金融防火墙配置规则

核心提示：依据金融机构的职能在防火墙中正确定义符合安全策略和规则的组合，控制进出金融网的双向数据流，金融防火墙配置规则，可达到金融网安全的目的，但如果防火墙规则配置错误，金融机构防火墙常用的两种操作模式有：动态模式，将内部所有IP地址经过防火墙用单一合法的IP地址对外；静态模式，甚至可能使内网暴露在公众下！因此，正确设立防火墙安

依据金融机构的职能在防火墙中正确定义符合安全策略和规则的组合，控制进出金融网的双向数据流，可达到金融网安全的目的。但如果防火墙规则配置错误，甚至可能使内网暴露在公众下！因此，正确设立防火墙安全策略、有效进行规则组合并实施方案比防火墙本身更重要。

一、制定防火墙策略

1．基本安全策略

金融网的两条基本安全策略：一是没有允许的服务都是禁止的，二是没有禁止的服务都是允许的。即对一切没有被禁止的服务，防火墙可转发其信息；对一切被禁止的服务，防火墙要逐项删除。人民银行防火墙的设置按安全级别由高到低排序为: 内部局域网、人行系统内联网、金融区域网（城市网）；各商业银行防火墙的设置按安全级别由高到低排序为: 内部局域网、工行、农行、中行、建行系统内联网、金融区域网（城市网）以及Internet。

2． 内容安全检查

金融机构提供的服务内容有以下几点。

一是金融信息类（www服务、电子邮件的支持、FTP等）。允许存取Internet特定网页，确保员工能下传和存取某些网页，保护网络带宽，控制流量；通过SMTP的连接提供高度控制。可在一个标准应用程序地址之后，隐藏外出的邮件地址，或可隐藏内部的网络结构与真正的内部使用者。

二是电子银行类（结算、承兑、信用卡、借贷、储蓄、同城清算、电子联行、清算服务等）。其主要策略是网络地址转译，可隐藏内部网络地址，并克服IP地址数量的限制，维护内部地址的完整性。按照人行总行审定的地址规范，设置内部的网络地址，将内部注册IP地址以一个合法有效的IP地址对外。金融机构防火墙常用的两种操作模式有：动态模式，将内部所有IP地址经过防火墙用单一合法的IP地址对外；静态模式，提供一个对外公开的IP地址和内部真正的IP地址之间的映射。