营业部防火墙配置指引（IB系统）.docVIP

营业部防火墙配置指引（IB系统） 一 结构示意图 二 配置要求 1、允许柜台网段的风控/结算柜台终端访问交易网段的风控代理和结算代理服务器（IP：10.*.*.51和10.*.*.52） 说明：此部分配置目前已申请IB业务的营业部已经完成，不需要另加配置。可以通过在柜台网ping 10.*.*.51对联通性进行测试。 2、允许客户交易网段的交易/行情终端访问交易网段的风控代理和结算代理服务器（IP：10.*.*.51和10.*.*.52） 三 配置案例 允许客户交易网段的交易/行情终端访问交易网段的风控代理和结算代理服务器（IP：10.*.*.51和10.*.*.52） 具体配置如下： 1、定义交易网段的IB通信平台机器对象。（此部分配置目前已申请IB业务的营业部已经完成，大家可以各自查看所定义对象的命名） 登录SSG5防火墙，点击Policy/Policy Elements/Addresses/List，左上角安全域选择“JY”，点击右上角“New”创建新对象，转入一下界面 在以下界面输入通信平台命名，所对应的IP地址和掩码，点击OK完成。此处分别对51和52两台机器对象进行定义。 2、定义客户交易网段机器对象。 登录SSG5防火墙，点击Policy/Policy Elements/Addresses/List，左上角安全域选择“Customer”，（此处有部分营业部命名为client或者client_jy，大家根据实际情况进行选择）点击右上角“New”创建新对象，转入一下界面 在以下界面输入客户交易网命名，所对应的IP地址和掩码，点击OK完成。 3、定义访问端口 登录SSG5防火墙，点击Policy/Policy Elements/Sevices/Custom，点击右上角“New”创建新对象，转入一下界面 Service Name：填入命名 创建以下端口： TCP：41205/41213/8088/50001/60001/31205/18213 UDP：18213 点击OK完成端口创建 登录SSG5防火墙，点击Policy/Policy Elements/Sevices/Groups，点击右上角“New”创建新对象组，转入一下界面 Group Name：输入相应命名 选择之前创建的端口号“NewIB”和“HTTP”，点击OK完成对象组的创建。 4、设置客户交易网对交易网的访问策略 登录SSG5防火墙，点击Policy/Policies，左上角安全域选择From“Customer” （此处有部分营业部命名为client或者client_jy，大家根据实际情况进行选择）To“JY”，点击 “New”创建安全策略，转入一下界面 Source Address：选择之前所定义的客户交易网段对象（如：Customer()） Destination Address:点击”Multiple”，在弹出窗口选择之前所定义的交易的通信平台对象。 Service：选择IB-Group Action：选择Permit Logging：打上勾 Position at Top：打上勾 点击”ok”完成此处配置。 5、设置IB通信平台的静态路由（10.*.*.51/52） 例如： 客户交易网地址为：/ 防火墙交易网地址为：5 所添加路由为：route add mask 5 –P 6、网络连通测试 在交易客户网终端通过ping 10.*.*.51，测试网络连通性是否OK.