金融防火墙配置规则

核心提示： 3．网络地址转换要谨慎，地址转换配置（NAT）分为源地址转换和目的地址转换，金融防火墙配置规则(3)，在源地址转换的配置中，需要配置源地址到伪装源地址（转换后的源地址）的转换规则，应该将较特殊的规则放在前，较普通的规则在后，要为源地址设置一个伪装的合法地址，在源地址转换时

3．网络地址转换要谨慎。地址转换配置（NAT）分为源地址转换和目的地址转换。在源地址转换的配置中，需要配置源地址到伪装源地址（转换后的源地址）的转换规则，要为源地址设置一个伪装的合法地址，在源地址转换时，使内部子网的地址能够通过网络地址转换后利用一个伪装的合法地址达到访问外部网的目的。这样就省去了占用多个合法IP的资源浪费。在目的地址转换的配置中，需要配置目标地址到真实目标地址之间的转换规则。在目的地址转换时，系统必须把目标地址和端口转换成真实的内部子网或DMZ区的地址，端口才能进行数据传送。这样系统可以指定某一子网或DMZ区的IP地址和相关端口接收外部网的数据。

4．路由设置必须合理。防火墙一般提供静态路由，静态路由是由网络管理员在启动网络路由功能之前预先建立起一个路由映射表。要访问某一子网的用户必须经过路由表中配置的网关地址，才能到达该子网。有时，不但要防止来自外部的黑客攻击，还要防止来自银行内部人员盗用别人的主机IP进行非法活动。采用内部网段的IP地址与网卡MAC地址绑定的方式，可防止内部主机盗用其他主机的IP进行未授权的活动。

5．规则力求简单。一个简单的规则集是建立一个安全的防火墙的关键所在。尽量保持规则集简洁和简短，因为规则越多，就越可能犯错误。一个好的规则最好不超过30条。规则少还意味着只分析少数的规则，这样，防火墙的CPU周期就短，效率可大大提高。当要从很多规则入手时，就要认真检查一下整个安全体系结构，而不仅是防火墙的。

6．规则次序很关键。同样的规则，以不同的次序放置，可能会完全改变防火墙的运转情况。一些防火墙具有自动给规则排序的特性，很多防火墙以顺序方式检查信息包。一般来说，应该将较特殊的规则放在前，较普通的规则在后，这可防止防火墙配置错误。