金融防火墙配置规则

核心提示： 3． 冗余设计 金融机构的防火墙必须考虑冗余设计，当主防火墙发生故障时，金融防火墙配置规则(2)，备用防火墙可及时被激活工作，银行业务的时间性极强，可把它们放入DMZ（中立区），DMZ是一个孤立的不信任网络，通常是24小时营业，所以要求网络必须保障24小时安全

3． 冗余设计

金融机构的防火墙必须考虑冗余设计，当主防火墙发生故障时，备用防火墙可及时被激活工作。银行业务的时间性极强，通常是24小时营业，所以要求网络必须保障24小时安全，冗余设计的目的是在尽可能短的时间内，用较小的代价将突发事件对业务的影响降到最低。

4． 安全认证

因为大多数金融业务采用的是通用的、流行的TCP/IP协议，由于该协议的开放性，使一些重要的信息（如客户资料等）在Internet传输过程中，容易被截取、破译，因此，任何进入内部网络的通话必须经过安全认证。防火墙认证的应用是当使用者与目的主机联机时，在通信被允许之前，安全地确认他们的身份，所有的认证过程都能经由防火墙日志浏览器来监视和追踪。认证机制分使用者认证、端口认证、特定IP地址的存取认证；认证的机制包括固定密码和随机产生的动态密码。

网络防病毒系统是防火墙的捆绑产品，由于较显著地影响网络速度，目前，视各金融机构的具体情况，防病毒系统已经作为一个独立的子系统依附于安全系统中。

5． 人员策略

无论金融机构防火墙系统提供了如何完善的安全保障，安全系统最终需要人来执行。这部分的安全检测属于人员的管理，主要目的在于降低人员使用信息或操作信息设备时可能发生的错误，如滥用、窃取、过失等。

二、规则设计原则

防火墙规则集是安全策略的技术实现，规则设计应遵循以下思路和原则。

1．建立规则文件。防火墙的配置文件可对允许进出的流量作出规定。它非常重要，因为网络的重大错误往往是防火墙配置的错误。

2．策略核心很微妙。金融机构一般具有Web和E-mail服务，由于任何人都能访问Web和E-mail服务器，所以不能信任它们。可把它们放入DMZ（中立区），DMZ是一个孤立的不信任网络，DMZ中的系统不能连接内部网。