金融防火墙配置规则.doc

　　金融防火墙配置规则～教育资源库 　　依据金融机构的职能在防火墙中正确定义符合安全策略和规则的组合，控制进出金融网的双向数据流，可达到金融网安全的目的。但如果防火墙规则配置错误，甚至可能使内网暴露在公众下！因此，正确设立防火墙安全策略、有效进行规则组合并实施方案比防火墙本身更重要。 　　一、制定防火墙策略 　　1．基本安全策略 　　 金融网的两条基本安全策略：一是没有允许的服务都是禁止的，二是没有禁止的服务都是允许的。即对一切没有被禁止的服务，防火墙可转发其信息；对一切被禁止的服务，防火墙要逐项删除。人民银行防火墙的设置按安全级别由高到低排序为: 内部局域网、人行系统内联网、金融区域网（城市网）；各商业银行防火墙的设置按安全级别由高到低排序为: 内部局域网、工行、农行、中行、建行系统内联网、金融区域网（城市网）以及Inter。 　　2． 内容安全检查 　　 金融机构提供的服务内容有以下几点。 　　 一是金融信息类（服务、电子邮件的支持、FTP等）。允许存取Inter特定网页，确保员工能下传和存取某些网页，保护网络带宽，控制流量；通过SMTP的连接提供高度控制。可在一个标准应用程序地址之后，隐藏外出的邮件地址，或可隐藏内部的网络结构与真正的内部使用者。 　　 二是电子银行类（结算、承兑、信用卡、借贷、储蓄、同城清算、电子联行、清算服务等）。其主要策略是网络地址转译，可隐藏内部网络地址，并克服IP地址数量的限制，维护内部地址的完整性。按照人行总行审定的地址规范，设置内部的网络地址，将内部注册IP地址以一个合法有效的IP地址对外。金融机构防火墙常用的两种操作模式有：动态模式，将内部所有IP地址经过防火墙用单一合法的IP地址对外；静态模式，提供一个对外公开的IP地址和内部真正的IP地址之间的映射。 　　3． 冗余设计 　　 金融机构的防火墙必须考虑冗余设计，当主防火墙发生故障时，备用防火墙可及时被激活工作。银行业务的时间性极强，通常是24小时营业，所以要求网络必须保障24小时安全，冗余设计的目的是在尽可能短的时间内，用较小的代价将突发事件对业务的影响降到最低。 　　4． 安全认证 　　 因为大多数金融业务采用的是通用的、流行的TCP/IP协议，由于该协议的开放性，使一些重要的信息（如客户资料等）在Inter传输过程中，容易被截取、破译，因此，任何进入内部网络的通话必须经过安全认证。防火墙认证的应用是当使用者与目的主机联机时，在通信被允许之前，安全地确认他们的身份，所有的认证过程都能经由防火墙日志浏览器来监视和追踪。认证机制分使用者认证、端口认证、特定IP地址的存取认证；认证的机制包括固定密码和随机产生的动态密码。 　　 网络防病毒系统是防火墙的捆绑产品，由于较显著地影响网络速度，目前，视各金融机构的具体情况，防病毒系统已经作为一个独立的子系统依附于安全系统中。 　　5． 人员策略 　　 无论金融机构防火墙系统提供了如何完善的安全保障，安全系统最终需要人来执行。这部分的安全检测属于人员的管理，主要目的在于降低人员使用信息或操作信息设备时可能发生的错误，如滥用、窃取、过失等。 　　二、规则设计原则 　　 防火墙规则集是安全策略的技术实现，规则设计应遵循以下思路和原则。 　　1．建立规则文件。防火墙的配置文件可对允许进出的流量作出规定。它非常重要，因为网络的重大错误往往是防火墙配置的错误。 　　2．策略核心很微妙。金融机构一般具有Z（中立区），DMZ是一个孤立的不信任网络，DMZ中的系统不能连接内部网。 　　3．网络地址转换要谨慎。地址转换配置（NAT）分为源地址转换和目的地址转换。在源地址转换的配置中，需要配置源地址到伪装源地址（转换后的源地址）的转换规则，要为源地址设置一个伪装的合法地址，在源地址转换时，使内部子网的地址能够通过网络地址转换后利用一个伪装的合法地址达到访问外部网的目的。这样就省去了占用多个合法IP的资源浪费。在目的地址转换的配置中，需要配置目标地址到真实目标地址之间的转换规则。在目的地址转换时，系统必须把目标地址和端口转换成真实的内部子网或DMZ区的地址，端口才能进行数据传送。这样系统可以指定某一子网或DMZ区的IP地址和相关端口接收外部网的数据。 　　4．路由设置必须合理。防火墙一般提供静态路由，静态路由是由网络管理员在启动网络路由功能之前预先建立起一个路由映射表。要访问某一子网的用户必须经过路由表中配置的网关地址，才能到达该子网。有时，不但要防止来自外部的黑客攻击，还要防止来自银行内部人员盗用别人的主机IP进行非法活动。采用内部网段的IP地址与网卡MAC地址绑定的方式，可防止内部主机盗用其他主机的IP进行未授权的活动。 　　5．规则力求简单。一个