网御神州防火墙项目割接节点实施计划方案模板.docx

1、网御神州防火墙项目割接节点实施计划方案模板XXX项目实施方案模板网御神州科技（北京）有限公司2009年 月1 概述XXX安全设备项目是2006年信息安全建设的一个重要项目，内容为更换副省级以上（含）机构XXX安全设备。此文档是XXX安全设备项目各节点的实施方案。2 工程实施安排此次工程实施以各节点技术力量为主，厂商技术人员在实施现场做技术支持。各节点工程实施时间安排约为8天，第一批安装单位的开始为1月22日，第二批安装单位的开始时间为1月29日，项目分为实施前期、实施中期、实施后期三个阶段，其中：周一至周五为实施前期，主要是进行相关前期的准备工作和模拟环境测试工作；周末为实施中期，主要是上线切

2、换、应用验证等工作；后期安排一天时间，主要是进行现场值守技术保障、文档整理等工作。工程开始时间和上线切换时间以总行通知为准。各节点工作内容详见下表：阶段工作内容工作细节第一批时间第二批时间职责分工内容输出实施前期前期准备环境准备（测试环境和上线环境准备）1月24日之前1月31日之前节点科技人员完成完成准备工作社会公告（以系统升级的名义提前公告）1月24日之前1月31日之前节点科技人员完成完成社会公告通知相关业务部门、商业银行作好安全设备上线测试前的准备工作和风险调查1月24日之前1月31日之前节点科技人员完成完成通知工作和准备工作资料采集配置表回执1月24日之前1月31日之前节点科技人员完成物

3、理环境调查表安全设备项目系统配置手册（初稿）原有安全设备配置现场采集1月24日之前1月31日之前厂商技术人员完成节点科技人员协助完成采集工作安全设备周边网络设备配置现场采集1月24日之前1月31日之前分析调研对采集信息进行汇总1月24日之前1月31日之前厂商技术人员完成节点科技人员协助安全设备项目系统配置手册与当地技术负责人进行技术沟通1月24日之前1月31日之前节点科技人员完成厂商技术人员完成规则翻译与当地技术负责人和原安全设备厂商进行技术沟通1月24日之前1月31日之前节点科技人员完成厂商技术人员完成安全设备项目系统配置手册产品到货验收完成产品到货验收1月23日之前1月30日之前节点科技人

4、员完成厂商技术人员完成设备到货验收表加电检测完成产品加电检测1月23日之前1月30日之前节点科技人员完成厂商技术人员完成设备加电测试表安全设备配置整合并完成安全设备配置1月24日之前1月31日之前节点科技人员完成厂商技术人员协助根据安全设备安全设备项目系统配置手册进行安全设备配置模拟环境测试搭建模拟测试环境安全设备测试1月24日-1月26日1月31日-2月2日节点科技人员完成厂商技术人员协助根据测试方案完成测试中期实施设备上线安全设备上线的准备工作完成确认1月25日2月1日节点科技人员完成完成安全设备上线前的准备工作设备上架加电安全设备上线切换网络连通性测试1月27日5:00-6:00(第一次

5、上线)1月28日5:00-6:00(第二次上线)2月3日5:00-6:00（第二次上线时间）2月4日5:00-6:00(第二次上线)节点科技人员完成厂商技术人员协助完成安全设备上线并根据测试方案完成网络连通性测试，如果出现问题 参见风险控制一章应用系统验证性测试业务系统应用测试1月27日6:00-8:00(第一次上线)1月28日6:00-8:00(第二次上线)2月3日6:00-8:00（第一次上线）2月4日6:00-8:00(第二次上线)节点业务人员完成完成业务系统测试，如果出现问题 参见风险控制一章计划变更安全设备配置变更实施方案变更1月27日-1月28日2月3日-2月4日节点科技人员完成厂

6、商技术人员完成计划变更单实施后期设备试运行现场职守1月29日2月5日厂商技术人员完成设备运行报告单运行情况记录1月27日-1月29日2月3日-2月5日节点科技人员完成厂商技术人员完成应急响应1月27日-1月29日2月3日-2月5日节点科技人员完成厂商技术人员完成故障处理报告单现场培训完成现场培训1月22日-1月29日1月29日-2月5日厂商技术人员完成完成现场培训工作节点初验完成节点初验1月29日2月5日节点科技人员完成厂商技术人员完成节点初验报告单文档整理移交项目资料1月29日2月5日节点科技人员完成厂商技术人员完成完成项目文档移交和整理工作3 工程总体要求1、 前期节点技术人员与厂商技术人

7、员应加强技术沟通。当地技术人员对原有安全设备的配置进行逐条描述和确认，以保证当地技术人员和厂商技术人员沟通的一致性。2、 前期进行规则分析时，一定要认真填表。在节点技术人员与厂商技术人员确认达成一致后，才可进行安全设备设备的配置工作。3、 安全设备在上线前必须按照测试方案经过模拟环境测试，才允许在生产环境中进行切换。4、 由于此次安全设备上线是在生产环境中进行的切换，技术风险很高，各节点科技部门负责协调保证原安全设备厂商现场进行技术支持，在切换过程中出现问题时确保在较短的时间内切换回原有安全设备进行运行。切换时，原有安全设备（含主、备机）不能关机。待业务系统正常运行一周后才能撤下原安全设备设备

8、。5、 经与有关业务司局协商，本次安全设备工程在生产环境切换调试和网络切换时间严格安排在规定的3小时内进行，其中第一小时为切换和技术确认，其余2小时为业务确认时间。如第一小时后技术人员确认此次切换不成功，经当地科技处负责人确认后，应尽快切换回原安全设备并按原计划进行业务确认（或换回安全设备均需要业务测试）。确认恢复业务后，请科技人员在模拟环境中继续查找问题，重新配置，按照原定计划安排进行第二次生产环境的切换。6、 实施期间如有新上系统或正在试点的业务系统，请各分支行予以高度关注。7、 各分支行对于新上线安全设备的配置规则只允许开通总行规定的业务端口，不允许扩大安全设备的规则范围。8、 本项目安

9、排的安全设备切换时间为周六临晨58点和周日临晨58点两次，如两次切换均未成功，应及时向工程实施组报告。4 工程实施步骤4.1 前期准备工作目标：完成设备实施前的准备工作。前提： 制定实施详细时间。工作内容：作好前期准备工作，包括环境准备、系统调查、工作通知、发社会公告等详细准备工作，为设备实施前作好详细的准备工作。输出：完成前期的准备工作，包括完成社会公告通知各个相关单位等工作。4.2 安装实施前期4.2.1 资料采集目标：完成网络环境的调查和安全设备实施工作需要的资料采集工作。前提： 节点科技人员已经提交安全设备项目系统配置手册，作好资料采集前的准备工作。工作内容：（1）实施前需确认的相关信

10、息为保证工程实施的顺利进行，避免出现因某环节缺失而造成整体工程延误的情况，实施节点应在项目实施前完成基本情况的调查和准备工作，由分行节点技术负责人完成填写。物理环境需求表需要节点科技人员进行填写并根据需求进行准备，安全设备测试环境所需要的设备情况请参照安全设备测试方案中的具体细则。物理环境需求表分行名称填写人填写时间物理环境说明共计备注机柜空间每个安全设备需要2U的机柜空间，两台安全设备共计需要4U空间4U可用交叉线用于安全设备与上联设备和下联设备进行网络连接8条可用直通线用于安全设备与上联设备和下联设备进行网络连接8条电源每个千兆安全设备均采用双链路供电方式，两台安全设备共需要4个电源接口4

11、个设备接口原安全设备上联和下联设备接口数（实施中为双机热备，各需要两个接口）2个（2）业务系统情况调查测试节点实施前，节点技术负责人应及时协调业务系统管理员详细描述所有外联业务应用，准确反映该外联业务系统的网络通信行为特征。掌握业务系统通信行为特征是提高安全设备安全规则正确性的有效手段。输出：完成系统采集工作物理环境调查表 安全设备安全设备项目系统配置手册（初稿）4.2.2 分析调研目标：根据资料采集情况对网络分析，了解现有网络情况。前提： 完成资料采集工作。工作内容：与节点系统管理员进行现场技术交流，了解网络拓扑结构。安全设备管理员应将原有安全设备设备策略和配置文件完整地导出为文本文件并进行

12、中文说明，对各业务系统说明文件和原有设备策略进行分析。同时，节点安全设备管理员还应参照安全管理规范，根据业务系统的具体运行情况，及时调整防护安全策略。分行技术负责人和厂商技术人员对已经填写完成的安全设备项目系统配置手册进行审核。输出：调查完成，输出安全设备安全设备项目系统配置手册。完成时间节点：4.2.3 规则翻译目标：对原有安全设备的策略内容进行翻译，保证新上线安全设备策略的正确性。前提： 节点科技人员对本行的网络结构及其业务系统应用了解，并能用自然语言进行说明。工作内容：节点科技人员将目前业务系统的正常运行情况和目前现有安全设备的设置进行整体了解和描述，并对此次实施的安全设备厂商人员进行策

13、略和业务应用的交流，共同完成安全设备的配置规则翻译工作。输出：调查完成，输出安全设备安全设备项目系统配置手册。4.2.4 产品到货验收目标：用户和厂商技术人员共同完成现场验货。前提： 货物已经送到客户现场，用户和厂商技术人员共同在场。工作内容：厂商技术人员到达现场后，双方共同进行产品的到货验收。设备到货验收步骤如下： 开箱前，检查设备数量、发货地、外包装完整性； 开箱后，检查设备机箱外观完整性； 根据包装内装箱清单检查产品型号/版本、设备数量、接口数量是否与合同供货清单一致； 根据包装内装箱清单检查合格证、线缆等配件、随机资料是否齐备。双方人员应根据以上各项对设备进行检验。并根据实际验收情况共

14、同签署附件中的设备到货验收表。输出：设备到货验收表4.2.5 加电检测目标：用户和厂商技术人员共同完成设备的加电测试。前提： 用户和厂商技术人员共同在场。工作内容：到货验收完成后，节点对设备进行加电检测，并在厂商技术人员协助下检查系统工作状态。加电检测步骤如下： 设备加电指示灯是否正常； 设备是否正常启动； 管理终端能否顺利连接安全设备系统； 各接口板卡是否工作正常。节点技术负责人和厂商技术人员应共同对设备加电验收过程的各个环节进行确认，并根据实际验收情况共同签署附件中的设备加电测试表。输出：设备加电测试表。4.2.6 配置安全设备（网御神州）目标：依照安全设备项目系统配置手册节点技术工程师离

15、线配置安全设备，厂商工程师指导并对安全设备的配置进行核查。前提：安全设备项目系统配置手册填写完成，并与原有安全设备的配置逐条匹配无误后。工作内容： 配置安全设备时，请按下列步骤进行。1. 开箱检查配置清单，核对配件是否齐全，检查机箱主机编号与包装箱的是否一致。2. 开机插上电源，安全设备启动后会有嘀嘀嘀三声提示音，冗余电源如果只插一个电源会有长时间的蜂鸣报警。3. 登陆安全设备串口方式：用户名admin，密码firewall。Web方式：安全设备默认的管理地址是10.50.10.45，管理端口是ge1口，默认管理主机是10.50.10.44，登陆方式是https:/10.50.10.45:88

16、89，通过web管理方式需要安装证书，证书在随机光盘中。4. 配置安全设备步骤4.1、网络配置：在“网络配置”“接口ip”中点击 添加 按钮，输入要添加的ip和相应的接口，并设置网口ip是否允许管理，ping等。注意，接口ip设置后就不能够修改，只能删除。4.2、网关设置：在“网络配置”“策略路由”中点击 添加 按钮，如目的地址 0.0.0.0/0.0.0.0，下一跳202.99.8.1，就是默认路由，目的地址10.10.10.0/255.255.255.0，下一跳192.168.1.10，就是目的网段10.10.10.0，下一跳指向192.168.1.10。4.3、添加地址对象：在“对象定义

17、”“地址”“地址列表”中点击 添加 按钮，输入名称，地址范围或者地址段即可，在添加界面有一个复选框，可以选择是添加地址段或地址范围，如名称neiwang 地址192.168.1.0/255.255.255.0，还可以添加一个地址范围，如名称neiwang2 地址192.168.2.1192.168.2.100。4.4、添加地址组：在“对象定义”“地址组”中点击 添加 按钮，输入名称，并引用位于左边的地址对象，如名称group，地址对象neiwang，neiwang2，就是group这个地址组包含了neiwang和neiwang2这两个地址对象。定义完地址对象和地址组后就可以在安全规则中引用他们

18、，这样会简化安全规则的设置步骤，方便许多。4.5、定义服务：自定义服务可以指定开放那些协议，那些端口，例如要开放tcp的1436端口，就在“对象定义”“服务列表”中点击 添加 按钮，协议选择tcp，目的端口输入1436，低端口和高端口都输入1436，就是只放开1436端口，如果低端口输入1436，高端口输入1440，就是放开tcp的14361440的所有端口。一条自定义服务可以放开多个端口。4.6、添加安全规则：包过滤规则：在“安全策略”“安全规则”中点击添加按钮，类型选择包过滤，输入源地址和目的地址，选择相应的服务即可；例如，源地址输入10.10.10.10，掩码255.255.255.25

19、5，目的地址20.20.20.20，掩码255.255.255.255，服务选择icmp就是允许主机10.10.10.10 ping 20.20.20.20，关于这两台主机的其他类型数据包都被禁止掉。在源地址和目的地址的下拉菜单里还可以选择在地址对象中定义好的地址对象和地址组，在服务里还可以选择自定义服务，例如前面举例的tcp 1436端口的服务NAT规则：在添加安全规则时，类型选择nat，输入源地址，目的地址，服务，和源地址转换后的地址即可，nat规则会把源地址转换为安全设备的一个地址，从而达到隐藏源地址的目的，例如，源地址10.10.10.10/255.255.255.255，目的地址20

20、.20.20.20/255.255.255.255，服务选择前例定义好地tcp_1436，源地址转换为选择20.20.20.1这样当10.10.10.10这台主机访问20.20.20.20的tcp 1436端口时，安全设备会把源地址转换成20.20.20.1，这样就隐藏了10.10.10.10的真实地址。IP映射规则：在安全规则中类型选择IP 映射，输入源地址，公开地址，和公开地址映射后的地址即可，公开地址是安全设备上的IP，公开地址映射后的地址是内部主机地址，这样就可以通过访问安全设备IP的方式访问内部主机，从而实现隐藏目的服务器地址的目的。例如，源地址10.10.10.10/255.255

21、.255.255，公开地址10.10.10.1，公开地址映射为20.20.20.20，这样10.10.10.10这台主机只能通过访问10.10.10.1这个地址来访问20.20.20.20这台服务器。这样就保护了20.20.20.20服务器的安全。还可以把源地址也隐藏，例如在源地址中选择源地址转换为20.20.20.1，这样就实现了源和目的地址双转换，同时隐藏了源地址和目的地址。端口映射规则：在安全规则中类型选择端口映射，输入源地址，公开地址，公开地址映射后的地址，对外服务，对外服务映射后的服务，例如，源地址10.10.10.10/255.255.255.255，公开地址10.10.10.1，

22、公开地址映射为20.20.20.20，对外服务和对外服务映射为都选择前例定义好的tcp_1436端口，这样10.10.10.10这台工作站就可以通过访问10.10.10.1这个地址的tcp 1436端口来访问20.20.20.20的tcp 1436端口，还可以把源地址也隐藏，例如在源地址中选择源地址转换为20.20.20.1，这样就实现了源和目的地址双转换，同时隐藏了源地址和目的地址。4.7、配置高可用性：配置HA：在“高可用性”“HA基本配置”中选择HA同步网口和IP，注意，主墙和备墙的IP必须是在同一网段内的，而且只能有一台墙是控制节点。主墙和备墙都要选择“自动配置同步”和“自动状态同步”

23、，启用配置同步时,在安全策略中添加允许另一台安全网关访问本安全网关secgate_ha_conf服务的包过滤规则。配置VRRP：在“高可用性”“路由模式HA”“VRRP实例”中点击添加按钮，例如要添加一个10.10.10.100的虚拟IP地址，接口选择GE2，VRID 10，虚拟IP地址10.10.10.100/255.255.255.0,名称MASTER，即可，注意VRRP实例可以添加多个，但是VRID不能有重复的，而且主备墙的VRRP实例除了名称可以不一样之外，其他都要一致。配置VRRP关联：在“高可用性”“路由模式HA”“VRRP关联”中点击添加 按钮，输入名称，优先级，并在VRRP列表

24、中选择要引用的VRRP实例即可，注意主墙的优先级必须比备墙的优先级低。添加完毕后，选中要启动的VRRP实例，就可以激活VRRP实例中的虚拟IP。注意使用VRRP功能的时候需要添加一条目的地址时224.0.0.0/255.0.0.0，服务VRRP的规则。注意！为了避免冲突，需要把VRRP的规则和secgate_ha_conf服务的包过滤规则。放在最前面。配置安全设备的详细步骤和方法请参考网御神州SecGate 3600安全网关WEB界面手册。输出：安全设备的配置文件4.2.7 模拟环境测试目标：客户和厂商技术人员共同搭建模拟测试环境对进行模拟测试。前提： 客户和厂商技术人员已经进行完交流，模拟环

25、境已经准备完毕。工作内容：搭建模拟实验环境，将安全设备放置在搭建的模拟实验环境中，进行连通性测试，并测试安全设备上线前的可靠性，测试安全设备的双机热备切换是否正常。节点技术负责人和厂商技术人员应根据测试方案共同对设备进行模拟环境测试，并根据实际情况填写测试方案中的结果输出：根据测试方案和安全设备配置方案模板完成安全设备上线前的配置和离线测试工作。4.3 安装实施中期4.3.1 设备上线目标：厂商实施人员在用户现场完成实施。前提：前期准备工作已经完毕，上线条件已经具备。工作内容：节点工程实施组在厂商技术人员的配合下，进行设备的现场调试与安装。安装过程中，需要注意以下几点：1) 保持主、备安全设备

26、安全策略相同；2) 检查原有网络通讯是否正常；3) 安全设备安装切换可能会在短时间内影响到业务系统的正常运行，各节点应选择业务空闲时间进行割接；4) 安全设备双机热备部署方式各不相同，应由厂商技术人员协助完成；5)节点技术负责人和厂商技术人员应根据测试方案共同对设备进行测试，并根据实际情况填写测试方案中的结果，填写设备安装实施报告6)切换完成后对上线设备和连线打标签说明：1、生产环境切换调试时，网络切换时间计划进行3小时，其中1小时为切换和技术确认，其余2小时为业务确认时间。如在1小时后技术确认不成功，经当地科技处负责人确认后，尽快切换回原安全设备并按原计划进行业务确认。在模拟环境中查找问题重

27、新配置后按照计划进行第二次生产环境切换。2、由于此次安全设备上线，是在生产环境中切换，风险性很高，当地科技部门负责协调保证原安全设备厂商的技术支持必须到位，在切换过程中出现问题时，切换回原有安全设备应在较短的时间内完成。切换时，原（主、备）安全设备不能关机，并持续到业务系统正常运行一周后才能撤下原安全设备设备。输出：完成安全设备的上线和网络测试，填写设备安装实施报告4.3.2 应用系统验证性测试目标：完成应用系统联调测试前提： 节点科技人员和节点业务人员已经完成了业务系统验证性测试的前期准备工作。工作内容：完成安全设备上线安装后，节点工程实施人员和业务部门人员应共同对设备和业务应用进行持续监控

28、和业务应用验证，进行节点本地测试，包括访问控制测试、系统功能测试、系统性能观测等；节点技术负责人和厂商技术人员应根据测试方案共同对设备进行测试，并根据实际情况填写测试方案中的结果输出：由当地业务负责人协调，完成业务验证性测试。4.3.3 计划变更目标：由于厂商或客户任何一方的原因引起的项目不能按照实施计划进行实施的，经双方同意签定计划变更表。前提：由节点科技人员核实并确认，确实需要进行计划变更。工作内容： 测试工作原则上按测试方案顺序进行，但也可根据实际准备情况作相应调整，已经测试过的内容在相应系统未做变动的情况下，一般不需重新测试。由于到货或技术原因使测试方案中部分测试不具备条件时，在协议各

29、方的同意下，可暂时不对该部分进行测试，待条件具备后再对该部分进行补测。 在测试过程中发现未包含在测试项目中但有必要通过测试的单项功能，经统一协商考虑后，可以备忘录的形式体现，并在集中测试时执行备忘录所列项目的测试。节点技术负责人和厂商技术人员共同签署计划变更单输出：计划变更单4.4 安装实施后期4.4.1 设备试运行目标：通过试运行阶段对上线的设备进行实际环境运行监控。前提：设备上线和业务系统验证性测试已经按照实施方案和测试方案完成。工作内容：节点初验完成之日起，该节点进入试运行期。节点对安全设备设备日常管理维护中所发现的问题进行详细记录，并在试运行结束后形成附件中的设备运行报告单节点试运行报

30、告主要包括以下内容： 新增设备是否运行正常； 运行期间发生的问题。说明：1、业务系统在测试完全正常后，进行安全设备同步配置和保存配置的操作。2、安全设备的日志收集服务器需要安装SQL数据库（天融信安全设备需求）输出：设备运行报告单4.4.2 现场培训目标：现场完成现场培训服务前提： 厂商技术人员向节点科技人员确定培训时间。工作内容：按照合同要求，安全设备厂商在实施现场进行现场培训服务（每单位15人以内）。培训目标：培养节点技术人员独立完成设备安装配置、日常运行维护和简单故障排除能力。培训地点：设备安装地点。培训对象：节点网络安全运行维护相关人员。培训方式：在节点实施过程中，安全设备制造厂商技术人员现场培训。培训内容：产品的安装调试、维护管理和故障排错等。输出：完成现场培训4.4.3 节点初验目标：完成节点初验工作。前提