论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 18 篇帖子 ]  前往页数 上一页  1, 2
作者 内容
 文章标题 : Re: 网银防火墙异构
帖子发表于 : 2013-06-06 11:41 
离线
初级用户

关注按钮

注册: 2010-02-20 15:22
最近: 2016-05-12 16:45
拥有: 376.00 安全币

奖励: 0 安全币
在线: 1364 点
帖子: 46
"异构的具体衡量指标"这个描述相当务实准确


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 网银防火墙异构
帖子发表于 : 2013-06-06 14:48 
离线
中级用户

注册: 2010-01-09 17:36
最近: 2016-01-07 16:21
拥有: 233.00 安全币

奖励: 0 安全币
在线: 872 点
帖子: 73
异构是必须的,这涉及到网络中该有多少道防火墙的问题,且防火墙的对数据源段的访问控制。


--------本帖迄今已累计获得38安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 网银防火墙异构
帖子发表于 : 2013-06-19 23:52 
离线
初级用户

注册: 2013-06-19 22:50
最近: 2016-01-19 10:30
拥有: 574.00 安全币

奖励: 76 安全币
在线: 615 点
帖子: 49
walk0r 写道:
简单的异构,个人感觉必要性不是很大,如串接2台不同厂家的防火墙重复设置同样的策略,反而影响效率和增加故障点,基本上是重复的投资,或者更多是忽悠用户重复投资,实际上包过滤防火墙是一个挺简单的产品,策略正确,合理限制管理(如仅仅管理VLAN),比这种异构有效。相比较串联IPS、WAF或其他互补性的产品,才是更有效的措施。
在多层结构中,如互联网/DMZ-数据交换区至内网或内部服务器区边界,选择不同的厂家的产品和由不同的厂家或服务商提供服务,可以有一定的安全增强作用(管理因素>防火墙技术因素)。

arpie 写道:
网银规范里面对网络架构安全是这样规定的
“a) 合理部署网上银行系统的网络架构:
 合理划分网络区域,并将网上银行网络与办公网及其他网络进行隔离。
 维护与当前运行情况相符的网络拓扑图,并区分可信区域与不可信区域。
 采用IP伪装技术隐藏内部IP,防止内部网络被非法访问。
 部署入侵检测系统/入侵防御系统(IDS/IPS),对网络异常流量进行监控。
 在所有互联网入口以及隔离区(DMZ)与内部网络之间部署防火墙,对非业务必需的网络数据进行过滤。
 采取措施保障关键服务器时间同步,例如,设置网络时间协议(NTP)服务器。
 互联网接入应采用不同电信运营商线路,相互备份且互不影响。
 核心层、汇聚层的设备和重要的接入层设备均应双机热备,例如,核心交换机、服务器群接入交换机、重要业务管理终端接入交换机、核心路由器、防火墙、均衡负载器、带宽管理器及其他相关重要设备。
 保证网络带宽和网络设备的业务处理能力具备冗余空间,满足业务高峰期和业务发展需要。
”政策上一般不会出这种强制要求异构的规定,毕竟这是砸人饭碗的事
不过从技术角度来说,异构是绝对必要的!


异构安全产品或者异构管理、策略技术才是需要的!异构fw确实没有必要性!不过又那么一点点优势,也会被采购的!!!


--------本帖迄今已累计获得47安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 18 篇帖子 ]  前往页数 上一页  1, 2

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 3 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
华安信达(CISPS.org) ©2003 - 2012