摘要：一直以來，防火墻對外部網絡的安全問題起到了很好的作用，但是它對內部網絡的安全沒有任何的抵御能力。本文對防火墻的身份認證模塊安全性分析、防火墻的身份認證模塊設計進行了分析。
　　關鍵詞：防火墻；身份認證；網絡安全
　　所謂身份認證就是指對合法訪問者和非法訪問者進行篩選，簡而言之就是有效控制訪問。防火墻一直以來都是保證網絡安全的重要技術，但是防火墻由于缺少身份認證，導致有很多網絡安全隱患產生。防火墻如果加入了身份認證模塊不僅對外網非法訪問進行抵御，而且認證內部網絡的合法用戶。防火墻的身份認證模塊為網絡安全的保障提供有利的條件。
　　1. 防火墻的身份認證模塊安全性分析
　　首先，防火墻中增加身份認證使得采用靜態訪問控制列表進行數據流過濾的不足被克服掉。防火墻的身份認證模塊對訪問網絡數據的過濾的內容不光是某些IP地址或協議，而且還是從不同用戶中獲得不同的權限，如果通過身份驗證，防火墻就會建立臨時動態訪問列表，用戶對內部網絡的訪問只要根據動態訪問列表就行了，而就把非法用戶隔在門外，根本接觸不到動態訪問列表，更不用說是使用了。
　　其次，無論是合法用戶還是非法用戶，只要他們進行身份認證，那么認證服務器就自動記錄下他們的信息，通過與不通過的信息都有記錄，這樣有利于網絡管理員及時發現視圖進行訪問的非法用戶。
　　再次，身份認證的設置不受內外的要求，既可以設在外部網絡的入口處，對想要訪問內部網絡的用戶進行判斷，又可以設置在內部網絡的出口處，對訪問外部網絡的用戶進行控制。
　　2. 防火墻的身份認證模塊設計
　　2.1防火墻的身份認證模塊的原則
　　防火墻的身份認證模塊在內部網絡客戶端運行了一個應用程序，此程序主要是為用戶登錄而設，如果內部網絡想要一些外部相關資源時，此時客戶端就會發出請求，然后防火墻的身份認證模塊就會做出反映，對其進行處理，如果處理完成后，用戶順利通過，那么防火墻就是為用戶創建接口和服務，否則就會退回請求。防火墻的身份認證模塊設計的原則主要表現在以下幾個方面：首先，身份認證的整個過程應該是完全可控制的，有效阻截各種針對口令竊取的攻擊；其次，身份認證的過程不要太過繁瑣，對于復雜的身份認證過程要在可靠和實用的基礎上對其進行簡化；再次，就其他應用模塊而言，身份認證模塊實現通信的前提就是提供相應的接口；最后，身份認證所涉及到的用戶賬號鎖定策略必須有效。
　　2.2防火墻的身份認證模塊設計
　　找出關鍵問題、把握關鍵問題以及解決關鍵問題是防火墻身份認證模塊設計的核心，只有將設計中的關鍵問題采用合理的策略解決掉，那么促進防火墻的身份認證模塊進一步設計。首先，對于合法用戶在內部網絡中的任何合法請求應該盡可能讓其得到滿足。為了能夠把這一功能順利的實現，在客戶機上不能保存身份認證的任何信息，而應該把身份認證的相關信息保存在防火墻的相關內存區域，這樣多有的認證都只需通過防火墻，實現任意主機的訪問請求發送；其次，在信息和網絡技術發達的今天，雖然有很多竊取口令的軟件，但是防火墻的身份認證模塊要求在認證其用戶名和密碼時必須通過合理的用戶名和密碼，發送堅決不允許以明文的形式進行。
　　圖1為身份認證模塊的訪問控制流程圖。（1）客戶端需要認證就發出連接請求，服務端對這個請求進行運行；（2）認證服務器接到客戶端的相關請求后，客戶端向服務器端發送HELO命令。其命令格式為：HELO<SP>認證服務器地址；服務器將自己接受到的命令發送給主控程序；（3）對于客戶端的認真請求，如果通過了服務器的主控程序，然后服務器主控程序就會向客戶端發出響應200，否則返回500，響應格式為：狀態碼<SP>狀態說明信息；（4）客戶端受到服務器端的響應信息后，發送命令USER，提交給服務器等待認證的用戶名，命令格式為：USER<SP>用戶名；（5）服務器收到用戶名后進行檢索匹配，若用戶存在則返回響應200，否則返回500，響應格式為：狀態碼<SP>狀態說明信息；（6）如果服務器端的用戶名的響應信息被客戶端收到的話，客戶端就發送命令QN，向服務器請求對應的隨機數。命令格式為：REQN<SP>請求的說明信息；（7）服務器將隨機數發送給客戶端，客戶將隨機數進行計算認證處理，然后發出命令AUTH。命令格式為：AUTH<SP>認證信息；（8）服務器接收命令，然后進行相應的操作，根據操作成功與否返回狀態。相應格式：狀態碼<SP>狀態說明信息，至此認證通信完成。
　　
　　圖1身份認證模塊中的訪問控制流程圖
　　3. 結語
　　自從網絡的誕生，網絡安全一直備受關注。網絡安全建設是一個長期且復雜的系統工程。防火墻在網絡安全方面起到了非常重要的作用，但是隨著信息技術發展，防火墻也出現了很多的安全問題，正是由于它缺乏有效的身份認證，在網絡中，引發了很多的安全隱患。防火墻中加入身份認證使網絡更加安全、穩固。
　　參考文獻：
　　[1]李文平.防火墻技術及其應用淺析[J]科技情報開發與經濟,2006,(20).
　　[2]韓冰.防火墻技術及在網絡通信中的應用[J].當代建設,2003,(03)
　　[3]盛承光.防火墻技術分析及其發展研究[J]計算機與數字工程,2006,(09).
　　[4]吳嘎.基于PKI的證書認證系統設計與實現[D].中國優秀碩士學位論文全文數據庫,2008,(01).
　　[5]Cisco公司.CiscoIOS網絡安全[M].信達工作室譯.北京:人民郵電出版社,2001.