金融防火墙配置规则
2009-05-07 12:26:48 来源:WEB开发网核心提示:依据金融机构的职能在防火墙中正确定义符合安全策略和规则的组合,控制进出金融网的双向数据流,金融防火墙配置规则,可达到金融网安全的目的,但如果防火墙规则配置错误,金融机构防火墙常用的两种操作模式有:动态模式,将内部所有IP地址经过防火墙用单一合法的IP地址对外;静态模式,甚至可能使内网暴露在公众下!因此,正确设立防火墙安
依据金融机构的职能在防火墙中正确定义符合安全策略和规则的组合,控制进出金融网的双向数据流,可达到金融网安全的目的。但如果防火墙规则配置错误,甚至可能使内网暴露在公众下!因此,正确设立防火墙安全策略、有效进行规则组合并实施方案比防火墙本身更重要。
一、制定防火墙策略
1.基本安全策略
金融网的两条基本安全策略:一是没有允许的服务都是禁止的,二是没有禁止的服务都是允许的。即对一切没有被禁止的服务,防火墙可转发其信息;对一切被禁止的服务,防火墙要逐项删除。人民银行防火墙的设置按安全级别由高到低排序为: 内部局域网、人行系统内联网、金融区域网(城市网);各商业银行防火墙的设置按安全级别由高到低排序为: 内部局域网、工行、农行、中行、建行系统内联网、金融区域网(城市网)以及Internet。
2. 内容安全检查
金融机构提供的服务内容有以下几点。
一是金融信息类(www服务、电子邮件的支持、FTP等)。允许存取Internet特定网页,确保员工能下传和存取某些网页,保护网络带宽,控制流量;通过SMTP的连接提供高度控制。可在一个标准应用程序地址之后,隐藏外出的邮件地址,或可隐藏内部的网络结构与真正的内部使用者。
二是电子银行类(结算、承兑、信用卡、借贷、储蓄、同城清算、电子联行、清算服务等)。其主要策略是网络地址转译,可隐藏内部网络地址,并克服IP地址数量的限制,维护内部地址的完整性。按照人行总行审定的地址规范,设置内部的网络地址,将内部注册IP地址以一个合法有效的IP地址对外。金融机构防火墙常用的两种操作模式有:动态模式,将内部所有IP地址经过防火墙用单一合法的IP地址对外;静态模式,提供一个对外公开的IP地址和内部真正的IP地址之间的映射。
[]
- ››配置远程客户机使用命名管道协议访问SQL服务器
- ››配置SQL Server2005以允许远程访问
- ››配置ISA Server以创建站点到站点VPN 连接之一
- ››配置ISA Server以创建站点到站点VPN 连接之二
- ››配置ISA Server以创建站点到站点VPN 连接之三 启用...
- ››配置VPN服务器中的L2TP/IPSEC:ISA2006系列之二十...
- ››配置单网卡的ISA缓存服务器:ISA2006系列之二十七...
- ››配置Win2008作为远程访问SSL-VPN服务器之一
- ››配置Win2008作为远程访问SSL-VPN服务器之二
- ››配置Win2008作为远程访问SSL-VPN服务器之三
- ››配置Windows Server 2003群集服务
- ››配置DHCP服务器过程详解
更多精彩
赞助商链接