRANET Based on Intelligent Firewall

CuiAiguo
(Suzhou Institute of Constrction and Communications,Suzhou 215000,Jiangsu)

tract】 One of the key features of Intranet is security.With the rapid development and wide application of Intranet,security becomes the key problem.This paper analyzes the types of traditional firewall and its main defects,introduces the principle and structure of intelligent firewall,and the proposes the realization method of network security technology under INTRANET based on intelligent firewall,which overcomes the defects in traditional firewall,and improves the safety and reliability of the network.

words】 intelligent firewall;INTRANET;network security technology

TP393.08

A

1008-6609(2016)09-0033-03

崔爱国，男，江苏盐城人，本科，讲师，研究方向：计算机技术。