摘要：一直以來(lái)，防火墻對(duì)外部網(wǎng)絡(luò)的安全問(wèn)題起到了很好的作用，但是它對(duì)內(nèi)部網(wǎng)絡(luò)的安全沒(méi)有任何的抵御能力。本文對(duì)防火墻的身份認(rèn)證模塊安全性分析、防火墻的身份認(rèn)證模塊設(shè)計(jì)進(jìn)行了分析。
　　關(guān)鍵詞：防火墻；身份認(rèn)證；網(wǎng)絡(luò)安全
　　所謂身份認(rèn)證就是指對(duì)合法訪問(wèn)者和非法訪問(wèn)者進(jìn)行篩選，簡(jiǎn)而言之就是有效控制訪問(wèn)。防火墻一直以來(lái)都是保證網(wǎng)絡(luò)安全的重要技術(shù)，但是防火墻由于缺少身份認(rèn)證，導(dǎo)致有很多網(wǎng)絡(luò)安全隱患產(chǎn)生。防火墻如果加入了身份認(rèn)證模塊不僅對(duì)外網(wǎng)非法訪問(wèn)進(jìn)行抵御，而且認(rèn)證內(nèi)部網(wǎng)絡(luò)的合法用戶。防火墻的身份認(rèn)證模塊為網(wǎng)絡(luò)安全的保障提供有利的條件。
　　1. 防火墻的身份認(rèn)證模塊安全性分析
　　首先，防火墻中增加身份認(rèn)證使得采用靜態(tài)訪問(wèn)控制列表進(jìn)行數(shù)據(jù)流過(guò)濾的不足被克服掉。防火墻的身份認(rèn)證模塊對(duì)訪問(wèn)網(wǎng)絡(luò)數(shù)據(jù)的過(guò)濾的內(nèi)容不光是某些IP地址或協(xié)議，而且還是從不同用戶中獲得不同的權(quán)限，如果通過(guò)身份驗(yàn)證，防火墻就會(huì)建立臨時(shí)動(dòng)態(tài)訪問(wèn)列表，用戶對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)只要根據(jù)動(dòng)態(tài)訪問(wèn)列表就行了，而就把非法用戶隔在門外，根本接觸不到動(dòng)態(tài)訪問(wèn)列表，更不用說(shuō)是使用了。
　　其次，無(wú)論是合法用戶還是非法用戶，只要他們進(jìn)行身份認(rèn)證，那么認(rèn)證服務(wù)器就自動(dòng)記錄下他們的信息，通過(guò)與不通過(guò)的信息都有記錄，這樣有利于網(wǎng)絡(luò)管理員及時(shí)發(fā)現(xiàn)視圖進(jìn)行訪問(wèn)的非法用戶。
　　再次，身份認(rèn)證的設(shè)置不受內(nèi)外的要求，既可以設(shè)在外部網(wǎng)絡(luò)的入口處，對(duì)想要訪問(wèn)內(nèi)部網(wǎng)絡(luò)的用戶進(jìn)行判斷，又可以設(shè)置在內(nèi)部網(wǎng)絡(luò)的出口處，對(duì)訪問(wèn)外部網(wǎng)絡(luò)的用戶進(jìn)行控制。
　　2. 防火墻的身份認(rèn)證模塊設(shè)計(jì)
　　2.1防火墻的身份認(rèn)證模塊的原則
　　防火墻的身份認(rèn)證模塊在內(nèi)部網(wǎng)絡(luò)客戶端運(yùn)行了一個(gè)應(yīng)用程序，此程序主要是為用戶登錄而設(shè)，如果內(nèi)部網(wǎng)絡(luò)想要一些外部相關(guān)資源時(shí)，此時(shí)客戶端就會(huì)發(fā)出請(qǐng)求，然后防火墻的身份認(rèn)證模塊就會(huì)做出反映，對(duì)其進(jìn)行處理，如果處理完成后，用戶順利通過(guò)，那么防火墻就是為用戶創(chuàng)建接口和服務(wù)，否則就會(huì)退回請(qǐng)求。防火墻的身份認(rèn)證模塊設(shè)計(jì)的原則主要表現(xiàn)在以下幾個(gè)方面：首先，身份認(rèn)證的整個(gè)過(guò)程應(yīng)該是完全可控制的，有效阻截各種針對(duì)口令竊取的攻擊；其次，身份認(rèn)證的過(guò)程不要太過(guò)繁瑣，對(duì)于復(fù)雜的身份認(rèn)證過(guò)程要在可靠和實(shí)用的基礎(chǔ)上對(duì)其進(jìn)行簡(jiǎn)化；再次，就其他應(yīng)用模塊而言，身份認(rèn)證模塊實(shí)現(xiàn)通信的前提就是提供相應(yīng)的接口；最后，身份認(rèn)證所涉及到的用戶賬號(hào)鎖定策略必須有效。
　　2.2防火墻的身份認(rèn)證模塊設(shè)計(jì)
　　找出關(guān)鍵問(wèn)題、把握關(guān)鍵問(wèn)題以及解決關(guān)鍵問(wèn)題是防火墻身份認(rèn)證模塊設(shè)計(jì)的核心，只有將設(shè)計(jì)中的關(guān)鍵問(wèn)題采用合理的策略解決掉，那么促進(jìn)防火墻的身份認(rèn)證模塊進(jìn)一步設(shè)計(jì)。首先，對(duì)于合法用戶在內(nèi)部網(wǎng)絡(luò)中的任何合法請(qǐng)求應(yīng)該盡可能讓其得到滿足。為了能夠把這一功能順利的實(shí)現(xiàn)，在客戶機(jī)上不能保存身份認(rèn)證的任何信息，而應(yīng)該把身份認(rèn)證的相關(guān)信息保存在防火墻的相關(guān)內(nèi)存區(qū)域，這樣多有的認(rèn)證都只需通過(guò)防火墻，實(shí)現(xiàn)任意主機(jī)的訪問(wèn)請(qǐng)求發(fā)送；其次，在信息和網(wǎng)絡(luò)技術(shù)發(fā)達(dá)的今天，雖然有很多竊取口令的軟件，但是防火墻的身份認(rèn)證模塊要求在認(rèn)證其用戶名和密碼時(shí)必須通過(guò)合理的用戶名和密碼，發(fā)送堅(jiān)決不允許以明文的形式進(jìn)行。
　　圖1為身份認(rèn)證模塊的訪問(wèn)控制流程圖。（1）客戶端需要認(rèn)證就發(fā)出連接請(qǐng)求，服務(wù)端對(duì)這個(gè)請(qǐng)求進(jìn)行運(yùn)行；（2）認(rèn)證服務(wù)器接到客戶端的相關(guān)請(qǐng)求后，客戶端向服務(wù)器端發(fā)送HELO命令。其命令格式為：HELO<SP>認(rèn)證服務(wù)器地址；服務(wù)器將自己接受到的命令發(fā)送給主控程序；（3）對(duì)于客戶端的認(rèn)真請(qǐng)求，如果通過(guò)了服務(wù)器的主控程序，然后服務(wù)器主控程序就會(huì)向客戶端發(fā)出響應(yīng)200，否則返回500，響應(yīng)格式為：狀態(tài)碼<SP>狀態(tài)說(shuō)明信息；（4）客戶端受到服務(wù)器端的響應(yīng)信息后，發(fā)送命令USER，提交給服務(wù)器等待認(rèn)證的用戶名，命令格式為：USER<SP>用戶名；（5）服務(wù)器收到用戶名后進(jìn)行檢索匹配，若用戶存在則返回響應(yīng)200，否則返回500，響應(yīng)格式為：狀態(tài)碼<SP>狀態(tài)說(shuō)明信息；（6）如果服務(wù)器端的用戶名的響應(yīng)信息被客戶端收到的話，客戶端就發(fā)送命令QN，向服務(wù)器請(qǐng)求對(duì)應(yīng)的隨機(jī)數(shù)。命令格式為：REQN<SP>請(qǐng)求的說(shuō)明信息；（7）服務(wù)器將隨機(jī)數(shù)發(fā)送給客戶端，客戶將隨機(jī)數(shù)進(jìn)行計(jì)算認(rèn)證處理，然后發(fā)出命令A(yù)UTH。命令格式為：AUTH<SP>認(rèn)證信息；（8）服務(wù)器接收命令，然后進(jìn)行相應(yīng)的操作，根據(jù)操作成功與否返回狀態(tài)。相應(yīng)格式：狀態(tài)碼<SP>狀態(tài)說(shuō)明信息，至此認(rèn)證通信完成。
　　
　　圖1身份認(rèn)證模塊中的訪問(wèn)控制流程圖
　　3. 結(jié)語(yǔ)
　　自從網(wǎng)絡(luò)的誕生，網(wǎng)絡(luò)安全一直備受關(guān)注。網(wǎng)絡(luò)安全建設(shè)是一個(gè)長(zhǎng)期且復(fù)雜的系統(tǒng)工程。防火墻在網(wǎng)絡(luò)安全方面起到了非常重要的作用，但是隨著信息技術(shù)發(fā)展，防火墻也出現(xiàn)了很多的安全問(wèn)題，正是由于它缺乏有效的身份認(rèn)證，在網(wǎng)絡(luò)中，引發(fā)了很多的安全隱患。防火墻中加入身份認(rèn)證使網(wǎng)絡(luò)更加安全、穩(wěn)固。
　　參考文獻(xiàn)：
　　[1]李文平.防火墻技術(shù)及其應(yīng)用淺析[J]科技情報(bào)開(kāi)發(fā)與經(jīng)濟(jì),2006,(20).
　　[2]韓冰.防火墻技術(shù)及在網(wǎng)絡(luò)通信中的應(yīng)用[J].當(dāng)代建設(shè),2003,(03)
　　[3]盛承光.防火墻技術(shù)分析及其發(fā)展研究[J]計(jì)算機(jī)與數(shù)字工程,2006,(09).
　　[4]吳嘎.基于PKI的證書(shū)認(rèn)證系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[D].中國(guó)優(yōu)秀碩士學(xué)位論文全文數(shù)據(jù)庫(kù),2008,(01).
　　[5]Cisco公司.CiscoIOS網(wǎng)絡(luò)安全[M].信達(dá)工作室譯.北京:人民郵電出版社,2001.