基于智能型防火墙INTRANET网络安全技术探讨

◆高涌皓 冯海云 李丹彤

基于智能型防火墙INTRANET网络安全技术探讨

◆高涌皓 冯海云 李丹彤

（延安大学附属医院 陕西 716000）

伴随科学技术水平的不断提升，许多新技术、新理念被成功应用在Intranet当中，推动着此领域的发展与完善。在整个Intranet架构当中，最核心特征即为安全性，且随着Intranet的广泛应用，其安全性越发成为人们关注的重、热点。本文针对传统防火墙的不足，提出了一种以智能型防火墙为基础的Intranet网络安全技术方案，并总结了其实现方法，望能为相关领域研究提供借鉴。

Intranet；智能型防火墙；网络安全

在整个Intranet架构中，其最核心特征即为其安全性。通过合理设置防火墙，有助于对网络通信量进行有效监控，促进网络安全性的提升。但需要指出的是，因传统型防火墙难以从根本上满足当前的多层面网络安全需要，无法对非法访问用户实施拦截，因而需要更新、优化防火墙。防火墙是一类安全防范方案的总称，同时也是一种有效且实用的网络安全模型，其能够对进出网通信量进行实时监测，完成一些高质量的任务，即能够让那些经核准且安全的信息进入，而对于那些对企业造成威胁的数据，则阻止其进入。现阶段，伴随网络技术的越发成熟与完善，其虽然使网络应用水平得到大幅提升，但也加重了网络攻击频率，而且手段也变得越发高明。自此，需要改进、优化传统防火墙。本文围绕智能型防火墙，分析Intranet网络安全技术，现探讨如下。

1 传统防火墙技术概述

1.1 防火墙服务目的分析

针对Intranet而言，安全性作为其核心与根本，主要体现在如下方面：其一为完整的网络信息；其二是网络信息的保密；其三为网络服务的可用性。而对于与之相对应的防火墙来讲，一般情况下，主要有如下服务目的：（1）阻止外部人员进入Intranet网络，将那些不安全服务以及非法用户过滤掉；（2）阻止入侵者靠近防御设施；（3）就人们对特殊站点的访问进行限制；（4）便于Intranet的监视。所以，针对传统防火墙而言，要达成此技术，依据其工作方式的不同，可将其划分成两大类型，其一为代理服务型防火墙；其二是信息包过滤型防火墙。

1.2 包过滤型防火墙

需要指出的是，通常将包过滤型防火墙设置在逻辑层与网络级之间的网络层（IP层），其功能多借助包检查模块来最终达成；此模块一般在数据链路层与网络层之间工作，即IP层与TCP层间，需在TCP层及操作系统运作前，对IP包实施处理，也就是依据系统事先所设置的过滤逻辑，对整个数据流当中的各数据包进行检查，然后依据数据包的目标地址、源地址等，来明确此数据包是否被准许通过。需要强调的是，包过滤防火墙实为一种以数据包过滤为基础的防火墙。此类防火墙有着不错的安全性，最突出特点即为对用户透明，即无需用户登录账号、密码；因此，此种防火墙有着比较快的运行速度，而且维护方便，一般将其当做第一道防线。但需要说明的是，其也有不足，即无记账功能，一般无用户的使用记录，如此一来，在访问记录当中，难以找出黑客的攻击记录。另外，对于包过滤来讲，其还有其他弱点，即难以在用户级别上实施过滤，也就是难以对用户进行鉴别，不能防止IP地址被盗用。

1.3 应用代理服务

针对应用代理服务而言，实际就是防火墙之外的计算机系统应用层所对应的链接，是在2个终止在应用代理服务的链接来达成的，如此一来，便能够较好实现对防火墙内外计算机系统的隔离。而对于代理服务在Intranet防火墙网关上所设置的应用，实际就是在网管员拒绝或准许下的特定服务或应用程序，此外，还可根据现实需要，对其他功能进行应用，如报告、过滤、数据流监控及记录等。

应用代理服务能够根据具体需要，提供更加安全且实用的选项。在具体功能上，通常能够将网络与外部世界相连接，其针对客户而言，好似一台真的服务器，而对于外界的服务器来考量，其又如1台客户机。如果应用代理服务器对用户请求予以接受后，会对用户请求的站点进行检查，评定其与设定要求是否相符，若对用户访问此站点给予允许，那么应用代理服务器便会如同客户一样，去此站点将所需要的信息取回，然后向用户发送。需要强调的是，应用代理服务器具有高速缓存功能，并且在缓存过程中，可以将用户经常访问站点的内容储存起来，当下一用户对同一站点进行访问时，其服务器便无需去获取相同的内容，这样一来，不仅可节省时间，而且还有助于网络资源的节约，但伴随媒体服务的日渐增多，应用代理服务的不足也随之凸显，如果需增设一新的媒体服务，那么需重新设置应用代理服务器，提示应用代理有着并不灵活的防火墙。

2 智能型防火墙的基本原理及实现路径

2.1 堡垒主机及其实现

堡垒主机实为一个连接点，能够将各Intranet连接在一起。针对此连接点而言，其不仅有着重要地位，而且还容易遭受攻击，为了能够提高系统的整体安全性，需对LINUX操作系统（源代码公开）进行详细、全面且严格的安全化处理，采用经过安全化处理的LINUX操作系统，并将其当作堡垒主机所对应的操作系统。安全化方法为：针对SMTP.FTP.WAIS.HTTP.Gopher等所保留的基本网络服务，改写其代码，从此些服务当中，将过滤功能进行分离。专门构建一个应用过滤管理模块，此模块在堡垒主机上运行，能够统一调度、管理经过净化处理之后的全部网络应用代理服务。在对过滤管理器进行实际应用时，其核心工作即为在协议最低层，对传送至堡垒主机的信息包进行完全截取，然后对信息包进行逐层分析（自底层协议到高层协议），从中将那些相关于安全策略的信息进行提取，且以保密方式向智能认证服务器传送与分析；与此同时，负责对智能认证服务器保密回传的应用代理过滤信息进行接收。

2.2 智能认证服务器及实现

在整个智能型防火墙当中，智能认证服务器为其安全决策控制中心。在此服务器当中，保存有诸多关于安全决策的数据库，比如网络安全数据库、网络安全知识库及过滤策略数据库等。不同数据库能经人机接口，由网络管理员（具有权限）进行查阅与修改。针对各个网络数据库而言，其基本功能有：（1）过滤策略数据库实为对推理机进行存放，并实现过滤策略产生的重要内部形式，提供给过滤原文发生器，由其对前、后的过滤策略进行对照，最终使过滤指令产生。（2）在网络安全知识库当中，会将网络专家对各种网络攻击进行判断、处理之后的经验性知识予以保存，如邮件攻击、口令探询攻击及专家对IP地址欺骗等的判断处理策略。此外，还储存有策略性知识（能够对当前通信状态异常，但是难以确定是否为攻击的处理）。（3）在安全数据库当中，不仅储存有用户权限数据，而且还保存有由应用过滤管理器所收集的，与数据有紧密关联的各种数据，如通信状态、通信信息等，提供给推理机，由其对数据包的前、后状态进行对比，得到更为准确、可靠且充分的网络信息，为安全过滤决策提供切实支撑。需要指出的是，智能认证服务程序、网络数据库乃是智能认证服务器的核心部分，同时还是一种典型的专家系统，其能够借助堡垒主机当中的相关应用程序，对信息进行过滤管理及保密传送，以此来驱动运行。如果外部主机需要对Intranet进行访问，其在具体的数据包上，需要先获得外部路由器的准许，这样才能更好进入到DMZ网络当中；而对于其内部的路由器而言，需确保Intranet网络当中的所有请求均可以进入到DMZ网络中，最后传送至堡垒主机的指定端口。还需要强调的是，分析数据包的前方路由器有无过滤规则（针对此数据包），如果有规则禁止传输，此数据包便会被抛弃；若有规则准许传输，则此数据包便能够顺利通过防火墙。另外，如果数据包与路由器上的所有规则均不满足，其堡垒主机上的所配置的应用过滤管理，便会在协议最底层，对此数据包实施截取，然后自底层协议至高层，对数据包进行逐层分析，然后从中将那些与安全策略有关联的信息进行提取，且将所得到的信息以一种保密的方式向智能认证服务器传送，由其来进行深层剖析。

3 结语

综上，要想保障Intranet的安全性，需要满足三个特征，即机密性、完整性与可用性。针对Intranet网络安全来讲，其涉及比较宽的范围，因此，需强化此领域的创新。本文首先分析了传统防火墙，探讨了一种以智能型防火墙为基础的Intranet网络安全方案及具体的实现思路，从中得知，其选用的过滤规则的自动配置、自动产生技术，可使Intranet管理人员的劳动强度得到大幅减轻，防止由于人工修改过滤规则而引发不当或错误，且将传统防火墙所存在的不足予以克服，因而是一种不错的防火墙系统模型。

[1]郭帅，谭超，王龙. Internet/Intranet网络安全技术及安全机制分析[J]. 网络安全技术与应用，2020，231（3）：21-22.

[2]张佳发. 一种基于人工智能的网络安全防御模型研究[J]. 网络安全技术与应用，2020，5（1）：15-17.

[3]陈中男. 浅谈计算机网络安全中防火墙技术的探索与运用[J]. 网络安全技术与应用，2019，219（3）：25-26.

[4]孙书彤. 人工智能技术在网络空间安全防御中的应用研究[J]. 无线互联科技，2019，16（23）：130-131.