防火墙安装调试专业技术方案.docx
《防火墙安装调试专业技术方案.docx》由会员分享,可在线阅读,更多相关《防火墙安装调试专业技术方案.docx(17页珍藏版)》请在冰豆网上搜索。
防火墙安装调试专业技术方案
实施方案
1、项目概况
山东分公司所属河口、寿光、昌邑、羊口、即墨、楮岛、海阳风电场,每个风场两台,共计14台天气预报防火墙设备采购、运输、安装、调试及一年质保工作,用于满足自动化应用系统安全需求。
2、服务范围、服务内容
2.1供货范围
本工程的供货范围见表2-1所示。
表2-1供货需求一览表
序号
设备名称
单位
数量
备注
1
防火墙设备
套
14
2
其他安装附件
2.2工作范围
供货商的工作范围包括:
a)提供合同内所有硬件设备和软件,并保证系统完全符合最终技术规范的要求。
b)提供所需的系统技术资料和文件,并对其正确性负责。
c)提供所有合同设备的备品备件和安装、维护所需的专门工具和试验仪器仪表(包括调整、测试和校核)。
d)负责进行工厂验收,将设备运输(含搬运至指定位置)、安装在现场(设备机房)以及现场调试直至成功地投入运行。
e)负责提出设备对供电、接地、消防、运行环境及安装等要求。
f)负责完成与买方另外购买的其它设备接口连接调试工作。
g)负责现场勘察,与风场协调、确定设备安装位置,制定设备安装、调试计划。
h)负责编制试验、验收的计划报告。
i)在两年保修期内提供必要的保修服务,卖方应保证及时免费维修或更换任何并非有买方人员非正常操作而导致的缺陷或故障,并应提供限时到达现场的维修服务。
j)由我公司进行安装调试,并提供售后服务。
k)技术培训。
l)按合同要求为买方提供必要其它的服务。
3、服务依据、工作目标;
3.1服务依据
《信息技术设备的安全》GB4943-2001
《建筑物电子信息系统防雷技术规范》GB50343-2004
《环境电磁卫生标准》GB5175-88
《电磁辐射防护规定》GB8702-88
《电气装置安装工程施工及验收规范》GB50254-96
《电气装置安装工程施工及验收规范》GB50255-96
3.2工作目标
本工程计划工期30日历天,质量执行国家现行验收标准及要求,达到合格标准,严格执行安全措施,达到安全零事故。
4、服务机构设置、岗位职责
4.1服务机构设置
**设立两个服务小组,随时调遣工作。
机构包括服务主管、调度员、市场信息收集员、三包配件管理员、配件鉴定员等。
下图为我公司的服务机构架构图:
4.2岗位职责
1、服务主管:
a.分管售后服务全面工作,根据公司实际情况完善售后服务体系及制定售后服务工作计划。
b.对售后服务人员进行监督和评审,确保公司的各类规章制度在所管理区域内得到落实。
c.解决售后服务纠纷及突发事件的处理工作。
d.安排销售部门或专职人员做好回访工作,保证质量。
e.受理客户投诉等客户关系维护与管理工作。
f.分析与整理售后服务反馈的资料、信息等整理后报主管领导并通知到相关部门。
g.对员工进行售后服务规范的培训工作。
h.配合销售部门做好用户售前、售中、售后现场培训工作。
i.完成上级领导临时交办的工作。
2、调度员:
a.制定详细服务方案和配件投放计划。
b.综合管理与协调服务调度、现场督导、三包鉴定、服务稽查、信息服务、三包配件管理与配送、用户进厂维修等各项工作。
b.服务车辆农忙期间及日常管理,包含服务区域、行驶路线、费用登记审核等。
d.负责外出服务人员需报销费用的审核。
e.对服务站及外派服务人员服务效果做综合评价,监督并督促提升服务质量。
f.调度各区域人员、整合车辆等各种服务资源进行现场抢修服务。
g.对疑难问题、重大问题及时进行汇报;
h.服务人员的服务效果评价和考核、服务补贴的兑现。
i.服务站日常管理及服务费的逐个审核、兑现。
i.完成上级领导临时交办的工作。
(3)市场信息收集员:
A.根据用户报修电话记录对用户进行电话回访,对相关费用进行核查。
b.负责服务信息收集、重点质量问题统计。
c.实时了解市场服务动态,搜集同行业产品服务和质量信息,为公司服务决策和产品质量提供信息支撑。
d.负责督促各销售区域回传用户档案,并对建立健全用户档案负责。
e.完成上级领导临时交办的工作。
(4)配件管理员职责:
a.负责各经销网点、外派服务队、驻点服务人员往来帐目的管理,以及三包配件日常业务的办理。
b.负责组织经公司、部门领导审批后的三包配件计划的发送。
c.负责三包配件的回收管理,部件往来帐目的核对。
d.在农忙季节,协助服务主管制定配件需求计划。
e.完成本部门领导临时安排的相关工作任务。
f.对所发三包配件的型号、数量、目的地等准确性负责。
(5)维修管理员职责:
a.负责售后维修中心场地管理与设备正常运转。
b.合理配备维修人员。
c.确定维修方案,督促维修进度,监督维修质量。
d.完成上级领导临时交办的工作。
(6)鉴定员职责:
a.办理用户、服务人员、销售网点返厂三包旧件的鉴定退库。
b.对出现的质量问题进行统计汇总。
(7)技术员岗位职责
1)精通计算机网络建设与开发、熟练网络安全技术、路由器、交换机等配置,对国家信息建设有较深认识,熟悉国家互联网法规及相关制度、办法。
2)有一定的职业敏锐度,能及时把握各种软硬件的市场行情及行业信息。
5、拟投入人员、仪器设备;
5.1拟投入人员
我单位将配备技术力量雄厚的施工团队为此项目服务。
具体安排如下:
序号
职务
数量
1
项目经理
1人
2
技术负责人
1人
4
技术员
2人
5.2拟投入仪器设备
序号
机械或设备名称
规格
数量
国别产地
制造年份
1
数字万用表
MS8217
5
中国
2017
2
兆欧表
500V
1
中国
2017
3
剥线器
K140-1
4
中国
2017
4
线号标识机
I.D.PRO
1
中国
2017
5
信号发生器
541TG
1
中国
2016
6
示波器
ST8001
1
中国
2016
7
直流稳压电源
JW-4
2
中国
2016
8
接地电阻测试器
ZC-8
1
中国
2016
9
绝缘电阻测试器
NF2511A
1
中国
2016
10
无线对讲机
MOTOROLA
2
中国
2017
11
工程车
国产
1
中国
2016
12
手提电脑
SONY
1
中国
2017
注:
在合同实施过程中,施工机械投入满足工程的实际需要。
6、针对性工作方案
6.1拓扑图
GE0/0/1:
10.10.10.1/24
GE0/0/2:
220.10.10.16/24
GE0/0/3:
10.10.11.1/24
WWW服务器:
10.10.11.2/24(DMZ区域)
FTP服务器:
10.10.11.3/24(DMZ区域)
6.2Telnet配置
配置VTY的优先级为3,基于密码验证。
#进入系统视图。
system-view
#进入用户界面视图
[USG5300]user-interfacevty04
#设置用户界面能够访问的命令级别为level3
[USG5300-ui-vty0-4]userprivilegelevel3
配置Password验证
#配置验证方式为Password验证
[USG5300-ui-vty0-4]authentication-modepassword
#配置验证密码为lantian
[USG5300-ui-vty0-4]setauthenticationpasswordsimplelantian###最新版本的命令是authentication-modepasswordcipherhuawei@123
配置空闲断开连接时间
#设置超时为30分钟
[USG5300-ui-vty0-4]idle-timeout30
[USG5300]firewallpacket-filterdefaultpermitinterzoneuntrustlocaldirectioninbound//不加这个从公网不能telnet防火墙。
基于用户名和密码验证
user-interfacevty04
authentication-modeaaa
aaa
local-useradminpasswordcipher]MQ;4\]B+4Z,YWX*NZ55OA!
!
local-useradminservice-typetelnet
local-useradminlevel3
firewallpacket-filterdefaultpermitinterzoneuntrustlocaldirectioninbound
如果不开放trust域到local域的缺省包过滤,那么从内网也不能telnet的防火墙,但是默认情况下已经开放了trust域到local域的缺省包过滤。
6.3地址配置
内网:
进入GigabitEthernet0/0/1视图
[USG5300]interfaceGigabitEthernet0/0/1
配置GigabitEthernet0/0/1的IP地址
[USG5300-GigabitEthernet0/0/1]ipaddress10.10.10.1255.255.255.0
配置GigabitEthernet0/0/1加入Trust区域
[USG5300]firewallzonetrust
[USG5300-zone-untrust]addinterfaceGigabitEthernet0/0/1
[USG5300-zone-untrust]quit
外网:
进入GigabitEthernet0/0/2视图
[USG5300]interfaceGigabitEthernet0/0/2
配置GigabitEthernet0/0/2的IP地址
[USG5300-GigabitEthernet0/0/2]ipaddress220.10.10.16255.255.255.0
配置GigabitEthernet0/0/2加入Untrust区域
[USG5300]firewallzoneuntrust
[USG5300-zone-untrust]addinterfaceGigabitEthernet0/0/2
[USG5300-zone-untrust]quit
DMZ:
进入GigabitEthernet0/0/3视图
[USG5300]interfaceGigabitEthernet0/0/3
配置GigabitEthernet0/0/3的IP地址。
[USG5300-GigabitEthernet0/0/3]ipaddress10.10.11.1255.255.255.0
[USG5300]firewallzonedmz
[USG5300-zone-untrust]addinterfaceGigabitEthernet0/0/3
[USG5300-zone-untrust]quit
6.4防火墙策略
本地策略是指与Local安全区域有关的域间安全策略,用于控制外界与设备本身的互访。
域间安全策略就是指不同的区域之间的安全策略。
域内安全策略就是指同一个安全区域之间的策略,缺省情况下,同一安全区域内的数据流都允许通过,域内安全策略没有Inbound和Outbound方向的区分。
策略内按照policy的顺序进行匹配,如果policy0匹配了,就不会检测policy1了,和policy的ID大小没有关系,谁在前就先匹配谁。
缺省情况下开放local域到其他任意安全区域的缺省包过滤,方便设备自身的对外访问。
其他接口都没有加安全区域,并且其他域间的缺省包过滤关闭。
要想设备转发流量必须将接口加入安全区域,并配置域间安全策略或开放缺省包过滤。
安全策略的匹配顺序:
每条安全策略中包括匹配条件、控制动作和UTM等高级安全策略。
匹配条件
安全策略可以指定多种匹配条件,报文必须同时满足所有条件才会匹配上策略。
比如如下策略
policy1
policyserviceservice-setdns
policydestination221.2.219.1230
policysource192.168.10.1
在这里policyservice的端口53就是指的是221.2.219.123的53号端口,可以说是目的地址的53号端口。
域间可以应用多条安全策略,按照策略列表的顺序从上到下匹配。
只要匹配到一条策略就不再继续匹配剩下的策略。
如果安全策略不是以自动排序方式配置的,策略的优先级按照配置顺序进行排列,越先配置的策略,优先级越高,越先匹配报文。
但是也可以手工调整策略之间的优先级。
缺省情况下,安全策略就不是以自动排序方式。
如果安全策略是以自动排序方式配置的,策略的优先级按照策略ID的大小进行排列,策略ID越小,优先级越高,越先匹配报文。
此时,策略之间的优先级关系不可调整。
policycreate-modeauto-sortenable命令用来开启安全策略自动排序功能,默认是关闭的。
如果没有匹配到安全策略,将按缺省包过滤的动作进行处理,所以在配置具体安全策略时要注意与缺省包过滤的关系。
例如安全策略中只允许某些报文通过但是没有关闭缺省包过滤,将造成那些没有匹配到安全策略的流量也会通过,就失去配置安全策略的意义了。
同样,如果安全策略中只配置了需要拒绝的流量,其他流量都是允许通过的,这时需要开放缺省包过滤才能实现需求,否则会造成所有流量都不能通过。
执行命令displaythis查看当前已有的安全策略,策略显示的顺序就是策略的匹配顺序,越前边的优先级越高
执行命令policymovepolicy-id1{before|after}policy-id2,调整策略优先级。
UTM策略
安全策略中除了基本的包过滤功能,还可以引用IPS、AV、应用控制等UTM策略进行进一步的应用层检测。
但前提是匹配到控制动作为permit的流量才能进行UTM处理,如果匹配到deny直接丢弃报文。
安全策略的应用方向
域间的Inbound和Outbound方向上都可以应用安全策略,需要根据会话的方向合理应用。
因为USG是基于会话的安全策略,只对同一会话的首包检测,后续包直接按照首包的动作进行处理。
所以对同一条会话来说只需要在首包的发起方向上,也就是访问发起的方向上应用安全策略。
如上图所示,Trust域的PC访问Untrust域的Server,只需要在Trust到Untrust的Outbound方向上应用安全策略允许PC访问Server即可,对于Server回应PC的应答报文会命中首包建立的会话而允许通过。
6.4.1Trust和Untrust域间:
允许内网用户访问公网
策略一般都是优先级高的在前,优先级低的在后。
policy1:
允许源地址为10.10.10.0/24的网段的报文通过
配置Trust和Untrust域间出方向的防火墙策略。
//如果不加policysource就是指any,如果不加policydestination目的地址就是指any。
[USG5300]policyinterzonetrustuntrustoutbound
[USG5300-policy-interzone-trust-untrust-outbound]policy1
[USG5300-policy-interzone-trust-untrust-outbound-1]policysource10.10.10.00.0.0.255
[USG5300-policy-interzone-trust-untrust-outbound-1]actionpermit
[USG5300-policy-interzone-trust-untrust-outbound-1]quit
如果是允许所有的内网地址上公网可以用以下命令:
[USG2100]firewallpacket-filterdefaultpermitinterzonetrustuntrustdirectionoutbound//必须添加这条命令,或者firewallpacket-filterdefaultpermitall,但是这样不安全。
否则内网不能访问公网。
注意:
由优先级高访问优先级低的区域用outbound,比如policyinterzonetrustuntrustoutbound。
这时候policysourceip地址,就是指的优先级高的地址,即trust地址,destination地址就是指的untrust地址。
只要是outbound,即使配置成policyinterzoneuntrusttrustoutbound也会变成policyinterzonetrustuntrustoutbound。
由优先级低的区域访问优先级高的区域用inbound,比如是policyinterzoneuntrusttrustinbound,为了保持优先级高的区域在前,优先级低的区域在后,命令会自动变成policyinterzonetrustuntrustinbound,这时候policysourceip地址,就是指的优先级低的地址,即untrust地址,destination地址就是指的优先级高的地址,即trust地址。
总结:
outbount时,source地址为优先级高的地址,destination地址为优先级低的地址。
inbount时,source地址为优先级低的地址,destination地址为优先级高的地址
配置完成后可以使用displaypolicyinterzonetrustuntrust来查看策略。
6.4.2DMZ和Untrust域间:
从公网访问内部服务器
policy2:
允许目的地址为10.10.11.2,目的端口为21的报文通过
policy3:
允许目的地址为10.10.11.3,目的端口为8080的报文通过
配置Untrust到DMZ域间入方向的防火墙策略,即从公网访问内网服务器
只需要允许访问内网ip地址即可,不需要配置访问公网的ip地址。
注意:
在域间策略里匹配的顺序和policy的数字没有关系,他是从前往后检查,如果前一个匹配就不检查下一条了,假如先写的policy3后写的policy2,那么就先执行policy3里的语句,如果policy3里和policy2里有相同的地址,只要上一个匹配了就不执行下一个一样的地址了。
举例说明:
policy2里允许192.168.0.1通过,policy3里拒绝192.168.0.1通过,哪个policy先写的就执行哪个。
[USG5300]policyinterzoneuntrustdmzinbound
[USG5300-policy-interzone-dmz-untrust-inbound]policy2
[USG5300-policy-interzone-dmz-untrust-inbound-2]policydestination10.10.11.30
[USG5300-policy-interzone-dmz-untrust-inbound-2]policyserviceservice-setftp
[USG5300-policy-interzone-dmz-untrust-inbound-2]actionpermit
[USG5300-policy-interzone-dmz-untrust-inbound-2]quit
[USG5300-policy-interzone-dmz-untrust-inbound]policy3
[USG5300-policy-interzone-dmz-untrust-inbound-3]policydestination10.10.11.20
[USG5300-policy-interzone-dmz-untrust-inbound-3]policyserviceservice-sethttp
[USG5300-policy-interzone-dmz-untrust-inbound-3]actionpermit
[USG5300-policy-interzone-dmz-untrust-inbound-3]quit
[USG5300-policy-interzone-dmz-untrust-inbound]quit
应用FTP的NATALG功能。
[USG5300]firewallinterzonedmzuntrust###优先级高的区域在前
[USG5300-interzone-dmz-untrust]detectftp
[USG5300-interzone-dmz-untrust]quit
在USG5300支持FTP、HTTP、H.323、HWCC、ICQ、MSN、PPTP、QQ、RTSP、SIP、MGCP、SQL.NET、NETBIOS、MMS等协议的会话时,需要在域间启动ALG功能
配置NATALG功能与配置应用层包过滤(ASPF)功能使用的是同一条命令。
所以如果已经在域间配置过ASPF功能的话,可以不需要再重复配置NATALG功能。
两者的区别在于:
●ASPF功能的目的是识别多通道协议,并自动为其开放相应的包过滤策略。
●NATALG功能的目的是识别多通道协议,并自动转换报文载荷中的IP地址和端口信息。
在域间执行detect命令,将同时开启两个功能。
配置内部服务器:
system-view
[USG5300]natserverprotocoltcpglobal220.10.10.168080inside10.10.11.2www
[USG5300]natserverprotocoltcpglobal220.10.10.17ftpinside10.10.11.3ftp
6.4.3NAT策略
Trust和Untrust域间:
如果是同一个区域,比如trust到trust就是域内。
基于源IP地址转换方向
Outbound方向:
数据包从高安全级别流向低安全级别
Inbound方向:
数据包从低安全级别流向高安全级别
高优先级与低优先级是相对的
根据基于源IP地址端口是否转换分为no-pat方式和napt方式。
No-PAT方式:
用于一对一IP地址转换,不涉及端口转换
NAPT方式:
用于多对一或多对多IP地址转换,涉及端口转换
1、通过地址池的方式
policy1:
允许网段为10.10.10.0/24的内网用户访问Internet时进行源地址转换,采用公网地址池的形式。
配置地址池
[USG5300]nataddress-group1220.10.10.16220.10.10.20
配