【文章內(nèi)容簡(jiǎn)介】 《 安全設(shè)備安全設(shè)備 項(xiàng)目系統(tǒng)配置手冊(cè)》（初稿） 分析調(diào)研 目標(biāo)： 根據(jù)資料采集情況對(duì)網(wǎng)絡(luò)分析，了解現(xiàn)有網(wǎng)絡(luò)情況。 前提： 完成資料采集工作。 工作內(nèi)容： 與節(jié)點(diǎn)系統(tǒng)管理員進(jìn)行現(xiàn)場(chǎng)技術(shù)交流 ，了解網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。 安全設(shè)備 管理員應(yīng)將原有 安全設(shè)備 設(shè)備策略和配置文件完整地導(dǎo)出為文本文件并進(jìn)行中文說(shuō)明，對(duì)各業(yè)務(wù)系統(tǒng)說(shuō)明文件和 原有設(shè)備策略進(jìn)行分析。同時(shí)，節(jié)點(diǎn) 安全設(shè)備 管理員還應(yīng)參照安全管理規(guī)范，根據(jù)業(yè)務(wù)系統(tǒng)的具體運(yùn)行情況，及時(shí)調(diào)整防護(hù)安全策略。 分行技術(shù)負(fù)責(zé)人和廠商技術(shù)人員對(duì)已經(jīng)填寫(xiě)完成的《 安全設(shè)備 項(xiàng)目系統(tǒng)配置手冊(cè)》進(jìn)行審核。 輸出： 調(diào)查完成，輸出《 安全設(shè)備安全設(shè)備 項(xiàng)目系統(tǒng)配置手冊(cè)》。 完成時(shí)間節(jié)點(diǎn)： 規(guī)則翻譯 目標(biāo)： 對(duì)原有 安全設(shè)備 的策略內(nèi)容進(jìn)行翻譯，保證新上線 安全設(shè)備 策略的正確性。 前提： 節(jié)點(diǎn)科技人員對(duì)本行的網(wǎng)絡(luò)結(jié)構(gòu)及其業(yè)務(wù)系統(tǒng)應(yīng)用了解，并能用自然語(yǔ)言進(jìn) 項(xiàng)目節(jié)點(diǎn)實(shí)施方案 項(xiàng)目實(shí)施與管理文檔 10 行說(shuō)明。 工作內(nèi)容： 節(jié)點(diǎn)科技人員將目前業(yè)務(wù)系統(tǒng)的正常運(yùn)行情況 和目前現(xiàn)有 安全設(shè)備 的設(shè)置進(jìn)行整體了解和描述，并對(duì)此次實(shí)施的 安全設(shè)備 廠商人員進(jìn)行策略和業(yè)務(wù)應(yīng)用的交流，共同完成 安全設(shè)備 的配置規(guī)則翻譯工作。 輸出： 調(diào)查完成，輸出《 安全設(shè)備安全設(shè)備 項(xiàng)目系統(tǒng)配置手冊(cè)》。 產(chǎn)品到貨驗(yàn)收 目標(biāo)： 用戶和廠商技術(shù)人員共同完成現(xiàn)場(chǎng)驗(yàn)貨。 前提： 貨物已經(jīng)送到客戶現(xiàn)場(chǎng)，用戶和廠商技術(shù)人員共同在場(chǎng)。 工作內(nèi)容： 廠商技術(shù)人員到達(dá)現(xiàn)場(chǎng)后，雙方共同進(jìn)行產(chǎn)品的到貨驗(yàn)收。設(shè)備到貨驗(yàn)收步驟如下： ? 開(kāi)箱前，檢查設(shè)備數(shù)量、發(fā)貨地、外包裝完整性； ? 開(kāi)箱后，檢查設(shè)備機(jī)箱外觀完整性； ? 根據(jù)包裝內(nèi)裝箱清 單檢查產(chǎn)品型號(hào) /版本、設(shè)備數(shù)量、接口數(shù)量是否與合同供貨清單一致； ? 根據(jù)包裝內(nèi)裝箱清單檢查合格證、線纜等配件、隨機(jī)資料是否齊備。 雙方人員應(yīng)根據(jù)以上各項(xiàng)對(duì)設(shè)備進(jìn)行檢驗(yàn)。并根據(jù)實(shí)際驗(yàn)收情況共同簽署附件中的《設(shè)備到貨驗(yàn)收表》。 輸出： 《設(shè)備到貨驗(yàn)收表》 加電檢測(cè) 目標(biāo)： 用戶和廠商技術(shù)人員共同完成設(shè)備的加電測(cè)試。 項(xiàng)目節(jié)點(diǎn)實(shí)施方案 項(xiàng)目實(shí)施與管理文檔 11 前提： 用戶和廠商技術(shù)人員共同在場(chǎng)。 工作內(nèi)容： 到貨驗(yàn)收完成后，節(jié)點(diǎn)對(duì)設(shè)備進(jìn)行加電檢測(cè)，并在廠商技術(shù)人員協(xié)助下檢查系統(tǒng)工作狀態(tài)。 加電檢測(cè)步驟如下： ? 設(shè)備加電指示燈是否正常； ? 設(shè)備是否正常啟 動(dòng)； ? 管理終端能否順利連接 安全設(shè)備 系統(tǒng)； ? 各接口板卡是否工作正常。 節(jié)點(diǎn)技術(shù)負(fù)責(zé)人和廠商技術(shù)人員應(yīng)共同對(duì)設(shè)備加電驗(yàn)收過(guò)程的各個(gè)環(huán)節(jié)進(jìn)行確認(rèn)，并根據(jù)實(shí)際驗(yàn)收情況共同簽署附件中的《設(shè)備加電測(cè)試表》。 輸出： 《設(shè)備加電測(cè)試表》。 配置 安全設(shè)備 （網(wǎng)御神州） 目標(biāo)： 依照《 安全設(shè)備 項(xiàng)目系統(tǒng)配置手冊(cè)》節(jié)點(diǎn)技術(shù)工程師離線配置 安全設(shè)備 ，廠商工程師指導(dǎo)并對(duì) 安全設(shè)備 的配置進(jìn)行核查。 前提： 《 安全設(shè)備 項(xiàng)目系統(tǒng)配置手冊(cè)》填寫(xiě)完成，并與原有 安全設(shè)備 的配置逐條匹配無(wú)誤后。 工作內(nèi)容： 配置 安全設(shè)備 時(shí)，請(qǐng)按下列步驟進(jìn)行。 1. 開(kāi) 箱 檢查配置清單，核對(duì)配件是否齊全，檢查機(jī)箱主機(jī)編號(hào)與包裝箱的是否一致。 2. 開(kāi)機(jī) 插上電源， 安全設(shè)備 啟動(dòng)后會(huì)有嘀嘀嘀三聲提示音，冗余電源如果只插一個(gè)電源會(huì)有長(zhǎng)時(shí)間的蜂鳴報(bào)警。 項(xiàng)目節(jié)點(diǎn)實(shí)施方案 項(xiàng)目實(shí)施與管理文檔 12 3. 登陸 安全設(shè)備 串口方式：用戶名 admin，密碼 firewall。 Web 方式： 安全設(shè)備 默認(rèn)的管理地址是 ，管理端口是 ge1 口，默認(rèn)管理主機(jī)是 ，登陸方式是 web 管理方式需要安裝證書(shū)，證書(shū)在隨機(jī)光盤(pán)中。 4. 配置 安全設(shè)備 步驟 、網(wǎng)絡(luò)配置：在“網(wǎng)絡(luò)配置” — “接口 ip”中點(diǎn)擊 添加 按鈕，輸入要添加的 ip 和相應(yīng)的接口，并設(shè)置網(wǎng)口 ip 是否允許管理， ping 等。注意，接口 ip設(shè)置后就不能夠修改，只能刪除。 、網(wǎng)關(guān)設(shè)置：在“網(wǎng)絡(luò)配置” — “策略路由”中點(diǎn)擊 添加 按鈕，如目的地址 ，下一 跳 ， 就是默 認(rèn)路由 ，目 的地址，下一跳 ，就是目的網(wǎng)段 ，下一跳指向 。 、添加地址對(duì)象：在“對(duì)象定義” — “地址” — “地址列表”中點(diǎn)擊 添加 按鈕，輸入名稱，地址范圍或者地址段即可，在添加界面有一個(gè)復(fù)選框，可以 選 擇 是 添 加 地 址 段 或 地 址 范 圍 ， 如 名 稱 neiwang 地址，還可以添加一個(gè)地址范圍，如名稱 neiwang2 地址— 。 、添加地址組：在“對(duì)象定義” — “地址組”中點(diǎn)擊 添加 按鈕，輸入名稱，并引用位于左邊的地址對(duì)象，如名稱 group，地址對(duì)象 neiwang， neiwang2，就是 group 這個(gè)地址組包含了 neiwang 和 neiwang2 這兩個(gè)地址對(duì)象。 定義完地址對(duì)象和地址組后就可以在安全規(guī)則中引用他們，這樣會(huì)簡(jiǎn)化安全規(guī)則的設(shè)置步驟，方便許多。 、定義服務(wù)：自定義服務(wù)可以指定開(kāi)放那些協(xié)議，那些端口，例如要開(kāi)放 tcp 的 1436 端口，就在“對(duì)象定義” — “服務(wù)列表”中點(diǎn)擊 添加 按鈕，協(xié)議選擇 tcp，目的端口輸入 1436，低端口和高端口都輸入 1436，就是只放開(kāi) 1436端口，如果低端口輸入 1436，高端口輸入 1440，就是放開(kāi) tcp 的 1436— 1440 的所有端口。一條自定義服務(wù)可以放開(kāi)多個(gè)端口。 項(xiàng)目節(jié)點(diǎn)實(shí)施方案 項(xiàng)目實(shí)施與管理文檔 13 、添加安全規(guī)則： 包過(guò)濾規(guī)則：在“安全策略”――“安全規(guī)則”中點(diǎn)擊 添加 按鈕，類(lèi)型選擇包過(guò)濾，輸入源地址和目的地址，選擇相應(yīng)的服務(wù)即可；例如，源地址輸入，掩碼 ，目的地址 ，掩碼 ，服務(wù)選擇 icmp 就是允許主機(jī) ping ，關(guān)于這兩臺(tái)主機(jī)的其他類(lèi)型數(shù)據(jù)包都被禁止掉。在源地址和目的地址的下拉菜單里還可以選擇在地址對(duì)象中定義好的地址對(duì)象和地址組，在服務(wù)里還可以選擇自定義服務(wù)，例如前面舉例的 tcp 1436 端口的服務(wù) NAT 規(guī)則：在添加安全規(guī)則時(shí)，類(lèi)型選擇 nat，輸入源地址，目的地址，服務(wù)，和源地址轉(zhuǎn)換后的地址即可， nat 規(guī)則會(huì)把源地址轉(zhuǎn)換為 安全設(shè)備 的一個(gè)地址，從而達(dá)到隱藏源地址的目的，例如，源地址 ，目的地址 ，服務(wù)選擇前例定義好地 tcp_1436，源地址轉(zhuǎn)換為選擇 這樣當(dāng) 這臺(tái)主機(jī)訪問(wèn) 的 tcp 1436 端口時(shí)， 安全設(shè)備 會(huì)把源地址轉(zhuǎn)換成 ，這樣就隱藏了 的真實(shí)地址。 IP 映射規(guī)則：在安全規(guī)則中類(lèi)型選擇 IP 映射，輸入源地址，公開(kāi)地址，和公開(kāi)地址映射后的地址即可，公開(kāi)地址是 安全設(shè)備 上的 IP，公開(kāi)地址映射后的地址是內(nèi)部主機(jī)地址 ，這樣就可以通過(guò)訪問(wèn) 安全設(shè)備 IP 的方式訪問(wèn)內(nèi)部主機(jī)，從而實(shí)現(xiàn)隱藏目的服務(wù)器地址的目的。例如，源地址 ，公開(kāi)地址 ，公開(kāi)地址映射為 ，這樣 這臺(tái)主機(jī)只能通過(guò)訪問(wèn) 這個(gè)地址來(lái)訪問(wèn) 這臺(tái)服務(wù)器。這樣就保護(hù)了 服務(wù)器的安全。還可以把源地址也隱藏，例如在源地址中選擇源地址轉(zhuǎn)換為 ，這樣就實(shí)現(xiàn)了源和目的地址雙轉(zhuǎn)換，同時(shí)隱藏了源地址和目的 地址。 端口映射規(guī)則：在安全規(guī)則中類(lèi)型選擇端口映射，輸入源地址，公開(kāi)地址，公開(kāi)地址映射后的地址，對(duì)外服務(wù)，對(duì)外服務(wù)映射后的服務(wù)，例如，源地址 項(xiàng)目節(jié)點(diǎn)實(shí)施方案 項(xiàng)目實(shí)施與管理文檔 14 ，公開(kāi)地址 ，公開(kāi)地址映射為 ，對(duì)外服務(wù)和對(duì)外服務(wù)映射為都選擇前例定義好的 tcp_1436 端口，這樣 這臺(tái)工作站就可以通過(guò)訪問(wèn) 這個(gè)地址的 tcp 1436 端口來(lái)訪問(wèn) 的 tcp 1436 端口，還可以把源地址也隱藏，例如在源 地址中選擇源地址轉(zhuǎn)換為 ，這樣就實(shí)現(xiàn)了源和目的地址雙轉(zhuǎn)換，同時(shí)隱藏了源地址和目的地址。 、配置高可用性： 配置 HA：在“高可用性” — “ HA 基本配置”中選擇 HA 同步網(wǎng)口和 IP，注意，主墻和備墻的 IP 必須是在同一網(wǎng)段內(nèi)的，而且只能有一臺(tái)墻是控制節(jié)點(diǎn)。主墻和備墻都要選擇“自動(dòng)配置同步”和“自動(dòng)狀態(tài)同步”，啟用配置同步時(shí) ,在安全策略中添加 允許另一臺(tái)安全網(wǎng)關(guān)訪問(wèn)本安全網(wǎng)關(guān) secgate_ha_conf 服務(wù) 的包過(guò)濾規(guī)則。 配置 VRRP：在“高可用性” — “路由模式 HA” — “ VRRP 實(shí)例”中 點(diǎn)擊添加按鈕，例如要添加一個(gè) 的虛擬 IP 地址，接口選擇 GE2， VRID 10，虛擬 IP 地址 ,名稱 MASTER，即可，注意 VRRP實(shí)例可以添加多個(gè)，但是 VRID 不能有重復(fù)的，而且主備墻的 VRRP 實(shí)例除了名稱可以不一樣之外，其他都