XXX防火墙项目节点实施方案模板.pdf
《XXX防火墙项目节点实施方案模板.pdf》由会员分享,可在线阅读,更多相关《XXX防火墙项目节点实施方案模板.pdf(30页珍藏版)》请在三一文库上搜索。
1、项目节点实施方案 XXX 项目实施方案模板 网御神州科技(北京)有限公司 2009 年 月 项目实施与管理文档1 项目节点实施方案 目录 1概述 3 2工程实施安排 3 3工程总体要求 6 4工程实施步骤 7 4.1前期准备工作 .7 4.2安装实施前期 .7 4.2.1资料采集 .7 4.2.2分析调研 .9 4.2.3规则翻译 .9 4.2.4产品到货验收 .10 4.2.5加电检测 .10 4.2.6配置安全设备(网御神州) .11 4.2.7模拟环境测试 .15 4.3安装实施中期 .15 4.3.1设备上线 .15 4.3.2应用系统验证性测试 .16 4.3.3计划变更 .17 4
2、.4安装实施后期 .18 4.4.1设备试运行 .18 4.4.2现场培训 .18 4.4.3节点初验 .19 4.4.4文档整理 .20 5风险控制 20 5.1实施现场的风险控制 .20 5.1.1业务全部中断情况的处理 .20 5.1.2部分业务中断情况的处理 .22 5.2运行期间的风险控制 .23 6附件 24 “ XXX”项目设备到货确认单 .24 项目实施与管理文档2 项目节点实施方案 1概述 XXX 安全设备项目是2006 年信息安全建设的一个重要项目,内容为更换副 省级以上(含)机构 XXX 安全设备。此文档是 XXX 安全设备项目各节点的实施方 案。 2工程实施安排 此次工
3、程实施以各节点技术力量为主,厂商技术人员在实施现场做技术支 持。各节点工程实施时间安排约为 8 天,第一批安装单位的开始为 1 月 22 日,第二 批安装单位的开始时间为 1 月 29 日,项目分为实施前期、实施中期、实施后期三个 阶段, 其中:周一至周五为实施前期,主要是进行相关前期的准备工作和模拟环境 测试工作;周末为实施中期,主要是上线切换、应用验证等工作;后 期安排一天时间,主要是进行现场值守技术保障、文档整理等工作。工程开始时 间和上线切换时间以总行通知为准。各节点工作内容详见下表: 阶段 实 施 前 期 工作内容工作细节 环境准备(测试环 境和上线环境准 备) 社会公告(以系统 升
4、级的名义提前 前期准备公告) 通知相关业务部 门、商业银行作好 安全设备上线测 试前的准备工作 和风险调查 第一批第二批 时间时间 1 月 241 月 31 日之前日之前 1 月 241 月 31 日之前日之前 1 月 241 月 31 日之前日之前 职责分工内容输出 节点科技人员完成完成准备工作 节点科技人员完成完成社会公告 完成通知工作和准 节点科技人员完成 备工作 项目实施与管理文档3 项目节点实施方案 资料采集 分析调研 规则翻译 产品到货 验收 加电检测 安全设备 配置 模拟环境 测试 配置表回执 原有安全设备配 置现场采集 安全设备周边网 络设备配置现场 采集 对采集信息进行 汇总
5、 与当地技术负责 人进行技术沟通 与当地技术负责 人和原安全设备 厂商进行技术沟 通 完成产品到货验 收 完成产品加电检 测 整合并完成安 全设备配置 搭建模拟测试环 境 安全设备测试 1 月 241 月 31 日之前日之前 1 月 241 月 31 日之前日之前 1 月 241 月 31 日之前日之前 1 月 241 月 31 日之前日之前 1 月 241 月 31 日之前日之前 1 月 241 月 31 日之前日之前 1 月 231 月 30 日之前日之前 1 月 231 月 30 日之前日之前 1 月 241 月 31 日之前日之前 1 月 241 月 31 日-1 月日-2 月 26
6、日2 日 节点科技人员完成 厂商技术人员完成 节点科技人员协助 厂商技术人员完成 节点科技人员协助 节点科技人员完成 厂商技术人员完成 节点科技人员完成 厂商技术人员完成 节点科技人员完成 厂商技术人员完成 节点科技人员完成 厂商技术人员完成 节点科技人员完成 厂商技术人员协助 节点科技人员完成 厂商技术人员协助 物理环境调查 表 安全设备项目系 统配置手册(初 稿) 完成采集工作 安全设备项目系 统配置手册 安全设备项目系 统配置手册 设备到货验 收表 设备加电测 试表 根据安全设备安 全设备项目系统配 置手册进行安全 设备配置 根据 测 试 方 案 完成测试 项目实施与管理文档4 项目节点
7、实施方案 中 期 实 施 设备上线 应用系统 验证性测 试 计划变更 安全设备上线的1 月 252 月 1 日 准备工作完成确日节点科技人员完成 认 1 月 272 月 3 日 日5:00-6: 5:00-6: 00 (第二 设备上架加电 00( 第一次上线 次上线 )时间)节点科技人员完成安全设备上线切 换网络连通性测1 月 282 月 4 日厂商技术人员协助 试 日5:00-6: 5:00-6:00( 第二 00( 第二次上线 ) 次上线 ) 1 月 272 月 3 日 日6:00-8: 6:00-8:00(第一 00( 第一次上线) 业务系统应用测次上线 ) 2 月 4 日 节点业务人员
8、完成 试1 月 286:00-8: 日00( 第二 6:00-8: 次上线 ) 00( 第二 次上线 ) 安全设备配置变1 月 272 月 3 日 节点科技人员完成 更日-1 月-2 月 4 厂商技术人员完成 实施方案变更28 日日 现场职守 1 月 292 月 5 日 厂商技术人员完成 日 完成安全设备上线 前的准备工作 完成安全设备上线 并根据测试方案 完成网络连通性测试, 如果出现问题参见风 险控制一章 完成业务系统测 试,如果出现问题 参见风险控制一章 计划变更单 设备运行报告 设备试运 实 行 施 后 期 现场培训 1 月 27 2 月 3 日 运行情况记录日-1月-2 月 5 29
9、 日日 1 月 27 2 月 3 日 应急响应日-1月-2 月 5 29 日日 1 月 221 月 29 完成现场培训日-1月日-2 月 29 日5 日 节点科技人员完成 厂商技术人员完成 节点科技人员完成 厂商技术人员完成 厂商技术人员完成 单 故障处理报 告单 完成现场培训工作 项目实施与管理文档5 项目节点实施方案 节点初验完成节点初验 1 月 292 月 5 日节点科技人员完成节点初验报告 日 厂商技术人员完成单 文档整理移交项目资料 1 月 292 月 5 日节点科技人员完成完成项目文档移交 日 厂商技术人员完成和整理工作 3工程总体要求 1、前期节点技术人员与厂商技术人员应加强技术
10、沟通。当地技术人员对原有安 全设备的配置进行逐条描述和确认,以保证当地技术人员和厂商技术人员沟 通的一致性。 2、前期进行规则分析时,一定要认真填表。在节点技术人员与厂商技术人员确 认达成一致后,才可进行安全设备设备的配置工作。 3、安全设备在上线前必须按照测试方案经过模拟环境测试,才允许在生产 环境中进行切换。 4、由于此次安全设备上线是在生产环境中进行的切换,技术风险很高,各节点 科技部门负责协调保证原安全设备厂商现场进行技术支持,在切换过程中出 现问题时确保在较短的时间内切换回原有安全设备进行运行。切换时,原有 安全设备(含主、备机)不能关机。待业务系统正常运行一周后才能撤下原 安全设备
11、设备。 5、经与有关业务司局协商,本次安全设备工程在生产环境切换调试和网络切换 时间严格安排在规定的 3 小时内进行,其中第一小时为切换和技术确认,其 余 2 小时为业务确认时间。如第一小时后技术人员确认此次切换不成功,经 当地科技处负责人确认后,应尽快切换回原安全设备并按原计划进行业务确 认(或换回安全设备均需要业务测试)。确认恢复业务后,请科技人员在模 拟环境中继续查找问题,重新配置,按照原定计划安排进行第二次生产环境的 切换。 6、实施期间如有新上系统或正在试点的业务系统,请各分支行予以高度关注。 7、各分支行对于新上线安全设备的配置规则只允许开通总行规定的业务端口, 不允许扩大安全设备
12、的规则范围。 8、本项目安排的安全设备切换时间为周六临晨58 点和周日临晨 58 点两次, 项目实施与管理文档6 项目节点实施方案 如两次切换均未成功,应及时向工程实施组报告。 4工程实施步骤 4.1 前期准备工作 目标: 完成设备实施前的准备工作。 前提: 制定实施详细时间。 工作内容: 作好前期准备工作,包括环境准备、系统调查、工作通知、发社会公告等详 细准备工作,为设备实施前作好详细的准备工作。 输出: 完成前期的准备工作,包括完成社会公告通知各个相关单位等工作。 4.2 安装实施前期 4.2.1 资料采集 目标: 完成网络环境的调查和安全设备实施工作需要的资料采集工作。 前提: 节点科
13、技人员已经提交安全设备项目系统配置手册,作好资料采集前的 准备工作。 工作内容: ( 1)实施前需确认的相关信息 为保证工程实施的顺利进行,避免出现因某环节缺失而造成整体工程延误的情 况,实施节点应在项目实施前完成基本情况的调查和准备工作,由分行节点技术负 责人完成填写。 项目实施与管理文档7 项目节点实施方案 物理环境需求表需要节点科技人员进行填写并根据需求进行准备,安全 设备测试环境所需要的设备情况请参照安全设备测试方案中的具体细则。 物理环境需求表 分行名称 填写人 填写时间 物理环境说明共计备注 每个安全设备需要2U4U 机柜空间的机柜空间,两台安全 设备共计需要 4U 空间 用于安全
14、设备与上联设可用交叉线 备和下联设备进行网络 连接 用于安全设备与上联设可用直通线 备和下联设备进行网络 连接 8 条 8 条 每个千兆安全设备均采4 个 用双链路供电方式,两 电源 台安全设备共需要 4个 电源接口 原安全设备上联和下联2 个 设备接口数(实施中为 设备接口 双机热备,各需要两个 接口) ( 2)业务系统情况调查 项目实施与管理文档8 项目节点实施方案 测试节点实施前,节点技术负责人应及时协调业务系统管理员详细描述所有 外联业务应用,准确反映该外联业务系统的网络通信行为特征。掌握业务系统通 信行为特征是提高安全设备安全规则正确性的有效手段。 输出: 完成系统采集工作物理环境调
15、查表安全设备安全设备项目系统配置 手册(初稿) 4.2.2 分析调研 目标: 根据资料采集情况对网络分析,了解现有网络情况。 前提: 完成资料采集工作。 工作内容: 与节点系统管理员进行现场技术交流,了解网络拓扑结构。安全设备管理员 应将原有安全设备设备策略和配置文件完整地导出为文本文件并进行中文说明,对 各业务系统说明文件和原有设备策略进行分析。同时,节点安全设备管理员还应参 照安全管理规范,根据业务系统的具体运行情况,及时调整防护安全策略。 分行技术负责人和厂商技术人员对已经填写完成的安全设备项目系统配置 手册进行审核。 输出: 调查完成,输出安全设备安全设备项目系统配置手册。 完成时间节
16、点: 4.2.3 规则翻译 目标: 对原有安全设备的策略内容进行翻译,保证新上线安全设备策略的正确性。 前提: 节点科技人员对本行的网络结构及其业务系统应用了解,并能用自然语言进 项目实施与管理文档9 项目节点实施方案 行说明。 工作内容: 节点科技人员将目前业务系统的正常运行情况和目前现有安全设备的设置进 行整体了解和描述,并对此次实施的安全设备厂商人员进行策略和业务应用的 交流,共同完成安全设备的配置规则翻译工作。 输出: 调查完成,输出安全设备安全设备项目系统配置手册。 4.2.4 产品到货验收 目标: 用户和厂商技术人员共同完成现场验货。 前提: 货物已经送到客户现场,用户和厂商技术人
17、员共同在场。 工作内容: 厂商技术人员到达现场后,双方共同进行产品的到货验收。设备到货验收步 骤如下: 开箱前,检查设备数量、发货地、外包装完整性; 开箱后,检查设备机箱外观完整性; 根据包装内装箱清单检查产品型号 / 版本、设备数量、接口数量是否与 合同供货清单一致; 根据包装内装箱清单检查合格证、线缆等配件、随机资料是否齐备。 双方人员应根据以上各项对设备进行检验。并根据实际验收情况共同签署 附件中的设备到货验收表。 输出: 设备到货验收表 4.2.5 加电检测 目标: 用户和厂商技术人员共同完成设备的加电测试。 项目实施与管理文档10 项目节点实施方案 前提: 用户和厂商技术人员共同在场
18、。 工作内容: 到货验收完成后,节点对设备进行加电检测,并在厂商技术人员协助下检查 系统工作状态。 加电检测步骤如下: 设备加电指示灯是否正常; 设备是否正常启动; 管理终端能否顺利连接安全设备系统; 各接口板卡是否工作正常。 节点技术负责人和厂商技术人员应共同对设备加电验收过程的各个环节进 行确认,并根据实际验收情况共同签署附件中的设备加电测试表。输出: 设备加电测试表。 4.2.6 配置安全设备(网御神州) 目标: 依照安全设备项目系统配置手册节点技术工程师离线配置安全设备,厂 商工程师指导并对安全设备的配置进行核查。前提: 安全设备项目系统配置手册填写完成,并与原有安全设备的配置逐条匹
19、配无误后。 工作内容: 配置安全设备时,请按下列步骤进行。 1.开箱 检查配置清单,核对配件是否齐全,检查机箱主机编号与包装箱的是否一致。 2.开机 插上电源,安全设备启动后会有嘀嘀嘀三声提示音,冗余电源如果只插一个 电源会有长时间的蜂鸣报警。 项目实施与管理文档11 项目节点实施方案 3.登陆安全设备 串口方式:用户名admin,密码 firewall 。 Web 方式:安全设备默认的管理地址是10.50.10.45 ,管理端口是ge1 口,默 认管理主机是 10.50.10.44 ,登陆方式是 https:/10.50.10.45:8889 ,通过 web 管理方 式需要安装证书,证书在随
20、机光盘中。 4. 配置安全设备步骤 4.1、网络配置:在“网络配置”“接口ip”中点击添加 按钮,输入要 添加的 ip 和相应的接口,并设置网口ip 是否允许管理, ping 等。注意,接口ip 设置后就不能够修改,只能删除。 4.2、网关设置:在“网络配置”“策略路由”中点击添加 按钮,如目的地 址 0.0.0.0/0.0.0.0 , 下 一 跳 202.99.8.1 , 就 是 默 认 路由 , 目 的 地 址 10.10.10.0/255.255.255.0,下一跳 192.168.1.10 ,就是目的网段 10.10.10.0 ,下一 跳指向 192.168.1.10 。 4.3、添加
21、地址对象:在“对象定义”“地址” “地址列表”中点击添 加 按钮,输入名称,地址范围或者地址段即可,在添加界面有一个复选框,可 以 选 择 是 添 加 地 址 段 或 地 址 范 围 , 如 名 称neiwang 地 址 192.168.1.0/255.255.255.0,还可以添加一个地址范围,如名称neiwang2 地址 192.168.2.1 192.168.2.100 。 4.4、添加地址组:在“对象定义”“地址组”中点击添加 按钮,输入名称, 并引用位于左边的地址对象,如名称 group ,地址对象 neiwang ,neiwang2 ,就是 group 这个地址组包含了 neiwa
22、ng 和 neiwang2 这两个地址对象。 定义完地址对象和地址组后就可以在安全规则中引用他们,这样会简化安全规则的 设置步骤,方便许多。 4.5、定义服务:自定义服务可以指定开放那些协议,那些端口,例如要开 放 tcp 的 1436 端口,就在“对象定义” “服务列表”中点击添加 按钮,协议 选择 tcp,目的端口输入 1436 ,低端口和高端口都输入 1436,就是只放开 1436 端口,如果低端口输入1436,高端口输入 1440,就是放开 tcp 的 14361440 的 所有端口。一条自定义服务可以放开多个端口。 项目实施与管理文档12 项目节点实施方案 4.6、添加安全规则: 包
23、过滤规则:在“安全策略”“安全规则”中点击添加按钮,类型 选择包过滤,输入源地址和目的地址,选择相应的服务即可;例如,源地址输入 10.10.10.10 ,掩码 255.255.255.255 ,目的地址 20.20.20.20 ,掩码 255.255.255.255 , 服务选择 icmp 就是允许主机 10.10.10.10 ping 20.20.20.20,关于这两台主机的其 他类型数据包都被禁止掉。在源地址和目的地址的下拉菜单里还可以选择在地址 对象中定义好的地址对象和地址组,在服务里还可以选择自定义服务,例如前面 举例的 tcp 1436 端口的服务 NAT 规则:在添加安全规则时,
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- XXX 防火墙 项目 节点 实施方案 模板
链接地址:https://www.31doc.com/p-5170020.html