网神防火墙实施方案 网神信息技术(北京)股份有限
XX 项目 实施方案 -网神
网神信息技术(北京)股份有限 2015 年 11 月
目录
1
概述.................................................................................................................. 3
2
项目实施安排.................................................................................................. 3
3
总体部署方案.................................................................................................. 5
4
项目实施内容.................................................................................................. 6
4.1 防火墙系统 ................................................................................................................... 6 4.1.1 部署说明 ........................................................................................................... 6 4.1.2 网络配置及版本更新 ....................................................................................... 6 4.1.2.1 配置网络 ........................................................................................................... 6 4.1.2.2 登陆防火墙的 WEB 界面 ................................................................................ 8 4.1.2.3 导入 Sec 防火墙 3600 的生产文件 ............................................................... 10 4.1.2.4 导入 Sec 防火墙 3600 的 license ................................................................... 10 4.1.3 配置防火墙安全策略 ..................................................................................... 11 4.1.4 双机热备 VRRP 配置 .................................................................................... 14 5
项目组人员.................................................................................................... 19
6
安装实施后期................................................................................................ 19
6.1 设备试运行 ................................................................................................................. 19 6.2 现场培训 ..................................................................................................................... 19 6.3 项目初验 ..................................................................................................................... 20 6.3.1 项目验收 ......................................................................................................... 20 7
附件................................................................................................................ 21
1 概述 依据项目的设计要求,要完成要依据国家等级保护建成覆盖物理安全、网络安全、主机安全、应用安全及数据安全五个层面的建设内容。本次建设涉及网神的安全产品有防火墙两台。
2 项目 实施安排 此次项目实施需要与各厂商协同配合,共同完成项目的实施工作。项目进度安排给出阶段时间进度,以及阶段时间内主要完成的项目内容;主要包括项目准备阶段,项目实施阶段,项目试运行和阶段,以及项目终验阶段。
项目准备阶段:根据实施内容确定准备时间,内容主要有,确定项目组成员、项目组负责人和第三方厂商负责人,现场信息搜集及硬件安装等准备工作,完成详细实施方案的撰写、修订等; 项目实施阶段:设备到货后,进行验货,设备上线安装测试,测试完成后,进行安全策略的调试; 项目试运行阶段:所有设备按要求运行后,进行试运行,试运行结束后提交初验申请;在此期间撰写安全软、硬件产品培训教材,确立培训人员,进行产品和系统集中培训; 项目终验阶段:试运行结束后,项目实施组向项目组申请项目终验,由信息中心项目负责人组织项目组成员进行验收,通过后,签署项目验收报告; 项目售后阶段:项目验收完成后,进入项目售后维保阶段,项目实施人及厂商将按照招标要求,开展售后服务工作。各节点工作内容详见下表。
表 表 2 2- - 1 实施 进度计划表
序号 阶段事件 节点事件 进度计划 2015 年 11 月 2015 年 11 月 三个月试运行 售后服务 15 月 16 17 18 19 20 21 22 23 24 25 26 12 月 1 月 2 月 2016 年 1 项目准备 安装环境
2 硬件设施准备
3 IP 地址分配
4 项目成员准备
5 项目实施 项目启动
6 设备到货验收
7 加电测试
8 设备上架
9 安装调试
10 模拟测试
11 项目试运行 上线测试
12 应用系统验证
13 培训初验
14 试运行
15 项目验收
16 售后服务阶段
网神防火墙实施方案 网神信息技术(北京)股份有限 3 总体 部署方案 总体部署图如下图所示:
internet核心交换机边界防火墙DMZ区汇聚交换机漏洞扫描系统 业务审计系统管理口流量镜像口FE3FE4FE2ETH1ETH1汇聚交换机网站OA邮件VPN楼层交换机楼层交换机内网服务器群
网神防火墙实施方案 网神信息技术(北京)股份有限 4 项目实施 内容 4.1 防火墙系统 4.1.1 部 部 署 说明 1) 网络说明:
将防火墙串联部署至网络中的核心交换机上。
2) IP 规划:
注:设备初始时,接口默认地址为 10.0.0.1/24 IP 地址 说明 10.0.0.1
SecGate 3600 设备的 IPV4 地址 10.0.0.10
对 SecGate 3600 进行管理的管理机
使用 SecGate 3600 设备前需要进行三部分的准备:网络配置、产品升级、部署网络,具体包含如下几个步骤:
配置网络
访问 WEB
导入 防火墙 产品的生产文件
导入 防火墙 产品的 license
升级 防火墙 产品软件版本
配置 防火墙 安 全策略
4.1.2 网络配置及版本更新 4.1.2.1 配置网络 设备出厂时,Ge0/0/1 口 口为 (模块化设备接口名称为 man0/0/0)
)为 默认地址为 10.0.0.1/24, ,如果需要修改接口地址需要按照以下步骤进行操作。
步骤一、初次使用 Sec 防火墙 3600,首先使用 PC 的串行口通过串口线连接到设备的Console 口上。
步骤二、然后使用 PC 自带的超级终端或者 PC 上安装 secureCRT 软件的方式连接设备的Console 口,进入 Sec 防火墙 3600 的命令行。
步骤三、下图以 secureCRT 为例:
步骤四、命令行上从系统视图进入用户视图。
命令:user-level chmod ;密码:admin
步骤五、保证 PC 和 Sec 防火墙 3600 的管理口 Ge0/0/1 物理网络上连通。在命令行上配置管理口 IP,如果 PC 和管理口直连,则配置管理口 IP 和 PC 在同一网段。如果 PC 和管理口非直连,则还需要增加一条默认静态路由。
c Sec 防火墙 3600#config c Sec 防火墙 3600(config)#intGe 0/0/1
c Sec 防火墙 3600(config- - if- - Ge0/0/0)#ip address 10.0.0.1 24
c Sec 防火墙 3600(config- - if- - Ge0/0/0)#return
c Sec 防火墙 3600(config)#ip static- - route 0.0.0.0 0.0.0.0 gateway 10. 0.0.252
注:模块化平台中,面板接口与系统中接口的对应说明:
面板上两个管理口分别为 MGT、HA,系统中两个管理口分别命名为 Man 0/0/0(对应MGT)、Man 0/0/1(对应 HA),该 2 个管理口不能作为业务口使用 4.1.2.2 登陆 防火墙的 的 WEB 界面 将默认管理主机的网口用交叉连接的以太网线(两端线序不同)与安全网关的 GE1 口连接,管理主机的 IE 版本必须是 5.5 及以上版本,如果是电子钥匙认证,在浏览器中输入https://10.0.0.1:8888,如果是证书认证,则输入 https://10.0.0.1:8889,登录后弹出下面的登录界面:
正确输入默认管理员帐号与密码,进入下面的安全网关配置管理界面:
在第一次登录成功后,管理员建议按需求变更管理员帐号和密码、管理主机 IP、安全网关接口的可管理 IP、管理方式。下次登录时,按变更内容进行认证与登录。
当管理员完成管理任务或者离开管理界面时,应主动退出 WEB 管理界面。正确的操作方法是点击快捷菜单最右端的“退出”快捷图标 ,这将通知安全网关本管理员退出操作,然后关闭本窗口。如果点击 IE 标题栏上的 ,则只是关闭了窗口,并没有通知安全网关该管理员已退出管理。安全网关 WEB 界面有超时机制,默认超时时间为 10
分钟秒,如果安全网关持续(>10 分钟)未接收到 WEB 界面操作请求,则超时退出。当第一次使用或者 License 将会到期时,会出现 License 即将到期的提醒信息。
4.1.2.3 入 导入 Sec 防火墙 3600 的生产文件 步骤一、在“管理---》维护升级---》Product 升级”界面从本地导入加密生产文件。
图 4-22 4.1.2.4 入 导入 Sec 防火墙 3600 的 的 license 步骤一、设备重启后,PC 再次访问 Sec 防火墙 3600 的 WEB 界面,在“管理---》维护升级---》License 升级”界面导入 license 文件。
安全网关系统升级功能可以快速响应新的安全需求,保证安全网关的功能与安全性可以最快更新。安全网关的软件升级可以通过管理界面的模块升级方便进行,用户只需选择本地的安全网关升级包,点击升级后,重启安全网关即可完成升级功能。
防火墙内包含两个系统:一个出厂版本,一个使用版本。在当前使用的版本出现故障,不能使用的情况,可以恢复到出厂版本。双系统起到版本备份的作用。
4.1.3 配置 防火墙 安全策略
包过滤规则 提供基于状态检测(基于 TCP/UDP/ICMP 协议)的动态的包过滤。
包过滤规则可以实现对源地址/掩码、目的地址/掩码、服务、流入流出网口的访问控制,可以设置对这类经过安全网关的数据包是允许还是禁止。另外,是否启用用户认证、是否启用带宽控制、是否启用 URL 过滤、是否启用连接限制功能以及是否记录日志,是否走 VPN隧道都在包过滤规则中设置。包过滤规则是管理员应用最多的安全规则。网神 SecGate 3600 安全网关的包过滤规则功能十分灵活、强大。
支持的协议包括基本协议(如 http、telnet、smtp 等)、ICMP、动态协议(如 h323、ftp、sip、sqlnet 等)。
在“安全策略>>安全规则”界面中,点击 ,将弹出以下界面:
NAT 规则
NAT(Network Address Translation)是在 IPv4 地址日渐枯竭的情况下出现的一种技术,可将整个组织的内部 IP 都映射到一个合法 IP 上来进行 Internet 的访问,NAT 中转换前源 IP 地址和转换后源 IP 地址不同,数据进入安全网关后,安全网关将其源地址进行了转换后再将其发出,使外部看不到数据包原来的源地址。一般来说,NAT 多用于从内部网络到外部网络的访问,内部网络地址可以是保留 IP 地址。
网神 SecGate 3600 安全网关支持源地址一对一的转换,也支持源地址转换为地址池中的某一个地址。
用户可通过安全规则设定需要转换的源地址(支持网络地址范围)、源端口。此处的 NAT指正向 NAT,正向 NAT 也是动态 NAT,通过系统提供的 NAT 地址池,支持多对多,多对一,一对多,一对一的转换关系。
在“安全策略>>安全规则”界面中,点击 ,将弹出以下界面:
IP/ 端口 映射规则 IP 映射规则是将访问的目的 IP 转换为内部服务器的 IP。一般用于外部网络到内部服务器的访问,内部服务器可使用保留 IP 地址。
当管理员配置多个服务器时,就可以通过 IP 映射规则,实现对服务器访问的负载均衡。一般的应用为:假设安全网关外网卡上有一个合法 IP,内部有多个服务器同时提供服务,当将访问安全网关外网卡 IP 的访问请求转换为这一组内部服务器的 IP 地址时,访问请求就可以在这一组服务器进行均衡。
在“安全策略>>安全规则”界面中,点击 ,将弹出以下界面:
所选服务的源端口和目的端口将共同作为转换的依据
4.1.4 双机热备 VRRP 配置 Active-Standby 冗余备份
上图中安全网关 FW1 和安全网关 FW2 工作在 Active-Standby 路由冗余备份状态,安全网关 FW1 为主墙,安全网关 FW2 为备份安全网关。客户机的网关指向安全网关 FW1 的虚拟网关,安全网关 FW1 负担整个链路的流量(绿色线路)。
上图中当安全网关 FW1 出现故障时,安全网关 FW2 在 3 秒内接管安全网关 FW1 上的虚拟网关,承担整个链路的流量(红色线路)。安全网关 FW1 恢复之后,两台安全网关又会正常工作在 Active-Standby 路由冗余备份状态。
WebUI 配置 安全网关 FW1 的配置:
导航到高可用性>>HA 基本配置,配置同步接口( 同步接口必须为全双工模式),并设置为主控节点:
进入“高可用性>>路由模式 HA>>VRRP 实例”,添加 2 个 VRRP 实例:
2 个 VRRP 实例的 VRID 不能相同,VRID 相同的端口是互为备份的端口。
导航到网络配置>>网络接口>>接口 IP,给 ge3、ge4 配 ip 地址:
FW1 和 FW2 的 ge2/ge3 的实 ip 必须是同一网段,用于交互 vrrp 报文。
导航到网络配置>>网络接口>>接口 IP,给 vrrp 实例配虚 ip:
进入“高可用性>>路由模式 HA>>VRRP 关联”,如图添加 VRRP 关联,这样当一个VRRP 实例出现故障时,VRRP 协议认为这个 VRRP 关联中的所有 VRRP 实例都出现故障:
vrrp 关联优先级小的会成为 master,高的为 backup。
6.选中这 VRRP 关联,启动。
安全网关 FW2 的配置:
配置 HA 同步接口:
手动从 2.2.2.1 同步所有配置:
同 步 配 置 后 FW2 会重 启 , 重 启 后 勾 选 自 动 配 置 同 步 、 自 动 状 态 同 步 :
同步信息包括 vrrp 实例、虚 ip、安全规则等。
导航到网络配置>>网络接口>>接口 IP,给 ge3、ge4 配 ip 地址:
FW2 的 ge3 的实 ip 和 FW1 的 ge3 的实 ip 是同一网段。
FW2 的 ge4 的实 ip 和 FW1 的 ge4 的实 ip 是同一网段。
FW2 同步 FW1 的 vrrp 实例,将这两个实例加入关联:
选中这 VRRP 关联,启动:
5 项目组 人员 表 表 5.1.4- - 1 项目组成员表
单位
姓名
角色
联系电话
邮箱
6 安装实施后期 6.1 设备试运行 应用系统验证正常后,进入设备试运行阶段,通过试运行阶段对上线的设备进行实际环境运行监控。
试运行期间需要对设备日常管理维护中所发现的问题进行详细记录,并在试运行结束后填写附件中的《设备运行报告单》。
试运行报告主要包括以下内容:
新增设备是否运行正常; 运行期间发生的问题。
6.2 现场培训 试运行期间,厂商技术人员与信息中沟通确认培训时间和地点,确认后,厂商技术人员将进行现场培训服务。
培训目标:培养信息中心管理人员独立完成设备安装配置、日常运行维护和简单故障排除能力。
培训对象:本项目中,用户单位管理人员、网络技术人员、工程实施人员等。
培训重点:培训侧重产品技术与管理,主要包括产品的介绍、系统的安装、配置、操作、管理,使管理员熟悉了解产品设备,掌握产品、系统的安装调试和操作、管理等基本日常操作。
表 表 5.4.2 - - 1 培训 计划
课程名称
培训内容
讲师
课时
技术简介 网络安全基础、安全设备在网络安全体系中起的作用,安全设备的工作原理。
实施工程师 1 课时 部署介绍 介绍安全设备在用户实际网络中部署的具体位置及实现的功能,设备上、下架方式,开关机及初次使用注意事项等。
实施工程师 1 课时 配置与安装 操作、配置方式介绍,主要包括:界面介绍、菜单说明、配置信息、策略管理、用户管理、日志信息等。
实施工程师 1 课时 6.3 项目初验 所有的安全设备开箱检查、加电测试、模拟环境测试、设备上线、业务系统验证性测试、等工作全部完毕后,对相关文档进行整理,根据设备安装运行和系统验证情况形成节点验收报告。节点验收的前提条件如下:
到货验收和加电检测完成 安装实施完毕 系统验证通过 现场培训完成 信息中心与厂商技术人员共同签署附件中的《设备初验报告单》。
6.3.1 项目 验收 系统验收要求对各个单项产品的测试和系统联机测试,均达到招标文件要求的功能、性能、迁移要求和产品技术规格中的性能,并在实现本项目建设目标和
招标要求,整个系统试运行三个月后进行。
项目实施人应负责在项目验收时信息中心与项目实施人共同签署项目验收报告,同时将项目的有关技术文件、资料、及安装、测试、初步验收报告、试运行情况、验收报告等文档汇集成册交付项目单位。
7 附件 设备到货确认单
网神信息技术(北京)股份有限,已于 2015 年
月
日从网神信息技术(北京)股份有限向贵单位发送“XXX”项目所使用的 台安全设备,共计
箱。请贵单位依据实际到货情况填写下表,并通过传真回传至北京海淀区上地开拓路 7 号先锋大厦二段 1 层。
货物名称
发货数量
设备到货日期
数量是否齐全
外包装是否完整
XXX 台
年
月
日 □是 □否 □是
□否 本签收单一式四份
最终用户单位:
最终用户代表签字/ / 盖章:
电话:
____________________
日期:
________________
X XXX 安全 设备加电测试表
请根据实际情况进行填写 用户单位
设备
产品序列号
名称及版本号
规格型号
加电测试 序号 检查项目 现象描述 1 加电能否正常启动 是
否 简要描述不能启动的现象:
2 管理器联接是否正常 是
否 简要描述不能正常连接的现象:
3 检查 license 请求文件是否上载成功 是
否 “系统配置”菜单的“升级许可”选项中的 LICENSE 加载不成功的现象:
4 检查版本号是否与产品清单一致 是
否 如果不一致,登录看到的版本号:
5 检查端口数量是否与产品清单的规格型号一致 是
否 如果不一致,登录看到的端口数量:
其他:
用户代表签字/日期 厂商代表签字/日期
X XXX 安全 设备安装实施报告
设备安装实施报告 客户名称
项目名称
客户负责人
客户联系电话
安装工程师
服务联系电话
到达时间
离开时间
主 要 设 备信息 序号 设备型号 设备编号或描述 数量 1
2
3
4
5
安 装 过 程内容
备注
用户代表签字
安装工程师签字
日期
日期
X XXX 安全 设备初验报告单
验收单位名称
项目名称
验收行负责人
验收单位联系 电话
供货方验收 工程师
供货方验收工程师联系电话
序号
产品序列号 1
2
序号 验收项目 说明 结论 1 网神安全设备到货验收
是 否 2 网神安全设备模拟测试结果验收
是 否 3 网神安全设备上线测试结果验收
是 否 设备整体验收结 论 正常 现象描述:
不正常 现象描述:
验收单位负责人签字
供货方验收工程师签字
日
期
日
期
X XXX 安全设备 设备运行报告单
验 收 单 位 名称
项目名称
验 收 单 位 负责人
验 收 单 位 联系 电话
供货方验收 工程师
供 货 方 验 收工 程 师 联 系电话
序号
产品序列号 1
2
3
序号 验收项目 说明 结论 1
是 否 2
是 否 3
是 否 4
是 否 5
是 否 设 备整 体验 收结 论 正常 现象描述:
不正常 现象描述:
验收行负责人签字
供货方验收工程师签字
日
期
日
期
X XXX 安全设备 故障处理报告单
编号:
基本信息 厂商负责人:
节点名称:
联系电话:
Email 地址:
产品名称:
版本号:
产品型号:
问题描述 问题描述(包括问题现象、拓朴结构、应用软件等):
问题处理 问题产生原因及解决方法描述:
实际处理时间:
从
年
月日至
年
月日 用户代表签字
厂商代表签字
日期
日期