用防火墻構(gòu)筑起銀行安全屏障

用防火墻構(gòu)筑起銀行安全屏障

隨著防火墻技術(shù)的成熟和發(fā)展，防火墻已成為阻擋黑客攻擊銀行計算機網(wǎng)絡(luò)的城墻。在計算機網(wǎng)絡(luò)上安裝防火墻，建立更加堅實的安全體系結(jié)構(gòu)是銀行業(yè)安全的重要事件。
　　一 銀行對防火墻的要求
　　用于銀行計算機網(wǎng)絡(luò)的防火墻產(chǎn)品，根據(jù)使用位置不同，性能、功能、防護強度的要求也不盡相同。鑒于銀行計算機網(wǎng)絡(luò)的安全需求，防火墻產(chǎn)品至少應(yīng)能滿足以下要求。
　　1． 功能要求
　　具有訪問控制功能，包括對Http、FTP、SMTP、Telnet、NNTP等服務(wù)類型的訪問控制，可以通過制定策略來進行訪問控制，確保只允許符合網(wǎng)絡(luò)安全策略的訪問和服務(wù)才能進出銀行內(nèi)聯(lián)網(wǎng)。具有抗攻擊性，包括對防火墻本身和受保護網(wǎng)段的攻擊抵抗能力，能有效防止拒絕服務(wù)攻擊，保證銀行計算機網(wǎng)絡(luò)上運行信息的可用性、可靠性，能夠識別一些常用的攻擊手段如端口掃描等。支持地址轉(zhuǎn)換功能，不僅要支持靜態(tài)地址轉(zhuǎn)換、動態(tài)地址轉(zhuǎn)換還要支持IP地址與 TCP/UDP端口的轉(zhuǎn)換，能夠屏蔽被保護網(wǎng)絡(luò)的細節(jié)。支持DMZ的連接方式，可以按照需要設(shè)置DMZ分區(qū)，防止IP地址欺騙。防火墻要適合銀行的網(wǎng)絡(luò)接入模式、接口規(guī)范要求。防火墻要具有很高的可靠性，不應(yīng)降低銀行計算機網(wǎng)絡(luò)現(xiàn)有的可靠性。支持透明接入和透明連接，不影響原有網(wǎng)絡(luò)設(shè)計和配置。
　　2． 性能要求
　　防火墻要適合銀行計算機網(wǎng)絡(luò)的網(wǎng)絡(luò)帶寬、性能指標等要求，不能成為網(wǎng)絡(luò)瓶頸，或明顯影響網(wǎng)絡(luò)工作效率；要求時延小、時延抖動??；吞吐量滿足網(wǎng)絡(luò)帶寬需求；包轉(zhuǎn)發(fā)率達到網(wǎng)絡(luò)要求；并發(fā)連接數(shù)不應(yīng)限制系統(tǒng)的正常使用。
　　3． 其他要求
　　支持本地和遠程集中管理兩種管理方式功能，以便于網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)的管理；審計日志功能，按事先規(guī)定的方式進行記錄，支持對日志的統(tǒng)計分析，提供多種統(tǒng)計分析手段；實時告警功能，對防火墻本身或受保護網(wǎng)段的非法攻擊支持多種告警方式（如聲光告警、Email告警、日志告警等）；用戶管理界面簡單友好等。
　　防火墻的功能是相互影響的，有些功能能增強網(wǎng)絡(luò)的安全性，但卻以網(wǎng)絡(luò)的性能為代價；有些功能能增加網(wǎng)絡(luò)的易用性，但卻以網(wǎng)絡(luò)的安全性為代價。防火墻必須按實際應(yīng)用合理配置，然后在安全、易用、性能等各個方面進行平衡。不正確的配置會導(dǎo)致安全漏洞，而過于嚴格的配置則會導(dǎo)致用戶使用不便

二 方案設(shè)計
　　為適應(yīng)當前銀行計算機網(wǎng)絡(luò)發(fā)展趨勢，保護銀行內(nèi)部網(wǎng)絡(luò)，防止發(fā)生來自內(nèi)部的安全攻擊，銀行計算機網(wǎng)絡(luò)要求將內(nèi)部網(wǎng)絡(luò)劃分為受嚴格保護的內(nèi)部網(wǎng)絡(luò)和DMZ（非軍事區(qū)），防止因系統(tǒng)提供的對外服務(wù)存在不安全因素給內(nèi)部網(wǎng)絡(luò)帶來安全隱患。銀行內(nèi)部網(wǎng)絡(luò)是被保護的安全區(qū)，它不對外開放，也不對外提供任何服務(wù)，外部用戶檢測不到它的IP地址。DMZ又稱非軍事化區(qū)，它對外提供服務(wù)，系統(tǒng)開放的信息都放在該區(qū)，由于它的開放性，常成為黑客攻擊的對象，存在一定的安全隱患。DMZ區(qū)可放置存在安全隱患的Email 服務(wù)器、FTP 服務(wù)器、WWW 服務(wù)器等。為提高內(nèi)部網(wǎng)絡(luò)的安全，防止外部黑客通過DMZ進入內(nèi)部網(wǎng)絡(luò)，必須將內(nèi)部網(wǎng)與DMZ分開。內(nèi)部網(wǎng)絡(luò)是需要嚴格保護的系統(tǒng)，需要制定相對嚴格的安全策略。在這種結(jié)構(gòu)框架下，用戶可以靈活地針對每個區(qū)域的具體安全需求和實際情況制定相應(yīng)的安全策略。圖1是用具有DMZ功能的防火墻構(gòu)建銀行計算機網(wǎng)絡(luò)的安全體系框架。 vf I*fBil
　　銀行計算機網(wǎng)絡(luò)中，總行局域網(wǎng)是核心部分，大量的信息在此集中匯總，各分行之間交換的大量數(shù)據(jù)由此轉(zhuǎn)發(fā)，重要性最高; 其下依次是分行、省會城市支行、地市支行。由于各級銀行的信息重要程度不同，難免有來自系統(tǒng)內(nèi)部的攻擊，因此防火墻不僅要設(shè)置在內(nèi)聯(lián)網(wǎng)和外部網(wǎng)之間，各級銀行計算機網(wǎng)絡(luò)之間也要設(shè)置防火墻。
　　圖1 銀行網(wǎng)絡(luò)安全體系框架圖
　　

　　防火墻是否能充分發(fā)揮作用，不僅與產(chǎn)品緊密相關(guān)，防火墻的日常運行管理也至關(guān)重要。防火墻安全規(guī)則的編寫、安全參數(shù)的配置、日志的查看與備份、報警信息的及時處理、軟件升級等日常運行管理工作都影響防火墻的使用效率。
　　銀行計算機網(wǎng)絡(luò)的防火墻系統(tǒng)可采用獨立管理與集中管理相結(jié)合的模式，上級管理部門通過對本區(qū)域運行數(shù)據(jù)和記錄的分析，制定防火墻策略，各局域網(wǎng)可在遵守上級管理部門制定策略的前提下具體配置自己的的防火墻。
　　三 選型
　　現(xiàn)在國內(nèi)防火墻生產(chǎn)廠家日趨增多，生產(chǎn)出的防火墻在功能、性能、管理等各個方面上各具差異，價格也各不相同。銀行在進行防火墻選型時要正確評估各個廠家的防火墻，綜合考慮以下幾個方面的因素選出適合銀行計算機網(wǎng)絡(luò)并且質(zhì)優(yōu)價廉的產(chǎn)品。
　　1．防火墻自身的安全性
　　防火墻安全指標可歸結(jié)為兩個問題: 防火墻是否基于安全（甚至是專用）的操作系統(tǒng); 防火墻是否采用專用的硬件平臺。只有基于安全的操作系統(tǒng)并采用專用硬件平臺的防火墻才可能保證防火墻自身的安全。
　　2．系統(tǒng)是否穩(wěn)定
　　目前，由于種種原因，國內(nèi)有些防火墻尚未最后定型或未經(jīng)過嚴格的測試就推向了市場，其穩(wěn)定性不能保證。防火墻的穩(wěn)定性情況可以通過以下方式看出：國家權(quán)威機構(gòu)的測評認證，如公安部計算機安全產(chǎn)品檢測中心和信息產(chǎn)業(yè)部的測評認證。與其他產(chǎn)品相比，是否獲得更多的國家權(quán)威機構(gòu)的認證、推薦等。另外，防火墻的用戶量也至關(guān)重要，特別是用戶們對于防火墻的評價、廠商開發(fā)研制的歷史，這些都是考察其穩(wěn)定性的重要指標。
　　3．是否高效
　　高性能是防火墻的一個重要指標，它直接體現(xiàn)了防火墻的可用性，也體現(xiàn)了用戶使用防火墻所需付出的安全代價。如果使用防火墻而帶來了網(wǎng)絡(luò)性能較大幅度的下降，就意味著安全代價過高，用戶無法接受。
　　4．是否可靠
　　可靠性對防火墻訪問控制設(shè)備尤為重要，直接影響受控網(wǎng)絡(luò)的可用性。從系統(tǒng)設(shè)計上，提高可靠性的措施一般是提高本身部件的強健性、增大設(shè)計閥值和增加冗余部件，這要求有較高的生產(chǎn)標準和設(shè)計冗余度，如使用電源熱備份、系統(tǒng)熱備份等

5．功能是否靈活
　　對通信行為的有效控制，要求防火墻有一系列不同級別、滿足不同用戶安全控制需求的功能。功能設(shè)置的多樣性、清晰性、難易性對用戶非常重要。銀行各級計算機網(wǎng)絡(luò)有不同安全級別，需要的防火墻也應(yīng)有級別的差異。
　　6．管理是否簡便
　　在充分考慮安全需要的前提下，必須提供方便靈活的管理方式。
　　7．是否具有可擴展、可升級性
　　一方面，銀行計算機網(wǎng)絡(luò)不是一成不變的，隨著業(yè)務(wù)的發(fā)展，銀行計算機網(wǎng)絡(luò)會提出新的安全需求；另一方面，黑客的攻擊手段也會有所改進。如果不支持防火墻升級的話，銀行就必須進行硬件上的更換。
　　8．技術(shù)與售后服務(wù)
　　對于來自不同廠家但具有相近功能和性能的產(chǎn)品，應(yīng)當優(yōu)先選擇具有更強的綜合經(jīng)濟實力、技術(shù)研究開發(fā)背景、技術(shù)支持服務(wù)和市場拓展能力及國家重點支持的廠家的產(chǎn)品，這對于保護用戶的投資，得到持續(xù)的支持和產(chǎn)品升級是至關(guān)重要的。
　　9．注意選擇3～4種產(chǎn)品
　　一種產(chǎn)品被攻破后，將導(dǎo)致整個系統(tǒng)的癱瘓，如果選擇幾種的話，那么這種同時被攻破的幾率就會大大降低。同時考慮到各個廠商的服務(wù)體系在全國的不均衡性，各地區(qū)銀行系統(tǒng)采用的防火墻應(yīng)該選用本地區(qū)服務(wù)體系比較健全的廠商。另一方面，考慮到防火墻管理成本的問題，不應(yīng)選擇過多廠商的產(chǎn)品。