防火墙安装调试方案

实施方案

1、项目概况

山东分公司所属河口、寿光、昌邑、羊口、即墨、楮岛、海阳风电场，每 个风场两台，共计 14 台天气预报防火墙设备采购、运输、安装、调试及一年质 保工作，用于满足自动化应用系统安全需求。

2、服务范围、服务内容

2.1 供货范围

本工程的供货范围见表 2-1 所示。

表 2-1 供货需求一览表

序号 1 2 设备名称 防火墙设备 其他安装附件 单位 套 数量 14 备注 2.2 工作范围

供货商的工作范围包括：

a) 提供合同内所有硬件设备和软件，并保证系统完全符合最终技术规范的 要求。

b) 提供所需的系统技术资料和文件，并对其正确性负责。

c) 提供所有合同设备的备品备件和安装、维护所需的专门工具和试验仪器 仪表（包括调整、测试和校核）。

d) 负责进行工厂验收，将设备运输（含搬运至指定位置）、安装在现场(设 备机房)以及现场调试直至成功地投入运行。

e) 负责提出设备对供电、接地、消防、运行环境及安装等要求。 f) 负责完成与买方另外购买的其它设备接口连接调试工作。

g) 负责现场勘察，与风场协调、确定设备安装位置，制定设备安装、调试

计划。

h) 负责编制试验、验收的计划报告。

i) 在两年保修期内提供必要的保修服务，卖方应保证及时免费维修或更换 任何并非有买方人员非正常操作而导致的缺陷或故障，并应提供限时到达 现场的维修服务。

j) 由我公司进行安装调试，并提供售后服务。 k) 技术培训。

l) 按合同要求为买方提供必要其它的服务。

3、服务依据、工作目标；

3.1 服务依据

《信息技术设备的安全》 GB4943－2001

《建筑物电子信息系统防雷技术规范》GB50343-2004 《环境电磁卫生标准》 GB5175-88 《电磁辐射防护规定》 GB8702-88

《电气装置安装工程施工及验收规范》 GB50254-96 《电气装置安装工程施工及验收规范》 GB50255-96

3.2 工作目标

本工程计划工期 30 日历天，质量执行国家现行验收标准及要求，达到合格 标准，严格执行安全措施，达到安全零事故。

4、服务机构设置、岗位职责

4.1 服务机构设置

**设立两个服务小组，随时调遣工作。

机构包括服务主管、调度员、市场信息收集员、三包配件管理员、配件鉴 定员等。

下图为我公司的服务机构架构图：

服务主管

服务1部 市场信息调度员 收集员 服务部 三包配件 管理员 服务2部 配件鉴定 员 技术员 4.2 岗位职责

1、服务主管：

a．分管售后服务全面工作，根据公司实际情况完善售后服务体系及制定 售后服务工作计划。

b．对售后服务人员进行监督和评审，确保公司的各类规章制度在所管理 区域内得到落实。

c．解决售后服务纠纷及突发事件的处理工作。

d．安排销售部门或专职人员做好回访工作，保证质量。 e．受理客户投诉等客户关系维护与管理工作。

f．分析与整理售后服务反馈的资料、信息等整理后报主管领导并通知到 相关部门。

g．对员工进行售后服务规范的培训工作。

h．配合销售部门做好用户售前、售中、售后现场培训工作。 i．完成上级领导临时交办的工作。 2、调度员：

a．制定详细服务方案和配件投放计划。

b．综合管理与协调服务调度、现场督导、三包鉴定、服务稽查、信息服

务、三包配件管理与配送、用户进厂维修等各项工作。

b．服务车辆农忙期间及日常管理，包含服务区域、行驶路线、费用登记

审核等。

d．负责外出服务人员需报销费用的审核。

e．对服务站及外派服务人员服务效果做综合评价，监督并督促提升服务

质量。

f．调度各区域人员、整合车辆等各种服务资源进行现场抢修服务。 g．对疑难问题、重大问题及时进行汇报；

h．服务人员的服务效果评价和考核、服务补贴的兑现。 i．服务站日常管理及服务费的逐个审核、兑现。 i．完成上级领导临时交办的工作。 （3）市场信息收集员：

A．根据用户报修电话记录对用户进行电话回访，对相关费用进行核查。 b．负责服务信息收集、重点质量问题统计。

c．实时了解市场服务动态，搜集同行业产品服务和质量信息，为公司服

务决策和产品质量提供信息支撑。

d．负责督促各销售区域回传用户档案，并对建立健全用户档案负责。 e．完成上级领导临时交办的工作。 （4） 配件管理员职责：

a．负责各经销网点、外派服务队、驻点服务人员往来帐目的管理，以及

三包配件日常业务的办理。

b．负责组织经公司、部门领导审批后的三包配件计划的发送。 c．负责三包配件的回收管理，部件往来帐目的核对。 d．在农忙季节，协助服务主管制定配件需求计划。 e. 完成本部门领导临时安排的相关工作任务。

f. 对所发三包配件的型号、数量、目的地等准确性负责。 （5） 维修管理员职责：

a．负责售后维修中心场地管理与设备正常运转。 b．合理配备维修人员。

c．确定维修方案，督促维修进度，监督维修质量。 d．完成上级领导临时交办的工作。

（6） 鉴定员职责：

a．办理用户、服务人员、销售网点返厂三包旧件的鉴定退库。 b．对出现的质量问题进行统计汇总。 （7）技术员岗位职责

1) 精通计算机网络建设与开发、熟练网络安全技术、路由器、交换机等配

置，对国家信息建设有较深认识，熟悉国家互联网法规及相关制度、办 法。

2) 有一定的职业敏锐度，能及时把握各种软硬件的市场行情及行业信息。

5、拟投入人员、仪器设备；

5.1 拟投入人员

我单位将配备技术力量雄厚的施工团队为此项目服务。具体安排如下：

序号 1 2 4 职务 项目经理 技术负责人 技术员 数量 1 人 1 人 2 人

规格 MS8217 500V K140-1 I.D.PRO 541TG ST8001 JW-4 ZC-8 NF2511A 数量 5 1 4 1 1 1 2 1 1 国别产地 中国 中国 中国 中国 中国 中国 中国 中国 中国 制造年份 2017 2017 2017 2017 2016 2016 2016 2016 2016

5.2 拟投入仪器设备

序号 1 2 3 4 5 6 7 8 9 机械或设备名称 数字万用表 兆欧表 剥线器 线号标识机 信号发生器 示波器 直流稳压电源 接地电阻测试器 绝缘电阻测试器 10

11 12

无线对讲机

MOTOROL

A

2

中国 2017

工程车 国产 1 中国 2016 手提电脑 SONY 1 中国 2017 注：在合同实施过程中，施工机械投入满足工程的实际需要。

6、针对性工作方案

6.1 拓扑图

GE 0/0/1：10.10.10.1/24 GE 0/0/2：220.10.10.16/24 GE 0/0/3：10.10.11.1/24

WWW 服务器：10.10.11.2/24（DMZ 区域） FTP 服务器：10.10.11.3/24（DMZ 区域）

6.2 Telnet 配置

配置 VTY 的优先级为 3，基于密码验证。 # 进入系统视图。 system-view # 进入用户界面视图

[USG5300] user-interface vty 0 4

# 设置用户界面能够访问的命令级别为 level 3 [USG5300-ui-vty0-4] user privilege level 3 配置 Password 验证

# 配置验证方式为 Password 验证

[USG5300-ui-vty0-4] authentication-mode password # 配置验证密码为 lantian

[USG5300-ui-vty0-4] set authentication password simple lantian 版本的命令是 authentication-mode password cipher huawei@123

配置空闲断开连接时间

###最新

# 设置超时为 30 分钟

[USG5300-ui-vty0-4] idle-timeout 30

[USG5300] firewall packet-filter default permit interzone untrust local direction inbound //不加这个从公网不能 telnet 防火墙。

基于用户名和密码验证

user-interface vty 0 4 authentication-mode aaa aaa

local-user admin password cipher ]MQ;4\\]B+4Z,YWX*NZ55OA!! local-user admin service-type telnet local-user admin level 3

firewall packet-filter default permit interzone untrust local direction inbound

如果不开放 trust 域到 local 域的缺省包过滤，那么从内网也不能 telnet 的防 火墙，但是默认情况下已经开放了 trust 域到 local 域的缺省包过滤。

6.3 地址配置

内网：进入 GigabitEthernet 0/0/1 视图

[USG5300] interface GigabitEthernet 0/0/1

配置 GigabitEthernet 0/0/1 的 IP 地址

[USG5300-GigabitEthernet0/0/1] ip address 10.10.10.1 255.255.255.0

配置 GigabitEthernet 0/0/1 加入 Trust 区域

[USG5300] firewall zone trust

[USG5300-zone-untrust] add interface GigabitEthernet 0/0/1

[USG5300-zone-untrust] quit

：

进入 GigabitEthernet 0/0/2 视图

[USG5300] interface GigabitEthernet 0/0/2

配置 GigabitEthernet 0/0/2 的 IP 地址

[USG5300-GigabitEthernet0/0/2]

ip address 220.10.10.16

255.255.255.0

配置 GigabitEthernet 0/0/2 加入 Untrust 区域

[USG5300] firewall zone untrust

[USG5300-zone-untrust] add interface GigabitEthernet 0/0/2

[USG5300-zone-untrust] quit

DMZ：

进入 GigabitEthernet 0/0/3 视图

[USG5300] interface GigabitEthernet 0/0/3

配置 GigabitEthernet 0/0/3 的 IP 地址。

[USG5300-GigabitEthernet0/0/3] ip address 10.10.11.1

255.255.255.0

[USG5300] firewall zone dmz

[USG5300-zone-untrust] add interface GigabitEthernet 0/0/3[USG5300-zone-untrust] quit

6.4 防火墙策略

本地策略是指与 Local 安全区域有关的域间安全策略，用于控制外界与设 备本身的互访。

域间安全策略就是指不同的区域之间的安全策略。

域内安全策略就是指同一个安全区域之间的策略，缺省情况下，同一安全 区域内的数据流都允许通过，域内安全策略没有 Inbound 和 Outbound 方向的区 分。

策略内按照 policy 的顺序进行匹配，如果 policy 0 匹配了，就不会检测

policy 1 了，和 policy 的 ID 大小没有关系，谁在前就先匹配谁。

缺省情况下开放 local 域到其他任意安全区域的缺省包过滤，方便设备自身 的对外访问。其他接口都没有加安全区域，并且其他域间的缺省包过滤关闭。 要想设备转发流量必须将接口加入安全区域，并配置域间安全策略或开放缺省 包过滤。

安全策略的匹配顺序：

每条安全策略中包括匹配条件、控制动作和 UTM 等高级安全策略。 匹配条件

安全策略可以指定多种匹配条件，报文必须同时满足所有条件才会匹配上 策略。

比如如下策略

policy 1

policy service service-set dns policy destination 221.2.219.123 0 policy source 192.168.10.1

在这里 policy service 的端口 53 就是指的是 221.2.219.123 的 53 号端口，可 以说是目的地址的 53 号端口。

域间可以应用多条安全策略，按照策略列表的顺序从上到下匹配。只要匹 配到一条策略就不再继续匹配剩下的策略。如果安全策略不是以自动排序方式 配置的，策略的优先级按照配置顺序进行排列，越先配置的策略，优先级越高，

越先匹配报文。但是也可以手工调整策略之间的优先级。缺省情况下，安全策 略就不是以自动排序方式。如果安全策略是以自动排序方式配置的，策略的优

先级按照策略 ID 的大小进行排列，策略 ID 越小，优先级越高，越先匹配报文。 此时，策略之间的优先级关系不可调整。policy create-mode auto-sort enable 命 令用来开启安全策略自动排序功能，默认是关闭的。

如果没有匹配到安全策略，将按缺省包过滤的动作进行处理，所以在配置 具体安全策略时要注意与缺省包过滤的关系。例如安全策略中只允许某些报文 通过但是没有关闭缺省包过滤，将造成那些没有匹配到安全策略的流量也会通 过，就失去配置安全策略的意义了。

同样，如果安全策略中只配置了需要拒绝的流量，其他流量都是允许通过 的，这时需要开放缺省包过滤才能实现需求，否则会造成所有流量都不能通过。

执行命令 display this 查看当前已有的安全策略，策略显示的顺序就是策略 的匹配顺序，越前边的优先级越高

执行命令 policy move policy-id1 { before | after } policy-id2，调整策略优先

级。

UTM 策略

安全策略中除了基本的包过滤功能，还可以引用 IPS、AV、应用控制等

UTM 策略进行进一步的应用层检测。但前提是匹配到控制动作为 permit 的流量 才能进行 UTM 处理，如果匹配到 deny 直接丢弃报文。

安全策略的应用方向

域间的 Inbound 和 Outbound 方向上都可以应用安全策略，需要根据会话的 方向合理应用。因为 USG 是基于会话的安全策略，只对同一会话的首包检测， 后续包直接按照首包的动作进行处理。所以对同一条会话来说只需要在首包的 发起方向上，也就是访问发起的方向上应用安全策略。

如上图所示，Trust 域的 PC 访问 Untrust 域的 Server，只需要在 Trust 到 Untrust 的 Outbound 方向上应用安全策略允许 PC 访问 Server 即可，对于 Server 回应 PC 的应答报文会命中首包建立的会话而允许通过。 6.4.1 Trust 和 Untrust 域间：允许内网用户访问公网

策略一般都是优先级高的在前，优先级低的在后。

policy 1：允许源地址为 10.10.10.0/24 的网段的报文通过 配置 Trust 和 Untrust 域间出方向的防火墙策略。

//如果不加 policy source

就是指 any，如果不加 policy destination 目的地址就是指 any。

[USG5300] policy interzone trust untrust outbound

[USG5300-policy-interzone-trust-untrust-outbound] policy 1

[USG5300-policy-interzone-trust-untrust-outbound-1]

policy source

10.10.10.0 0.0.0.255

[USG5300-policy-interzone-trust-untrust-outbound-1] action permit

[USG5300-policy-interzone-trust-untrust-outbound-1] quit

如果是允许所有的内网地址上公网可以用以下命令：

[USG2100]firewall packet-filter default permit interzone trust untrust direction outbound

//必须添加这条命令，或者 firewall packet-filter default permit all，但

是这样不安全。否则内网不能访问公网。

注意：由优先级高访问优先级低的区域用 outbound，比如 policy

interzone trust untrust outbound。这时候 policy source ip 地址，就是指 的优先级高的地址，即 trust 地址，destination 地址就是指的 untrust 地址。

只要是 outbound，即使配置成 policy interzone untrust trust outbound 也 会变成 policy interzone trust untrust outbound。

由优先级低的区域访问优先级高的区域用 inbound，比如是 policy interzone untrust trust inbound，为了保持优先级高的区域在前，优先级低 的区域在后，命令会自动变成 policy interzone trust untrust inbound，这 时候 policy source ip 地址，就是指的优先级低的地址，即 untrust 地址， destination 地址就是指的优先级高的地址，即 trust 地址。

总结：outbount 时，source 地址为优先级高的地址，destination 地址为优先级低的地址。 inbount 时，source 地址为优先级低的地址，destination 地址为优先级高的地址

配置完成后可以使用 display policy interzone trust untrust 来查看策 略。

6.4.2 DMZ 和 Untrust 域间：从公网访问内部服务器

policy 2：允许目的地址为 10.10.11.2，目的端口为 21 的报文通过 policy 3：允许目的地址为 10.10.11.3，目的端口为 8080 的报文通过 配置 Untrust 到 DMZ 域间入方向的防火墙策略，即从公网访问内网服务器 只需要允许访问内网 ip 地址即可，不需要配置访问公网的 ip 地址。

注意：在域间策略里匹配的顺序和 policy 的数字没有关系，他是从前往后 检查，如果前一个匹配就不检查下一条了，假如先写的 policy 3 后写的 policy 2，那么就先执行 policy 3 里的语句，如果 policy 3 里和 policy 2 里 有相同的地址，只要上一个匹配了就不执行下一个一样的地址了。

举例说明：policy 2 里允许 192.168.0.1 通过，policy 3 里拒绝 192.168.0.1 通过，哪个 policy 先写的就执行哪个。

[USG5300] policy interzone untrust dmz inbound [USG5300-policy-interzone-dmz-untrust-inbound] policy 2 [USG5300-policy-interzone-dmz-untrust-inbound-2] 10.10.11.3 0policy

destination

[USG5300-policy-interzone-dmz-untrust-inbound-2] policy service service-set ftp

[USG5300-policy-interzone-dmz-untrust-inbound-2] action permit [USG5300-policy-interzone-dmz-untrust-inbound-2] quit [USG5300-policy-interzone-dmz-untrust-inbound] policy 3 [USG5300-policy-interzone-dmz-untrust-inbound-3] 10.10.11.2 0

[USG5300-policy-interzone-dmz-untrust-inbound-3] policy service service-set http

[USG5300-policy-interzone-dmz-untrust-inbound-3] action permit [USG5300-policy-interzone-dmz-untrust-inbound-3] quit [USG5300-policy-interzone-dmz-untrust-inbound] quit

policy destination

应用 FTP 的 NAT ALG 功能。

[USG5300] firewall interzone dmz untrust [USG5300-interzone-dmz-untrust] detect ftp [USG5300-interzone-dmz-untrust] quit 在 USG5300 支持

FTP、HTTP、H.323、HWCC、ICQ、MSN、PPTP、QQ、RTSP、SIP、MGCP 、SQL.NET、NETBIOS、MMS 等协议的会话时，需要在域间启动 ALG 功能

配置 NAT ALG 功能与配置应用层包过滤（ASPF）功能使用的是同一条命 令。所以如果已经在域间配置过 ASPF 功能的话，可以不需要再重复配置 NAT ALG 功能。

两者的区别在于：

###优先级高的区域在前

 ASPF 功能的目的是识别多通道协议，并自动为其开放相应的包过

滤策略。

 NAT ALG 功能的目的是识别多通道协议，并自动转换报文载荷中

的 IP 地址和端口信息。

在域间执行 detect 命令，将同时开启两个功能。

配置内部服务器：

system-view

[USG5300] nat server protocol tcp global 220.10.10.16 8080 inside 10.10.11.2 www

[USG5300] nat server protocol tcp global 220.10.10.17 ftp inside 10.10.11.3 ftp 6.4.3 NAT 策略

Trust 和 Untrust 域间：

如果是同一个区域，比如 trust 到 trust 就是域内。

基于源 IP 地址转换方向

Outbound 方向：数据包从高安全级别流向低安全级别 Inbound 方向：数据包从低安全级别流向高安全级别 高优先级与低优先级是相对的

根据基于源 IP 地址端口是否转换分为 no-pat 方式和 napt 方式。 No-PAT 方式：用于一对一 IP 地址转换，不涉及端口转换 NAPT 方式：用于多对一或多对多 IP 地址转换，涉及端口转换 1、通过地址池的方式

policy 1：允许网段为 10.10.10.0/24 的内网用户访问 Internet 时进行源地址 转换,采用公网地址池的形式。

配置地址池

[USG5300]nat address-group 1 220.10.10.16 220.10.10.20

配置 Trust 和 Untrust 域间出方向的策略

[USG5300] nat-policy interzone trust untrust outbound

[USG5300--policy-interzone-trust-untrust-outbound] policy 1

[USG5300- nat-policy -interzone-trust-untrust-outbound-1] policy

source

10.10.10.0 0.0.0.255

[USG5300- nat-policy -interzone-trust-untrust-outbound-1] action source-nat

[USG5300- nat -policy-interzone-trust-untrust-outbound-1] address-group 1[no pat]

如果是基于接口的 nat 转换可以不用配置地址池，直接在 nat-policy interzone trust untrust outbound 里配置 eary-ip 接口

这里的 policy

source 指的是 trust 地址，nat 转换成 untrust 地址，如果是

nat-policy interzone trust untrust inbound，源地址就是指 untrust 地址，转换成 trust 地址。

2、通过公网接口的方式

创建 Trust 区域和 Untrust 区域之间的 NAT 策略，确定进行 NAT 转换的源 地址范围 192.168.1.0/24 网段，并且将其与接口 GigabitEthernet 绑定。

0/0/4 进行

[USG] nat-policy interzone trust untrust outbound

[USG-nat-policy-interzone-trust-untrust-outbound] policy 0

[USG-nat-policy-interzone-trust-untrust-outbound-0]

policy source

192.168.1.0 0.0.0.255

[USG-nat-policy-interzone-trust-untrust-outbound-0] action source-nat

[USG-nat-policy-interzone-trust-untrust-outbound-0]

easy-ip

GigabitEthernet 0/0/4

[USG-nat-policy-interzone-trust-untrust-outbound-0] quit

3、直接在接口启用 nat

如果是针对内网用户上公网做 nat，需要在内网接口使用

[USG-GigabitEthernet0/0/0]nat enable