一 银行对防火墙的要求
用于银行计算机网络的防火墙产品,根据使用位置不同,性能、功能、防护强度的要求也不尽相同。鉴于银行计算机网络的安全需求,防火墙产品至少应能满足以下要求。
1. 功能要求
具有访问控制功能,包括对Http、FTP、SMTP、Telnet、NNTP等服务类型的访问控制,可以通过制定策略来进行访问控制,确保只允许符合网络安全策略的访问和服务才能进出银行内联网。具有抗攻击性,包括对防火墙本身和受保护网段的攻击抵抗能力,能有效防止拒绝服务攻击,保证银行计算机网络上运行信息的可用性、可靠性,能够识别一些常用的攻击手段如端口扫描等。支持地址转换功能,不仅要支持静态地址转换、动态地址转换还要支持IP地址与 TCP/UDP端口的转换,能够屏蔽被保护网络的细节。支持DMZ的连接方式,可以按照需要设置DMZ分区,防止IP地址欺骗。防火墙要适合银行的网络接入模式、接口规范要求。防火墙要具有很高的可靠性,不应降低银行计算机网络现有的可靠性。支持透明接入和透明连接,不影响原有网络设计和配置。
2. 性能要求
防火墙要适合银行计算机网络的网络带宽、性能指标等要求,不能成为网络瓶颈,或明显影响网络工作效率;要求时延小、时延抖动小;吞吐量满足网络带宽需求;包转发率达到网络要求;并发连接数不应限制系统的正常使用。
3. 其他要求
支持本地和远程集中管理两种管理方式功能,以便于网络管理员对网络的管理;审计日志功能,按事先规定的方式进行记录,支持对日志的统计分析,提供多种统计分析手段;实时告警功能,对防火墙本身或受保护网段的非法攻击支持多种告警方式(如声光告警、Email告警、日志告警等);用户管理界面简单友好等。
防火墙的功能是相互影响的,有些功能能增强网络的安全性,但却以网络的性能为代价;有些功能能增加网络的易用性,但却以网络的安全性为代价。防火墙必须按实际应用合理配置,然后在安全、易用、性能等各个方面进行平衡。不正确的配置会导致安全漏洞,而过于严格的配置则会导致用户使用不便
二 方案设计
为适应当前银行计算机网络发展趋势,保护银行内部网络,防止发生来自内部的安全攻击,银行计算机网络要求将内部网络划分为受严格保护的内部网络和DMZ(非军事区),防止因系统提供的对外服务存在不安全因素给内部网络带来安全隐患。银行内部网络是被保护的安全区,它不对外开放,也不对外提供任何服务,外部用户检测不到它的IP地址。DMZ又称非军事化区,它对外提供服务,系统开放的信息都放在该区,由于它的开放性,常成为黑客攻击的对象,存在一定的安全隐患。DMZ区可放置存在安全隐患的Email 服务器、FTP 服务器、WWW 服务器等。为提高内部网络的安全,防止外部黑客通过DMZ进入内部网络,必须将内部网与DMZ分开。内部网络是需要严格保护的系统,需要制定相对严格的安全策略。在这种结构框架下,用户可以灵活地针对每个区域的具体安全需求和实际情况制定相应的安全策略。图1是用具有DMZ功能的防火墙构建银行计算机网络的安全体系框架。 vf I*fBil
银行计算机网络中,总行局域网是核心部分,大量的信息在此集中汇总,各分行之间交换的大量数据由此转发,重要性最高; 其下依次是分行、省会城市支行、地市支行。由于各级银行的信息重要程度不同,难免有来自系统内部的攻击,因此防火墙不仅要设置在内联网和外部网之间,各级银行计算机网络之间也要设置防火墙。
图1 银行网络安全体系框架图
防火墙是否能充分发挥作用,不仅与产品紧密相关,防火墙的日常运行管理也至关重要。防火墙安全规则的编写、安全参数的配置、日志的查看与备份、报警信息的及时处理、软件升级等日常运行管理工作都影响防火墙的使用效率。
银行计算机网络的防火墙系统可采用独立管理与集中管理相结合的模式,上级管理部门通过对本区域运行数据和记录的分析,制定防火墙策略,各局域网可在遵守上级管理部门制定策略的前提下具体配置自己的的防火墙。
三 选型
现在国内防火墙生产厂家日趋增多,生产出的防火墙在功能、性能、管理等各个方面上各具差异,价格也各不相同。银行在进行防火墙选型时要正确评估各个厂家的防火墙,综合考虑以下几个方面的因素选出适合银行计算机网络并且质优价廉的产品。
1.防火墙自身的安全性
防火墙安全指标可归结为两个问题: 防火墙是否基于安全(甚至是专用)的操作系统; 防火墙是否采用专用的硬件平台。只有基于安全的操作系统并采用专用硬件平台的防火墙才可能保证防火墙自身的安全。
2.系统是否稳定
目前,由于种种原因,国内有些防火墙尚未最后定型或未经过严格的测试就推向了市场,其稳定性不能保证。防火墙的稳定性情况可以通过以下方式看出:国家权威机构的测评认证,如公安部计算机安全产品检测中心和信息产业部的测评认证。与其他产品相比,是否获得更多的国家权威机构的认证、推荐等。另外,防火墙的用户量也至关重要,特别是用户们对于防火墙的评价、厂商开发研制的历史,这些都是考察其稳定性的重要指标。
3.是否高效
高性能是防火墙的一个重要指标,它直接体现了防火墙的可用性,也体现了用户使用防火墙所需付出的安全代价。如果使用防火墙而带来了网络性能较大幅度的下降,就意味着安全代价过高,用户无法接受。
4.是否可靠
可靠性对防火墙访问控制设备尤为重要,直接影响受控网络的可用性。从系统设计上,提高可靠性的措施一般是提高本身部件的强健性、增大设计阀值和增加冗余部件,这要求有较高的生产标准和设计冗余度,如使用电源热备份、系统热备份等
5.功能是否灵活
对通信行为的有效控制,要求防火墙有一系列不同级别、满足不同用户安全控制需求的功能。功能设置的多样性、清晰性、难易性对用户非常重要。银行各级计算机网络有不同安全级别,需要的防火墙也应有级别的差异。
6.管理是否简便
在充分考虑安全需要的前提下,必须提供方便灵活的管理方式。
7.是否具有可扩展、可升级性
一方面,银行计算机网络不是一成不变的,随着业务的发展,银行计算机网络会提出新的安全需求;另一方面,黑客的攻击手段也会有所改进。如果不支持防火墙升级的话,银行就必须进行硬件上的更换。
8.技术与售后服务
对于来自不同厂家但具有相近功能和性能的产品,应当优先选择具有更强的综合经济实力、技术研究开发背景、技术支持服务和市场拓展能力及国家重点支持的厂家的产品,这对于保护用户的投资,得到持续的支持和产品升级是至关重要的。
9.注意选择3~4种产品
一种产品被攻破后,将导致整个系统的瘫痪,如果选择几种的话,那么这种同时被攻破的几率就会大大降低。同时考虑到各个厂商的服务体系在全国的不均衡性,各地区银行系统采用的防火墙应该选用本地区服务体系比较健全的厂商。另一方面,考虑到防火墙管理成本的问题,不应选择过多厂商的产品。