xxx防火墙项目节点实施方案模板

xxx防火墙项目节点实施方案模板内容摘要：

《 安全设备安全设备 项目系统配置手册》（初稿） 分析调研 目标： 根据资料采集情况对网络分析，了解现有网络情况。 前提： 完成资料采集工作。 工作内容： 与节点系统管理员进行现场技术交流 ，了解网络拓扑结构。 安全设备 管理员应将原有 安全设备 设备策略和配置文件完整地导出为文本文件并进行中文说明，对各业务系统说明文件和 原有设备策略进行分析。 同时，节点 安全设备 管理员还应参照安全管理规范，根据业务系统的具体运行情况，及时调整防护安全策略。 分行技术负责人和厂商技术人员对已经填写完成的《 安全设备 项目系统配置手册》进行审核。 输出： 调查完成，输出《 安全设备安全设备 项目系统配置手册》。 完成时间节点： 规则翻译 目标： 对原有 安全设备 的策略内容进行翻译，保证新上线 安全设备 策略的正确性。 前提： 节点科技人员对本行的网络结构及其业务系统应用了解，并能用自然语言进 项目节点实施方案 项目实施与管理文档 10 行说明。 工作内容： 节点科技人员将目前业务系统的正常运行情况 和目前现有 安全设备 的设置进行整体了解和描述，并对此次实施的 安全设备 厂商人员进行策略和业务应用的交流，共同完成 安全设备 的配置规则翻译工作。 输出： 调查完成，输出《 安全设备安全设备 项目系统配置手册》。 产品到货验收 目标： 用户和厂商技术人员共同完成现场验货。 前提： 货物已经送到客户现场，用户和厂商技术人员共同在场。 工作内容： 厂商技术人员到达现场后，双方共同进行产品的到货验收。 设备到货验收步骤如下： ? 开箱前，检查设备数量、发货地、外包装完整性； ? 开箱后，检查设备机箱外观完整性； ? 根据包装内装箱清 单检查产品型号 /版本、设备数量、接口数量是否与合同供货清单一致； ? 根据包装内装箱清单检查合格证、线缆等配件、随机资料是否齐备。 双方人员应根据以上各项对设备进行检验。 并根据实际验收情况共同签署附件中的《设备到货验收表》。 输出： 《设备到货验收表》 加电检测 目标： 用户和厂商技术人员共同完成设备的加电测试。 项目节点实施方案 项目实施与管理文档 11 前提： 用户和厂商技术人员共同在场。 工作内容： 到货验收完成后，节点对设备进行加电检测，并在厂商技术人员协助下检查系统工作状态。 加电检测步骤如下： ? 设备加电指示灯是否正常； ? 设备是否正常启 动； ? 管理终端能否顺利连接 安全设备 系统； ? 各接口板卡是否工作正常。 节点技术负责人和厂商技术人员应共同对设备加电验收过程的各个环节进行确认，并根据实际验收情况共同签署附件中的《设备加电测试表》。 输出： 《设备加电测试表》。 配置 安全设备 （网御神州） 目标： 依照《 安全设备 项目系统配置手册》节点技术工程师离线配置 安全设备 ，厂商工程师指导并对 安全设备 的配置进行核查。 前提： 《 安全设备 项目系统配置手册》填写完成，并与原有 安全设备 的配置逐条匹配无误后。 工作内容： 配置 安全设备 时，请按下列步骤进行。 1. 开 箱 检查配置清单，核对配件是否齐全，检查机箱主机编号与包装箱的是否一致。 2. 开机 插上电源， 安全设备 启动后会有嘀嘀嘀三声提示音，冗余电源如果只插一个电源会有长时间的蜂鸣报警。 项目节点实施方案 项目实施与管理文档 12 3. 登陆 安全设备 串口方式：用户名 admin，密码 firewall。 Web 方式： 安全设备 默认的管理地址是 ，管理端口是 ge1 口，默认管理主机是 ，登陆方式是 web 管理方式需要安装证书，证书在随机光盘中。 4. 配置 安全设备 步骤 、网络配置：在“网络配置” — “接口 ip”中点击 添加 按钮，输入要添加的 ip 和相应的接口，并设置网口 ip 是否允许管理， ping 等。 注意，接口 ip设置后就不能够修改，只能删除。 、网关设置：在“网络配置” — “策略路由”中点击 添加 按钮，如目的地址 ，下一 跳 ， 就是默 认路由 ，目 的地址，下一跳 ，就是目的网段 ，下一跳指向。 、添加地址对象：在“对象定义” — “地址” — “地址列表”中点击 添加 按钮，输入名称，地址范围或者地址段即可，在添加界面有一个复选框，可以 选 择 是 添 加 地 址 段 或 地 址 范 围 ， 如 名 称 neiwang 地址，还可以添加一个地址范围，如名称 neiwang2 地址—。 、添加地址组：在“对象定义” — “地址组”中点击 添加 按钮，输入名称，并引用位于左边的地址对象，如名称 group，地址对象 neiwang， neiwang2，就是 group 这个地址组包含了 neiwang 和 neiwang2 这两个地址对象。 定义完地址对象和地址组后就可以在安全规则中引用他们，这样会简化安全规则的设置步骤，方便许多。 、定义服务：自定义服务可以指定开放那些协议，那些端口，例如要开放 tcp 的 1436 端口，就在“对象定义” — “服务列表”中点击 添加 按钮，协议选择 tcp，目的端口输入 1436，低端口和高端口都输入 1436，就是只放开 1436端口，如果低端口输入 1436，高端口输入 1440，就是放开 tcp 的 1436— 1440 的所有端口。 一条自定义服务可以放开多个端口。 项目节点实施方案 项目实施与管理文档 13 、添加安全规则： 包过滤规则：在“安全策略”――“安全规则”中点击 添加 按钮，类型选择包过滤，输入源地址和目的地址，选择相应的服务即可；例如，源地址输入，掩码 ，目的地址 ，掩码 ，服务选择 icmp 就是允许主机 ping ，关于这两台主机的其他类型数据包都被禁止掉。 在源地址和目的地址的下拉菜单里还可以选择在地址对象中定义好的地址对象和地址组，在服务里还可以选择自定义服务，例如前面举例的 tcp 1436 端口的服务 NAT 规则：在添加安全规则时，类型选择 nat，输入源地址，目的地址，服务，和源地址转换后的地址即可， nat 规则会把源地址转换为 安全设备 的一个地址，从而达到隐藏源地址的目的，例如，源地址 ，目的地址 ，服务选择前例定义好地 tcp_1436，源地址转换为选择 这样当 这台主机访问 的 tcp 1436 端口时， 安全设备 会把源地址转换成 ，这样就隐藏了 的真实地址。 IP 映射规则：在安全规则中类型选择 IP 映射，输入源地址，公开地址，和公开地址映射后的地址即可，公开地址是 安全设备 上的 IP，公开地址映射后的地址是内部主机地址 ，这样就可以通过访问 安全设备 IP 的方式访问内部主机，从而实现隐藏目的服务器地址的目的。 例如，源地址 ，公开地址 ，公开地址映射为 ，这样 这台主机只能通过访问 这个地址来访问 这台服务器。 这样就保护了 服务器的安全。 还可以把源地址也隐藏，例如在源地址中选择源地址转换为 ，这样就实现了源和目的地址双转换，同时隐藏了源地址和目的 地址。 端口映射规则：在安全规则中类型选择端口映射，输入源地址，公开地址，公开地址映射后的地址，对外服务，对外服务映射后的服务，例如，源地址 项目节点实施方案 项目实施与管理文档 14 ，公开地址 ，公开地址映射为 ，对外服务和对外服务映射为都选择前例定义好的 tcp_1436 端口，这样 这台工作站就可以通过访问 这个地址的 tcp 1436 端口来访问 的 tcp 1436 端口，还可以把源地址也隐藏，例如在源 地址中选择源地址转换为 ，这样就实现了源和目的地址双转换，同时隐藏了源地址和目的地址。 、配置高可用性： 配置 HA：在“高可用性” — “ HA 基本配置”中选择 HA 同步网口和 IP，注意，主墙和备墙的 IP 必须是在同一网段内的，而且只能有一台墙是控制节点。 主墙和备墙都要选择“自动配置同步”和“自动状态同步”，启用配置同步时 ,在安全策略中添加 允许另一台安全网关访问本安全网关 secgate_ha_conf 服务 的包过滤规则。 配置 VRRP：在“高可用性” — “路由模式 HA” — “ VRRP 实例”中 点击添加按钮，例如要添加一个 的虚拟 IP 地址，接口选择 GE2， VRID 10，虚拟 IP 地址 ,名称 MASTER，即可，注意 VRRP实例可以添加多个，但是 VRID 不能有重复的，而且主备墙的 VRRP 实例除了名称可以不一样之外，其他都。