摘要：一直以來，防火墻對外部網(wǎng)絡(luò)的安全問題起到了很好的作用，但是它對內(nèi)部網(wǎng)絡(luò)的安全沒有任何的抵御能力。本文對防火墻的身份認(rèn)證模塊安全性分析、防火墻的身份認(rèn)證模塊設(shè)計進(jìn)行了分析。
　　關(guān)鍵詞：防火墻；身份認(rèn)證；網(wǎng)絡(luò)安全
　　所謂身份認(rèn)證就是指對合法訪問者和非法訪問者進(jìn)行篩選，簡而言之就是有效控制訪問。防火墻一直以來都是保證網(wǎng)絡(luò)安全的重要技術(shù)，但是防火墻由于缺少身份認(rèn)證，導(dǎo)致有很多網(wǎng)絡(luò)安全隱患產(chǎn)生。防火墻如果加入了身份認(rèn)證模塊不僅對外網(wǎng)非法訪問進(jìn)行抵御，而且認(rèn)證內(nèi)部網(wǎng)絡(luò)的合法用戶。防火墻的身份認(rèn)證模塊為網(wǎng)絡(luò)安全的保障提供有利的條件。
　　1. 防火墻的身份認(rèn)證模塊安全性分析
　　首先，防火墻中增加身份認(rèn)證使得采用靜態(tài)訪問控制列表進(jìn)行數(shù)據(jù)流過濾的不足被克服掉。防火墻的身份認(rèn)證模塊對訪問網(wǎng)絡(luò)數(shù)據(jù)的過濾的內(nèi)容不光是某些IP地址或協(xié)議，而且還是從不同用戶中獲得不同的權(quán)限，如果通過身份驗證，防火墻就會建立臨時動態(tài)訪問列表，用戶對內(nèi)部網(wǎng)絡(luò)的訪問只要根據(jù)動態(tài)訪問列表就行了，而就把非法用戶隔在門外，根本接觸不到動態(tài)訪問列表，更不用說是使用了。
　　其次，無論是合法用戶還是非法用戶，只要他們進(jìn)行身份認(rèn)證，那么認(rèn)證服務(wù)器就自動記錄下他們的信息，通過與不通過的信息都有記錄，這樣有利于網(wǎng)絡(luò)管理員及時發(fā)現(xiàn)視圖進(jìn)行訪問的非法用戶。
　　再次，身份認(rèn)證的設(shè)置不受內(nèi)外的要求，既可以設(shè)在外部網(wǎng)絡(luò)的入口處，對想要訪問內(nèi)部網(wǎng)絡(luò)的用戶進(jìn)行判斷，又可以設(shè)置在內(nèi)部網(wǎng)絡(luò)的出口處，對訪問外部網(wǎng)絡(luò)的用戶進(jìn)行控制。
　　2. 防火墻的身份認(rèn)證模塊設(shè)計
　　2.1防火墻的身份認(rèn)證模塊的原則
　　防火墻的身份認(rèn)證模塊在內(nèi)部網(wǎng)絡(luò)客戶端運(yùn)行了一個應(yīng)用程序，此程序主要是為用戶登錄而設(shè)，如果內(nèi)部網(wǎng)絡(luò)想要一些外部相關(guān)資源時，此時客戶端就會發(fā)出請求，然后防火墻的身份認(rèn)證模塊就會做出反映，對其進(jìn)行處理，如果處理完成后，用戶順利通過，那么防火墻就是為用戶創(chuàng)建接口和服務(wù)，否則就會退回請求。防火墻的身份認(rèn)證模塊設(shè)計的原則主要表現(xiàn)在以下幾個方面：首先，身份認(rèn)證的整個過程應(yīng)該是完全可控制的，有效阻截各種針對口令竊取的攻擊；其次，身份認(rèn)證的過程不要太過繁瑣，對于復(fù)雜的身份認(rèn)證過程要在可靠和實用的基礎(chǔ)上對其進(jìn)行簡化；再次，就其他應(yīng)用模塊而言，身份認(rèn)證模塊實現(xiàn)通信的前提就是提供相應(yīng)的接口；最后，身份認(rèn)證所涉及到的用戶賬號鎖定策略必須有效。
　　2.2防火墻的身份認(rèn)證模塊設(shè)計
　　找出關(guān)鍵問題、把握關(guān)鍵問題以及解決關(guān)鍵問題是防火墻身份認(rèn)證模塊設(shè)計的核心，只有將設(shè)計中的關(guān)鍵問題采用合理的策略解決掉，那么促進(jìn)防火墻的身份認(rèn)證模塊進(jìn)一步設(shè)計。首先，對于合法用戶在內(nèi)部網(wǎng)絡(luò)中的任何合法請求應(yīng)該盡可能讓其得到滿足。為了能夠把這一功能順利的實現(xiàn)，在客戶機(jī)上不能保存身份認(rèn)證的任何信息，而應(yīng)該把身份認(rèn)證的相關(guān)信息保存在防火墻的相關(guān)內(nèi)存區(qū)域，這樣多有的認(rèn)證都只需通過防火墻，實現(xiàn)任意主機(jī)的訪問請求發(fā)送；其次，在信息和網(wǎng)絡(luò)技術(shù)發(fā)達(dá)的今天，雖然有很多竊取口令的軟件，但是防火墻的身份認(rèn)證模塊要求在認(rèn)證其用戶名和密碼時必須通過合理的用戶名和密碼，發(fā)送堅決不允許以明文的形式進(jìn)行。
　　圖1為身份認(rèn)證模塊的訪問控制流程圖。（1）客戶端需要認(rèn)證就發(fā)出連接請求，服務(wù)端對這個請求進(jìn)行運(yùn)行；（2）認(rèn)證服務(wù)器接到客戶端的相關(guān)請求后，客戶端向服務(wù)器端發(fā)送HELO命令。其命令格式為：HELO<SP>認(rèn)證服務(wù)器地址；服務(wù)器將自己接受到的命令發(fā)送給主控程序；（3）對于客戶端的認(rèn)真請求，如果通過了服務(wù)器的主控程序，然后服務(wù)器主控程序就會向客戶端發(fā)出響應(yīng)200，否則返回500，響應(yīng)格式為：狀態(tài)碼<SP>狀態(tài)說明信息；（4）客戶端受到服務(wù)器端的響應(yīng)信息后，發(fā)送命令USER，提交給服務(wù)器等待認(rèn)證的用戶名，命令格式為：USER<SP>用戶名；（5）服務(wù)器收到用戶名后進(jìn)行檢索匹配，若用戶存在則返回響應(yīng)200，否則返回500，響應(yīng)格式為：狀態(tài)碼<SP>狀態(tài)說明信息；（6）如果服務(wù)器端的用戶名的響應(yīng)信息被客戶端收到的話，客戶端就發(fā)送命令QN，向服務(wù)器請求對應(yīng)的隨機(jī)數(shù)。命令格式為：REQN<SP>請求的說明信息；（7）服務(wù)器將隨機(jī)數(shù)發(fā)送給客戶端，客戶將隨機(jī)數(shù)進(jìn)行計算認(rèn)證處理，然后發(fā)出命令A(yù)UTH。命令格式為：AUTH<SP>認(rèn)證信息；（8）服務(wù)器接收命令，然后進(jìn)行相應(yīng)的操作，根據(jù)操作成功與否返回狀態(tài)。相應(yīng)格式：狀態(tài)碼<SP>狀態(tài)說明信息，至此認(rèn)證通信完成。
　　
　　圖1身份認(rèn)證模塊中的訪問控制流程圖
　　3. 結(jié)語
　　自從網(wǎng)絡(luò)的誕生，網(wǎng)絡(luò)安全一直備受關(guān)注。網(wǎng)絡(luò)安全建設(shè)是一個長期且復(fù)雜的系統(tǒng)工程。防火墻在網(wǎng)絡(luò)安全方面起到了非常重要的作用，但是隨著信息技術(shù)發(fā)展，防火墻也出現(xiàn)了很多的安全問題，正是由于它缺乏有效的身份認(rèn)證，在網(wǎng)絡(luò)中，引發(fā)了很多的安全隱患。防火墻中加入身份認(rèn)證使網(wǎng)絡(luò)更加安全、穩(wěn)固。
　　參考文獻(xiàn)：
　　[1]李文平.防火墻技術(shù)及其應(yīng)用淺析[J]科技情報開發(fā)與經(jīng)濟(jì),2006,(20).
　　[2]韓冰.防火墻技術(shù)及在網(wǎng)絡(luò)通信中的應(yīng)用[J].當(dāng)代建設(shè),2003,(03)
　　[3]盛承光.防火墻技術(shù)分析及其發(fā)展研究[J]計算機(jī)與數(shù)字工程,2006,(09).
　　[4]吳嘎.基于PKI的證書認(rèn)證系統(tǒng)設(shè)計與實現(xiàn)[D].中國優(yōu)秀碩士學(xué)位論文全文數(shù)據(jù)庫,2008,(01).
　　[5]Cisco公司.CiscoIOS網(wǎng)絡(luò)安全[M].信達(dá)工作室譯.北京:人民郵電出版社,2001.