金融防火墙设置规则

金融防火墙配置规则


依据金融机构的职能在防火墙中正确定义符合安全策略和规则的组合，控制进出金融网的双向数据流，可达到金融网安全的目的。但如果防火墙规则配置错误，甚至可能使内网暴露在公众下！因此，正确设立防火墙安全策略、有效进行规则组合并实施方案比防火墙本身更重要。

一、制定防火墙策略

1．基本安全策略

金融网的两条基本安全策略：一是没有允许的服务都是禁止的，二是没有禁止的服务都是允许的。即对一切没有被禁止的服务，防火墙可转发其信息；对一切被禁止的服务，防火墙要逐项删除。人民银行防火墙的设置按安全级别由高到低排序为: 内部局域网、人行系统内联网、金融区域网（城市网）；各商业银行防火墙的设置按安全级别由高到低排序为: 内部局域网、工行、农行、中行、建行系统内联网、金融区域网（城市网）以及Internet。

2． 内容安全检查

金融机构提供的服务内容有以下几点。

一是金融信息类（www服务、电子邮件的支持、FTP等）。允许存取Internet特定网页，确保员工能下传和存取某些网页，保护网络带宽，控制流量；通过SMTP的连接提供高度控制。可在一个标准应用程序地址之后，隐藏外出的邮件地址，或可隐藏内部的网络结构与真正的内部使用者。

二是电子银行类（结算、承兑、信用卡、借贷、储蓄、同城清算、电子联行、清算服务等）。其主要策略是网络地址转译，可隐藏内部网络地址，并克服IP地址数量的限制，维护内部地址的完整性。按照人行总行审定的地址规范，设置内部的网络地址，将内部注册IP地址以一个合法有效的IP地址对外。金融机构防火墙常用的两种操作模式有：动态模式，将内部所有IP地址经过防火墙用单一合法的IP地址对外；静态模式，提供一个对外公开的IP地址和内部真正的IP地址之间的映射。

3． 冗余设计

金融机构的防火墙必须考虑冗余设计，当主防火墙发生故障时，备用防火墙可及时被激活工作。银行业务的时间性极强，通常是24小时营业，所以要求网络必须保障24小时安全，冗余设计的目的是在尽可能短的时间内，用较小的代价将突发事件对业务的影响降到最低。

4． 安全认证

因为大多数金融业务采用的是通用的、流行的TCP/IP协议，由于该协议的开放性，使一些重要的信息（如客户资料等）在Internet传输过程中，容易被截取、破译，因此，任何进入内部网络的通话必须经过安全认证。防火墙认证的应用是当使用者与目的主机联机时，在通信被允许之前，安全地确认他们的身份，所有的认证过程都能经由防火墙日志浏览器来监视和追踪。认证机制分使用者认证、端口认证、特定IP地址的存取认证；认证的机制包括固定密码和随机产生的动态密码。

网络防病毒系统是防火墙的捆绑产品，由于较显著地影响网络速度，目前，视各金融机构的具体情况，防病毒系统已经作为一个独立的子系统依附于安全系统中。

5． 人员策略

无论金融机构防火墙系统提供了如何完善的安全保障，安全系统最终需要人来执行。这部分的安全检测属于人员的管理，主要目的在于降低人员使用信息或操作信息设备时可能发生的错误，如滥用、窃取、过失等。

二、规则设计原则

防火墙规则集是安全策略的技术实现，规则设计应遵循以下思路和原则。

1． 建立规则文件。防火墙的配置文件可对允许进出的流量作出规定。它非常重要，因为网络的重大错误往往是防火墙配置的错误。

2． 策略核心很微妙。金融机构一般具有Web和E-mail服务，由于任何人都能访问Web和E-mail服务器，所以不能信任它们。可把它们放入DMZ（中立区），DMZ是一个孤立的不信任网络，DMZ中的系统不能连接内部网。

3．网络地址转换要谨慎。地址转换配置（NAT）分为源地址转换和目的地址转换。在源地址转换的配置中，需要配置源地址到伪装源地址（转换后的源地址）的转换规则，要为源地址设置一个伪装的合法地址，在源地址转换时，使内部子网的地址能够通过网络地址转换后利用一个伪装的合法地址达到访问外部网的目的。这样就省去了占用多个合法IP的资源浪费。在目的地址转换的配置中，需要配置目标地址到真实目标地址之间的转换规则。在目的地址转换时，系统必须把目标地址和端口转换成真实的内部子网或DMZ区的地址，端口才能进行数据传送。这样系统可以指定某一子网或DMZ区的IP地址和相关端口接收外部网的数据。

4． 路由设置必须合理。防火墙一般提供静态路由，静态路由是由网络管理员在启动网络路由功能之前预先建立起一个路由映射表。要访问某一子网的用户必须经过路由表中配置的网关地址，才能到达该子网。有时，不但要防止来自外部的黑客攻击，还要防止来自银行内部人员盗用别人的主机IP进行非法活动。采用内部网段的IP地址与网卡MAC地址绑定的方式，可防止内部主机盗用其他主机的IP进行未授权的活动。

5． 规则力求简单。一个简单的规则集是建立一个安全的防火墙的关键所在。尽量保持规则集简洁和简短，因为规则越多，就越可能犯错误。一个好的规则最好不超过30条。规则少还意味着只分析少数的规则，这样，防火墙的CPU周期就短，效率可大大提高。当要从很多规则入手时，就要认真检查一下整个安全体系结构，而不仅是防火墙的。

6． 规则次序很关键。同样的规则，以不同的次序放置，可能会完全改变防火墙的运转情况。一些防火墙具有自动给规则排序的特性，很多防火墙以顺序方式检查信息包。一般来说，应该将较特殊的规则放在前，较普通的规则在后，这可防止防火墙配置错误。

7． 注意更改控制。恰当地组织好规则之后，写上注释并经常更新它们。注释可以帮助管理员明白哪条规则做什么，对规则理解得越好，错误配置的可能性就越小。对那些有多个管理员的大型金融机构，建议当规则被修改时，把规则更改者的名字、变更的日期和时间、变更的原因加入注释中，这可以帮助管理员跟踪谁修改了哪条规则以及修改的原因。

8． 做好审计工作。在安全审计中，经常能看到某个防火墙由于某个规则配置的错误而将机构暴露于巨大的危险之中。因此，不仅要对防火墙的操作进行审计，还要对审计内容本身进行审计，同时审计中要有明确的权限，充分保证审计内容的完全性。

综上，只有对所需保护的金融网的安全级别作出定性、定量评估，从整个系统的安全策略、安全规则实现等方面进行考虑，才能创建一个由防火墙隔离出的安全网络环境。

三、应用实例

图1是典型地市级金融机构防火墙的配置。在城市中心支行金融网络防火墙的应用中，人民银行防火墙的设置应将人民银行内部的局域网联接在防火墙一的内口（Insider接口）上，安全级别最高，为100；而将安全级别最低的防火墙一的外口（Outsider接口）接入金融区域网（商业银行网）中；人行系统内联网的安全级别介于两者的中间，可定义为80。商业银行防火墙的设置应将商业银行内部的局域网联接在防火墙二的内口（Insider接口）上，安全级别最高，为100；而将安全级别最低的防火墙二的外口（Outsider接口）接入Internet，金融机构（工、农、中、建行）内联网、金融区域网（城市网）的安全级别介于两者中间，可分别定义为80和60。
http://www2.ccw.com.cn/03/0302/e/pic/e09_3t1.jpg


根据安全策略确定的防火墙网络拓扑结构如图2所示。图2显示，低安全级接口网络中的主机有时也需要访问高安全级网络中的主机。如人行信贷咨询系统中的Web服务器，需要从局域网的信贷数据服务器中获取数据，以供城市网中的用户查询。如电子联行系统中的通讯机，各商业银行发来的数据总是先由它来接收，然后再转发给局域网中的会计核算主机等。商业银行局域网内的用户要往外访问到系统内联网、城市网、Internet，都要经过防火墙和路由器，必须添加路由信息向外访问。电子银行的商户和客户通过浏览器经过防火墙接入商业银行内网。

http://www2.ccw.com.cn/03/0302/e/pic/e09_3t2.jpg

四、防火墙配置步骤

防火墙配置步骤如下。

1． 记录网络环境情况，包括双网卡结构服务器的内、外网卡IP，外部路由器IP，内部路由器IP等。

2． 参照人民银行总行制定的地址规范，与工程人员制定防火墙每个接口IP、内部网络IP、外部网络IP、路由、地址转换映射关系、防火墙规则等。

3． 画出防火墙实施拓扑图并标明节点IP。

4． 开箱检验防火墙配件是否齐全。

5． 防火墙加电初始化。

6． 配置防火墙各个接口IP。

7． 配置地址转换。

8． 配置静态或代理路由。

9． 配置防火墙规则。

10． 配置冗余。

11． 检查上面各个步骤。

12． 安装到网络中。

13． 联调防火墙与网络设备，保证网络通畅。

14． 导出防火墙配置信息，并备份。

应该清醒地看到，防火墙只是最成熟的，而没有最安全的，防火墙并非绝对安全，从技术来讲，绕过防火墙进入网络并非不可能。严格意义上说，一个计算机网络，从应用层到网络层直至物理层都存在安全问题。防火墙只是整个金融网络安全防护中的一部分，其他各种防护技术和手段，如密码技术、鉴别技术、计算机网络病毒防治等对电子银行安全都相当重要。

关键词：金融防火墙设置规则