1、精選優質文檔-傾情為你奉上實施方案1、項目概況山東分公司所屬河口、壽光、昌邑、羊口、即墨、楮島、海陽風電場，每個風場兩臺，共計14臺天氣預報防火墻設備采購、運輸、安裝、調試及一年質保工作，用于滿足自動化應用系統安全需求。2、服務范圍、服務內容2.1 供貨范圍本工程的供貨范圍見表2-1所示。表2-1 供貨需求一覽表序號設備名稱單位數量備注1防火墻設備套142其他安裝附件2.2工作范圍供貨商的工作范圍包括：a) 提供合同內所有硬件設備和軟件，并保證系統完全符合最終技術規范的要求。 b) 提供所需的系統技術資料和文件，并對其正確性負責。c) 提供所有合同設備的備品備件和安裝、維護所需的專門工具和試驗

2、儀器儀表（包括調整、測試和校核）。d) 負責進行工廠驗收，將設備運輸（含搬運至指定位置）、安裝在現場(設備機房)以及現場調試直至成功地投入運行。e) 負責提出設備對供電、接地、消防、運行環境及安裝等要求。f) 負責完成與買方另外購買的其它設備接口連接調試工作。g) 負責現場勘察，與風場協調、確定設備安裝位置，制定設備安裝、調試計劃。h) 負責編制試驗、驗收的計劃報告。i) 在兩年保修期內提供必要的保修服務，賣方應保證及時免費維修或更換任何并非有買方人員非正常操作而導致的缺陷或故障，并應提供限時到達現場的維修服務。j) 由我公司進行安裝調試，并提供售后服務。k) 技術培訓。l) 按合同要求為買方

3、提供必要其它的服務。3、服務依據、工作目標；3.1 服務依據信息技術設備的安全 GB49432001建筑物電子信息系統防雷技術規范GB50343-2004環境電磁衛生標準 GB5175-88電磁輻射防護規定 GB8702-88電氣裝置安裝工程施工及驗收規范 GB50254-96電氣裝置安裝工程施工及驗收規范 GB50255-963.2 工作目標本工程計劃工期30日歷天，質量執行國家現行驗收標準及要求，達到合格標準，嚴格執行安全措施，達到安全零事故。4、服務機構設置、崗位職責4.1 服務機構設置*設立兩個服務小組，隨時調遣工作。機構包括服務主管、調度員、市場信息收集員、三包配件管理員、配件鑒定員

4、等。下圖為我公司的服務機構架構圖：4.2 崗位職責1、服務主管：a分管售后服務全面工作，根據公司實際情況完善售后服務體系及制定售后服務工作計劃。b對售后服務人員進行監督和評審，確保公司的各類規章制度在所管理區域內得到落實。c解決售后服務糾紛及突發事件的處理工作。d安排銷售部門或專職人員做好回訪工作，保證質量。e受理客戶投訴等客戶關系維護與管理工作。f分析與整理售后服務反饋的資料、信息等整理后報主管領導并通知到相關部門。 g對員工進行售后服務規范的培訓工作。h配合銷售部門做好用戶售前、售中、售后現場培訓工作。 i完成上級領導臨時交辦的工作。2、調度員：a制定詳細服務方案和配件投放計劃。b綜合管理

5、與協調服務調度、現場督導、三包鑒定、服務稽查、信息服務、三包配件管理與配送、用戶進廠維修等各項工作。b服務車輛農忙期間及日常管理，包含服務區域、行駛路線、費用登記審核等。d負責外出服務人員需報銷費用的審核。e對服務站及外派服務人員服務效果做綜合評價，監督并督促提升服務質量。f調度各區域人員、整合車輛等各種服務資源進行現場搶修服務。g對疑難問題、重大問題及時進行匯報；h服務人員的服務效果評價和考核、服務補貼的兌現。i服務站日常管理及服務費的逐個審核、兌現。i完成上級領導臨時交辦的工作。（3）市場信息收集員：A根據用戶報修電話記錄對用戶進行電話回訪，對相關費用進行核查。b負責服務信息收集、重點質量

6、問題統計。c實時了解市場服務動態，搜集同行業產品服務和質量信息，為公司服務決策和產品質量提供信息支撐。d負責督促各銷售區域回傳用戶檔案，并對建立健全用戶檔案負責。e完成上級領導臨時交辦的工作。（4） 配件管理員職責：a負責各經銷網點、外派服務隊、駐點服務人員往來帳目的管理，以及三包配件日常業務的辦理。b負責組織經公司、部門領導審批后的三包配件計劃的發送。c負責三包配件的回收管理，部件往來帳目的核對。d在農忙季節，協助服務主管制定配件需求計劃。e. 完成本部門領導臨時安排的相關工作任務。f. 對所發三包配件的型號、數量、目的地等準確性負責。（5） 維修管理員職責：a負責售后維修中心場地管理與設備

7、正常運轉。b合理配備維修人員。c確定維修方案，督促維修進度，監督維修質量。d完成上級領導臨時交辦的工作。（6） 鑒定員職責：a辦理用戶、服務人員、銷售網點返廠三包舊件的鑒定退庫。b對出現的質量問題進行統計匯總。（7）技術員崗位職責1) 精通計算機網絡建設與開發、熟練網絡安全技術、路由器、交換機等配置，對國家信息建設有較深認識，熟悉國家互聯網法規及相關制度、辦法。2) 有一定的職業敏銳度，能及時把握各種軟硬件的市場行情及行業信息。5、擬投入人員、儀器設備；5.1 擬投入人員我單位將配備技術力量雄厚的施工團隊為此項目服務。具體安排如下：序號職務數量1項目經理1人2技術負責人1人4技術員2人5.2

8、擬投入儀器設備序號機械或設備名稱規格數量國別產地制造年份1數字萬用表MS82175中國20172兆歐表500V1中國20173剝線器K140-14中國20174線號標識機I.D.PRO1中國20175信號發生器541TG1中國20166示波器ST80011中國20167直流穩壓電源JW-42中國20168接地電阻測試器ZC-81中國20169絕緣電阻測試器NF2511A1中國201610無線對講機MOTOROLA2中國201711工程車國產1中國201612手提電腦SONY1中國2017注：在合同實施過程中，施工機械投入滿足工程的實際需要。6、針對性工作方案6.1 拓撲圖GE 0/0/1：10

9、.10.10.1/24GE 0/0/2：6/24GE 0/0/3：/24WWW服務器：/24（DMZ區域）FTP服務器：/24（DMZ區域）6.2 Telnet配置配置VTY 的優先級為3，基于密碼驗證。# 進入系統視圖。<USG5300> system-view# 進入用戶界面視圖USG5300 user-interface vty 0 4# 設置用戶界面能夠訪問的命令級別為level 3USG5300-ui-vty0-4 user privilege level 3配置Password驗證 # 配

10、置驗證方式為Password驗證USG5300-ui-vty0-4 authentication-mode password# 配置驗證密碼為lantianUSG5300-ui-vty0-4 set authentication password simple lantian #最新版本的命令是authentication-mode password cipher huawei123配置空閑斷開連接時間# 設置超時為30分鐘USG5300-ui-vty0-4 idle-timeout 30USG5300 firewall packet-filter default permit interzo

11、ne untrust local direction inbound /不加這個從公網不能telnet防火墻。基于用戶名和密碼驗證user-interface vty 0 4 authentication-mode aaaaaa local-user admin password cipher MQ;4B+4Z,YWX*NZ55OA! local-user admin service-type telnet local-user admin level 3firewall packet-filter default permit interzone untrust local directio

12、n inbound如果不開放trust域到local域的缺省包過濾，那么從內網也不能telnet的防火墻，但是默認情況下已經開放了trust域到local域的缺省包過濾。6.3 地址配置內網：進入GigabitEthernet 0/0/1視圖 USG5300 interface GigabitEthernet 0/0/1配置GigabitEthernet 0/0/1的IP地址 USG5300-GigabitEthernet0/0/1 ip address 配置GigabitEthernet 0/0/1加入Trust區域USG5300 firewa

13、ll zone trustUSG5300-zone-untrust add interface GigabitEthernet 0/0/1USG5300-zone-untrust quit外網：進入GigabitEthernet 0/0/2視圖 USG5300 interface GigabitEthernet 0/0/2配置GigabitEthernet 0/0/2的IP地址 USG5300-GigabitEthernet0/0/2 ip address 6 配置GigabitEthernet 0/0/2加入Untrust區域USG5300 f

14、irewall zone untrustUSG5300-zone-untrust add interface GigabitEthernet 0/0/2USG5300-zone-untrust quitDMZ：進入GigabitEthernet 0/0/3視圖USG5300 interface GigabitEthernet 0/0/3配置GigabitEthernet 0/0/3的IP地址。 USG5300-GigabitEthernet0/0/3 ip address USG5300 firewall zone dmzUSG5300-zone

15、-untrust add interface GigabitEthernet 0/0/3USG5300-zone-untrust quit6.4 防火墻策略本地策略是指與Local安全區域有關的域間安全策略，用于控制外界與設備本身的互訪。域間安全策略就是指不同的區域之間的安全策略。域內安全策略就是指同一個安全區域之間的策略，缺省情況下，同一安全區域內的數據流都允許通過，域內安全策略沒有Inbound和Outbound方向的區分。策略內按照policy的順序進行匹配，如果policy 0匹配了，就不會檢測policy 1了，和policy的ID大小沒有關系，誰在前就先匹配誰。缺省情況下開放loc

16、al域到其他任意安全區域的缺省包過濾，方便設備自身的對外訪問。其他接口都沒有加安全區域，并且其他域間的缺省包過濾關閉。要想設備轉發流量必須將接口加入安全區域，并配置域間安全策略或開放缺省包過濾。安全策略的匹配順序：每條安全策略中包括匹配條件、控制動作和UTM等高級安全策略。匹配條件安全策略可以指定多種匹配條件，報文必須同時滿足所有條件才會匹配上策略。比如如下策略policy 1policy service service-set dnspolicy destination 23 0policy source 在這里policy service的端口

17、53就是指的是23的53號端口，可以說是目的地址的53號端口。域間可以應用多條安全策略，按照策略列表的順序從上到下匹配。只要匹配到一條策略就不再繼續匹配剩下的策略。如果安全策略不是以自動排序方式配置的，策略的優先級按照配置順序進行排列，越先配置的策略，優先級越高，越先匹配報文。但是也可以手工調整策略之間的優先級。缺省情況下，安全策略就不是以自動排序方式。如果安全策略是以自動排序方式配置的，策略的優先級按照策略ID的大小進行排列，策略ID越小，優先級越高，越先匹配報文。此時，策略之間的優先級關系不可調整。policy create-mode auto-sort enable

18、命令用來開啟安全策略自動排序功能，默認是關閉的。如果沒有匹配到安全策略，將按缺省包過濾的動作進行處理，所以在配置具體安全策略時要注意與缺省包過濾的關系。例如安全策略中只允許某些報文通過但是沒有關閉缺省包過濾，將造成那些沒有匹配到安全策略的流量也會通過，就失去配置安全策略的意義了。同樣，如果安全策略中只配置了需要拒絕的流量，其他流量都是允許通過的，這時需要開放缺省包過濾才能實現需求，否則會造成所有流量都不能通過。執行命令display this查看當前已有的安全策略，策略顯示的順序就是策略的匹配順序，越前邊的優先級越高執行命令policy move policy-id1 before | aft

19、er policy-id2，調整策略優先級。UTM策略安全策略中除了基本的包過濾功能，還可以引用IPS、AV、應用控制等UTM策略進行進一步的應用層檢測。但前提是匹配到控制動作為permit的流量才能進行UTM處理，如果匹配到deny直接丟棄報文。安全策略的應用方向域間的Inbound和Outbound方向上都可以應用安全策略，需要根據會話的方向合理應用。因為USG是基于會話的安全策略，只對同一會話的首包檢測，后續包直接按照首包的動作進行處理。所以對同一條會話來說只需要在首包的發起方向上，也就是訪問發起的方向上應用安全策略。如上圖所示，Trust域的PC訪問Untrust域的Server，只需

20、要在Trust到Untrust的Outbound方向上應用安全策略允許PC訪問Server即可，對于Server回應PC的應答報文會命中首包建立的會話而允許通過。6.4.1 Trust和Untrust域間：允許內網用戶訪問公網策略一般都是優先級高的在前，優先級低的在后。policy 1：允許源地址為/24的網段的報文通過配置Trust和Untrust域間出方向的防火墻策略。 /如果不加policy source就是指any，如果不加policy destination目的地址就是指any。USG5300 policy interzone trust untrust outb

21、oundUSG5300-policy-interzone-trust-untrust-outbound policy 1USG5300-policy-interzone-trust-untrust-outbound-1 policy source 55 USG5300-policy-interzone-trust-untrust-outbound-1 action permitUSG5300-policy-interzone-trust-untrust-outbound-1 quit如果是允許所有的內網地址上公網可以用以下命令：USG2100firewall

22、 packet-filter default permit interzone trust untrust direction outbound /必須添加這條命令，或者firewall packet-filter default permit all，但是這樣不安全。否則內網不能訪問公網。注意：由優先級高訪問優先級低的區域用outbound，比如policy interzone trust untrust outbound。這時候policy source ip地址，就是指的優先級高的地址，即trust地址，destination地址就是指的untrust地址。只要是outbound，即使配

23、置成policy interzone untrust trust outbound也會變成policy interzone trust untrust outbound。由優先級低的區域訪問優先級高的區域用inbound，比如是policy interzone untrust trust inbound，為了保持優先級高的區域在前，優先級低的區域在后，命令會自動變成policy interzone trust untrust inbound，這時候policy source ip地址，就是指的優先級低的地址，即untrust地址，destination地址就是指的優先級高的地址，即trust地

24、址。總結：outbount時，source地址為優先級高的地址，destination地址為優先級低的地址。inbount時，source地址為優先級低的地址，destination地址為優先級高的地址配置完成后可以使用display policy interzone trust untrust來查看策略。6.4.2 DMZ和Untrust域間：從公網訪問內部服務器policy 2：允許目的地址為，目的端口為21的報文通過policy 3：允許目的地址為，目的端口為8080的報文通過配置Untrust到DMZ域間入方向的防火墻策略，即從公網訪問內網服務器

25、只需要允許訪問內網ip地址即可，不需要配置訪問公網的ip地址。注意：在域間策略里匹配的順序和policy的數字沒有關系，他是從前往后檢查，如果前一個匹配就不檢查下一條了，假如先寫的policy 3后寫的policy 2，那么就先執行policy 3里的語句，如果policy 3里和policy 2里有相同的地址，只要上一個匹配了就不執行下一個一樣的地址了。舉例說明：policy 2里允許通過，policy 3里拒絕通過，哪個policy先寫的就執行哪個。USG5300 policy interzone untrust dmz inboundUSG53

26、00-policy-interzone-dmz-untrust-inbound policy 2USG5300-policy-interzone-dmz-untrust-inbound-2 policy destination 0USG5300-policy-interzone-dmz-untrust-inbound-2 policy service service-set ftpUSG5300-policy-interzone-dmz-untrust-inbound-2 action permitUSG5300-policy-interzone-dmz-untrust-

27、inbound-2 quitUSG5300-policy-interzone-dmz-untrust-inbound policy 3USG5300-policy-interzone-dmz-untrust-inbound-3 policy destination 0USG5300-policy-interzone-dmz-untrust-inbound-3 policy service service-set httpUSG5300-policy-interzone-dmz-untrust-inbound-3 action permitUSG5300-policy-in

28、terzone-dmz-untrust-inbound-3 quitUSG5300-policy-interzone-dmz-untrust-inbound quit應用FTP的NAT ALG功能。USG5300 firewall interzone dmz untrust #優先級高的區域在前USG5300-interzone-dmz-untrust detect ftpUSG5300-interzone-dmz-untrust quit在USG5300支持FTP、HTTP、H.323、HWCC、ICQ、MSN、PPTP、QQ、RTSP、SIP、MGCP、SQL.NET、NETBIOS、MM

29、S等協議的會話時，需要在域間啟動ALG功能配置NAT ALG功能與配置應用層包過濾（ASPF）功能使用的是同一條命令。所以如果已經在域間配置過ASPF功能的話，可以不需要再重復配置NAT ALG功能。兩者的區別在于：l ASPF功能的目的是識別多通道協議，并自動為其開放相應的包過濾策略。 l NAT ALG功能的目的是識別多通道協議，并自動轉換報文載荷中的IP地址和端口信息。在域間執行detect命令，將同時開啟兩個功能。配置內部服務器：<USG5300> system-viewUSG5300 nat server protocol tcp global 6

30、8080 inside wwwUSG5300 nat server protocol tcp global 7 ftp inside ftp6.4.3 NAT策略Trust和Untrust域間： 如果是同一個區域，比如trust到trust就是域內。基于源IP地址轉換方向Outbound方向：數據包從高安全級別流向低安全級別Inbound方向：數據包從低安全級別流向高安全級別高優先級與低優先級是相對的根據基于源IP地址端口是否轉換分為no-pat方式和napt方式。No-PAT方式：用于一對一IP地址轉換，不涉及端口轉換NAPT方式：用于多對一或多對多IP地址轉換，涉及端口轉換1、通過地址池的方式policy 1：允許網段為/24的內網用戶訪問Internet時進行源地址轉換,采用公網地址池的形式。配置地址池USG5300nat address-group 1 6 0配置Trust和Untrust域間出方向的策略USG5300 nat-policy interzone trust untrust outboundUSG5300-policy-interzone-trust-untrust-outbo