二 方案设计

　　为适应当前银行计算机网络发展趋势，保护银行内部网络，防止发生来自内部的安全攻击，银行计算机网络要求将内部网络划分为受严格保护的内部网络和DMZ（非军事区），防止因系统提供的对外服务存在不安全因素给内部网络带来安全隐患。银行内部网络是被保护的安全区，它不对外开放，也不对外提供任何服务，外部用户检测不到它的IP地址。DMZ又称非军事化区，它对外提供服务，系统开放的信息都放在该区，由于它的开放性，常成为黑客攻击的对象，存在一定的安全隐患。DMZ区可放置存在安全隐患的Email 服务器、FTP 服务器、WWW 服务器等。为提高内部网络的安全，防止外部黑客通过DMZ进入内部网络，必须将内部网与DMZ分开。内部网络是需要严格保护的系统，需要制定相对严格的安全策略。在这种结构框架下，用户可以灵活地针对每个区域的具体安全需求和实际情况制定相应的安全策略。图1是用具有DMZ功能的防火墙构建银行计算机网络的安全体系框架。 vf I*fBil

　　银行计算机网络中，总行局域网是核心部分，大量的信息在此集中汇总，各分行之间交换的大量数据由此转发，重要性最高; 其下依次是分行、省会城市支行、地市支行。由于各级银行的信息重要程度不同，难免有来自系统内部的攻击，因此防火墙不仅要设置在内联网和外部网之间，各级银行计算机网络之间也要设置防火墙。

　　图1 银行网络安全体系框架图

　　

　　防火墙是否能充分发挥作用，不仅与产品紧密相关，防火墙的日常运行管理也至关重要。防火墙安全规则的编写、安全参数的配置、日志的查看与备份、报警信息的及时处理、软件升级等日常运行管理工作都影响防火墙的使用效率。

　　银行计算机网络的防火墙系统可采用独立管理与集中管理相结合的模式，上级管理部门通过对本区域运行数据和记录的分析，制定防火墙策略，各局域网可在遵守上级管理部门制定策略的前提下具体配置自己的的防火墙。

　　三 选型

　　现在国内防火墙生产厂家日趋增多，生产出的防火墙在功能、性能、管理等各个方面上各具差异，价格也各不相同。银行在进行防火墙选型时要正确评估各个厂家的防火墙，综合考虑以下几个方面的因素选出适合银行计算机网络并且质优价廉的产品。

　　1．防火墙自身的安全性

　　防火墙安全指标可归结为两个问题: 防火墙是否基于安全（甚至是专用）的操作系统; 防火墙是否采用专用的硬件平台。只有基于安全的操作系统并采用专用硬件平台的防火墙才可能保证防火墙自身的安全。

　　2．系统是否稳定

　　目前，由于种种原因，国内有些防火墙尚未最后定型或未经过严格的测试就推向了市场，其稳定性不能保证。防火墙的稳定性情况可以通过以下方式看出：国家权威机构的测评认证，如公安部计算机安全产品检测中心和信息产业部的测评认证。与其他产品相比，是否获得更多的国家权威机构的认证、推荐等。另外，防火墙的用户量也至关重要，特别是用户们对于防火墙的评价、厂商开发研制的历史，这些都是考察其稳定性的重要指标。

　　3．是否高效

　　高性能是防火墙的一个重要指标，它直接体现了防火墙的可用性，也体现了用户使用防火墙所需付出的安全代价。如果使用防火墙而带来了网络性能较大幅度的下降，就意味着安全代价过高，用户无法接受。

　　4．是否可靠

　　可靠性对防火墙访问控制设备尤为重要，直接影响受控网络的可用性。从系统设计上，提高可靠性的措施一般是提高本身部件的强健性、增大设计阀值和增加冗余部件，这要求有较高的生产标准和设计冗余度，如使用电源热备份、系统热备份等。

标签： 防火墙