114防火墙 施工作业指导书.docx
- 文档编号:8230509
- 上传时间:2023-01-30
- 格式:DOCX
- 页数:22
- 大小:159.06KB
114防火墙 施工作业指导书.docx
《114防火墙 施工作业指导书.docx》由会员分享,可在线阅读,更多相关《114防火墙 施工作业指导书.docx(22页珍藏版)》请在冰豆网上搜索。
114防火墙施工作业指导书
中国南方电网有限责任公司电网建设施工作业指导书第6部分:
变电自动化
103
第6部分:
变电自动化
防火墙
施工作业指导书
编码:
DLZDH-ZW-10
目次
1适用范围........................................................................93
2编写依据........................................................................93
3作业流程........................................................................94
4安全风险辨析与预控..............................................................94
5作业准备........................................................................94
6作业方法及质量控制措施..........................................................95
7质量控制点......................................................................98
1适用范围
本作业指导书适用于南方电网公司110kV及以上电压等级变电站自动化系统新建和改造项目的
安装调试和验收工作,扩建项目和其他电压等级变电站自动化系统的验收工作可参照执行。
2编写依据
下列文件中的条款通过本标准的引用而成为本标准的条款。
凡是注日期的引用文件,其随后所
有的修改单或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这
些文件的最新版本。
凡是不注日期的引用文件,其最新版本适用于本标准。
表2-1引用标准及规范名称
序号
标准及规范名称
颁发机构
1
《电子计算机场地通用规范》GB/T2887-2000
国家质量技术监督局
2
《计算机场地安全要求》GB9361-1988
中华人民共和国电子工业部
3
《电子计算机场地通用规范》GB/T2887-2000
国家质量技术监督局
4
《计算机场地安全要求》GB9361-1988
中华人民共和国电子工业部
5
《远动设备及系统第2部分工作条件第1篇:
电源
和电磁兼容性》GB/T15153.1-1998
国家质量技术监督局
6
《远动设备及系统第2部分工作条件第2篇:
环境
条件》GB/T15153.2-2000
国家质量技术监督局
7
《地区电网调度自动化系统》GB/T13730-2002
中华人民共和国国家质量监督
检验检疫总局
8
《计算机软件单元测试》GB/T15532-1995
国家技术监督局
9
《远动设备及系统接口(电气特性)》GB/T
16435.1-1996
国家技术监督局
10
《电磁兼容试验和测量技术》GB/T17626
国家质量技术监督局
11
《电气装置安装工程盘、柜及二次回路结线施工及验
收规范》GB50171-92
国家技术监督局
中华人民共和国建设部
12
《地区电网调度自动化设计技术规程》DL5002-1991
中华人民共和国能源部
13
《电力系统调度自动化设计技术规程》DL5003-1991
中华人民共和国能源部
14
《交流电气装置的接地》DL/T621-1997
中华人民共和国电力工业部
15
《220~500kV变电所计算机监控系统设计技术规程》
DL/T5149-2001
中华人民共和国经济贸易委员
会
16
《火力发电厂、变电所二次线设计技术规定》DL/T
5136-2001
中华人民共和国经济贸易委员
会
17
《500kV变电所保护和控制设备抗扰度要求》DL/Z
713-2000
中华人民共和国经济贸易委员
会
18
《南方电网220kV~500kV变电站计算机监控系统技术
规范》
中国南方电网有限责任公司
19
《南方电网电力二次系统安全防护管理规定》
中国南方电网有限责任公司
20
《南方电网电力二次系统安全防护技术规范》Q/CSG
110005-2012
中国南方电网有限责任公司
21
《南方电网变电站自动化系统验收规范》
中国南方电网有限责任公司
3作业流程
硬件配置检查访问控制功能检查
动态网络地址转换功能检查
IP与MAC地址绑定功能检查
应用层协议过滤功能检查
防火墙工作模式检查
流量管理功能检查
VLANTrunk支持功能检查
双机热备份功能检查
防火墙安全配置检查
管理员功能检查日志审计功能检查
配置信息管理功能检查
异常情况告警功能检查
攻击防御功能检查
网络层吞吐量测试
最大TCP新建速率测试
最大TCP并发连接数测试
应用层吞吐量测试
12小时稳定性测试
图3-1:
验收作业流程
4安全风险辨析与预控
4.1防火墙施工作业前,施工项目部根据该项目作业任务、施工条件,参照《电网建设施工安
全基准风险指南》(下简称《指南》)开展针对性安全风险评估工作,形成该任务的风险分析表。
4.2按《指南》中与防火墙施工相关联的《电网建设安全施工作业票》(编码:
DLZDH-ZW-10-01/01),结合现场实际情况进行差异化分析,确定风险等级,现场技术员填写安
全施工作业票,安全员审核,施工负责人签发。
4.3施工负责人核对风险控制措施,并在日站班会上对全体作业人员进行安全交底,接受交
底的作业人员负责将安全措施落实到各作业任务和步骤中。
4.4安全施工作业票由施工负责人现场持有,工作内容、地点不变时可连续使用10天,超过
10天须重新办理作业票,在工作完成后上交项目部保存备查。
表4-1作业任务安全基准风险指南
序号
危害名称
风险种类
风险等级
风险控制措施
1
对被测设备工作电源电压等级辨识不清
设备性能下降
低风险
工作前认真阅读防火墙用户手册
2
不熟悉测试仪器使用和测试方法,造成对被测设备功能、性能判断不准确
设备性能下降
可接受的风险
工作前进行相关培训,充分熟悉仪器使用和测试方法
3
测试板卡安装错误,测试仪启动后可能造成测试仪损坏
设备损坏
低风险
工作前仔细确认板卡是否安装牢固,测试仪启动过程中注意观察各指示灯情况
序号
危害名称
风险种类
风险等级
风险控制措施
4
带电插拔测试板卡造成测试仪损坏
设备损坏
低风险
插拔板卡前必须断开装置电源
5
防火墙ACL功能设置错误
被迫停运
低风险
1.测试前认真阅读用户手册,熟悉相关配置方法。
2.认真阅读用户手册,了解设备性能指标
5.作业准备
5.1人员配备
表5-1人员配备表
工序名称
建议工作人数
负责人数
监护人数
硬件配置检查
2
1
1
访问控制功能检查
2
1
1
动态网络地址转换功能检查
2
1
1
IP与MAC地址绑定功能检查
2
1
1
应用层协议过滤功能检查
2
1
1
防火墙工作模式检查
2
1
1
流量管理功能检查
2
1
1
VLANTrunk支持功能检查
2
1
1
双机热备份功能检查
2
1
1
防火墙安全配置检查
2
1
1
管理员功能检查
2
1
1
日志审计功能检查
2
1
1
配置信息管理功能检查
2
1
1
异常情况告警功能检查
2
1
1
攻击防御功能检查
2
1
1
网络层吞吐量测试
2
1
最大TCP新建速率测试
2
1
最大TCP并发连接数测试
2
1
注:
作业人数根据具体工程量规模配备。
5.2主要工器具及仪器仪表配置
表5-2主要工器具及仪器仪表配置表
序号
名称
规格/编号
单位
数量
备注
1
网络测试仪
台
1
2
测试辅助交换机
台
2
3
笔记本电脑
台
2
4
USB接口CONSOLE
线
条
1
5
试验用网线
个
若干
6
螺丝刀等常用试验工
具
个
若干
注:
主要工器具及仪器仪表根据具体工程量规模配备。
6作业方法及质量控制措施
序号
1
检验项目
硬件配置检查(W)
检验内容
检验方法
1.检查设备板卡和接口配置;
2.检查设备电源配备情况;
3.通过管理员界面或命令行查看设备
操作系统、软件版本、CPU和存储。
检验标准
满足《南方电网电力二次系统安全防护技术规范》Q/CSGXXXXXX
操作系统类型
和版本
电源数量
CPU类型与数量
存储类型与数
量
接口类型与数
量
2
访问控制功能检查(H)
访问控制功能检查
1.根据需求搭建测试环境;
2.防火墙工作在路由模式下;
3.使用测试仪发送数据流,观察数据
流在防火墙进行ACL相应配置下的通
过情况。
具有基本ACL和高级ACL访问控制功能
3
动态网络地址转换功能检查(H)
动态网络地址转换功能检查
1.根据需求搭建测试环境;
2.用测试仪接口模拟10个IP地址,
发送单向数据流;
3.在防火墙上配置网络地址转换池,
进行多对多网络地址转;
4.在测试仪数据流接收接口上抓包,
检查IP地址转换情况。
支持动态网络地址转换
4
5
IP与MAC地址绑定功能检查(H)
应用层协议过滤功能检查(H)
IP与MAC地址绑定功能检查
1.根据需求搭建测试环境;
2.将测试仪数据流发送接口IP地址同
另一非该接口MAC地址绑定,观察数
据流通过情况;
3.将测试仪数据流发送接口IP地址同
该接口MAC地址绑定,观察数据流通
过情况。
支持IP与MAC地址绑定
应用层协议过滤功能检查
1.使用2台PC分别作为客户端和服务
器连接至防火墙,在服务器装HTTP和
FTP软件,检验防火墙的相应过滤功
能;
2.具体包括:
HTTP:
1)URL过滤;
2)Javaapplet和Active过滤;
3)页面内容过滤。
FTP:
1)命令级的控制(put、get);
2)目录、文件访问控制。
3.将防火墙连接至互联网,验证防火
墙的SMTP过滤相关功能:
1)主题过滤;
2)正文过滤;
3)附带文件过滤;
4)地址过滤;
5)防止邮件炸弹;
6)限制邮件大小;
7)限制邮件转发。
支持HTTP、FTP和SMTP应用层协议过滤
6
防火墙工作模式检查(H)
防火墙工作模式检查
1.根据需求搭建测试环境;
2.检查防火墙是否支持交换工作模
式;
3.检查防火墙是否支持路由工作模
式。
支持路由和交换两种工作模式
7
流量管理功能检查(H)
流量管理功能检查
1.根据需求搭建测试环境;
2.使用测试仪发送单向数据流,检查
防火墙是否具有流量限速功能;
3.使用测试仪发送超过防火墙接口接
收能力(通过ACL或端口协商实现)
的数据流;
4.使用优先级机制保证单条数据流带
宽,观察数据流通过量。
支持流量限速和优先级功能
8
VLANTrunk支持功能检查(H)
VLANTrunk支持功能检查
1.根据需求搭建测试环境;
2.将交换机的一个接口设置为Trunk
模式同防火墙的一个接口相连;
3.使用2台PC机分别连接至交换机和
防火墙上,验证其连通性。
支持VLANTrunk
功能
9
双机热备份功能检查(H)
双机热备份功能检查
1.根据需求搭建测试环境;
2.验证防火墙能否实现双机热备切换
功能;
3.记录连接恢复过程中的切换时间和
丢包数。
支持双机热备份功能
10
防火墙安全配置检查(S)
防火墙安全配置检查
查看安全策略、网络服务、攻击防御和路由等配置信息。
防火墙安全配置
符合访问规则,不
存在冗余路由,未
开启高风险网络
服务。
11
管理员功能
检查(H)
管理员功能检
查
通过询问和查看,以及实际操作进行
检验。
能够设置管理员
等级和操作权限
12
日志审计功能检查(H)
日志审计功能检查
1.查阅日志信息,检查日志审计工具;
2.分别进行登录/退出防火墙、启动/
停止系统功能、配置安全规则、配置
审计功能等操作,检查日志信息;
3.生成恶意事件,发送验证业务流,
检查受监控通信过程的日志记录信
息。
支持日志审计功能
13
配置信息管
理功能检查
(H)
配置信息管理功能检查
检查防火墙上的配置信息、过滤规则
是否可以方便地下载并保存在PC上,
可上载备份的配置信息和过滤规则。
能够对防火墙配置信息进行管理
14
异常情况告
警功能检查
(H)
异常情况告警功能检查
1.设置防火墙的报警触发条件;
2.生成报警事件,检查报警效果;
3.根据测试表格要求,完成上述测试。
对防火墙运行异
常情况有告警提
示功能
15
攻击防御功能检查(H)
攻击防御功能检查
1.防火墙关闭相应的攻击防范功能;
2.检查攻击包是否能通过防火墙,检
查防火墙的CPU使用率;
3.防火墙开启相应的攻击防范功能;
4.检查攻击包是否能通过防火墙,攻
击时防火墙是否能告警相应的攻击类
型,检查防火墙的CPU使用率。
能够抵御常见的网络攻击
16
网络层吞吐量测试(H)
网络层吞吐量测试
1.开启防火墙功能,工作在透明模式
下;
2.防火墙配置一条全通策略;
3.测试仪发送双向UDP数据流;
4.30s测试,测试粒度为0.5%;
5.分别使用64B、128B、256B、512B、
1024B、1280B、1518B长度的帧进行测试
百兆防火墙≥
100Mb
千兆防火墙≥
1000Mb
。
17
最大TCP新建速率测试(H)
最大TCP新建速率测试
1.开启防火墙功能,工作在透明模式
下;
2.防火墙配置一条全通策略;
3.使用测试仪发送HTTP1.1数据流,
每个HTTP连接请求64B页面,测试防
火墙每秒最大TCP新建连接数(含1
条规则和500条规则)。
百兆防火墙>
3000连接/秒
千兆防火墙>
20000连接/秒
18
最大TCP并发连接数测试(H)
最大TCP并发连接数测试
1.开启防火墙功能,工作在透明模式
下;
2.防火墙配置一条全通策略;
3.Avalanche向Reflector发送
HTTP1.1数据流,每个HTTP连接请求
64B页面,测试防火墙最大TCP并发连
接数(含1条规则和500条规则)。
百兆防火墙>
200000
千兆防火墙>
1000000
7质量控制措施及检验标准
7.1质量控制措施
7.1.1严格按照施工图设计、施工组织设计方案和相关技术要求进行施工。
7.1.2设备到货验收时,要核实设备型号、出厂质量合格证、出厂测试记录、并按要求格式作书面记录。
7.1.3自动化系统及其设备的配置满足南方电网变电站自动化系统技术规范要求。
7.1.4严格按设备标识规范进行标识工作。
7.1.5严格按南方电网变电站自动化系统相关技术标准和验收标准,并通过规约联调、四遥试验、失压试验、雪崩处理能力验证、对时精度测试等检查项目验证变电站综合自动化系统功能的正确性。
7.1.6施工过程中发现设备存在质量问题应马上停止施工,填写设备缺陷通知单,及时报告各有关单位共同解决,并按要求格式形成书面记录和存档。
7.1.7工程竣工验收后,施工单位应提供设备数码照片。
7.2质量控制点表
表7-2质量控制点表
序号
控制点
控制方式
W
H
S
1
防火墙
●
注:
质量控制点中H:
停工待检;W:
见证点;S:
旁站点
7.3检验标准
质量检验按《10kV~500kV输变电及配电工程质量验收与评定标准第6册:
变电自动化工程》
中的Q/CSG表6-1.1.10、附件10.1要求执行。
附件1安全施工作业票
编码:
DLZDH-ZW-10-01/01
工作时间
工作地点
技术员
现场安全员
现场负责人
安全风险分析及控制措施
序号
危害名称
风险种类
风险等级
风险控制措施
1
对被测设备工作电源电压等级辨识不清
设备性能下降
□低风险
现场作业应严格执行相关安全规程及安全技术措施,并重点关注但不限于以下措施:
□工作前认真阅读防火墙用户手册。
□工作前进行相关培训,充分熟悉仪器使用和测试方法。
□工作前仔细确认板卡是否安装牢固,测试仪启动过程中注意观察各指示灯情况。
□插拔板卡前必须断开装置电源。
□测试前认真阅读用户手册,熟悉相关配置方法。
□认真阅读用户手册,了解设备性能指标
2
不熟悉测试仪器使用和测试方法,造成对被测设备功能、性能判断不准确
设备性能下降
□可接受的风险
3
测试板卡安装错误,测试仪启动后可能造成测试仪损坏
设备损坏
□低风险
4
带电插拔测试板卡造成测试仪损坏
设备损坏
□低风险
5
防火墙ACL
功能设置错误
被迫停运
□低风险
安全补充事项/平面布置图
现场接受交底人员签名
备注
说明:
(一)本票由现场技术员填写,现场安全员审核,现场负责人签发生效。
现场负责人开工前核对风险控制
措施并宣读。
(二)工作内容、地点、安全措施不变时本票最长可使用十天,否则应重新办票,用后上交备查;当人
员发生变更时,应在备注栏记录变更情况。
对新增人员进行交底,并签名确认。
(三)应根据现场条件、范围和环境,
补充安全事项或平面布置图。
(四)当风险等级与基准风险等级不一致时,项目部应组织相关人员重新进行风险评估
并制定措施。
(五)基准风险等级与风险控制措施在开工前现场打“√”。
(六)签名不齐全(含代签名的)均作废票
处理。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 114防火墙 施工作业指导书 114 防火墙 施工 作业 指导书