◆胡明杰

（淮北职业技术学院 安徽 235000）

伴随社会经济的持续、快速发展，科学技术的不断推新，许多新技术、新理念在各领域中得到广泛应用。在对企业INTRANET 方案进行设计、制定时，需要设计一个囊括多手段、多层次并且全方位的安全防护系统。原因在于伴随INTRANET 的不断发展与应用，确保其安全的重要性越发凸显，当前的网络安全已经成为对网络技术深层次发展产生影响的关键因素。针对防火墙技术而言，其实质是一种实用、有效，并且已经得到广泛应用的网络安全技术，其不仅是一种防范措施，而且还是一种有效的网络安全模型。防火墙能够对进出网络通信量进行监测，从而能够高质量地完成原本无法完成的任务。需要指出的是，因防火墙实为一种被动技术，其对网络边界与服务进行了假设，所以，对于内部的非法访问，无法进行全面性控制，所以防火墙对于独立的网络而言，比较实用，而针对INTRANET 等来讲，则为一种相对集中的网络。本文以智能型防火墙为基础，就其INTRANET网络安全技术探讨如下。

1 传统防火墙技术分析

1.1 包过滤型防火墙

针对此种防火墙而言，其位于逻辑层与网络级之间的网络层（IP层），并且通常由包检查模块来实现，此模块在数据链路层与网络层之间工作，即位于IP 层与TCP 层之间，其需要在TCP 层与操作系统前，处理IP 包，也就是依据系统事先设定的过滤逻辑，对整个数据流当中的各数据包进行检查，然后依据数据包的目标地质、源地址，及包所使用端口，并对是否允许此数据包通过予以明确。包过滤防火墙实质是以数据包过滤为基础的防火墙。针对此类防火墙而言，其拥有比较好的安全性，最突出优点在于，它对用户而言是透明的，即在登录时，无须密码与用户名，此种防火墙有着比较快的速度，而且还便于维护，一般当作第一道防线。但需强调的是，其也有着比较明显的不足，即无记账功能，一般情况下，它缺少用户的使用记录，这便难以从访问记录当中找出黑客的攻击记录。但如果对一个包过滤式防火墙进行攻击，难度不大。还需说明的是，包过滤式的防火墙的配置较为烦琐，其虽然能够对他人进入内网的行为予以阻挡，但也不会告知究竟是谁进入到系统。另外，其虽然能够阻止外部对私有网络的访问，但却无法将内部的访问数据给记录下来。

1.2 INTRANET 的安全性以及防火墙服务目的

针对INTRANET 安全性而言，其主要包含三部分，其一为网络信息的完整性，其二是网络信息的保密性，其三为网络服务的可用性。一般情况下，防火墙能够同时为多目标提供服务：（1）预防他人进入INTRANET网络，将那些不安全服务以及非法用户给过滤掉；（2）制止入侵者靠近你的防御设施；（3）对人们访问特殊站点加以限制；（4）便于INTRANET 监视。所以，在能够运用传统防火墙的各种技术当中，依据其工作方式不同，可将其分为两种类型，其一为代理服务型防火墙，其二是信息包过滤型防火墙。

2 传统防火墙技术实际使用中所存在的突出问题

传统防火墙所存在的问题为：（1）防火墙系统无法借助网络信息、网络状态进行规则的自动调整；（2）包过滤防火墙有着较高的效率，但较难制定其规则；当采用的是代理防火墙规则时，其往往有着比较强的针对性，但却有着较低的工作效率；（3）在使用包过滤防火墙过滤时，其信息比较单一，包过滤堡垒主机对于外路由器Web 服务器与应用过滤时采用的信息，无法彼此利用；（4）防火墙在具体的工作方式上，极为被动，针对没有列出的网络攻击，无法及时制止；当防火墙出现被攻破的情况后，难以及时发现，也无法及时控制。为了能够将此些问题给有效地解决掉，积极找寻防火墙安全策略制定中网络与应用层信息的综合应用策略，剖析防火墙过滤对内路由器规则自动配置、自动产生的途径，制定了一种以屏蔽子网为基础的混合智能型防火墙模型，且对其具体的实现方法进行了研究。

3 智能型防火墙的结构体系分析

3.1 结构描述

经上述分析得知，传统的包过滤型防火墙以及代理服务防火墙有着比较单一的形式，如果外部黑客进行攻击，INTRANET网络便会被暴露出来，而对于智能防火墙而言，通常情况下，会采用一种组合结构，其在具体结构上主要由堡垒主机、智能认证服务器、内外路由器及智能主机等构成。针对内外路由器来分析，其在各INTRANET网之间，能够构建一个安全子网，即非军事区（DMZ）。而诸如Modern组、堡垒主机、信息服务器会被设置在DMZ 网络当中，而对于智能认证服务器而言，则需要设在INTRANET网络当中。

3.2 内外路由器

现阶段，INTRANET网络大多采用的是TCP/IP 协议族，其在实际应用中，往往会存在一些安全漏洞，而且在具体的安全机制上，也存在不健全的情况，INTRANET网络上的黑客通常会借此而侵入。为此，需要采用各种安全技术，开展网络安全性管理与建设。针对外部路由器而言，一般会被用于外部攻击的预防，比如源地址欺骗、源路由攻击等，且还会对INTRANET 到DMZ 的访问进行管理。针对网络地址转换器而言，其又被称作地址共享器，或者是地址映射器，起初的用途是解决IP 地址不足的问题，而当前多用作网络安全。而针对内部路由器而言，多用作INTRANET 与DMZ 之间的IP 包过滤等，为INTRANET 提供保护，使其不受INTRANET、DMZ 的侵扰，预防INTRANET网当中的数据包流入到DMZ 网络中。当处于缺省状态时，内部路由器准许任意主机的请求，能够达到堡垒主机，而对于没有经过认证的外部主机的访问，则予以制止。

4 智能型防火墙的实现方法

（1）堡垒主机及其实现方法。所谓堡垒主机，从根本上来讲，即为不同INTRANET 的连接点。此连接点有着重要地位，且容易遭受攻击，为了能够提高其安全性，可以对LINUX 操作系统进行安全化处理，采用有着更高安全性的LINUX 系统当作堡垒主机的操作系统。安全化做法：针对所保留的诸如FTP.SMTP 等网络服务，对其代码予以改写，在这些服务当中将其中的过滤功能分离出来，专门构建一个模块，使此模块在堡垒主机上运行；针对净化之后的全部网络应用代理服务，开展统一化的调度与管理。之所以选用过滤管理器，其核心工作是在协议最底层，截取到达堡垒主机的信息包，在此之后，自底层协议至高层协议，对信息包进行逐层分析，从中对那些与安全策略有关的信息进行提取，且向智能认证服务器进行传送，由其进行分析。（2）智能认证服务器及其实现方法。智能认证服务器实为整个智能型防火墙的安全决策控制中心，在此服务器上，需要保留诸多相关于安全决策的数据库，也就是网络安全数据库、过滤策略数据库等。不同数据库能够通过统一的人机接口，由具有权限的网络管理员进行查阅与修改。

5 结语

综上，INTRANET网络数据安全的主要特性为机密性、完整性与可用性，INTRANET网络安全囊括的范围较广，是国家网络安全的基石。本文探讨了一种以智能型防火墙INTRANET网络安全为基础的方案，并指出了其模型与实现方法，即选用过虑规则的自动配置与自动产生技术，从而使INTRANET 管理人员的劳动强度大幅降低，防止传统防火墙遭受黑客攻击，提高整个网络的安全性。