试论防火墙的身份认证模块

所属栏目:广播电视论文 发布日期:2011-05-24 08:33 热度:

  摘要:一直以来,防火墙对外部网络的安全问题起到了很好的作用,但是它对内部网络的安全没有任何的抵御能力。本文对防火墙的身份认证模块安全性分析、防火墙的身份认证模块设计进行了分析。
  关键词:防火墙;身份认证;网络安全
  所谓身份认证就是指对合法访问者和非法访问者进行筛选,简而言之就是有效控制访问。防火墙一直以来都是保证网络安全的重要技术,但是防火墙由于缺少身份认证,导致有很多网络安全隐患产生。防火墙如果加入了身份认证模块不仅对外网非法访问进行抵御,而且认证内部网络的合法用户。防火墙的身份认证模块为网络安全的保障提供有利的条件。
  1. 防火墙的身份认证模块安全性分析
  首先,防火墙中增加身份认证使得采用静态访问控制列表进行数据流过滤的不足被克服掉。防火墙的身份认证模块对访问网络数据的过滤的内容不光是某些IP地址或协议,而且还是从不同用户中获得不同的权限,如果通过身份验证,防火墙就会建立临时动态访问列表,用户对内部网络的访问只要根据动态访问列表就行了,而就把非法用户隔在门外,根本接触不到动态访问列表,更不用说是使用了。
  其次,无论是合法用户还是非法用户,只要他们进行身份认证,那么认证服务器就自动记录下他们的信息,通过与不通过的信息都有记录,这样有利于网络管理员及时发现视图进行访问的非法用户。
  再次,身份认证的设置不受内外的要求,既可以设在外部网络的入口处,对想要访问内部网络的用户进行判断,又可以设置在内部网络的出口处,对访问外部网络的用户进行控制。
  2. 防火墙的身份认证模块设计
  2.1防火墙的身份认证模块的原则
  防火墙的身份认证模块在内部网络客户端运行了一个应用程序,此程序主要是为用户登录而设,如果内部网络想要一些外部相关资源时,此时客户端就会发出请求,然后防火墙的身份认证模块就会做出反映,对其进行处理,如果处理完成后,用户顺利通过,那么防火墙就是为用户创建接口和服务,否则就会退回请求。防火墙的身份认证模块设计的原则主要表现在以下几个方面:首先,身份认证的整个过程应该是完全可控制的,有效阻截各种针对口令窃取的攻击;其次,身份认证的过程不要太过繁琐,对于复杂的身份认证过程要在可靠和实用的基础上对其进行简化;再次,就其他应用模块而言,身份认证模块实现通信的前提就是提供相应的接口;最后,身份认证所涉及到的用户账号锁定策略必须有效。
  2.2防火墙的身份认证模块设计
  找出关键问题、把握关键问题以及解决关键问题是防火墙身份认证模块设计的核心,只有将设计中的关键问题采用合理的策略解决掉,那么促进防火墙的身份认证模块进一步设计。首先,对于合法用户在内部网络中的任何合法请求应该尽可能让其得到满足。为了能够把这一功能顺利的实现,在客户机上不能保存身份认证的任何信息,而应该把身份认证的相关信息保存在防火墙的相关内存区域,这样多有的认证都只需通过防火墙,实现任意主机的访问请求发送;其次,在信息和网络技术发达的今天,虽然有很多窃取口令的软件,但是防火墙的身份认证模块要求在认证其用户名和密码时必须通过合理的用户名和密码,发送坚决不允许以明文的形式进行。
  图1为身份认证模块的访问控制流程图。(1)客户端需要认证就发出连接请求,服务端对这个请求进行运行;(2)认证服务器接到客户端的相关请求后,客户端向服务器端发送HELO命令。其命令格式为:HELO<SP>认证服务器地址;服务器将自己接受到的命令发送给主控程序;(3)对于客户端的认真请求,如果通过了服务器的主控程序,然后服务器主控程序就会向客户端发出响应200,否则返回500,响应格式为:状态码<SP>状态说明信息;(4)客户端受到服务器端的响应信息后,发送命令USER,提交给服务器等待认证的用户名,命令格式为:USER<SP>用户名;(5)服务器收到用户名后进行检索匹配,若用户存在则返回响应200,否则返回500,响应格式为:状态码<SP>状态说明信息;(6)如果服务器端的用户名的响应信息被客户端收到的话,客户端就发送命令QN,向服务器请求对应的随机数。命令格式为:REQN<SP>请求的说明信息;(7)服务器将随机数发送给客户端,客户将随机数进行计算认证处理,然后发出命令AUTH。命令格式为:AUTH<SP>认证信息;(8)服务器接收命令,然后进行相应的操作,根据操作成功与否返回状态。相应格式:状态码<SP>状态说明信息,至此认证通信完成。
  1.jpg
  图1身份认证模块中的访问控制流程图
  3. 结语
  自从网络的诞生,网络安全一直备受关注。网络安全建设是一个长期且复杂的系统工程。防火墙在网络安全方面起到了非常重要的作用,但是随着信息技术发展,防火墙也出现了很多的安全问题,正是由于它缺乏有效的身份认证,在网络中,引发了很多的安全隐患。防火墙中加入身份认证使网络更加安全、稳固。
  参考文献:
  [1]李文平.防火墙技术及其应用浅析[J]科技情报开发与经济,2006,(20).
  [2]韩冰.防火墙技术及在网络通信中的应用[J].当代建设,2003,(03)
  [3]盛承光.防火墙技术分析及其发展研究[J]计算机与数字工程,2006,(09).
  [4]吴嘎.基于PKI的证书认证系统设计与实现[D].中国优秀硕士学位论文全文数据库,2008,(01).
  [5]Cisco公司.CiscoIOS网络安全[M].信达工作室译.北京:人民邮电出版社,2001.

文章标题:试论防火墙的身份认证模块

转载请注明来自:http://www.sofabiao.com/fblw/dianxin/dianshi/9082.html

相关问题解答

SCI服务

搜论文知识网的海量职称论文范文仅供广大读者免费阅读使用! 冀ICP备15021333号-3