论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 18 篇帖子 ]  前往页数 1, 2  下一页
作者 内容
 文章标题 : 网银防火墙异构
帖子发表于 : 2011-01-24 16:22 
离线
中级用户

注册: 2004-09-17 15:55
最近: 2015-08-25 10:53
拥有: 966.10 安全币

奖励: 4 安全币
在线: 2332 点
帖子: 110
各位:请问对于网银的防火墙架构,有没有明确的监管要求是异构的,多谢。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 网银防火墙异构
帖子发表于 : 2011-01-24 16:40 
离线
中级用户

注册: 2007-07-19 19:02
最近: 2014-09-19 09:47
拥有: 159.00 安全币

奖励: 9 安全币
在线: 684 点
帖子: 71
网银规范里面对网络架构安全是这样规定的
“a) 合理部署网上银行系统的网络架构:
 合理划分网络区域,并将网上银行网络与办公网及其他网络进行隔离。
 维护与当前运行情况相符的网络拓扑图,并区分可信区域与不可信区域。
 采用IP伪装技术隐藏内部IP,防止内部网络被非法访问。
 部署入侵检测系统/入侵防御系统(IDS/IPS),对网络异常流量进行监控。
 在所有互联网入口以及隔离区(DMZ)与内部网络之间部署防火墙,对非业务必需的网络数据进行过滤。
 采取措施保障关键服务器时间同步,例如,设置网络时间协议(NTP)服务器。
 互联网接入应采用不同电信运营商线路,相互备份且互不影响。
 核心层、汇聚层的设备和重要的接入层设备均应双机热备,例如,核心交换机、服务器群接入交换机、重要业务管理终端接入交换机、核心路由器、防火墙、均衡负载器、带宽管理器及其他相关重要设备。
 保证网络带宽和网络设备的业务处理能力具备冗余空间,满足业务高峰期和业务发展需要。
”政策上一般不会出这种强制要求异构的规定,毕竟这是砸人饭碗的事
不过从技术角度来说,异构是绝对必要的!


--------本帖迄今已累计获得9安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 网银防火墙异构
帖子发表于 : 2011-01-24 20:01 
离线
版主

注册: 2008-09-01 08:52
最近: 2017-06-11 10:30
拥有: 24,773.80 安全币

奖励: 15810 安全币
在线: 13686 点
帖子: 1236
地址: 福建/浙江
简单的异构,个人感觉必要性不是很大,如串接2台不同厂家的防火墙重复设置同样的策略,反而影响效率和增加故障点,基本上是重复的投资,或者更多是忽悠用户重复投资,实际上包过滤防火墙是一个挺简单的产品,策略正确,合理限制管理(如仅仅管理VLAN),比这种异构有效。相比较串联IPS、WAF或其他互补性的产品,才是更有效的措施。
在多层结构中,如互联网/DMZ-数据交换区至内网或内部服务器区边界,选择不同的厂家的产品和由不同的厂家或服务商提供服务,可以有一定的安全增强作用(管理因素>防火墙技术因素)。

arpie 写道:
网银规范里面对网络架构安全是这样规定的
“a) 合理部署网上银行系统的网络架构:
 合理划分网络区域,并将网上银行网络与办公网及其他网络进行隔离。
 维护与当前运行情况相符的网络拓扑图,并区分可信区域与不可信区域。
 采用IP伪装技术隐藏内部IP,防止内部网络被非法访问。
 部署入侵检测系统/入侵防御系统(IDS/IPS),对网络异常流量进行监控。
 在所有互联网入口以及隔离区(DMZ)与内部网络之间部署防火墙,对非业务必需的网络数据进行过滤。
 采取措施保障关键服务器时间同步,例如,设置网络时间协议(NTP)服务器。
 互联网接入应采用不同电信运营商线路,相互备份且互不影响。
 核心层、汇聚层的设备和重要的接入层设备均应双机热备,例如,核心交换机、服务器群接入交换机、重要业务管理终端接入交换机、核心路由器、防火墙、均衡负载器、带宽管理器及其他相关重要设备。
 保证网络带宽和网络设备的业务处理能力具备冗余空间,满足业务高峰期和业务发展需要。
”政策上一般不会出这种强制要求异构的规定,毕竟这是砸人饭碗的事
不过从技术角度来说,异构是绝对必要的!


--------本帖迄今已累计获得45安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 网银防火墙异构
帖子发表于 : 2011-01-24 21:25 
离线
顶级用户

注册: 2008-03-17 17:22
最近: 2018-01-26 14:17
拥有: 9,485.60 安全币

奖励: 1018 安全币
在线: 22882 点
帖子: 1818
地址: HK/Peking
有必要,但不是必须!
高性能的FW做HA也能顶不少!


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 网银防火墙异构
帖子发表于 : 2011-01-25 22:59 
离线
中级用户

注册: 2004-09-17 15:55
最近: 2015-08-25 10:53
拥有: 966.10 安全币

奖励: 4 安全币
在线: 2332 点
帖子: 110
个人认为,所谓的异构只是个别防火墙厂商为了卖产品而想的一个概念,其实FW只是一个网络上的访问控制设备,用不同厂商产品如果是为了保证FW本身不被渗透的话,其实部署异构的作用不是很大,反而进一步影响了网络性能,但目前银行的异构案例好像的确很多,两个FW串在一起,之间并没有被保护的资源,这种设计我觉的不是很合理,但不知道是不是有明确的这方面的监管要求。


--------本帖迄今已累计获得62安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 网银防火墙异构
帖子发表于 : 2011-02-15 14:10 
离线
中级用户

注册: 2004-09-17 15:55
最近: 2015-08-25 10:53
拥有: 966.10 安全币

奖励: 4 安全币
在线: 2332 点
帖子: 110
跟银行的人员交流,他们的回答大多是这是银行内的最佳实践,至于这样作的优点,大多也说不出个一二来,就是觉的两层肯定比一层安全吧。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 网银防火墙异构
帖子发表于 : 2011-02-15 15:34 
离线
初级用户

注册: 2008-11-27 14:33
最近: 2014-07-20 22:47
拥有: 279.00 安全币

奖励: 115 安全币
在线: 284 点
帖子: 42
还真没见多少直接串联异构的,最多是出口一种,内部各安全域一种。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 网银防火墙异构
帖子发表于 : 2011-02-15 16:21 
离线
超级用户

注册: 2004-04-11 21:49
最近: 2015-09-06 15:31
拥有: 13,135.00 安全币

奖励: 9537 安全币
在线: 3492 点
帖子: 479
异构本身还是有用的,特别是防止防火墙本身的一些问题,比如哪天发现一个防火墙有个什么漏洞,被别人远程控制了,如果再有另外一个品牌的防火墙,正好就能挡一下了。
另外现在防火墙的性能都挺高了,连接2个对网络影响并不大,毕竟网银的流量其实不大。
见过一些银行用的是异构+HA,也是为了解决多了一个故障点的问题。


--------本帖迄今已累计获得32安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 网银防火墙异构
帖子发表于 : 2011-02-17 10:15 
离线
中级用户

注册: 2004-03-19 13:42
最近: 2014-07-01 15:03
拥有: 127.00 安全币

奖励: 0 安全币
在线: 1471 点
帖子: 85
据说是为了增加渗透的难度

阿弥陀佛


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 网银防火墙异构
帖子发表于 : 2011-02-23 09:38 
离线
中级用户

注册: 2008-03-31 10:36
最近: 2013-01-05 11:58
拥有: 834.40 安全币

奖励: 85 安全币
在线: 860 点
帖子: 107
地址: 云南
lnln1111 写道:
还真没见多少直接串联异构的,最多是出口一种,内部各安全域一种。

赞同,个人认为,还不如划分安全区域来的实在


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 网银防火墙异构
帖子发表于 : 2011-02-23 10:04 
离线
超级用户

注册: 2008-11-26 20:21
最近: 2014-10-12 16:16
拥有: 1,500.80 安全币

奖励: 2211 安全币
在线: 2147 点
帖子: 565
单一功能比较,异构不如HA实在。
从理论安全性上来看,异构应该会更好一些。对复杂业务,异构调整会比较困难一些。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 网银防火墙异构
帖子发表于 : 2011-02-23 10:52 
离线
高级用户

关注按钮

注册: 2008-09-28 08:42
最近: 2015-04-29 08:59
拥有: 1,694.40 安全币

奖励: 1623 安全币
在线: 4309 点
帖子: 181
arpie 写道:
网银规范里面对网络架构安全是这样规定的
“a) 合理部署网上银行系统的网络架构:
 合理划分网络区域,并将网上银行网络与办公网及其他网络进行隔离。
 维护与当前运行情况相符的网络拓扑图,并区分可信区域与不可信区域。
 采用IP伪装技术隐藏内部IP,防止内部网络被非法访问。
 部署入侵检测系统/入侵防御系统(IDS/IPS),对网络异常流量进行监控。
 在所有互联网入口以及隔离区(DMZ)与内部网络之间部署防火墙,对非业务必需的网络数据进行过滤。
 采取措施保障关键服务器时间同步,例如,设置网络时间协议(NTP)服务器。
 互联网接入应采用不同电信运营商线路,相互备份且互不影响。
 核心层、汇聚层的设备和重要的接入层设备均应双机热备,例如,核心交换机、服务器群接入交换机、重要业务管理终端接入交换机、核心路由器、防火墙、均衡负载器、带宽管理器及其他相关重要设备。
 保证网络带宽和网络设备的业务处理能力具备冗余空间,满足业务高峰期和业务发展需要。
”政策上一般不会出这种强制要求异构的规定,毕竟这是砸人饭碗的事
不过从技术角度来说,异构是绝对必要的!

这个规范的下载链接有么?或者给我发份吧,Nar.soul@gmail.com


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 网银防火墙异构
帖子发表于 : 2011-02-23 16:48 
离线
新手

注册: 2005-12-08 09:25
最近: 2013-03-15 10:30
拥有: 77.20 安全币

奖励: 0 安全币
在线: 86 点
帖子: 5
没有政策上的明文要求,而实际上绝大多数行都选择了异构。异构的做法基本上都是选择不同品牌的防火墙,并不是选择不同工作原理(包过滤或状态检测等)的墙。
具体部署上来讲,就是在各个区域边界分别配置一套不同品牌的墙(HA),几乎没有在一个区域边界直接串接两套墙的,意义不大。


--------本帖迄今已累计获得53安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 网银防火墙异构
帖子发表于 : 2011-09-06 13:24 
离线
新手

注册: 2010-11-09 14:00
最近: 2013-08-22 19:13
拥有: 74.00 安全币

奖励: 0 安全币
在线: 55 点
帖子: 1
银行业基本上都是异构。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 网银防火墙异构
帖子发表于 : 2011-09-06 13:44 
离线
高级用户

注册: 2004-08-03 16:33
最近: 2015-06-25 09:13
拥有: 4,332.10 安全币

奖励: 491 安全币
在线: 8148 点
帖子: 214
如果只是机械的满足字面上的要求,比如简单的选择两家不同的厂商的产品,那么异构其实没有什么多大的作用。我所感兴趣的是异构的具体衡量指标有那些。


--------本帖迄今已累计获得8安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 18 篇帖子 ]  前往页数 1, 2  下一页

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 2 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
cron
华安信达(CISPS.org) ©2003 - 2012