XX银行国库横联系统Websphere MQ中间件安全配置

一、    防火墙的物理端口参数设置：

防火墙与交换机互联的主要问题是自适应的问题。

自适应设置：由于各地采用不同的防火墙及二层交换机，可能不同程度存在双方的端口自协商的问题。建议各试点省尽量手动设置防火墙及二层交换机互联的各自端口，例如，可全部设置成100M全双工。如果防火墙或者交换机的性能很低，可设置100M半双工。只支持10M的设置成10M半双工。千兆防火墙与千兆交换机互联时，若使用千兆光纤的无需设置；若使用千兆铜缆的可手动设置成1000M全双工或者半双工，具体情况视防火墙性能而定。

二、    防火墙的TCP端口设置：

由于国库系统采用的是MQ发送接收通道，该通道是一对对存在，即人民银行与外联机构间的访问各自发起主动连接，例如人民银行对外的发送通道是由外联机构作为服务器，人民银行的MQ主动访问外联机构。而人民银行的接收通道是由人民银行的MQ服务器侦听服务，外联机构主动发起连接请求。因此在防火墙上需要打开这样的一对双向访问。

目前XX银行国库系统外部网关的端口是9009；XX银行总行的前置端口是9009，XX营业管理部的端口是9009，XX中支的端口是1414，XX中支的端口是8888。

三、    防火墙TCP时间参数设置

MQ通道有个参数HBINT（心跳信号间隔），该参数是设置MQ通道定期发送心跳信号以维持MQ通道的长连接状态。TIPS系统规定该参数设置为60，不能使用缺省的300。其原因是有些防火墙的缺省TCP连接超时是300，而广泛使用的天融信防火墙的参数是240，如果MQ每240秒发送一次心跳信号，则防火墙就可能会在收到心跳信号前认为MQ通道的TCP连接已经在240秒内无流量，并关闭该连接，造成MQ通道异常中断。强烈建议尽量不要修改防火墙的该参数，而是按规定设置MQ的HBINT参数为60。

四、    关于使用内容交换机做负载均衡的问题

由于MQ使用IBM专有报文格式，一般负载均衡设备不能识别，无法对其进行负载均衡。并且建议不要用负载均衡设备对MQ的侦听端口发送状态检测包，否则可能会造成MQ工作异常。

五、    关于MQ长连接问题

MQ长连接是指MQ本身通过定期发送心跳信号，以维持通道的长期存活。因此不应该在防火墙上将MQ通道连接配置为长连接，应该由MQ自己维持长连接。否则可能会出现各种异常。