防火墙安装调试计划方案
实施方案
1、项目概况
山东分公司所属河口、寿光、昌邑、羊口、即墨、楮岛、海阳风电场,每个风场两台,共计14台天气预报防火墙设备采购、运输、安装、调试及一年质保工作,用于满足自动化应用系统安全需求。
2、服务范围、服务内容
2.1 供货范围
本工程的供货范围见表2-1所示。
表2-1 供货需求一览表
2.2工作范围
供货商的工作范围包括:
a)提供合同内所有硬件设备和软件,并保证系统完全符合最终技术规范的
要求。
b)提供所需的系统技术资料和文件,并对其正确性负责。
c)提供所有合同设备的备品备件和安装、维护所需的专门工具和试验仪器
仪表(包括调整、测试和校核)。
d)负责进行工厂验收,将设备运输(含搬运至指定位置)、安装在现场(设
备机房)以及现场调试直至成功地投入运行。
e)负责提出设备对供电、接地、消防、运行环境及安装等要求。
f)负责完成与买方另外购买的其它设备接口连接调试工作。
g)负责现场勘察,与风场协调、确定设备安装位置,制定设备安装、调试
计划。
h)负责编制试验、验收的计划报告。
i)在两年保修期内提供必要的保修服务,卖方应保证及时免费维修或更换
任何并非有买方人员非正常操作而导致的缺陷或故障,并应提供限时到达现场的维修服务。
j)由我公司进行安装调试,并提供售后服务。
k)技术培训。
l)按合同要求为买方提供必要其它的服务。
3、服务依据、工作目标;
3.1 服务依据
《信息技术设备的安全》 GB4943-2001
《建筑物电子信息系统防雷技术规范》GB50343-2004
《环境电磁卫生标准》 GB5175-88
《电磁辐射防护规定》 GB8702-88
《电气装置安装工程施工及验收规范》 GB50254-96
《电气装置安装工程施工及验收规范》 GB50255-96
3.2 工作目标
本工程计划工期30日历天,质量执行国家现行验收标准及要求,达到合格标准,严格执行安全措施,达到安全零事故。
4、服务机构设置、岗位职责
4.1 服务机构设置
**设立两个服务小组,随时调遣工作。
机构包括服务主管、调度员、市场信息收集员、三包配件管理员、配件鉴定员等。
下图为我公司的服务机构架构图:
4.2 岗位职责
1、服务主管:
a.分管售后服务全面工作,根据公司实际情况完善售后服务体系及制定售后服务工作计划。
b.对售后服务人员进行监督和评审,确保公司的各类规章制度在所管理区域内得到落实。
c.解决售后服务纠纷及突发事件的处理工作。
d.安排销售部门或专职人员做好回访工作,保证质量。
e.受理客户投诉等客户关系维护与管理工作。
f.分析与整理售后服务反馈的资料、信息等整理后报主管领导并通知到相关部门。
g.对员工进行售后服务规范的培训工作。
h.配合销售部门做好用户售前、售中、售后现场培训工作。
i.完成上级领导临时交办的工作。
2、调度员:
a.制定详细服务方案和配件投放计划。
b.综合管理与协调服务调度、现场督导、三包鉴定、服务稽查、信息服务、三包配件管理与配送、用户进厂维修等各项工作。
b.服务车辆农忙期间及日常管理,包含服务区域、行驶路线、费用登记
审核等。
d.负责外出服务人员需报销费用的审核。
e.对服务站及外派服务人员服务效果做综合评价,监督并督促提升服务质量。
f.调度各区域人员、整合车辆等各种服务资源进行现场抢修服务。
g.对疑难问题、重大问题及时进行汇报;
h.服务人员的服务效果评价和考核、服务补贴的兑现。
i.服务站日常管理及服务费的逐个审核、兑现。
i.完成上级领导临时交办的工作。
(3)市场信息收集员:
A.根据用户报修电话记录对用户进行电话回访,对相关费用进行核查。
b.负责服务信息收集、重点质量问题统计。
c.实时了解市场服务动态,搜集同行业产品服务和质量信息,为公司服务决策和产品质量提供信息支撑。
d.负责督促各销售区域回传用户档案,并对建立健全用户档案负责。
e.完成上级领导临时交办的工作。
(4)配件管理员职责:
a.负责各经销网点、外派服务队、驻点服务人员往来帐目的管理,以及三包配件日常业务的办理。
b.负责组织经公司、部门领导审批后的三包配件计划的发送。
c.负责三包配件的回收管理,部件往来帐目的核对。
d.在农忙季节,协助服务主管制定配件需求计划。
e. 完成本部门领导临时安排的相关工作任务。
f. 对所发三包配件的型号、数量、目的地等准确性负责。
(5)维修管理员职责:
a.负责售后维修中心场地管理与设备正常运转。
b.合理配备维修人员。
c.确定维修方案,督促维修进度,监督维修质量。
d.完成上级领导临时交办的工作。
(6)鉴定员职责:
a.办理用户、服务人员、销售网点返厂三包旧件的鉴定退库。
b.对出现的质量问题进行统计汇总。
(7)技术员岗位职责
1)精通计算机网络建设与开发、熟练网络安全技术、路由器、交换机等配
置,对国家信息建设有较深认识,熟悉国家互联网法规及相关制度、办
法。
2)有一定的职业敏锐度,能及时把握各种软硬件的市场行情及行业信息。
5、拟投入人员、仪器设备;
5.1 拟投入人员
我单位将配备技术力量雄厚的施工团队为此项目服务。具体安排如下:
5.2 拟投入仪器设备
6、针对性工作方案
6.1 拓扑图
GE 0/0/1:10.10.10.1/24
GE 0/0/2:220.10.10.16/24
GE 0/0/3:10.10.11.1/24
WWW服务器:10.10.11.2/24(DMZ区域)
FTP服务器:10.10.11.3/24(DMZ区域)
6.2 Telnet配置
配置VTY 的优先级为3,基于密码验证。
# 进入系统视图。
# 进入用户界面视图
[USG5300] user-interface vty 0 4
# 设置用户界面能够访问的命令级别为level 3
[USG5300-ui-vty0-4] user privilege level 3
配置Password验证
# 配置验证方式为Password验证
[USG5300-ui-vty0-4] authentication-mode password
# 配置验证密码为lantian
[USG5300-ui-vty0-4]set authentication password simple lantian ###最新版本的命令是authentication-mode password cipher huawei@123
配置空闲断开连接时间
# 设置超时为30分钟
[USG5300-ui-vty0-4] idle-timeout 30
[USG5300]firewall packet-filter default permit interzone untrust local direction inbound //不加这个从公网不能telnet防火墙。
基于用户名和密码验证
user-interface vty 0 4
authentication-mode aaa
aaa
local-user admin password cipher ]MQ;4\]B+4Z,YWX*NZ55OA!!
local-user admin service-type telnet
local-user admin level 3
firewall packet-filter default permit interzone untrust local direction inbound
如果不开放trust域到local域的缺省包过滤,那么从内网也不能telnet的防火墙,但是默认情况下已经开放了trust域到local域的缺省包过滤。
6.3 地址配置
内网:
进入GigabitEthernet 0/0/1视图
[USG5300] interface GigabitEthernet 0/0/1
配置GigabitEthernet 0/0/1的IP地址
[USG5300-GigabitEthernet0/0/1] ip address 10.10.10.1 255.255.255.0配置GigabitEthernet 0/0/1加入Trust区域
[USG5300] firewall zone trust
[USG5300-zone-untrust] add interface GigabitEthernet 0/0/1
[USG5300-zone-untrust] quit
外网:
进入GigabitEthernet 0/0/2视图
[USG5300] interface GigabitEthernet 0/0/2
配置GigabitEthernet 0/0/2的IP地址
[USG5300-GigabitEthernet0/0/2] ip address 220.10.10.16 255.255.255.0 配置GigabitEthernet 0/0/2加入Untrust区域
[USG5300] firewall zone untrust
[USG5300-zone-untrust] add interface GigabitEthernet 0/0/2
[USG5300-zone-untrust] quit
DMZ:
进入GigabitEthernet 0/0/3视图
[USG5300] interface GigabitEthernet 0/0/3
配置GigabitEthernet 0/0/3的IP地址。
[USG5300-GigabitEthernet0/0/3] ip address 10.10.11.1 255.255.255.0 [USG5300] firewall zone dmz
[USG5300-zone-untrust] add interface GigabitEthernet 0/0/3
[USG5300-zone-untrust] quit
6.4 防火墙策略
本地策略是指与Local安全区域有关的域间安全策略,用于控制外界与设备本身的互访。
域间安全策略就是指不同的区域之间的安全策略。
域内安全策略就是指同一个安全区域之间的策略,缺省情况下,同一安全区域内的数据流都允许通过,域内安全策略没有Inbound和Outbound方向的区分。
策略内按照policy的顺序进行匹配,如果policy 0匹配了,就不会检测policy 1了,和policy的ID大小没有关系,谁在前就先匹配谁。
缺省情况下开放local域到其他任意安全区域的缺省包过滤,方便设备自身的对外访问。其他接口都没有加安全区域,并且其他域间的缺省包过滤关闭。要想设备转发流量必须将接口加入安全区域,并配置域间安全策略或开放缺省包过滤。
安全策略的匹配顺序:
每条安全策略中包括匹配条件、控制动作和UTM等高级安全策略。
匹配条件
安全策略可以指定多种匹配条件,报文必须同时满足所有条件才会匹配上策略。
比如如下策略
policy 1
policy service service-set dns
policy destination 221.2.219.123 0
policy source 192.168.10.1
在这里policy service的端口53就是指的是221.2.219.123的53号端口,可以说是目的地址的53号端口。
域间可以应用多条安全策略,按照策略列表的顺序从上到下匹配。只要匹配到一条策略就不再继续匹配剩下的策略。如果安全策略不是以自动排序方式配置的,策略的优先级按照配置顺序进行排列,越先配置的策略,优先级越高,越先匹配报文。但是也可以手工调整策略之间的优先级。缺省情况下,安全策略就不是以自动排序方式。如果安全策略是以自动排序方式配置的,策略的优先级按照策略ID的大小进行排列,策略ID越小,优先级越高,越先匹配报文。此时,策略之间的优先级关系不可调整。policy create-mode auto-sort enable命令用来开启安全策略自动排序功能,默认是关闭的。
如果没有匹配到安全策略,将按缺省包过滤的动作进行处理,所以在配置具体安全策略时要注意与缺省包过滤的关系。例如安全策略中只允许某些报文通过但是没有关闭缺省包过滤,将造成那些没有匹配到安全策略的流量也会通过,就失去配置安全策略的意义了。
同样,如果安全策略中只配置了需要拒绝的流量,其他流量都是允许通过的,这时需要开放缺省包过滤才能实现需求,否则会造成所有流量都不能通过。
执行命令display this查看当前已有的安全策略,策略显示的顺序就是策略的匹配顺序,越前边的优先级越高
执行命令policy move policy-id1 { before | after } policy-id2,调整策略优先级。
UTM策略
安全策略中除了基本的包过滤功能,还可以引用IPS、A V、应用控制等UTM 策略进行进一步的应用层检测。但前提是匹配到控制动作为permit的流量才能进行UTM处理,如果匹配到deny直接丢弃报文。
安全策略的应用方向
域间的Inbound和Outbound方向上都可以应用安全策略,需要根据会话的方向合理应用。因为USG是基于会话的安全策略,只对同一会话的首包检测,后续包直接按照首包的动作进行处理。所以对同一条会话来说只需要在首包的发起方向上,也就是访问发起的方向上应用安全策略。
如上图所示,Trust域的PC访问Untrust域的Server,只需要在Trust到Untrust 的Outbound方向上应用安全策略允许PC访问Server即可,对于Server回应PC 的应答报文会命中首包建立的会话而允许通过。
6.4.1 Trust和Untrust域间:允许内网用户访问公网
策略一般都是优先级高的在前,优先级低的在后。
policy 1:允许源地址为10.10.10.0/24的网段的报文通过
配置Trust和Untrust域间出方向的防火墙策略。//如果不加policy source 就是指any,如果不加policy destination目的地址就是指any。
[USG5300] policy interzone trust untrust outbound
[USG5300-policy-interzone-trust-untrust-outbound] policy 1
[USG5300-policy-interzone-trust-untrust-outbound-1] policy source 10.10.10.0 0.0.0.255
[USG5300-policy-interzone-trust-untrust-outbound-1] action permit
[USG5300-policy-interzone-trust-untrust-outbound-1] quit
如果是允许所有的内网地址上公网可以用以下命令:
[USG2100]firewall packet-filter default permit interzone trust untrust direction outbound //必须添加这条命令,或者firewall packet-filter default permit all,但是这样不安全。否则内网不能访问公网。
注意:由优先级高访问优先级低的区域用outbound,比如policy interzone trust untrust outbound。这时候policy source ip地址,就是指的优先级高的地址,即trust地址,destination地址就是指的untrust地址。只要是outbound,即使配置成policy interzone untrust trust outbound也会变成policy interzone trust untrust outbound。
由优先级低的区域访问优先级高的区域用inbound,比如是policy interzone untrust trust inbound,为了保持优先级高的区域在前,优先级低的区域在后,命令会自动变成policy interzone trust untrust inbound,这时候policy source ip地址,就是指的优先级低的地址,即untrust地址,destination地址就是指的优先级高的地址,即trust地址。
总结:outbount时,source地址为优先级高的地址,destination地址为优先级低的地址。inbount时,source地址为优先级低的地址,destination地址为优先级高的地址配置完成后可以使用display policy interzone trust untrust来查看策略。
6.4.2 DMZ和Untrust域间:从公网访问内部服务器
policy 2:允许目的地址为10.10.11.2,目的端口为21的报文通过
policy 3:允许目的地址为10.10.11.3,目的端口为8080的报文通过
配置Untrust到DMZ域间入方向的防火墙策略,即从公网访问内网服务器只需要允许访问内网ip地址即可,不需要配置访问公网的ip地址。
注意:在域间策略里匹配的顺序和policy的数字没有关系,他是从前往后检查,如果前一个匹配就不检查下一条了,假如先写的policy 3后写的policy 2,那么就先执行policy 3里的语句,如果policy 3里和policy 2里有相同的地址,只要上一个匹配了就不执行下一个一样的地址了。
举例说明:policy 2里允许192.168.0.1通过,policy 3里拒绝192.168.0.1通过,哪个policy先写的就执行哪个。
[USG5300] policy interzone untrust dmz inbound
[USG5300-policy-interzone-dmz-untrust-inbound] policy 2
[USG5300-policy-interzone-dmz-untrust-inbound-2] policy destination 10.10.11.3 0
[USG5300-policy-interzone-dmz-untrust-inbound-2] policy service service-set ftp
[USG5300-policy-interzone-dmz-untrust-inbound-2] action permit
[USG5300-policy-interzone-dmz-untrust-inbound-2] quit
[USG5300-policy-interzone-dmz-untrust-inbound] policy 3
[USG5300-policy-interzone-dmz-untrust-inbound-3] policy destination 10.10.11.2 0
[USG5300-policy-interzone-dmz-untrust-inbound-3]policy service service-set http
[USG5300-policy-interzone-dmz-untrust-inbound-3] action permit
[USG5300-policy-interzone-dmz-untrust-inbound-3] quit
[USG5300-policy-interzone-dmz-untrust-inbound] quit
应用FTP的NAT ALG功能。
[USG5300] firewall interzone dmz untrust ###优先级高的区域在前[USG5300-interzone-dmz-untrust] detect ftp
[USG5300-interzone-dmz-untrust] quit
在USG5300支持FTP、HTTP、H.323、HWCC、ICQ、MSN、PPTP、QQ、RTSP、SIP、MGCP、https://www.360docs.net/doc/0913973851.html,、NETBIOS、MMS等协议的会话时,需要在域间启动ALG功能
配置NAT ALG功能与配置应用层包过滤(ASPF)功能使用的是同一条命令。所以如果已经在域间配置过ASPF功能的话,可以不需要再重复配置NAT ALG 功能。
两者的区别在于:
ASPF功能的目的是识别多通道协议,并自动为其开放相应的包过滤策略。
NAT ALG功能的目的是识别多通道协议,并自动转换报文载荷中的IP地址和端口信息。
在域间执行detect命令,将同时开启两个功能。
配置内部服务器:
[USG5300] nat server protocol tcp global 220.10.10.16 8080 inside 10.10.11.2 www
[USG5300] nat server protocol tcp global 220.10.10.17 ftp inside 10.10.11.3 ftp
6.4.3 NAT策略
Trust和Untrust域间:如果是同一个区域,比如trust到trust就是域内。
基于源IP地址转换方向
Outbound方向:数据包从高安全级别流向低安全级别
Inbound方向:数据包从低安全级别流向高安全级别
高优先级与低优先级是相对的
根据基于源IP地址端口是否转换分为no-pat方式和napt方式。
No-PAT方式:用于一对一IP地址转换,不涉及端口转换
NAPT方式:用于多对一或多对多IP地址转换,涉及端口转换
1、通过地址池的方式
policy 1:允许网段为10.10.10.0/24的内网用户访问Internet时进行源地址转换,采用公网地址池的形式。
配置地址池
[USG5300]nat address-group 1 220.10.10.16 220.10.10.20
配置Trust和Untrust域间出方向的策略
[USG5300] nat-policy interzone trust untrust outbound
[USG5300--policy-interzone-trust-untrust-outbound] policy 1
[USG5300- nat-policy -interzone-trust-untrust-outbound-1] policy source 10.10.10.0 0.0.0.255
[USG5300- nat-policy -interzone-trust-untrust-outbound-1] action source-nat
[USG5300- nat -policy-interzone-trust-untrust-outbound-1] address-group 1 [no pat]
如果是基于外网接口的nat转换可以不用配置地址池,直接在nat-policy interzone trust untrust outbound里配置eary-ip 外网接口
这里的policy source指的是trust地址,nat转换成untrust地址,如果是nat-policy interzone trust untrust inbound,源地址就是指untrust地址,转换成trust 地址。
2、通过公网接口的方式
创建Trust区域和Untrust区域之间的NAT策略,确定进行NAT转换的源地址范围192.168.1.0/24网段,并且将其与外网接口GigabitEthernet 0/0/4进行绑定。
[USG] nat-policy interzone trust untrust outbound
[USG-nat-policy-interzone-trust-untrust-outbound] policy 0
[USG-nat-policy-interzone-trust-untrust-outbound-0]policy source 192.168.1.0 0.0.0.255
[USG-nat-policy-interzone-trust-untrust-outbound-0] action source-nat
[USG-nat-policy-interzone-trust-untrust-outbound-0] easy-ip GigabitEthernet 0/0/4
[USG-nat-policy-interzone-trust-untrust-outbound-0] quit
3、直接在接口启用nat
如果是针对内网用户上公网做nat,需要在内网接口使用
[USG-GigabitEthernet0/0/0]nat enable
防火墙测试实施方案{项目}
防火墙测试方案测试项目 测试一、NAT/PAT 拓扑图 FTP Client LoadRunner LoadRunner PC3 测试要求
(如防火墙inside 接口不够,则使用交换机连接内部三台pc 并将内部网络合并为192.168.0.0/16) 1. 将19 2.168.1.1(pc1)静态翻译(地址翻译)为58.135.192.55 2. 将192.168.2.0-192.168.4.254动态翻译(端口翻译)为58.135.192.56 检查方法及检查项目 ● PC1通过FTP 方式从教育网下载数据 ● PC2和PC3使用LoadRunner 分别模拟500台电脑浏览网页 ● 查看设备负载和网络延迟 测试二、Site-to-Site IPSec/VPN 拓扑图 5540 测试防火墙 PC1 PC2 测试要求 1. ISAKMP 配置 2. IPSec 配置 3. 只对10.0.1.1和10.0.2.2之间互访的流量进行IPSEC 的加密 检查方法及检查项目
● PC1和PC2能否相互PING 通,在ASA5540上检测数据是否为加密数据。 ● 修改PC2的ip 地址为10.0.2.22,使用pc1 PING pc2,在asa5540上检 查数据是否为明文。 测试三、Dynamic Remote-Access IPSec/VPN 拓扑图 .2. 0/2 416 8. 1.0/24PC1PC2 测试要求 1. ISAKMP 配置 2. IPSec 配置 3. 其他 4. 防火墙Outside 外任何主机都可以与防火墙建立IPSec/VPN 连接。 5. 只对PC1和PC2互访的数据加密。
防火墙配置模式
前言 3 一、防火墙的概况、应用及功能 3 1.1 防火墙的定义 3 1.2防火墙的种类 4 1.2.2网络层防火墙 4 1.2.2应用层防火墙 4 1.2.3数据库防火墙 5 1.3 防火墙的功能 5 二、使用设置 5 2.1使用习惯 6 2.1.1所有防火墙文件规则必须更改 6 2.1 .2以最小的权限安装所有的访问规则 6 2.1.3 根据法规协议和更改需求来校验每项防火墙的更改 6 2.1.4当服务过期后从防火墙规则中删除无用的规则 7 2.2配置 7 2.3工作模式 8 2.3.1 透明网桥模式 8 2.3.1.1适用环境 9 2.3.1.2组网实例 9 2.3.2 路由模式 10 2.3.2.1适用环境 11 2.3.2.2NAT(网络地址转换) 11 2.3.2.3组网实例 12 三、总结 13
一、前言 随着计算机的日益发展,计算机早已深入到各个领域,计算机网络已无处不在。而internet的飞速发展,使计算机网络资源共享进一步加强。随之而来的安全问题也日益突出。在人们对网络的优越性还没有完全接受的时候,黑客攻击开始肆虐全球的各大网站;而病毒制造者们也在各显其能,从CIH到爱虫.中毒者不计其数。一般认为,计算机网络系统的安全威胁主要来自黑客的攻击、计算机病毒和拒绝服务攻击三个方面。目前,人们也开始重视来自网络内部的安全威胁。我们可以通过很多网络工具、设备和策略来为我们的网络提供安全防护。其中防火墙是运用非常广泛和效果最好的选择。然而购买了防火墙设备,却不是仅仅装上了硬件就能发挥作用的,而是需要根据你的网络结构和需求在合适的工作模式下配置相应的安全策略,才能满足你的安全需求。由此引出的问题和解决办法就是本文的主要研究对象。 一、防火墙的概况、应用及功能 1、防火墙的定义 所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。 在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)
桥梁预制板吊装施工方案
桥梁预制板吊装施工方 案 Document serial number【LGGKGB-LGG98YT-LGGT8CB-LGUT-
13m预应力空心板运输吊装方案 一、工程概况 济南市兴隆大沟桥位于济南市二环南路,现状桥梁全长46.4m,桥面宽48m,横向布置为3.5m(人行道)+41m(车行道)+3.5m(人行道)。上部结构型式为3孔13m标准跨径的钢筋混凝土空心板。此次维修加固工程对桥面板进行更换,空心板梁在我公司黄岗北厂预制,达到设计强度后,由梁场起吊至运梁车上,运输至施工现场吊装就位。此次吊装33块,具体工程量如下: 二、施工工艺 1、吊装方法:根据现场情况,板梁安装采用2台50T汽车吊安装近距离桥面板,由西侧向东侧铺设,由南侧向北侧铺设。在施工过程中,一定要做到对称加载,防止预制板受力不均。中跨预制板吊装时,吊机支撑设置应尽量在墩台帽上,同时应加大吊车支撑与桥面的接触面积 2、技术参数
中板的起吊重量约,边板的起吊重量约。汽车吊摆放就位后,根据最重构件重量及安装半径及施工现场,选用两台50吨吊车吊装,工作半径在8米,单辆汽车吊最大起重量是14吨,两部吊车同时作业,可以满足要求。 3、施工筹划及工艺流程 每块板的吊装工艺流程见下图: 三、预应力空心板的运输 预应力桥板在我公司预制场(济南市黄岗路1号)内集中预制。采用龙门吊装车。 1、行车路线为:黄岗济齐路纬十二路阳光新路二环南 路兴隆大沟桥 2、车辆选择:选择加长半挂车运输,一次一车可拉3块,两层桥板间用厚度高于吊环高度的硬质方木或枕木垫牢。 桥板
四、梁板吊装施工方案 1、施工顺序:(1)、支座及桥板定位放样,(2)、支座及桥板放样复核(3)、支座安放,(4)、预制板装送,(5)、预制板吊装。 2、施工前准备 (1)、施工前对北侧围挡进行拆除,确保吊机及运行车的运行路线及停放位置。 (2)、施工前派专人对此段交通进行交通管制,北侧留一个行车道及一个非机动车道,其余车道供吊机及运行车使用。 (3)、本次施工计划在夜间进行,施工前对施工现场架设照明设备,已确保施工时施工现场明亮如昼。在施工作业段东侧设置警示灯、防撞桶及LED警示灯作为警示,并在东侧路口东侧100米外用隔离帽将车道变更为一个机动车道。 (4)、板梁砼养护期达到。 (5)、先按图放出每块板梁的边线及橡胶支座位置,橡胶支座安放位置应准确无误。 (6)、准备好控制伸缩缝的泡沫板为4cm。 (7)、在整个施工过程中,要注意对成品和半成品(如:通讯电缆、板梁、台帽等)的保护。 (8)、吊装前各人员应合理分配,各工序应由专人指挥。 5、吊装步骤
防火墙安装调试计划方案
实施方案 1、项目概况 山东分公司所属河口、寿光、昌邑、羊口、即墨、楮岛、海阳风电场,每个风场两台,共计14台天气预报防火墙设备采购、运输、安装、调试及一年质保工作,用于满足自动化应用系统安全需求。 2、服务范围、服务内容 2.1 供货范围 本工程的供货范围见表2-1所示。 表2-1 供货需求一览表 2.2工作范围 供货商的工作范围包括: a)提供合同内所有硬件设备和软件,并保证系统完全符合最终技术规范的 要求。 b)提供所需的系统技术资料和文件,并对其正确性负责。 c)提供所有合同设备的备品备件和安装、维护所需的专门工具和试验仪器 仪表(包括调整、测试和校核)。 d)负责进行工厂验收,将设备运输(含搬运至指定位置)、安装在现场(设 备机房)以及现场调试直至成功地投入运行。 e)负责提出设备对供电、接地、消防、运行环境及安装等要求。 f)负责完成与买方另外购买的其它设备接口连接调试工作。 g)负责现场勘察,与风场协调、确定设备安装位置,制定设备安装、调试 计划。
h)负责编制试验、验收的计划报告。 i)在两年保修期内提供必要的保修服务,卖方应保证及时免费维修或更换 任何并非有买方人员非正常操作而导致的缺陷或故障,并应提供限时到达现场的维修服务。 j)由我公司进行安装调试,并提供售后服务。 k)技术培训。 l)按合同要求为买方提供必要其它的服务。 3、服务依据、工作目标; 3.1 服务依据 《信息技术设备的安全》 GB4943-2001 《建筑物电子信息系统防雷技术规范》GB50343-2004 《环境电磁卫生标准》 GB5175-88 《电磁辐射防护规定》 GB8702-88 《电气装置安装工程施工及验收规范》 GB50254-96 《电气装置安装工程施工及验收规范》 GB50255-96 3.2 工作目标 本工程计划工期30日历天,质量执行国家现行验收标准及要求,达到合格标准,严格执行安全措施,达到安全零事故。 4、服务机构设置、岗位职责 4.1 服务机构设置 **设立两个服务小组,随时调遣工作。 机构包括服务主管、调度员、市场信息收集员、三包配件管理员、配件鉴定员等。 下图为我公司的服务机构架构图:
VMWare虚拟机三种工作模式详解
很多网友安装了VMWare虚拟机,但是在虚拟机上网问题上却卡住了。要想虚拟机上网,首先让我们了解一下VMWare虚拟机三种工作模式。现在,让我们一起走近VMWare的三种工作模式。 理解三种工作模式 VMWare提供了三种工作模式,它们是bridged(桥接模式)、NAT(网络地址转换模式)和host-only(主机模式)。要想在网络管理和维护中合理应用它们,你就应该先了解一下这三种工作模式。 1.bridged(桥接模式) 在这种模式下,VMWare虚拟出来的操作系统就像是局域网中的一台独立的主机,它可以访问网内任何一台机器。在桥接模式下,你需要手工为虚拟系统配置IP地址、子网掩码,而且还要和宿主机器处于同一网段,这样虚拟系统才能和宿主机器进行通信。同时,由于这个虚拟系统是局域网中的一个独立的主机系统,那么就可以手工配置它的TCP/IP配置信息,以实现通过局域网的网关或路由器访问互联网。 使用桥接模式的虚拟系统和宿主机器的关系,就像连接在同一个Hub上的两台电脑。想让它们相互通讯,你就需要为虚拟系统配置IP地址和子网掩码,否则就无法通信。 如果是你是局域网上网方式,虚拟机使用网桥连接方式,只要设置虚拟机的IP地址与本机是同一网段,子网、网关、DNS与本机相同就能实现上网,也能访问局域网络。 如果你是拨号上网方式,虚拟机使用此种方式连接,就要在虚拟机内系统建立宽带连接、拨号上网,但是和宿主机不能同时上网。 2.NAT(网络地址转换模式) 使用NAT模式,就是让虚拟系统借助NAT(网络地址转换)功能,通过宿主机器所在的网络来访问公网。也就是说,使用NAT模式可以实现在虚拟系统里访问互联网。NAT模式下的虚拟系统的TCP/IP配置信息是由VMnet8(NAT)虚拟网络的DHCP服务器提供的,无法进行手工修改,因此使用NAT模式虚拟系统也就无法和本地局域网中的其他真实主机进行通讯。 采用NAT模式最大的优势是虚拟系统接入互联网非常简单,你不需要进行任何其他的配置,只需要宿主机器能访问互联网,虚拟机就能访问互联网。 设置上网方式:本机网上邻居属性-->VMnet8属性-->TCP/IP属性-->常规与备用配置都设定为自动获取,虚拟机网上邻居TCP/IP都设定为自动,虚拟网络设置设定如下面图所示 详细步骤: 1.把你的虚拟网卡VMnet8设置为自动获得IP、自动获得DNS 服务器,启用。 如果你想利用VMWare安装一个新的虚拟系统,在虚拟系统中不用进行任何手工配置就能直接访问互联网,建议你采用NAT模式。 注释:以上所提到的NAT模式下的VMnet8虚拟网络,host-only模式下的VMnet1虚拟网络,以及bridged (桥接)模式下的VMnet0虚拟网络,都是由VMWare虚拟机自动配置而生成的,不需要用户自行设置。VMnet8和VMnet1提供DHCP服务,VMnet0虚拟网络则不提供。
预制板安装方案
预制空心楼板安装方案 一、工程概况 略 二、施工准备 2.1安装前检查空心板是否到达强度要求,未达到强度要求的禁止吊装。 2.2设备和人员准备 施工设备:50t履带吊2台,平板车2辆。 施工人员:施工技术负责人1人,施工人员2人,吊装指挥员1人,安装工4人,吊车司机2人。 三、施工工艺 3.1、工艺原理 一般的预制空心板安装施工时对板缝控制是按规范要求的,在本工程中板缝在符合规范的前提下,控制在30mm~50mm之间,以满足特制底模对板缝的要求。直径20的半圆线条可以使板底裂缝的产生。一般灌缝时是留有10mm左右深的凹槽为了竞选蓄水养护,留有凹槽在以后的楼面清理时容易积灰及建筑垃圾,清理起来也相当麻烦。本工法中的要求是一次浇筑结平,但表面要搓毛,这样以后清理楼面就相当方便,且不会留对以后楼面结面的影响因素。专人对所浇筑的砼进行养护可以确保砼的质量。
3.2、工艺流程及操作要点 3.2.1工艺流程 检查预制空心楼板的质量板端堵孔复核墙体轴线尺寸及预留洞口尺寸抄平、抹找平层弹线板端坐浆吊装楼板调整就为板缝支模、钢管支撑清洗板缝、刷素水泥浆浇筑同标号细石砼、振实、搓毛砼养护板端浇筑砼拆模 3.2.2操作要点 3. 2.2.1按一般的安装要求准备好施工工具、材料。 3.2.2.1.1施工前熟悉施工流程,合理配置时施工机械及所需用的劳动力,保证材料的供应。 3.2.2.1.2检查预制空心板质量,构件要有出厂合格证,表面是否有裂缝、掉角、翘曲、等明显缺陷,如有缺陷立即予以更换。 3.2.2.1.3 预制空心板对方场地应平整坚实。四周有排水沟。堆放是要注意构件受力方向,严禁错向堆放,每垛不得超过10块,层间放置垫木。按板的不同型号分类堆放,板端锚固筋用套管理顺,并向上完成45°的弯,不得完成死弯,防止断裂。 3.2.2.1.4预先制备足够数量的特制底模:如下图
天融防火墙信工作模式操作说明
————如何配置防火墙4000透明工作模式———— 1、假设你已经通过串口初始化了防火墙4000(配置接口IP、GUI 登录权限等), 并按照以上拓扑图连接好网络; 2、要求:客户端所在的Intranet区域与服务器端所在的SSN区域通过透明方式 (交换模式)进行通信。实现方式如下: 3、在防火墙管理器中选取“对象管理”→“透明网络”菜单,将弹出透明网络 定义界面;输入需建立的透明网络名称如“transport”,将需要透明传输的接口区域(如服务器端所在的SSN区域和客户端所在的Intranet区域)加入到“统一广播域的网络”中即可;如下图: 4、也可以通过串口登录到防火墙上,使用命令行方式进行设置,命令如下: vlan add transport –a ‘intranet’‘internet’
以上是以测试要求定义的命令格式,完整的配置格式请参见帮助信息。 5、最后在相应访问目的区域中增加访问策略既可。 ————如何配置防火墙4000路由工作模式———— 1、假设你已经通过串口初始化了防火墙4000(配置接口IP、GUI 登录权限等), 并按照以上拓扑图连接好网络; 2、要求:客户端所在的Intranet区域(eth2)与服务器端所在的SSN(eth0) 区域通过路由方式进行通信; 3、由于防火墙缺省情况下的通讯策略就是使用路由模式的,因此在配置防火墙 的路由工作模式的时候,只需要配置相应的接口地址,本例中就只需要配置eth2和eth0的接口地址,并在相应访问目的区域中增加访问策略既可。 ————如何配置防火墙4000混合工作模式———— 路由 eth1 1、假设你已经通过串口初始化了防火墙4000(配置接口IP、GUI 登录权限等), 并按照以上拓扑图连接好网络; 2、要求:客户端所在的Intranet区域(eth2)与服务器端所在的SSN(eth0) 区域通过透明方式(交换模式)进行通信,客户端所在的Intranet区域(eth2)
网御神州防火墙项目割接节点实施方案模板
XXX项目实施方案模板
网御神州科技(北京)有限公司 2009年月 目录 1概述 (3) 2工程实施安排 (3) 3工程总体要求 (6) 4工程实施步骤 (7) 4.1 前期准备工作 (7) 4.2 安装实施前期 (8) 4.2.1 资料采集 (8) 4.2.2 分析调研 (9) 4.2.3 规则翻译 (10) 4.2.4 产品到货验收 (10) 4.2.5 加电检测 (11) 4.2.6 配置安全设备(网御神州) (11) 4.2.7 模拟环境测试 (15) 4.3 安装实施中期 (16) 4.3.1 设备上线 (16) 4.3.2 应用系统验证性测试 (17) 4.3.3 计划变更 (17) 4.4安装实施后期 (18) 4.4.1 设备试运行 (18) 4.4.2 现场培训 (19)
4.4.3 节点初验 (19) 4.4.4 文档整理 (20) 5风险控制 (20) 5.1 实施现场的风险控制 (20) 5.1.1 业务全部中断情况的处理 (21) 5.1.2 部分业务中断情况的处理 (22) 5.2 运行期间的风险控制 (23) 6附件 (24) “XXX”项目设备到货确认单 (24) 1概述 XXX安全设备项目是2006年信息安全建设的一个重要项目,内容为更换副省级以上(含)机构XXX安全设备。此文档是XXX安全设备项目各节点的实施方案。 2工程实施安排 此次工程实施以各节点技术力量为主,厂商技术人员在实施现场做技术支持。各节点工程实施时间安排约为8天,第一批安装单位的开始为1月22日,第二批安装单位的开始时间为1月29日,项目分为实施前期、实施中期、实施后期三个阶段,其中:周一至周五为实施前期,主要是进行相关前期的准备工作和模拟环境测试工作;周末为实施中期,主要是上线切换、应用验证等工作;后期安排一天时间,主要是进行现场值守技术保障、文档整理等工作。工程开始时
预制板专项施工方案
甘肃扬黄工程Y9标砼预制板专项施工方案甘肃扬黄工程Y9标工程中的水库迎水坡坡面采用砼预制板衬砌,为了保证进度和质量,特编制本方案。 一、编制依据: 1.1施工图纸 1.2水工砼施工规范 1.3合同文件 二、工程概况: 该工程所用预制板为C20F200预制,尺寸为500mm×700mm,厚度8cm,合同总方量2700m3,计划工期4个月,从2009年9月1日开始至2010年5月20日结束。 三、施工布署及方案 本工程计划两套方案:一是交由当地预制场预制,项目部在施工现场验收成品;二是项目部组织在施工现场预制。本方案着重第二套方案。 3.1施工流程为: 现将上述流程各环节具体安排如下: 3.1.1施工准备阶段完成以下工作:预制场规划施工驻地,预制场计划上劳20人,人均住房面积按3m2计算,需临时住房60m2,灶房计划15 m2,库房20 m2,维修间15 m2,共计建筑面积110 m2,采用简易临时房,造价约100元/ m2
3.1.2 拌和系统 计划使用JS500强制式搅拌机与三仓1200配料机配合使用,粉煤灰及水泥采用散装,以减少保管及二次倒运成本。占地面积150 m2控制室及水池占地30 m2,共占地180 m2。 3.1.3 原材料堆放 原材料有砂子、1-3碎石、外加剂、水。砂子与碎石堆放设置料仓,料仓使用面积C20砼硬化(详见布置图),材料堆放高度1.5 m,根据工期要求每天的预制量为30 m3(2700 m3/92天),材料堆放按7天的使用量,砂子应存90 m3,碎石应存200 m3,共占地300 m2。料场与拌和站道路占地100 m2,共占地400 m2。 3.1.4 预制料场 每天生产30 m3砼预制板的面积为375m2,按70%使用率需占地536m2,预制板在场地搁置按4天计,共需占地2680 m2。 3.1.5 堆放场 预制场总量2700m3,堆放高度0.7 m,占地利用系数80%计,共需占地4821 m2,若考虑在2010年4月安装,堆放场需堆放3/4预制板,则需占地3616 m2。 3.2 砼板试预制 参考试验室提供的配合比,在不同的水灰比和砂率情况下进行六组对比试验,在保证砼强度及抗冻指标的前提下,对比最优配比的外观质量。同时在预制过程中收集以下数据:振动器的最佳振动功率、振捣时间、入仓砼量,拆模最佳时间、脱模剂类型、拆模方式(保证
防火墙测试验收方案.
防火墙测试方案 一、引言 防火墙是实现网络安全体系的重要设备,其目的是要在内部、外部两个网络之间建立
一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。 随着网上黑客活动的日益猖獗,越来越多的上网企业开始重视网络安全问题。特别是近两三年来,以防火墙为核心的安全产品需求市场迅速成长起来,瞬间出现了众多提供防火墙产品的厂家,光国内就有几十家。各种防火墙品种充斥市场,良莠不齐,有软件的防火墙,硬件的防火墙,也有软硬一体化的防火墙;有面向个人的防火墙,面向小企业的低档防火墙,也有中高档的防火墙,技术实现上有包过滤的防火墙、应用代理的防火墙,也有状态检测的防火墙。由于防火墙实现方式灵活,种类多,而且往往要与复杂的网络环境整合在一起使用,因此,对防火墙进行测试评估是选购防火墙产品的一个重要环节。 评估测试防火墙是一个十分复杂的工作。一般说来,防火墙的安全和性能是最重要的指标,用户接口(管理和配置界面)和审计追踪次之,然后才是功能上的扩展性。但是安全和性能之间似乎常常构成一对矛盾。在防火墙技术的发展方面,业界一直在致力于为用户提供安全性和性能都高的防火墙产品。沿着这一方向,防火墙产品经历了以软件实现为主的代理型防火墙,以硬件实现为主的包过滤防火墙,以及兼有包过滤型防火墙的高速性特点和代理性防火墙高安全性特点的状态检测防火墙。另外,为了使灵活多变,难以掌握的防火墙安全技术能更有效地被广大用户使用,直观易用的界面和详尽明晰的报表审计能力被越来越多的防火墙产品采用,同时,防火墙产品在与网络应用环境整合的过程中也在不断地集成和加入新的网络功能。因此,当前必须从安全性、性能、可管理性和辅助功能等方面综合进行评测,才能客观反映一个防火墙产品的素质。 测试的背景和目的 在防火墙产品市场上,产品一般分为高、中、低三档。考虑到,高档防火墙普遍是各公司最新或计划推出的产品,证券作为大型的安全产品使用者,使用的防火墙产品以中、高档为主,为了便于横向比较各公司的产品,在本次测试中将统一以中档防火墙产品作为测评的对象。 为了较全面地评估各公司的防火墙产品,本次防火墙产品的测试分成以下几个部分:功能测试、安全防范能力测试、性能测试和设备可靠性测试。 参考资料 GB/T 18020-1999信息技术应用级防火墙安全技术要求 GB/T 18019-1999 信息技术包过滤防火墙安全技术要求 FWPD:Firewall Product Certification Criteria Version 3.0a 测试项目 一.测试项目 包过滤,NA T,地址绑定,本地访问控制,多播,TRUNK,代理路由,内容过滤,报警,审计实时监控,攻击,双机热备,性能。 二.测试环境简略拓扑图
Juniper防火墙三种部署模式及基本配置
Juniper防火墙三种部署模式及基本配置 文章摘要: Juniper防火墙三种部署模式及基本配置Juniper防火墙在实际的部署过程中主要有三种模式可供选择,这三种模式分别是:基于TCP/IP协议三层的NAT模式;基于TCP/IP协议三层的路由模式;基于二层协议的透明模式。1、NAT模式当Juniper防火墙入口接口(“内网端口”)处于NAT模式时,防火墙将通往... Juniper防火墙三种部署模式及基本配置 Juniper防火墙在实际的部署过程中主要有三种模式可供选择,这三种模式分别是: 基于TCP/IP协议三层的NAT模式; 基于TCP/IP协议三层的路由模式; 基于二层协议的透明模式。 1、NAT模式 当Juniper防火墙入口接口(“内网端口”)处于NAT模式时,防火墙将通往 Untrust 区(外网或者公网)的IP 数据包包头中的两个组件进行转换:源 IP 地址和源端口号。 防火墙使用 Untrust 区(外网或者公网)接口的 IP 地址替换始发端主机的源 IP 地址;同时使用由防火墙生成的任意端口号替换源端口号。 NAT模式应用的环境特征: 注册IP地址(公网IP地址)的数量不足;
内部网络使用大量的非注册IP地址(私网IP地址)需要合法访问Internet; 内部网络中有需要外显并对外提供服务的服务器。 2、Route-路由模式 当Juniper防火墙接口配置为路由模式时,防火墙在不同安全区间(例如:Trust/Utrust/DMZ)转发信息流时IP 数据包包头中的源地址和端口号保持不变(除非明确采用了地址翻译策略)。与NAT模式下不同,防火墙接口都处于路由模式时,防火墙不会自动实施地址翻译; 与透明模式下不同,当防火墙接口都处于路由模式时,其所有接口都处于不同的子网中。 路由模式应用的环境特征: 防火墙完全在内网中部署应用; NAT模式下的所有环境; 需要复杂的地址翻译。 3、透明模式 当Juniper防火墙接口处于“透明”模式时,防火墙将过滤通过的IP数据包,但不会修改 IP 数据包包头中的任何信息。防火墙的作用更像是处于同一VLAN的2 层交换机或者桥接器,防火墙对于用户来说是透明的。
消防安全防火墙工程实施方案
石盖塘镇构筑社会消防安全“防火墙”工程 实施方案 为认真贯彻《中华人民共和国消防法》,《郴州市人民政府 关于构筑社会消防安全“防火墙”工程的实施意见》(郴政发…2010?3号)文件要求和区政府会议精神,进一步加强我镇消防工作,着力构筑社会消防安全“防火墙”,结合我镇实际,制定以下工作方案: 一、工作目标 以落实政府部门消防工作“四项责任”、提高社会单位消防安全“四个能力”、夯实农村社区火灾防控“四个基础”、提高公安机关消防监督管理“四个水平”为着力点,力争通过三年努力,使消防安全工作社会化水平明显提升,消防安全环境明显改善,杜绝各类火灾事故的发生,全镇火灾形势持续稳定。 二、工作任务 (一)落实政府部门消防工作“四项责任” 1.落实组织领导责任。镇组织成立镇消防安全工作领导小组,并要求每季度组织召开一次例会,沟通信息,研究解决消防工作中的重大问题,部署阶段性消防工作。特别是针对每年度的政府挂牌重大火灾隐患单位整改工作,及时组织召开专题协调会,明确督办人员,制定整改计划,落实整改资金和措施,确保按时完成整改工作。组织开展以人员密集场所、“多合一”场所等为重点的消防安全整治“十大行动”,深入开展全镇建筑消防设施和电
气消防安全整治,有效消除社会面上的突出火灾隐患。 2.落实监督管理责任。加强全镇整治工作的督查指导。要严格依法审批,将单位(场所)的消防安全状况作为行政许可的重要审查内容,严把“审批关”。同时,各村要根据自身职责,督促指导本村落实消防安全“四个能力”标准化建设,镇安全分管领导小组负责消防安全重点单位,并负责协调、指导开展全镇构筑消防安全“防火墙”工程工作。 3.落实设施建设责任。严格落实消防相关法律制度,根据有关规定和实际需要,将消防设备建设纳入年度投资计划和财政项目,确保消防装备建设任务按时保质保量地完成。 4.落实检查考评责任。将消防工作纳入各村各部门综合目标管理体系,作为平安建设考评、领导干部政绩考核的重要内容,建立消防工作目标责任书管理体系,年终进行考核。加大对各村开展消防工作情况的督查力度,每半年不少于1次。推行消防工作村书记、主任问责制,对消防工作履职不到位或辖区发生亡人火灾事故的,追究相关负责人的责任。 (二)提高社会单位消防安全“四个能力” 1.提高社会单位检查消除火灾隐患的能力。督促单位确定消防安全责任人和消防安全管理人,并组织进行消防安全培训,督促单位定期组织开展防火检查巡查,及时消除单位内部火灾隐患。 2.提高社会单位组织扑救初起火灾的能力。各单位要结合自身实际,制定灭火和应急疏散预案并定期组织演练。督促单位加强消防控制室标准化管理,严格落实值班操作人员持证上岗制度,熟
某项目混凝土楼板拆除专项施工方案
深圳某一期工程 出库区顶板拆除施工方案 编制人: 审核人: 审批人: 深圳市XXX工程有限公司 二0一八年六月二十六
目录 一、工程概况 (3) 1.1施工范围 (4) 1.2施工内容 (5) 1.4本工程的一些主要特点和难点分析 (6) 二、编制依据 (9) 三、施工计划 (10) 3.1施工组织 (10) 3.2施工队伍 (11) 3.3施工顺序 (11) 3.4施工进度安排 (11) 3.5机具准备 (11) 3.6圆盘锯主要技术参数 (12) 3.7金刚石绳锯机工作性能 (12) 四、施工工艺技术 (13) 4.1技术准备 (13) 4.2施工程序 (14) 4.3施工方法 (14) 五、施工安全保证措施 (23) 5.1施工安全目标 (23) 5.2施工安全检查工作程序 (23) 六、施工管理及作业人员配备和分工 (23)
6.1项目经理的安全管理职责 (23) 6.2 安全主任的安全管理职责 (24) 6.3 安全员的安全职责 (24) 七、验收要求 (25) 7.1验收标准 (25) 7.2监测监控措施 (28) 八、应急处理措施 (29) 8.1应急预案的方针和原则 (29) 8.2突发事件、紧急情况及风险分析 (29) 8.3安全防护措施 (29) 8.4应急组织机构 (32) 8.5应急处理措施 (35) 8.6安全事故救援路线 (36) 九、计算书及相关施工图纸 (38) 9.1梁(600×1500mm)模板及支架验算 (38) 9.2板模板及支架验算 (45) 9.3外架临时防护验算 (58) 十、项目部相关人员名单 (68) 10.1附件一:专职安全生产管理人员 (68) 10.2附件二:特种作业人员 (68)
防火墙项目节点实施规划方案.doc
XXX项目实施方案模板 网御神州科技(北京)有限公司 2009年月
目录
1概述 XXX安全设备项目是2006 年信息安全建设的一个重要项目,内容为更换副省级以上(含)机构 XXX安全设备。此文档是 XXX安全设备项目各节点的实施方 案。 2工程实施安排 此次工程实施以各节点技术力量为主,厂商技术人员在实施现场做技术支持。各节点工程实施时间安排约为 8 天,第一批安装单位的开始为 1 月 22 日,第二 批安装单位的开始时间为 1 月 29 日,项目分为实施前期、实施中期、实施后期三个 阶段,其中:周一至周五为实施前期,主要是进行相关前期的准备工作和模拟环境 测试工作;周末为实施中期,主要是上线切换、应用验证等工作;后 期安排一天时间,主要是进行现场值守技术保障、文档整理等工作。工程开始时 间和上线切换时间以总行通知为准。各节点工作内容详见下表: 阶段工作内容工作细节 环境准备(测试环 境和上线环境准 备) 社会公告(以系统 升级的名义提前 前期准备公告) 通知相关业务部 实门、商业银行作好安全设备上线测 施 试前的准备工作前 期和风险调查 第一批第二批 时间时间 1 月 24 1 月 31 日之前日之前 1 月 24 1 月 31 日之前日之前 1 月 24 1 月 31 日之前日之前 职责分工内容输出 节点科技人员完成完成准备工作 节点科技人员完成完成社会公告 完成通知工作和准 节点科技人员完成 备工作 1 月 24 1 月 31《物理环境调查日之前日之前表》 资料采集配置表回执节点科技人员完成《安全设备项目系 统配置手册》(初 稿)
分析调研 规则翻译 产品到货 验收 加电检测 安全设备 配置 模拟环境 测试实中 施设备上线 期原有安全设备配 置现场采集 安全设备周边网 络设备配置现场 采集 对采集信息进行 汇总 与当地技术负责 人进行技术沟通 与当地技术负责 人和原安全设备 厂商进行技术沟 通 完成产品到货验 收 完成产品加电检 测 整合并完成安 全设备配置 搭建模拟测试环 境 安全设备测试 安全设备上线的 准备工作完成确 认 1 月 24 1 月 31 日之前日之前 1 月 24 1 月 31 日之前日之前 1 月 24 1 月 31 日之前日之前 1 月 24 1 月 31 日之前日之前 1 月 24 1 月 31 日之前日之前 1 月 23 1 月 30 日之前日之前 1 月 23 1 月 30 日之前日之前 1 月 24 1 月 31 日之前日之前 1 月 24 1 月 31 日-1 月日-2 月 26 日 2 日 1 月 25 2 月 1 日 日 厂商技术人员完成 节点科技人员协助 厂商技术人员完成 节点科技人员协助 节点科技人员完成 厂商技术人员完成 节点科技人员完成 厂商技术人员完成 节点科技人员完成 厂商技术人员完成 节点科技人员完成 厂商技术人员完成 节点科技人员完成 厂商技术人员协助 节点科技人员完成 厂商技术人员协助 节点科技人员完成 完成采集工作 《安全设备项目系 统配置手册》 《安全设备项目系 统配置手册》 《设备到货验 收表》 《设备加电测 试表》 根据安全设备《安 全设备项目系统配 置手册》进行安全 设备配置 根据《测试方 案》完成测 试 完成安全设备上线 前的准备工作
防火墙选型重要参考
防火墙选型参考 大多数人也许不明白,普通会话数会有几千到几十万不等,那么是不是内网中的机器数量跟会话数有直接联系呢?想到这里,其实答案马上就能出来了。举例说明,一个并发会话数代表一台机器打开的一个窗口或者一个页面。那么内网中一台机器同时开很多页面,并且聊天工具或者网络游戏同时进行着,那么这一台机器占用的会话数就会有几十到几百不等。内网中同时在线的机器数量越多,需要的会话数就越多。所以,根据防火墙的型号不同,型号越大,并发会话数就会越多。 在一些防火墙中还有另外一个概念,那就是每秒新建会话数。假设在第一时间,已经占用了防火墙的全部会话数,在下一秒,就要等待防火墙处理完之前不需要的会话数才能让需要的人继续使用剩余的会话数。那么这个每秒新增会话数就很重要了。如果每秒新增会话数不够的话,剩下的人就要等待有新的会话数出来。那么就会体现为上网速度很慢。了解了这一情况,选购者就不会承担这个防火墙导致网速变慢的黑锅了。 性能 防火墙的性能对于一个防火墙来说是至关重要的,它决定了每秒钟可能通过防火墙的最大数据流量,以bps为单位。从几十兆到几百兆不等,千兆防火墙还会达到几个G的性能。关于性能的比较,参看防火墙的彩页介绍就可以比较的出来,比较明了。 工作模式 目前市面上的防火墙都会具备三种不同的工作模式,路由模式、NA T模式还有透明模式。 透明模式时,防火墙过滤通过防火墙的封包,而不会修改数据包包头中的任何源或目的地信息。所有接口运行起来都像是同一网络中的一部分。此时防火墙的作用更像是Layer 2(第2层)交换机或桥接器。在透明模式下,接口的IP地址被设置为0.0.0.0,防火墙对于用户来说是可视或"透明"的。 处于"网络地址转换(NA T)"模式下时,防火墙的作用与Layer 3(第3层)交换机(或路由器)相似,将绑定到外网区段的IP封包包头中的两个组件进行转换:其源IP地址和源端口号。防火墙用目的地区段接口的IP地址替换发送封包的主机的源IP地址。另外,它用另一个防火墙生成的任意端口号替换源端口号。 路由模式时,防火墙在不同区段间转发信息流时不执行NA T;即,当信息流穿过防火墙时,IP封包包头中的源地址和端口号保持不变。与NAT不同,不需要为了允许入站会话到达主机而建立路由模式接口的映射和虚拟IP地址。与透明模式不同,内网区段中的接口和外网区段中的接口在不同的子网中。 管理界面 管理一个防火墙的方法一般来说是两种:图形化界面(GUI)和命令行界面(CLI)。 图形界面最常见的方式是通过web方式(包括http和https)和java等程序编写的界面进行远程管理;命令行界面一般是通过console口或者telnet/ssh进行远程管理。 接口 防火墙的接口也分为以太网口(10M)、快速以太网口(10/100M)、千兆以太网口(光纤接口)三种类型。防火墙一般都预先设有具有内网口、外网口和DMZ区接口和默认规则,有的防火墙也预留了其它接口用于用户自定义其它的独立保护区域。防火墙上的RS232 Console口主要用于初始化防火墙时的进行基本的配置或用于系统维护。另外有的防火墙还有可能提供PCMCIA插槽、IDS镜像口、高可用性接口(HA)等,这些是根据防火墙的功能来决定的。 策略设置 防火墙提供具有单个进入和退出点的网络边界。由于所有信息流都必须通过此点,因此可以筛选并引导所有通过执行策略组列表(区段间策略、内部区段策略和全局策略)产生的信息流。 策略能允许、拒绝、加密、认证、排定优先次序、调度以及监控尝试从一个安全区段流到另一个安全区段的信息流。可以决定哪些用户和信息能进入和离开,以及它们进入和离开的时间和地点。 简单的说,防火墙应该具有灵活的策略设置,针对源和目的IP地址、网络服务以及时间几个方面实施不同的安全策略。 内容过滤
服务器存储网络安全设备项目实施办法
精心整理1项目实施方案 1.1项目实施计划 考虑到xxx与数据库建设项目的工程量、质量与涉及面等因素,在此工程实施前必需有严密的进度控制和精心的组织安排。我们根据本方案确定的项目目标以及具体建设要求,对建设任务以及工程进度进行综合安排计划,具体各个部分的实施可以视工程情况相互协调、齐头并进。 ?查看软件版本
1)通过IE浏览器登陆到安全设备,查看当前安全设备的软件版本。 2)通过串口登陆到安全设备后台,查看软件版本。 ?产品信息记录 记录下用户安全设备编号,作好记录工作 ?查看安全设备重启后能否正常启动 ? 配置 而不 8.加固防火墙操作系统,并使用防火墙软件的最新稳定版本或补丁,确保补丁的来源可 靠。 9.是否对防火墙进行脆弱性评估/测试?(随机和定期测试) 10.防火墙访问控制规则集是否和防火墙策略一致?应该确保访问控制规则集依从防
火墙策略,如严格禁止某些服务、严格开放某些服务、缺省时禁止所有服务等,以满足用户安全需求,实现安全目标。 11.防火墙访问控制规则是否有次序性?是否将常用的访问控制规则放在前面以增加防火墙的性能?评估防火墙规则次序的有效性。 12.防火墙访问控制规则集的一般次序为: 17.确保有仅允许源IP是内部网的通信通过而源IP不是内部网的通信被丢弃的规则,并确保任何源IP不是内部网的通信被记录。 18.是否执行NAT,配置是否适当? 19.任何和外网有信息交流的机器都必须经过地址转换(NAT)才允许访问外网,同样外网的机器要访问内部机器,也只能是其经过NAT后的IP,以保证系统的内部地址、配置和有
关的设计信息如拓扑结构等不能泄露到不可信的外网中去。 20.在适当的地方,防火墙是否有下面的控制? 21.如,URL过滤、端口阻断、防IP欺骗、过滤进入的Java或ActiveX、防病毒等。 22.防火墙是否支持“拒绝所有服务,除非明确允许”的策略? 23.根据xxx的需求,配置系统所需对外开放的端口映射。 帮助分析防火墙的活动,并为管理部门提供防火墙效率情况。 5.重大事件或活动是否设置报警?是否有对可以攻击的响应程序? 6.如适当设置入侵检测功能,或者配合使用IDS(入侵检测系统),以防止某些类型的攻击或预防未知的攻击。 7.是否有灾难恢复计划?恢复是否测试过?
叠合楼板施工方案
叠合楼板施工 1.工程特点 1、本工程应用叠合板结构体系,地上六至八层,施工难度大、值得借鉴的经验较少。 2、本工程执行试验段指导施工及“样板房引路”的工作方式。一二层为试验段指导施工阶段,我司在主体结构工程施工至二层时的10 个日历天内同步进行毛坯样板房、装修样板房的施工工作。在试验阶段通过边施工边总结的指导思想,与建设单位、监理单位以及有关专家总结经验,不断的改善施工方法。 3、根据设计图纸的具体要求和叠合板图集,确定薄板的型号,规格、现浇混凝土叠合层的混凝土厚度、强度等级和配筋参数。薄板具体施工工艺流程图。本工程为5mm叠合板+7.5现浇板。 2.施工准备 1、技术准备 (1)项目负责人提前做好专项施工安全及技术交底,并根据施工方案及图纸认真地做好楼板的现场安装计划。 (2)相关技术施工人员要详细阅读施工图纸及规范规程,熟练掌握图纸内容,列出施工的难点和重点。图纸不明确的地方及时与建设单位工程部及设计院沟通。 (3)组织现场管理人员到大地普瑞公司学习,掌握叠合板相关知识,了解叠合板构造以及施工的难点和重点,借鉴大地普瑞的施工经验。 (4)与建设单位住宅产业化中心及有关专家进行沟通和学习。 2、现场准备
(1)施工现场内设施工道路,并在施工道路边上做好排水沟。(施工道路见施工平面图) (2)在施工现场设置叠合板专用的堆场。 (3)施工前按照施工顺序由运输车辆提前将一部分墙板和支撑运至施工处。 3、材料准备 (1)支撑体系: 墙板支撑体系:墙体可调支撑、锚固螺栓、膨胀螺栓、塑料垫片 楼板支撑体系:碗扣式脚手架、四向支撑头、木工字梁。 (2)安装工具: 水准仪、塔尺、水平尺、冲击钻、橡胶垫、专用吊钩、铁锤、撬棍、扳手、锚固螺栓等。 根据设计单位提供的叠合板布置图,我司在现场布置QTZ63塔吊。 4、人员准备 (1)管理人员:施工现场叠合板安装主要施工员和安全员共同负责,并请大地普瑞公司派专业技术人员对现场安装进行技术指导。 (2)作业人员:作业人员经大地普瑞公司相关技术人员培训后方可上岗。 (3)安排取得江苏省住房和城乡建设厅颁发的塔吊指挥岗位证书的人员指挥塔吊。 5、作业条件 (1)基础底板已按要求施工完毕,混凝土强度达到70%以上。并经建设单位专业工程师和监理工程师验收合格。 (2)楼层平面放线已完成,并经验收合格。 (3)相关材料机具准备齐全,作业人员到岗。 (4)进入基础底板的临时施工通道已修好,运板车辆的通行要求,路面需要硬化且坡度不大于25度。
完整版防火墙安装调试方案
实施方案 1项目概况 山东分公司所属河口、寿光、昌邑、羊口、即墨、楮岛、海阳风电场,每个风场两台,共计14台天气预报防火墙设备采购、运输、安装、调试及一年质保工作,用于满足自动化应用系统安全需求。 2、服务范围、服务内容 2.1供货范围 本工程的供货范围见表2-1所示。 表2-1供货需求一览表 2.2工作范围 供货商的工作范围包括: a)提供合同内所有硬件设备和软件,并保证系统完全符合最终技术规范的要求。 b)提供所需的系统技术资料和文件,并对其正确性负责。 c)提供所有合同设备的备品备件和安装、维护所需的专门工具和试验仪器仪表(包括调整、测试和校核)。 d)负责进行工厂验收,将设备运输(含搬运至指定位置)、安装在现场(设备机房)以及现场调试直至成功地投入运行。 e)负责提出设备对供电、接地、消防、运行环境及安装等要求。 f)负责完成与买方另外购买的其它设备接口连接调试工作。 g)负责现场勘察,与风场协调、确定设备安装位置,制定设备安装、调试计划。
h) 负责编制试验、验收的计划报告。 i) 在两年保修期内提供必要的保修服务,卖方应保证及时免费维修或更换任 何并非有买方人员非正常操作而导致的缺陷或故障,并应提供限时到达现场的维修服务。 j) 由我公司进行安装调试,并提供售后服务。 k) 技术培训。 l) 按合同要求为买方提供必要其它的服务。 3、服务依据、工作目标; 3.1 服务依据《信息技术设备的安全》GB4943-2001 《建筑物电子信息系 统防雷技术规范》GB50343-2004 《环境电磁卫生标准》GB5175-88 《电磁辐射防护规定》GB8702-88 《电气装置安装工程施工及验收规范》 GB50254-96 《电气装置安装工程施工及验收规范》GB50255-96 3.2 工作目标 本工程计划工期30 日历天,质量执行国家现行验收标准及要求,达到合格标准,严格执行安全措施,达到安全零事故。 4、服务机构设置、岗位职责 4.1 服务机构设置 ** 设立两个服务小组,随时调遣工作。 机构包括服务主管、调度员、市场信息收集员、三包配件管理员、配件鉴定员等。 下图为我公司的服务机构架构图: