金融防火墙配置规则

• 金融防火墙配置规则
  
  
  依据金融机构的职能在防火墙中正确定义符合安全策略和规则的组合，控制进出金融网的双向数据流，可达到金融网安全的目的。但如果防火墙规则配置错误，甚至可能使内网暴露在公众下！因此，正确设立防火墙安全策略、有效进行规则组合并实施方案比防火墙本身更重要。
  
  一、制定防火墙策略
  
  1．基本安全策略
  
  金融网的两条基本安全策略：一是没有允许的服务都是禁止的，二是没有禁止的服务都是允许的。即对一切没有被禁止的服务，防火墙可转发其信息；对一切被禁止的服务，防火墙要逐项删除。人民银行防火墙的设置按安全级别由高到低排序为: 内部局域网、人行系统内联网、金融区域网（城市网）；各商业银行防火墙的设置按安全级别由高到低排序为: 内部局域网、工行、农行、中行、建行系统内联网、金融区域网（城市网）以及Internet。
  
  2． 内容安全检查
  
  金融机构提供的服务内容有以下几点。
  
  一是金融信息类（www服务、电子邮件的支持、FTP等）。允许存取Internet特定网页，确保员工能下传和存取某些网页，保护网络带宽，控制流量；通过SMTP的连接提供高度控制。可在一个标准应用程序地址之后，隐藏外出的邮件地址，或可隐藏内部的网络结构与真正的内部使用者。
  
  二是电子银行类（结算、承兑、信用卡、借贷、储蓄、同城清算、电子联行、清算服务等）。其主要策略是网络地址转译，可隐藏内部网络地址，并克服IP地址数量的限制，维护内部地址的完整性。按照人行总行审定的地址规范，设置内部的网络地址，将内部注册IP地址以一个合法有效的IP地址对外。金融机构防火墙常用的两种操作模式有：动态模式，将内部所有IP地址经过防火墙用单一合法的IP地址对外；静态模式，提供一个对外公开的IP地址和内部真正的IP地址之间的映射。
  
  3． 冗余设计
  
  金融机构的防火墙必须考虑冗余设计，当主防火墙发生故障时，备用防火墙可及时被激活工作。银行业务的时间性极强，通常是24小时营业，所以要求网络必须保障24小时安全，冗余设计的目的是在尽可能短的时间内，用较小的代价将突发事件对业务的影响降到最低。
  
  4． 安全认证
  
  因为大多数金融业务采用的是通用的、流行的TCP/IP协议，由于该协议的开放性，使一些重要的信息（如客户资料等）在Internet传输过程中，容易被截取、破译，因此，任何进入内部网络的通话必须经过安全认证。防火墙认证的应用是当使用者与目的主机联机时，在通信被允许之前，安全地确认他们的身份，所有的认证过程都能经由防火墙日志浏览器来监视和追踪。认证机制分使用者认证、端口认证、特定IP地址的存取认证；认证的机制包括固定密码和随机产生的动态密码。
  
  网络防病毒系统是防火墙的捆绑产品，由于较显著地影响网络速度，目前，视各金融机构的具体情况，防病毒系统已经作为一个独立的子系统依附于安全系统中。
  
• [1] [2] [3] 下一页 
• 复制本页网址和标题，发送给你QQ/Msn的好友一起分享
  
  
• 金融防火墙配置规则 相关文章：
• 金融防火墙配置规则 相关软件

上一篇:如何利用qmail防止垃圾邮件

下一篇:简单实现强大的加密功能——CryptoAPI

• 特别声明：本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载，但请务必注明出处和原始作
• 者.文章版权归文章原始作者所有.对于被本站转载文章的个人和网站，我们表示深深的谢意。如果本站转
• 载的文章有版权问题请联系编辑人员,我们尽快予以更正. 转载请注明来源：http://www.hackhome.com

精品推荐

热点TOP10

特别推荐