銀行內聯網防火墻設計

摘要：防火墻技術經常是抵御網絡、計算機和關鍵信息外部威脅的主要防線。防火墻還能夠用來將內聯網分區，降低遭受內部人員攻擊的風險。網絡防火墻是企業安全策略的執行點。文章將討論銀行內聯網結構，分析其安全，并根據銀行特點設計銀行防火墻方案。

關鍵詞：銀行內聯網；防火墻；方案；安全

1 引言

在網絡中，防火墻對兩個或多個網絡之間傳輸的數據包和連接方式按照一定的安全策略進行檢查，以決定網絡之間的通信是否被允許。其中被保護的網絡稱為內部網絡，另一方則稱為外部網絡或公用網絡。它能有效地控制內部網絡與外部網絡之間的訪問及數據傳送，從而達到保護內部網絡的信息不受外部非授權用戶的訪問和過濾不良信息的目的。

2 銀行內聯網

銀行內聯網主要連接由兩個部分組成：一是銀行自己的縱向連網，連接銀行各級機構；一是該銀行和其他商業銀行的橫向連網，實現金融系統之間數據通信。銀行內聯網建立在CNFN的Frame relay網絡之上，使用獨立的地址空間和域名系統。廣域網采用Frame relay技術。全國網絡以總行為根節點，形成樹形結構，各葉節點是某銀行各級機構內部的局域網絡，是廣域網的信息源和終點，同時也是連接各商業銀行的起點。

3 銀行內聯網安全分析

3.1 銀行內聯網安全現狀分析

銀行內聯網安全目前主要有2個：一是銀行內聯網骨干網有獨立的PVC，IP地址以及域名系統。廣域網基本滿足涉密網保密條件。二是銀行和其他商業銀行以及金融機構連接目前沒有采取網絡安全措施，為了防范來自外部網絡（其他商業銀行和金融機構）安全威脅，迫切需要進行銀行內聯網防火墻系統基礎建設，保障內部網絡安全。

3.2 數據庫系統安全分析

數據庫系統是存儲重要信息的場所并擔負著管理這些數據信息的任務。數據庫的安全問題，在數據庫技術誕生之后就一直存在，并隨著數據庫技術的發展而不斷深化。不法份子利用已有的或者更加先進的技術手段通常對數據庫進行偽造數據庫中的數據、損壞數據庫、竊取數據庫中的數據。如何保證和加強數據庫系統的安全性和保密性對于網絡的正常、安全運行至關重要。

3.3 管理系統的安全風險

管理系統的安全風險除了有系統風險之外，系統之間特別是其他商業銀行和該銀行之間存在很大的安全隱患。必須防止內部不相關人員非法訪問安全程度要求高的數據，而且整個系統的正常運行也是保證銀行系統日常工作正常進行的一個十分重要的方面。必須限制管理系統內各個部門之間訪問權限，維護各個系統的安全訪問。而由于整個系統是一個體系，任何一個點出現安全問題，都可能給相關人員帶來損失。

3.4 業務網絡的安全風險

業務網絡的安全程度要求是最高的，目前在銀行內部運行的業務繁多，同時各個商業銀行以及其他金融機構通過該銀行內聯網也運行相關業務，給整個系統帶來了很大的安全隱患。這種隱患可能來自某銀行內部，也可能來自銀行外部網絡。特別是外部，必須采取有效的措施控制和隔離內聯網與其他商業銀行和金融機構的網絡互連，監控銀行內聯網與其他金融機構之間的網絡通信，限制對方對銀行資源訪問范圍，權限，防范可能來自對方的安全威脅。保證內部系統安全。

4 銀行防火墻解決方案

銀行內聯網防火墻系統建設的目標是通過在銀行同其他商業銀行、金融機構連接處采用防火墻技術，防止外部網絡對銀行內聯網數據的非法使用和訪問，監控整個網絡數據過程。有效防止來自外部的攻擊行為。限制對內部資源和系統的訪問范圍。

4.1 防火墻選型

綜合考慮銀行網絡安全實際情況，采用復合型防火墻，放置在銀行與各個商業銀行以及其它金融機構連接的各個葉節點。復合型防火墻是在綜合動態包過濾技術和代理技術的優點的情況下采取的一種更加完善和安全的防火墻技術。其功能強大，是未來防火墻技術發展的一個主要趨勢。

4.2 防火墻設置及工作模式

該銀行防火墻提供三個接口：內網、外網、DMZ；防火墻工作在路由模式，對外采用NAT技術，隱藏內部真實地址；將對外服務的各種服務設備放置在DMZ區域，和內部網絡嚴格區分開，保證內部系統安全。

考慮到安全問題，系統中的結構需要調整，將原來各商業銀行對銀行內部網絡的訪問調整到對DMZ的訪問。不輕易允許各商業銀行對某該銀行內部網絡進行訪問。

5 防火墻方案特點

銀行內聯網防火墻主要設置在和其他商業銀行連接的節點上。根據銀行網絡實際情況，防火墻設計還應注意以下幾方面的設計：

5.1 保障系統安全性

防火墻放置在內外網之間用來隔離內部網絡和外部網絡，對內外網絡的通信進行嚴格的管理和監控，防火墻必須提供全面的安全策略保證內部系統安全。因此防火墻提供全面的訪問控制策略、IPMAC地址捆綁、IDS入侵檢測、反電子欺騙等手段。這些功能能夠有效的保障內部網絡安全。同時防火墻也提供帶寬管理、分配，系統報警等措施從側面協助。

5.2 自身安全性

防火墻作為網絡系統中的一個部件，其自身的安全性也是十分重要的，考慮到實際情況，防火墻提供單獨的管理接口，管理接口服務全部關閉，同時管理接口的特殊管理數據采用標準加密算法和措施。某XX銀行遠程管理過程中數據通過某銀行內聯網進行管理能夠有效的保證管理的安全性。同時，利用Windows NT中域技術，對防火墻管理時必須登錄到相應的域才能對域內的用戶進行管理，保障管理域安全性。而防火墻操作系統采用經過嚴格測試專有操作系統。

5.3 維護方便性

管理的方便性直接關系到系統能否起到安全保護作用，防火墻提供的專有GUI平臺，方便制訂各種安全策略。

5.4 系統事件管理

系統事件和日志的統計直接關系到整個安全平臺的完善和后續責任追查等多個方面，防火墻為用戶提供完整、準確的數據統計結果，供查詢、打印等。

參考文獻

[1]戴有煒.ISA Server2006防火墻安裝與管理指南[M].科學出版社，2008.

[2]劉曉輝.交換機·路由器·防火墻（第2版）[M].電子工業出版社，2012.

[3]許華偉，王曉.銀行業綜合化經營與金融安全問題—兼論我國金融防火墻的設置[J].學術論壇，2012（7）.

[4]李帆，章啟民，秦瑋，李光.企業數據中心級防火墻選型研究[J].現代電信科技，2013（3）.

[5]鄧榮.基于人工免疫的網絡入侵檢測模型[J].煤炭技術，2011（4）.