启明星辰USG防火墙(p系列)实施方案(V2.6).doc
- 文档编号:99912
- 上传时间:2022-10-03
- 格式:DOC
- 页数:27
- 大小:729.50KB
启明星辰USG防火墙(p系列)实施方案(V2.6).doc
《启明星辰USG防火墙(p系列)实施方案(V2.6).doc》由会员分享,可在线阅读,更多相关《启明星辰USG防火墙(p系列)实施方案(V2.6).doc(27页珍藏版)》请在冰豆网上搜索。
启明星辰USG防火墙(P系列)
实施方案
2014年9月
文档信息
文档名称
启明星辰USG防火墙(P系列)实施方案_20140930
保密级别
公开
文档版本编号
V1.2
拟定人
拟定日期
复审人
复审日期
批准人
批准日期
更改记录
日期
修改章节
类型*
修改描述
修改人
2011-3-31
C
模板建立
张雷
2013-5-23
M
文档编写
徐伟
2014-09-30
M
文档编写
许伟健
*修改类型分为C-CREATEDM-MODIFIEDD-DELETED
目录
1 项目概述 4
1.1 项目背景 4
1.2 建设目标 4
2 项目管理 4
2.1 项目组织 4
2.2 分工界面 4
2.3 实施计划 5
3 项目实施 6
3.1 基本网络结构 6
3.2 实施需求 6
3.2.1 设备需求 6
3.2.2 网络需求 7
3.2.3 人员需求 8
3.2.4 策略需求 8
3.3 系统部署示意图 8
3.4 安装部署规划 8
3.4.1 IP地址规划 8
3.4.2 端口连接规划 8
3.4.3 设备物理位置规划 9
3.4.4 设备电源规划 9
4 实施步骤 9
4.1 确认实施环境 9
4.2 到货及加电验收 9
4.3 安装调试 9
4.3.1 设备安装 9
4.3.2 最简单的安装案例 11
4.4 现场培训 16
4.5 系统联调 16
4.6 项目初验 16
4.7 项目终验 16
5 项目培训 16
5.1 培训内容 16
5.2 培训方式 17
5.3 培训流程 18
5.4 培训文档 18
5.5 培训计划 18
5.6 培训考核 19
6 项目实施风险及常见问题 21
6.1 风险应对 21
6.2 常见问题及解决方法 21
6.2.1 CPU高 21
6.2.2 内存高 21
6.2.3 网络异常 22
6.2.4 SYSLOG日志失效 22
6.2.5 SSL隧道协商失败 22
6.2.6 如何登录到安全设备管理界面?
23
6.2.7 配置安全设备USG防火墙(P系列)的基本过程是怎样的?
23
6.2.8 哪些应用可以和用户认证结合使用?
24
6.2.9 “物理设备”,“VLAN设备”,“桥接设备”,“别名设备”,“冗余设备”,“拨号设备”,“无线设备”和“3G设备”的定义是怎样的,之间有什么区别与联系?
25
6.2.10 为什么有些需要输入时间、地址、网络接口和服务的下拉框为空?
26
6.2.11 资源定义>>地址资源>>地址池列表中定义的地址池资源是如何生效的?
26
6.2.12 为什么选择了按网口探测网络上的MAC地址会探测不到内容?
26
6.2.13 如何配置安全网关特征升级服务器 26
6.2.14 为什么系统启动后会听到“嘟嘟嘟”三声?
27
1项目概述
1.1项目背景
**单位外网防火墙于2012年6月建设完成,2013年初开始试运行,目前已进入正式运行阶段。
自防火墙建成并投入使用以来,网络访问控制系统得到加强。
1.2建设目标
通过本次项目实施,完善加强网络的访问控制系统,增强对服务器和各个区域边界的防护。
2项目管理
2.1项目组织
本项目的实施组织工作由xx领导组统一领导
2.2分工界面
在本项目实施过程中有三方参与该项目
序号
类别
职责
1
项目领导小组
l对项目实施过程中的重大问题进行决策
2
项目管理小组
l为项目提供项目管理工作
l项目进度控制
l项目进展协调
3
项目执行小组
l为项目进行设备采购
l为项目提供安装调试集成
l为项目提供培训
l为项目提供服务支持
3.2
培训小组
l对项目相关人员进行产品和技术培训
3.3
安装调试小组
l对项目集成实施
4
服务支持小组
l为项目使用的产品提供技术支持
l为产品紧急故障准备产品备品、备件
5
质量审核小组
l对各项目执行小组提交的文档进行审核
6
后勤支持小组
l对项目实施人员进行各个方面的后勤支持
l负责与客户的沟通与协调工作
2.3实施计划
项目实施工作计划如下。
时间
工作内容
实施环境调查
货品到货验收
网络布线
硬件设备上架
硬件设备接入网络
安装管理控制中心
设备配置和调试
策略配置和调试
产品现场培训
项目测试
项目验收
3项目实施
3.1基本网络结构
3.2实施需求
3.2.1设备需求
l设备硬件环境需求:
a)环境要求:
86-106KPa
b)温度(摄氏)(工作):
0-40摄氏度
c)温度(摄氏)(非工作):
0-50摄氏度
d)相对湿度(非凝结)(工作):
5%-80%
e)相对湿度(非凝结)(非工作):
5%-95%
f)电磁兼容性:
通过GB9254-1998A级
l安全集中管理系统设备需求:
a)安全集中管理系统服务器系统运行环境:
硬件环境PC服务器/PentiumIVCPU/2G内存
软件环境Windows2000/WindowsXP/Windows2003/WindowsVista/Windows7/Windows2008操作系统
b)管理员客户端:
硬件环境PC机或笔记本/PentiumIICPU/512M内存
软件环境IE6.0及以上版本、Mozilla5.0及以上版本浏览器,最佳显示分辨率为1024×768。
c)数据库服务器(建议使用)
硬件环境:
PC服务器/PentiumIVCPU/4G内存/500G硬盘
软件环境:
Windows2000/WindowsXP/Windows2003/WindowsVista/Windows7/Windows2008操作系统,MSSQLServer2000
注:
该服务器可与安全集中管理系统服务器同台。
3.2.2网络需求
各组件之间开放端口如下:
序号
源IP→目的IP
目的
端口
协议
用途
备注
1
PC客户端→防火墙
8889
TCP
https访问web(证书)
必选
2
PC客户端→防火墙
8888
TCP
https访问web(钥匙)
可选
3
PC客户端→防火墙
22
TCP
ssh访问防火墙
可选
4
PC客户端→防火墙
23
telnet
telnet访问防火墙
可选
5
PC客户端→安全集中管理系统
80
TCP
http访问web
可选
6
PC客户端→安全集中管理系统
8888
TCP
https访问web
必选
7
防火墙→安全集中管理系统
514
UDP
发syslog信息
必选
8
防火墙→安全集中管理系统
162
UDP
发送SNMPtrap信息
必选
9
安全集中管理系统→防火墙
161
UDP
发送SNMP信息
必选
3.2.3人员需求
(甲方的人员配合)
3.2.4策略需求
为避免部署防火墙时影响业务系统的正常运行,需要提前填写流经防火墙具体的业务系统名称及业务系统需要开放的端口。
策略调查表如下:
序号
源区域
源IP
目的区域
目的IP
服务
动作
1
10.1.5.254:
8888
Any
Any
prmit
3.3系统部署示意图
根据实际的部署情况,画出网络拓扑,并标识防火墙的接入方式。
3.4安装部署规划
3.4.1IP地址规划
接口
IP地址
模式
ETH0
10.1.5.254:
8889
路由模式
3.4.2端口连接规划
本端接口
对端接口
ETH1
SW2950_G1
3.4.3设备物理位置规划
设备名
物理位置
防火墙_主
A3机柜_1
防火墙_备
B3机柜_1
3.4.4设备电源规划
4实施步骤
4.1确认实施环境
在项目开始实施之前,确认硬件环境是否符合实施要求。
4.2到货及加电验收
根据合同要求,需要对送达现场的产品进行到货验收
4.3安装调试
在本项目实施过程中,安装调试工作的主要内容包括,设备防火墙的安装与配置和集中管理中心的安装与配置。
4.3.1设备安装
安装调试工作,包括登录设备,完成基本配置。
a)证书导入
打开IE浏览器,选择INTERNET选项----》内容----》证书----》导入证书----》为私钥键入密码:
hhhhhh
导入成功如下图:
b)防火墙登陆方式
首次登陆防火墙,默认管理口为从左边数第二个口即USB右边第一个口。
防火墙管理口默认IP:
10.1.5.254/25;
管理PC必须配置IP地址为:
10.1.5.200
访问方式:
https:
//10.1.5.254:
8889
用户名:
administrator密码:
bane@7766
c)基本配置
根据用户的实际需求,确定防火墙工作模式,配置路由、安全策略
工作模式:
透明、路由、混合模式
接口配置、安全策略配置
4.3.2最简单的安装案例
(防火墙的安装配置较其他产品更加复杂多变,有多种配置方式。
安全策略,NAT策略,端口映射,IP映射策略等也因实施环境不同而不同。
系类文档中提供有典型安装案例和用户手册。
请认真阅读后实施。
新手请在老员工的指导下完成实施任务。
)
4.3.2.1环境描述
场景一:
内网终端通过网络边界路由器访问外网。
现用户在接入层交换机和边界路由器之间部署FW,对内网终端与外网通信进行安全访问控制。
网络拓扑如下图场景一所示:
场景二:
在服务器区交换机与核心交换机之间部署FW,针对服务器的访问数据进行安全访问控制,网络拓扑如下图场景二所示:
单链路单vlan场景-1单链路单vlan场景-2
拓扑设计说明:
二层交换机没有任何配置,FW为透明接入,路由器连接Internet(核心交换机/汇聚交换机连接其他网络)。
上面的拓扑设计和配置对FW的部署基本相同,讲解以场景一的拓扑为主。
4.3.2.2需求
不改变网络的现有结构下,部署FW,实现对经过FW的数据进行安全访问控制。
4.3.2.3解决方法
透明方式接入FW,实现不改变网络现在结构接入设备。
通过安全策略实现对地址、服务等进行放通或拒绝。
4.3.2.4配置步骤
a.配置透明桥
(1)将物理接口指定为透明模式,并且启用,默认为路由模式,不启用。
如下图所示:
(2)新建一个透明桥,将连接交换机和路由器的两个接口加入到此透明桥,启用;可以不配置IP地址,在高级选项中开启STP,如下图所示:
b.配置安全策略
按用户要求配置安全策略,状态检测FW,策略只配单向即可,需要先新建地址和服务。
安全策略按序号从小到大匹配,定义时序号数据重复为插入关系,其他策略后移一个序号。
命令行
addressaddname192-168-2-0ip192.168.2.0
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 启明 星辰 USG 防火墙 系列 实施方案 V2