| 出版日期:2002-09-30 总期号:1156 本年期号:73 |
|
 |
银行信贷登记咨询系统的网络防火墙建设
武波 中国人民银行信贷登记咨询系统经过几年的建设,目前已具相当规模,并于今年9月实现全国联网。由于多种原因,该系统与外部非信任的网络系统之间一直缺乏完善的安全保护手段,仅采取了较为简单的安全防范措施。其网络拓扑结构如图1所示。 
图1 安装防火墙前网络拓扑结构 其中DB表示Sybase数据库服务器,其中存储了大量机密的信息资料。通过在Web服务器中安装双网卡,将内外网络分开的方式,实现人民银行内联网与商业银行网络系统的隔离。此种安全手段层次较低,易受攻击,已不能适应当前的应用需要。为了改变这种情况,人民银行配备了方正数码公司的方御专业级防火墙FireGate。 
图2 安装防火墙后网络拓扑结构 安装防火墙后,外部商业银行网络接入到防火墙的外部接口,人民银行内联网接入到防火墙的内部接口,银行信贷登记咨询系统中用于直接和商业银行通讯,并提供数据上传、下载、浏览、查询等服务功能的WEB服务器被移入到防火墙的DMZ区(军事独立区),并且对内、对外具有不同的网络地址,通过防火墙的双向地址转换功能实现源和目的地址的转换。同时,利用防火墙灵活、完备的安全规则的设定来对各种访问进行限制:只有规定的应用才可以通过,只有必需的端口才对外开放。防火墙还具有强大的包过滤、状态检测、防御DoS(拒绝服务攻击)及DDoS(分布式拒绝服务攻击)、代理服务、流量统计、自动报警等功能,其安全性与抗攻击能力同以前采用双网卡进行隔离的方式相比,有了质的提高。安装防火墙后网络拓扑结构如图2所示。 |
||||||||||||||||
