教你用防火牆構築起銀行安全屏障

　　隨著防火牆技術的成熟和發展，防火牆已成為阻擋黑客攻擊銀行計算機網絡的城牆。在計算機網絡上安裝防火牆，建立更加堅實的安全體系結構是銀行業安全的重要事件。

　　一 銀行對防火牆的要求

　　用於銀行計算機網絡的防火牆產品，根據使用位置不同，性能、功能、防護強度的要求也不盡相同。鑒於銀行計算機網絡的安全需求，防火牆產品至少應能滿足以下要求。

　　1． 功能要求

　　具有訪問控制功能，包括對Http、FTP、SMTP、Telnet、NNTP等服務類型的訪問控制，可以通過制定策略來進行訪問控制，確保只允許符合網絡安全策略的訪問和服務才能進出銀行內聯網。具有抗攻擊性，包括對防火牆本身和受保護網段的攻擊抵抗能力，能有效防止拒絕服務攻擊，保證銀行計算機網絡上運行信息的可用性、可靠性，能夠識別一些常用的攻擊手段如端口掃描等。支持地址轉換功能，不僅要支持靜態地址轉換、動態地址轉換還要支持IP地址與TCP/UDP端口的轉換，能夠屏蔽被保護網絡的細節。支持DMZ的連接方式，可以按照需要設置DMZ分區，防止IP地址欺騙。防火牆要適合銀行的網絡接入模式、接口規范要求。防火牆要具有很高的可靠性，不應降低銀行計算機網絡現有的可靠性。支持透明接入和透明連接，不影響原有網絡設計和配置。

　　2． 性能要求

　　防火牆要適合銀行計算機網絡的網絡帶寬、性能指標等要求，不能成為網絡瓶頸，或明顯影響網絡工作效率；要求時延小、時延抖動小；吞吐量滿足網絡帶寬需求；包轉發率達到網絡要求；並發連接數不應限制系統的正常使用。

　　3． 其他要求

　　支持本地和遠程集中管理兩種管理方式功能，以便於網絡管理員對網絡的管理；審計日志功能，按事先規定的方式進行記錄，支持對日志的統計分析，提供多種統計分析手段；實時告警功能，對防火牆本身或受保護網段的非法攻擊支持多種告警方式（如聲光告警、Email告警、日志告警等）；用戶管理界面簡單友好等。

　　防火牆的功能是相互影響的，有些功能能增強網絡的安全性，但卻以網絡的性能為代價；有些功能能增加網絡的易用性，但卻以網絡的安全性為代價。防火牆必須按實際應用合理配置，然後在安全、易用、性能等各個方面進行平衡。不正確的配置會導致安全漏洞，而過於嚴格的配置則會導致用戶使用不便。

二 方案設計

　　為適應當前銀行計算機網絡發展趨勢，保護銀行內部網絡，防止發生來自內部的安全攻擊，銀行計算機網絡要求將內部網絡劃分為受嚴格保護的內部網絡和DMZ（非軍事區），防止因系統提供的對外服務存在不安全因素給內部網絡帶來安全隱患。銀行內部網絡是被保護的安全區，它不對外開放，也不對外提供任何服務，外部用戶檢測不到它的IP地址。DMZ又稱非軍事化區，它對外提供服務，系統開放的信息都放在該區，由於它的開放性，常成為黑客攻擊的對象，存在一定的安全隱患。DMZ區可放置存在安全隱患的Email 服務器、FTP 服務器、WWW 服務器等。為提高內部網絡的安全，防止外部黑客通過DMZ進入內部網絡，必須將內部網與DMZ分開。內部網絡是需要嚴格保護的系統，需要制定相對嚴格的安全策略。在這種結構框架下，用戶可以靈活地針對每個區域的具體安全需求和實際情況制定相應的安全策略。圖1是用具有DMZ功能的防火牆構建銀行計算機網絡的安全體系框架。 vf I*fBil

　　銀行計算機網絡中，總行局域網是核心部分，大量的信息在此集中匯總，各分行之間交換的大量數據由此轉發，重要性最高; 其下依次是分行、省會城市支行、地市支行。由於各級銀行的信息重要程度不同，難免有來自系統內部的攻擊，因此防火牆不僅要設置在內聯網和外部網之間，各級銀行計算機網絡之間也要設置防火牆。

　　圖1 銀行網絡安全體系框架圖

　　

　　防火牆是否能充分發揮作用，不僅與產品緊密相關，防火牆的日常運行管理也至關重要。防火牆安全規則的編寫、安全參數的配置、日志的查看與備份、報警信息的及時處理、軟件升級等日常運行管理工作都影響防火牆的使用效率。

　　銀行計算機網絡的防火牆系統可采用獨立管理與集中管理相結合的模式，上級管理部門通過對本區域運行數據和記錄的分析，制定防火牆策略，各局域網可在遵守上級管理部門制定策略的前提下具體配置自己的的防火牆。

　　三 選型

　　現在國內防火牆生產廠家日趨增多，生產出的防火牆在功能、性能、管理等各個方面上各具差異，價格也各不相同。銀行在進行防火牆選型時要正確評估各個廠家的防火牆，綜合考慮以下幾個方面的因素選出適合銀行計算機網絡並且質優價廉的產品。

　　1．防火牆自身的安全性

　　防火牆安全指標可歸結為兩個問題: 防火牆是否基於安全（甚至是專用）的操作系統; 防火牆是否采用專用的硬件平台。只有基於安全的操作系統並采用專用硬件平台的防火牆才可能保證防火牆自身的安全。

　　2．系統是否穩定

　　目前，由於種種原因，國內有些防火牆尚未最後定型或未經過嚴格的測試就推向了市場，其穩定性不能保證。防火牆的穩定性情況可以通過以下方式看出：國家權威機構的測評認證，如公安部計算機安全產品檢測中心和信息產業部的測評認證。與其他產品相比，是否獲得更多的國家權威機構的認證、推薦等。另外，防火牆的用戶量也至關重要，特別是用戶們對於防火牆的評價、廠商開發研制的歷史，這些都是考察其穩定性的重要指標。

　　3．是否高效

　　高性能是防火牆的一個重要指標，它直接體現了防火牆的可用性，也體現了用戶使用防火牆所需付出的安全代價。如果使用防火牆而帶來了網絡性能較大幅度的下降，就意味著安全代價過高，用戶無法接受。

　　4．是否可靠

　　可靠性對防火牆訪問控制設備尤為重要，直接影響受控網絡的可用性。從系統設計上，提高可靠性的措施一般是提高本身部件的強健性、增大設計閥值和增加冗余部件，這要求有較高的生產標准和設計冗余度，如使用電源熱備份、系統熱備份等。

　　5．功能是否靈活

　　對通信行為的有效控制，要求防火牆有一系列不同級別、滿足不同用戶安全控制需求的功能。功能設置的多樣性、清晰性、難易性對用戶非常重要。銀行各級計算機網絡有不同安全級別，需要的防火牆也應有級別的差異。

　　6．管理是否簡便

　　在充分考慮安全需要的前提下，必須提供方便靈活的管理方式。

　　7．是否具有可擴展、可升級性

　　一方面，銀行計算機網絡不是一成不變的，隨著業務的發展，銀行計算機網絡會提出新的安全需求；另一方面，黑客的攻擊手段也會有所改進。如果不支持防火牆升級的話，銀行就必須進行硬件上的更換。

　　8．技術與售後服務

　　對於來自不同廠家但具有相近功能和性能的產品，應當優先選擇具有更強的綜合經濟實力、技術研究開發背景、技術支持服務和市場拓展能力及國家重點支持的廠家的產品，這對於保護用戶的投資，得到持續的支持和產品升級是至關重要的。

　　9．注意選擇3～4種產品

　　一種產品被攻破後，將導致整個系統的癱瘓，如果選擇幾種的話，那麼這種同時被攻破的幾率就會大大降低。同時考慮到各個廠商的服務體系在全國的不均衡性，各地區銀行系統采用的防火牆應該選用本地區服務體系比較健全的廠商。另一方面，考慮到防火牆管理成本的問題，不應選擇過多廠商的產品。

二 方案設計

　　為適應當前銀行計算機網絡發展趨勢，保護銀行內部網絡，防止發生來自內部的安全攻擊，銀行計算機網絡要求將內部網絡劃分為受嚴格保護的內部網絡和DMZ（非軍事區），防止因系統提供的對外服務存在不安全因素給內部網絡帶來安全隱患。銀行內部網絡是被保護的安全區，它不對外開放，也不對外提供任何服務，外部用戶檢測不到它的IP地址。DMZ又稱非軍事化區，它對外提供服務，系統開放的信息都放在該區，由於它的開放性，常成為黑客攻擊的對象，存在一定的安全隱患。DMZ區可放置存在安全隱患的Email 服務器、FTP 服務器、WWW 服務器等。為提高內部網絡的安全，防止外部黑客通過DMZ進入內部網絡，必須將內部網與DMZ分開。內部網絡是需要嚴格保護的系統，需要制定相對嚴格的安全策略。在這種結構框架下，用戶可以靈活地針對每個區域的具體安全需求和實際情況制定相應的安全策略。圖1是用具有DMZ功能的防火牆構建銀行計算機網絡的安全體系框架。 vf I*fBil

　　銀行計算機網絡中，總行局域網是核心部分，大量的信息在此集中匯總，各分行之間交換的大量數據由此轉發，重要性最高; 其下依次是分行、省會城市支行、地市支行。由於各級銀行的信息重要程度不同，難免有來自系統內部的攻擊，因此防火牆不僅要設置在內聯網和外部網之間，各級銀行計算機網絡之間也要設置防火牆。

　　圖1 銀行網絡安全體系框架圖