防火墻安裝調(diào)試方案

1、實(shí)施方案1、項目概況山東分公司所屬河口、壽光、昌邑、羊口、即墨、楮島、海陽風(fēng)電場，每個 風(fēng)場兩臺，共計14臺天氣預(yù)報防火墻設(shè)備采購、運(yùn)輸、安裝、調(diào)試及一年質(zhì)保 工作，用于滿足自動化應(yīng)用系統(tǒng)安全需求。2、服務(wù)范圍、服務(wù)內(nèi)容2.1供貨范圍本工程的供貨范圍見表2-1所示表2-1供貨需求一覽表序號設(shè)備名稱單位數(shù)量備注1防火墻設(shè)備套142其他安裝附件2.2工作范圍供貨商的工作范圍包括：a）提供合同內(nèi)所有硬件設(shè)備和軟件，并保證系統(tǒng)完全符合最終技術(shù)規(guī)范的 要求。b）提供所需的系統(tǒng)技術(shù)資料和文件，并對其正確性負(fù)責(zé)。c）提供所有合同設(shè)備的備品備件和安裝、維護(hù)所需的專門工具和試驗儀器 儀表（包括調(diào)整、測試和校核）

2、。d）負(fù)責(zé)進(jìn)行工廠驗收，將設(shè)備運(yùn)輸（含搬運(yùn)至指定位置）、安裝在現(xiàn)場（設(shè)備機(jī)房）以及現(xiàn)場調(diào)試直至成功地投入運(yùn)行e）負(fù)責(zé)提出設(shè)備對供電、接地、消防、運(yùn)行環(huán)境及安裝等要求。f）負(fù)責(zé)完成與買方另外購買的其它設(shè)備接口連接調(diào)試工作。g）負(fù)責(zé)現(xiàn)場勘察，與風(fēng)場協(xié)調(diào)、確定設(shè)備安裝位置，制定設(shè)備安裝、調(diào)試 計劃。h）負(fù)責(zé)編制試驗、驗收的計劃報告。i）在兩年保修期內(nèi)提供必要的保修服務(wù)，賣方應(yīng)保證及時免費(fèi)維修或更換 任何并非有買方人員非正常操作而導(dǎo)致的缺陷或故障，并應(yīng)提供限時到達(dá)現(xiàn) 場的維修服務(wù)。j）由我公司進(jìn)行安裝調(diào)試，并提供售后服務(wù)。k）技術(shù)培訓(xùn)。l）按合同要求為買方提供必要其它的服務(wù)。3、服務(wù)依據(jù)、工作目標(biāo);3

3、.1服務(wù)依據(jù)信息技術(shù)設(shè)備的安全GB4943 2001建筑物電子信息系統(tǒng)防雷技術(shù)規(guī)范GB50343-2004環(huán)境電磁衛(wèi)生標(biāo)準(zhǔn)GB5175-88電磁輻射防護(hù)規(guī)定GB8702-88電氣裝置安裝工程施工及驗收規(guī)范GB50254-96電氣裝置安裝工程施工及驗收規(guī)范GB50255-963.2工作目標(biāo)本工程計劃工期30日歷天，質(zhì)量執(zhí)行國家現(xiàn)行驗收標(biāo)準(zhǔn)及要求，達(dá)到合格標(biāo)準(zhǔn)，嚴(yán)格執(zhí)行安全措施，達(dá)到安全零事故。4、服務(wù)機(jī)構(gòu)設(shè)置、崗位職責(zé)4.1服務(wù)機(jī)構(gòu)設(shè)置*設(shè)立兩個服務(wù)小組，隨時調(diào)遣工作。機(jī)構(gòu)包括服務(wù)主管、調(diào)度員、市場信息收集員、三包配件管理員、配件鑒定員等。下圖為我公司的服務(wù)機(jī)構(gòu)架構(gòu)圖：4.2崗位職責(zé)1、服務(wù)主管

4、：a 分管售后服務(wù)全面工作，根據(jù)公司實(shí)際情況完善售后服務(wù)體系及制定售后服務(wù)工作計劃。區(qū)域內(nèi)得到落實(shí)。c 解決售后服務(wù)糾紛及突發(fā)事件的處理工作。d. 安排銷售部門或?qū)Ｂ毴藛T做好回訪工作，保證質(zhì)量。e 受理客戶投訴等客戶關(guān)系維護(hù)與管理工作。f 分析與整理售后服務(wù)反饋的資料、信息等整理后報主管領(lǐng)導(dǎo)并通知到 相關(guān)部門。g 對員工進(jìn)行售后服務(wù)規(guī)范的培訓(xùn)工作。h.配合銷售部門做好用戶售前、售中、售后現(xiàn)場培訓(xùn)工作。i 完成上級領(lǐng)導(dǎo)臨時交辦的工作。2、調(diào)度員:a 制定詳細(xì)服務(wù)方案和配件投放計劃。b 綜合管理與協(xié)調(diào)服務(wù)調(diào)度、現(xiàn)場督導(dǎo)、三包鑒定、服務(wù)稽查、信息服 務(wù)、三包配件管理與配送、用戶進(jìn)廠維修等各項工作。b

5、 服務(wù)車輛農(nóng)忙期間及日常管理，包含服務(wù)區(qū)域、行駛路線、費(fèi)用登記 審核等。d.負(fù)責(zé)外出服務(wù)人員需報銷費(fèi)用的審核。e 對服務(wù)站及外派服務(wù)人員服務(wù)效果做綜合評價，監(jiān)督并督促提升服務(wù) 質(zhì)量。f 調(diào)度各區(qū)域人員、整合車輛等各種服務(wù)資源進(jìn)行現(xiàn)場搶修服務(wù)。g對疑難問題、重大問題及時進(jìn)行匯報； h 服務(wù)人員的服務(wù)效果評價和考核、服務(wù)補(bǔ)貼的兌現(xiàn) i 完成上級領(lǐng)導(dǎo)臨時交辦的工作。(3) 市場信息收集員：A.根據(jù)用戶報修電話記錄對用戶進(jìn)行電話回訪，對相關(guān)費(fèi)用進(jìn)行核查。b 負(fù)責(zé)服務(wù)信息收集、重點(diǎn)質(zhì)量問題統(tǒng)計。c 實(shí)時了解市場服務(wù)動態(tài)，搜集同行業(yè)產(chǎn)品服務(wù)和質(zhì)量信息，為公司服 務(wù)決策和產(chǎn)品質(zhì)量提供信息支撐。d. 負(fù)責(zé)督促

6、各銷售區(qū)域回傳用戶檔案，并對建立健全用戶檔案負(fù)責(zé)。e. 完成上級領(lǐng)導(dǎo)臨時交辦的工作。(4) 配件管理員職責(zé)：a. 負(fù)責(zé)各經(jīng)銷網(wǎng)點(diǎn)、外派服務(wù)隊、駐點(diǎn)服務(wù)人員往來帳目的管理，以及 三包配件日常業(yè)務(wù)的辦理。b. 負(fù)責(zé)組織經(jīng)公司、部門領(lǐng)導(dǎo)審批后的三包配件計劃的發(fā)送。c. 負(fù)責(zé)三包配件的回收管理，部件往來帳目的核對。d. 在農(nóng)忙季節(jié)，協(xié)助服務(wù)主管制定配件需求計劃。e. 完成本部門領(lǐng)導(dǎo)臨時安排的相關(guān)工作任務(wù)。f. 對所發(fā)三包配件的型號、數(shù)量、目的地等準(zhǔn)確性負(fù)責(zé)。(5) 維修管理員職責(zé)：a. 負(fù)責(zé)售后維修中心場地管理與設(shè)備正常運(yùn)轉(zhuǎn)。b. 合理配備維修人員。c. 確定維修方案，督促維修進(jìn)度，監(jiān)督維修質(zhì)量。d.

7、 完成上級領(lǐng)導(dǎo)臨時交辦的工作（6）鑒定員職責(zé)：a辦理用戶、服務(wù)人員、銷售網(wǎng)點(diǎn)返廠三包舊件的鑒定退庫。b.對出現(xiàn)的質(zhì)量問題進(jìn)行統(tǒng)計匯總。（7）技術(shù)員崗位職責(zé)1）精通計算機(jī)網(wǎng)絡(luò)建設(shè)與開發(fā)、熟練網(wǎng)絡(luò)安全技術(shù)、路由器、交換機(jī)等配 置，對國家信息建設(shè)有較深認(rèn)識，熟悉國家互聯(lián)網(wǎng)法規(guī)及相關(guān)制度、辦 法。2）有一定的職業(yè)敏銳度，能及時把握各種軟硬件的市場行情及行業(yè)信息。5、擬投入人員、儀器設(shè)備；5.1擬投入人員我單位將配備技術(shù)力量雄厚的施工團(tuán)隊為此項目服務(wù)。具體安排如下:序號職務(wù)數(shù)量1項目經(jīng)理1人2技術(shù)負(fù)責(zé)人1人4技術(shù)員2人5.2擬投入儀器設(shè)備序號機(jī)械或設(shè)備名稱規(guī)格數(shù)量國別產(chǎn)地制造年份1數(shù)子萬用表MS8217

8、5中國20172兆歐表500V1中國20173剝線器K140-14中國20174線號標(biāo)識機(jī)I.D. PRO1中國20175/亠 口 4 aP 信號發(fā)生器541TG1中國20166示波器ST80011中國20167直流穩(wěn)壓電源JW-42中國20168接地電阻測試器ZC-81中國20169絕緣電阻測試器NF2511A1中國201610無線對講機(jī)MOTOROLA2中國201711工程車國產(chǎn)1中國201612手提電腦SONY1中國2017注：在合同實(shí)施過程中，施工機(jī)械投入滿足工程的實(shí)際需要。6、針對性工作方案6.1拓?fù)鋱Drr勺7*一10.10,10,0 24GE 0/0/1 : /

9、24GE 0/0/2 : 6/24GE 0/0/3 : /24WW服務(wù)器：/24（ DMZ區(qū)域）FTP服務(wù)器：/24（ DMZ區(qū)域）6.2 Tel net 配置配置VTY的優(yōu)先級為3,基于密碼驗證。#進(jìn)入系統(tǒng)視圖。<USG5300>system-view#進(jìn)入用戶界面視圖USG5300 user-i nteface vty 0 4#設(shè)置用戶界面能夠訪問的命令級別為level 3USG5300-ui-vty0-4 user privilege level 3配置Password驗證#配置驗證方式為Pas

10、sword驗證USG5300-ui-vty0-4 authe nticatio n-mode password#配置驗證密碼為Ian tianUSG5300-ui-vty0-4 set authe nticatio npassword simple Ian tian #最新版本的命令是 authentication-mode password cipher huawei123配置空閑斷開連接時間#設(shè)置超時為30分鐘USG5300-ui-vty0-4 idle-timeout 30USG5300 firewall packet-filter default permit in terz one

11、un trustlocal direction in bou nd II不加這個從公網(wǎng)不能tel net防火墻?；谟脩裘兔艽a驗證user- in terface vty 0 4authe nticati on-m ode aaaaaalocal-user admin password ciphe門MQ;4B+4Z,YWX*NZ55OA!local-user adm in service-type telnetlocal-user adm in level 3firewall packet-filter default permit in terz oneun trust localdire

12、cti on inbound如果不開放trust域到local域的缺省包過濾，那么從內(nèi)網(wǎng)也不能tel net的防火墻，但是默認(rèn)情況下已經(jīng)開放了trust域到local域的缺省包過濾。6.3地址配置內(nèi)網(wǎng)：進(jìn)入 GigabitEthernet 0/0/1視圖USG5300 in terface GigabitEthernet 0/0/1配置 GigabitEthernet 0/0/1的 IP 地址USG5300-GigabitEthernet0/0/1ip address 配置 GigabitEthernet 0/0/1加入 Trust 區(qū)域USG5

13、300 firewall zone trustUSG5300-zo ne-u ntrust add in terface GigabitEthernet 0/0/1USG5300-zo ne-u ntrustquit外網(wǎng)：進(jìn)入 GigabitEthernet 0/0/2 視圖USG5300 in terface GigabitEthernet 0/0/2配置 GigabitEthernet 0/0/2 的 IP 地址USG5300-GigabitEthernet0/0/2ip address 6配置 GigabitEthernet 0/0/2 加

14、入 Un trust 區(qū)域USG5300 firewall zo ne un trustUSG5300-zo ne-u ntrust add in terface GigabitEthernet 0/0/2USG5300-zo ne-u ntrust quitDMZ進(jìn)入 GigabitEthernet 0/0/3視圖USG5300 in terface GigabitEthernet 0/0/3配置 GigabitEthernet 0/0/3的 IP 地址。USG5300-GigabitEthernet0/0/3ip address USG5300

15、 firewall zone dmzUSG5300-zo ne-u ntrustadd in terface GigabitEthernet 0/0/3USG5300-zo ne-u ntrust quit6.4防火墻策略本地策略是指與Local安全區(qū)域有關(guān)的域間安全策略，用于控制外界與設(shè)備 本身的互訪。域間安全策略就是指不同的區(qū)域之間的安全策略。域內(nèi)安全策略就是指同一個安全區(qū)域之間的策略，缺省情況下，同一安全區(qū) 域內(nèi)的數(shù)據(jù)流都允許通過，域內(nèi)安全策略沒有Inbound和Outbound方向的區(qū)分。策略內(nèi)按照policy的順序進(jìn)行匹配，如果 policy 0 匹配了，就不會檢測 policy 1

16、 了，和policy的ID大小沒有關(guān)系，誰在前就先匹配誰。缺省情況下開放local域到其他任意安全區(qū)域的缺省包過濾，方便設(shè)備自身 的對外訪問。其他接口都沒有加安全區(qū)域，并且其他域間的缺省包過濾關(guān)閉。要想設(shè)備轉(zhuǎn)發(fā)流量必須將接口加入安全區(qū)域，并配置域間安全策略或開放缺省包過濾。安全策略的匹配順序:域間菜卜方向的策略視聞 policy interzone trust untrustinbound | outbound PoliCyO； polkiy SOuWpolicy destination destination-address policy service service-set servic

17、e policy time-range time門日 t fr l9"l! 匹配條FINaction permit | dery IPS.(action A permit)四配嶼序1Policy! ： pofcylftN 個卩Lfti* 件 action permit | deny IPS * AV>r JTM :花略action permit) >v PohcyN： policy的N個PCHd fltfraction permit | dery IPS. AV(actionpermit)L 1城闔鏡省包過濾規(guī)躺(firewall packetfllterdefault)

18、每條安全策略中包括匹配條件、控制動作和 UTM等高級安全策略匹配條件安全策略可以指定多種匹配條件，報文必須同時滿足所有條件才會匹配上策 略。比如如下策略policy 1policy service service-set dnspolicy dest in ation 2212219.123 0policy source 在這里policy service 的端口 53就是指的是23 的53號端口， 可以說是目的地址的53號端口。域間可以應(yīng)用多條安全策略，按照策略列表的順序從上到下匹配。只要匹配 到一條策略就不再繼續(xù)匹配剩下的策略。如果安全策略不是

19、以自動排序方式配置 的，策略的優(yōu)先級按照配置順序進(jìn)行排列，越先配置的策略，優(yōu)先級越高，越先 匹配報文。但是也可以手工調(diào)整策略之間的優(yōu)先級。缺省情況下，安全策略就不是以自動排序方式。如果安全策略是以自動排序方式配置的，策略的優(yōu)先級按照策略ID的大小進(jìn)行排列，策略ID越小，優(yōu)先級越高，越先匹配報文。此時，策 略之間的優(yōu)先級關(guān)系不可調(diào)整。policy create-mode auto-sort en able命令用來開啟安全策略自動排序功能，默認(rèn)是關(guān)閉的。如果沒有匹配到安全策略，將按缺省包過濾的動作進(jìn)行處理，所以在配置具體安全策略時要注意與缺省包過濾的關(guān)系。例如安全策略中只允許某些報文通過 但是沒有

20、關(guān)閉缺省包過濾，將造成那些沒有匹配到安全策略的流量也會通過，就失去配置安全策略的意義了。同樣，如果安全策略中只配置了需要拒絕的流量，其他流量都是允許通過的，這時需要開放缺省包過濾才能實(shí)現(xiàn)需求，否則會造成所有流量都不能通過。執(zhí)行命令display this查看當(dāng)前已有的安全策略，策略顯示的順序就是策略的匹配順序，越前邊的優(yōu)先級越高執(zhí)行命令 policy move policy-idl before | after policy-id2 ，調(diào) 整策略優(yōu)先級。UTM策 略安全策略中除了基本的包過濾功能，還可以引用IPS、AV應(yīng)用控制等UTM策略進(jìn)行進(jìn)一步的應(yīng)用層檢測。但前提是匹配到控制動作為perm

21、it的流量才能進(jìn)行UTM處理，如果匹配到deny直接丟棄報文。安全策略的應(yīng)用方向域間的Inbound和Outbound方向上都可以應(yīng)用安全策略，需要根據(jù)會話的 方向合理應(yīng)用。因為USG是基于會話的安全策略，只對同一會話的首包檢測，后 續(xù)包直接按照首包的動作進(jìn)行處理。所以對同一條會話來說只需要在首包的發(fā)起 方向上，也就是訪問發(fā)起的方向上應(yīng)用安全策略。Outbourdpolicy source0 .七TrustUnlruslPCLG軻發(fā)起力l«4'0畀枷| 10.U.1/24（會話j R）如上圖所示，Trust域的PC訪問Un trust域的Server，只需要在Trust到 U

22、n trust的Outbou nd方向上應(yīng)用安全策略允許 PC訪問Server即可，對于Server 回應(yīng)PC的應(yīng)答報文會命中首包建立的會話而允許通過。策略一般都是優(yōu)先級咼的在前，優(yōu)先級低的在后。policy 1 :允許源地址為/24 的網(wǎng)段的報文通過配置Trust和Un trust域間出方向的防火墻策略。/如果不加policysource 就是指 any,如果不力卩policy destination目的地址就是指 any。USG5300 policy in terz one trust un trust outbo undUSG5300-policy-i nterz o

23、n e-trust-u ntrust-outbo undpolicy 1USG5300-policy-i nterzo ne-trust-u ntrust-outbou nd-1policy source 55USG5300-policy-i nterzo ne-trust-u ntrust-outbou nd-1action permitUSG5300-policy-i nterzo ne-trust-u ntrust-outbou nd-1quit如果是允許所有的內(nèi)網(wǎng)地址上公網(wǎng)可以用以下命令：USG2100firewall packet-filter de

24、fault permit in terzo ne trust untrust directionoutbound / 必須添加這條命令，或者 firewallpacket-filter default permit all ,但是這樣不安全。否則內(nèi)網(wǎng)不能訪問公網(wǎng)。注意：由優(yōu)先級高訪問優(yōu)先級低的區(qū)域用outbound ,比如policy interzonetrust untrust outbound 。這時候policy source ip 地址，就是指的優(yōu)先級高 的地址，即trust 地址，destination地址就是指的untrust 地址。只要是outbound，即使配置成 policy

25、 interzone untrust trust outbound也會變成policy in terz one trust un trust outbo und。in terz one un trust trust in bou nd，為了保持優(yōu)先級高的區(qū)域在前，優(yōu)先級低的區(qū)域在后，命令會自動變成policy interzone trust untrust inbound，這時候policy source ip地址，就是指的優(yōu)先級低的地址，即 untrust地址， destination 地址就是指的優(yōu)先級高的地址，即trust地址?？偨Y(jié)：outbount時，source地址為優(yōu)先級高的地址，

26、destination地址為優(yōu)先級低的地址。inbount時，source地址為優(yōu)先級低的地址，destination地址為優(yōu)先級高的地址配置完成后可以使用 display policy interzone trust untrust來查看策略。642 DMZ和Un trust域間：從公網(wǎng)訪問內(nèi)部服務(wù)器policy 2 :允許目的地址為，目的端口為21的報文通過 policy 3 :允許目的地址為，目的端口為8080的報文通過 配置Un trust到DMZ域間入方向的防火墻策略，即從公網(wǎng)訪問內(nèi)網(wǎng)服務(wù)器 只需要允許訪問內(nèi)網(wǎng)ip地址即可，不需要配置訪問公網(wǎng)的

27、ip地址。注意：在域間策略里匹配的順序和policy的數(shù)字沒有關(guān)系，他是從前往后 檢查，如果前一個匹配就不檢查下一條了，假如先寫的policy 3后寫的policy2，那么就先執(zhí)行policy 3里的語句，如果policy 3里和policy 2里有相同的 地址，只要上一個匹配了就不執(zhí)行下一個一樣的地址了。舉例說明：policy 2 里允許 通過，policy 3 里拒絕 通過，哪個policy先寫的就執(zhí)行哪個。USG5300 policy in terz one un trust dmz inboundUSG5300-policy-i nter

28、z on e-dmz-un trust-i nboundpolicy 2USG5300-policy-i nterz on e-dmz-un trust-i nboun d-2policydesti natio n 0USG5300-policy-i nterz on e-dmz-un trust-i nboun d-2policy serviceservice-set ftpUSG5300-policy-i nterz on e-dmz-un trust-i nboun d-2acti on permitUSG5300-policy-i nterz on e-dmz-u

29、n trust-i nboun d-2quitUSG5300-policy-i nterz on e-dmz-un trust-i nboundpolicy 3USG5300-policy-i nterz on e-dmz-un trust-i nboun d-3policydestination 0USG5300-policy-i nterz on e-dmz-un trust-i nboun d-3policy serviceservice-set httpUSG5300-policy-i nterz on e-dmz-un trust-i nboun d-3acti

30、 on permitUSG5300-policy-i nterz on e-dmz-un trust-i nboun d-3quitUSG5300-policy-i nterz on e-dmz-un trust-i nboundquit應(yīng)用FTP的NAT ALG功能USG5300 firewall in terz one dmz un trust #優(yōu)先級高的區(qū)域在前USG5300-i nterz on e-dmz-u ntrustdetect ftpUSG5300-i nterz on e-dmz-u ntrustquit在 USG530C支持 FTP HTTP H.323、HWCCICQ

31、 MSN PPTP QQ RTSP SIP、 MGC、SQL.NET NETBIOS MM等協(xié)議的會話時，需要在域間啟動 ALG功能配置NAT ALG功能與配置應(yīng)用層包過濾（ASPF功能使用的是同一條命令。所以如果已經(jīng)在域間配置過ASPF功能的話，可以不需要再重復(fù)配置NAT ALG功能。兩者的區(qū)別在于：ASPF功能的目的是識別多通道協(xié)議，并自動為其開放相應(yīng)的包過濾 策略。NAT ALG功能的目的是識別多通道協(xié)議，并自動轉(zhuǎn)換報文載荷中的IP地址和端口信息。在域間執(zhí)行detect命令，將同時開啟兩個功能。配置內(nèi)部服務(wù)器：<USG5300>system-viewUSG5300 nat s

32、erver protocol tcp global 6 8080 in side wwwUSG5300 nat server protocol tcp global 7 ftp in side ftp6.4.3 NAT 策略Trust和Un trust域間：如果是同一個區(qū)域，比如trust 到trust 就是域內(nèi)?；谠碔P地址轉(zhuǎn)換方向Outbou nd方向：數(shù)據(jù)包從高安全級別流向低安全級別Inbound方向：數(shù)據(jù)包從低安全級別流向高安全級別高優(yōu)先級與低優(yōu)先級是相對的根據(jù)基于源IP地址端口是否轉(zhuǎn)換分為no-pat方式和napt方式。No-PAT方式：用于一對一 IP地址轉(zhuǎn)換，不涉及端口轉(zhuǎn)換NAPT方式：用于多對一或多對多IP地址轉(zhuǎn)換，涉及端口轉(zhuǎn)換1、通過地址池的方式policy 1 :允許網(wǎng)段為/24 的內(nèi)網(wǎng)用戶訪問In ternet時進(jìn)行源地址轉(zhuǎn)換,采用公網(wǎng)地址池的形式。配置地址池USG5300nat address-group 1 6 0配置Trust和Un trust域間出方向的策略USG5300 n at-policy in terz one trust un trust outbo undpolicy 1USG5300-po