摘 要:防火墙是保护计算机网络安全的最基本技术。针对内部网络的安全问题,防火墙处于弱势,而防火墙的身份认证使得防火墙不仅能够抵御外网的非法访问,而且对内部网络的安全也起到了保护作用。本文主要从防火墙的身份认证模块安全性分析、防火墙的身份认证模块设计两个方面来分析防火墙的身份认证。
关键词:防火墙;身份认证;网络安全
1. 防火墙的身份认证模块安全性分析
首先,防火墙中增加身份认证使得采用静态访问控制列表进行数据流过滤的不足被克服掉。防火墙的身份认证模块对访问网络数据的过滤的内容不光是某些IP地址或协议,而且还是从不同用户中获得不同的权限,如果通过身份验证,防火墙就会建立临时动态访问列表,用户对内部网络的访问只要根据动态访问列表就行了,而就把非法用户隔在门外,根本接触不到动态访问列表,更不用说是使用了。
其次,无论是合法用户还是非法用户,只要他们进行身份认证,那么认证服务器就自动记录下他们的信息,通过与不通过的信息都有记录,这样有利于网络管理员及时发现视图进行访问的非法用户。
再次,身份认证的设置不受内外的要求,既可以设在外部网络的入口处,对想要访问内部网络的用户进行判断,又可以设置在内部网络的出口处,对访问外部网络的用户进行控制。
2. 防火墙的身份认证模块设计
2.1防火墙的身份认证模块的原则
防火墙的身份认证模块在内部网络客户端运行了一个应用程序,此程序主要是为用户登录而设,如果内部网络想要一些外部相关资源时,此时客户端就会发出请求,然后防火墙的身份认证模块就会做出反映,对其进行处理,如果处理完成后,用户顺利通过,那么防火墙就是为用户创建接口和服务,否则就会退回请求。防火墙的身份认证模块设计的原则主要表现在以下几个方面:首先,身份认证的整个过程应该是完全可控制的,有效阻截各种针对口令窃取的攻击;其次,身份认证的过程不要太过繁琐,对于复杂的身份认证过程要在可靠和实用的基础上对其进行简化;再次,就其他应用模块而言,身份认证模块实现通信的前提就是提供相应的接口;最后,身份认证所涉及到的用户账号锁定策略必须有效。
2.2防火墙的身份认证模块设计
找出关键问题、把握关键问题以及解决关键问题是防火墙身份认证模块设计的核心,只有将设计中的关键问题采用合理的策略解决掉,那么促进防火墙的身份认证模块进一步设计。首先,对于合法用户在内部网络中的任何合法请求应该尽可能让其得到满足。例如,任一终端有资源共享时,对于其他终端的访问请求,该终端都能够进行合理的处理,尤其是对那些移动用户终端的访问请求。为了能够把这一功能顺利的实现,在客户机上不能保存身份认证的任何信息,而应该把身份认证的相关信息保存在防火墙的相关内存区域,这样多有的认证都只需通过防火墙,实现任意主机的访问请求发送;其次,在信息和网络技术发达的今天,虽然有很多窃取口令的软件,但是防火墙的身份认证模块要求在认证其用户名和密码时必须通过合理的用户名和密码,发送坚决不允许以明文的形式进行;再次,常常会有通过身份认证后的用户,在一定的时间内没有做出任何操作,对于这种情况,为了维护网络的安全性,防火墙可自动将这次连接删除掉,防止资源的占用以及用户冒充使用。例如,在知网系统中,如果说先进入其中,而在一定的时间内没有进行下一步操作,那么过后在进行操作的话还会需要重新进行身份认证。
图1为身份认证模块的访问控制流程图。(1)客户端需要认证就发出连接请求,服务端对这个请求进行运行;(2)认证服务器接到客户端的相关请求后,客户端向服务器端发送HELO命令。其命令格式为:HELO
图1 身份认证模块中的访问控制流程图
3.结语
在网络信息化的今天,网络安全已经受到人们的高度重视,防火墙的应用在很大程度上提高的网络安全性,但是由于其缺乏身份认证,而使其作用大大降低。为了使网络更加安全,网络需要有安全策略的防火墙(通过身份认证的防火墙)来防止非法用户访问内部网络上的资源和非法向外传递内部信息。本文主要对防火墙的身份认证模块进行了分析,主要从“防火墙的身份认证模块的原则”、“防火墙的身份认证模块设计”两个方面进行详细阐述。防火墙通过身份认证后,其自身的作用大大提高,并且网络的安全性进一步得以确保。
参考文献:
. 陕西教育(高教), 2010, (03).
