金融防火墙配置规则

核心提示： 7．注意更改控制，恰当地组织好规则之后，金融防火墙配置规则(4)，写上注释并经常更新它们，注释可以帮助管理员明白哪条规则做什么，为100；而将安全级别最低的防火墙二的外口（Outsider接口）接入Internet，金融机构（工、农、中、建行）内联网、金融区域网（城市网）的安全级别介于两者

7．注意更改控制。恰当地组织好规则之后，写上注释并经常更新它们。注释可以帮助管理员明白哪条规则做什么，对规则理解得越好，错误配置的可能性就越小。对那些有多个管理员的大型金融机构，建议当规则被修改时，把规则更改者的名字、变更的日期和时间、变更的原因加入注释中，这可以帮助管理员跟踪谁修改了哪条规则以及修改的原因。

8．做好审计工作。在安全审计中，经常能看到某个防火墙由于某个规则配置的错误而将机构暴露于巨大的危险之中。因此，不仅要对防火墙的操作进行审计，还要对审计内容本身进行审计，同时审计中要有明确的权限，充分保证审计内容的完全性。

综上，只有对所需保护的金融网的安全级别作出定性、定量评估，从整个系统的安全策略、安全规则实现等方面进行考虑，才能创建一个由防火墙隔离出的安全网络环境。

三、应用实例

图1是典型地市级金融机构防火墙的配置。在城市中心支行金融网络防火墙的应用中，人民银行防火墙的设置应将人民银行内部的局域网联接在防火墙一的内口（Insider接口）上，安全级别最高，为100；而将安全级别最低的防火墙一的外口（Outsider接口）接入金融区域网（商业银行网）中；人行系统内联网的安全级别介于两者的中间，可定义为80。商业银行防火墙的设置应将商业银行内部的局域网联接在防火墙二的内口（Insider接口）上，安全级别最高，为100；而将安全级别最低的防火墙二的外口（Outsider接口）接入Internet，金融机构（工、农、中、建行）内联网、金融区域网（城市网）的安全级别介于两者中间，可分别定义为80和60。