首页 范文大全 古典文学 职场知识 中国文学 公文书信 外国名著 寓言童话 百家讲坛 散文/诗歌 美文欣赏 礼仪知识 民俗风情
  • 工作总结
  • 工作计划
  • 心得体会
  • 竞聘演讲
  • 会议发言
  • 爱国演讲
  • 就职演说
  • 开业开幕
  • 思想学习
  • 征文演讲
  • 经验材料
  • 述职报告
  • 调研报告
  • 工作汇报
  • 年终总结
  • 申报材料
  • 学习体会
  • 企划方案
  • 活动方案
  • 技巧经验
  • 模板范例
  • 思想宣传
  • 经济工作
  • 工作报告
  • 组织人事
  • 反腐倡廉
  • 慰问贺电
  • 先进事迹
  • 思想汇报
  • 入党申请书
  • 党会发言
  • 先进性教育
  • 入团申请书
  • 个人简历
  • 演讲稿
  • 调查报告
  • 实习报告
  • 和谐社会
  • 观后感
  • 读后感
  • 作文范文
  • 自我鉴定
  • 讲话稿
  • 自查报告
    • 蒲公英阅读网 > 范文大全 > 反腐倡廉 > 正文

    防火墙实施方案

    时间:2020-06-26 09:06:26 来源:蒲公英阅读网 本文已影响 蒲公英阅读网手机站

    相关热词搜索:实施方案 防火墙

     PICC 防火墙实施步骤

     当前 PICC 两台 McA fee 防火墙运行在双机模式下。目前的状态如下:

      两台防火墙分别名为:sw1.picc.com.cn

     和 sw2.picc.com.cn,当前为双机运行模式。

     Sw1.picc.com.cn 的网络配置如下:

     外网端口为 em2 ,IP 为 10.3.3.81 (aliases IP 为 10.3.3.80)

     内网端口为 em1 和 em0. IP 地址分别为:172.16.16.202(aliases IP 为 172.16.16.201)和 10.1.1.252(aliases IP 为 10.1.1.254)

     心跳端口为 em3,IP 地址为 192.168.100.1(aliases IP 为 192.168.100.3)

      S6032 (sw1.picc.com.cn): EM0(external) 10.3.3.81 /24 EM1(internal) 10.1.1.252 /24 EM3(internal) 172.16.16.202 /24 EM7(heartbeat) 192.168.100.1/24 Mgr1(management)192.168.1.111/24

      Sw2.picc.com.cn 的网络配置如下:

      外网端口为 em2 ,IP 为 10.3.3.82 (aliases IP 为 10.3.3.80)

     内网端口为em1和em0. IP地址分别为:172.16.16.203(aliases IP为172.16.16.201)和 10.1.1.253(aliases IP 为 10.1.1.254)

     心跳端口为 em3,IP 地址为 192.168.100.2 (aliases IP 为 192.168.100.3)

      S6032 (sw2.picc.com.cn): EM0(external) 10.3.3.82 /24 EM1(internal) 10.1.1.253 /24 EM3(internal) 172.16.16.203 /24 EM7(heartbeat) 192.168.100.2/24 Mgr1(management)192.168.1.222/24

     双机虚地址为:

     心跳线由一根网线组成,虚 IP 分别为:

     外网:10.3.3.80 内网:10.1.1.254 内网:172.16.16.201 心跳:192.168.100.3

     也就是表明,当前两台防火墙共用一个外网地址 10.3.3.80, 两个内网地址 10.1.1.254和 172.16.16.201. 为了完成对当前设备的正常割接,我们需要对新设备进行初始化设置和双机安装。首先进行新设备 SW1 的配置。

      线下的配置:

     SW1 的配置:

     开机画面

      同意 license 许可,并输入 Y 进入下一步。

     按照以上截图中相关信息进行填写,这里的信息可以非正式。

      此截图配置此防火墙为标准模式(路由模式),并允许基本的网络访问服务。

      以上截图为配置的重点。需要注意,external IP 即为外网 IP(10.3.3.81),internal IP 即为内网IP(172.16.16.202)。默认只有内网 IP 可以被访问和登录。依次输入 DNS(202.106.0.20)和默认网关(10.3.3.3)。

      设置登录防火墙的初始用户名和密码。这里设置的用户名为 swadmin 密码为 admin123

     待完成密码设置后,防火墙配置即告完成,输入 A 表示同意以上配置。并回车,系统会自动进行服务重启,当看到 login 登录标识即表示防火墙已经初始化完成。

      在安装了 McAfee Admin console 的机器上打开此程序,并添加 SX1 的 IP 到程序中。即可登录进行管理。

     到此已经可以正常使用防火墙了。接下来进行 license 激活和软件更新。

     进入 maintenance 选项,并找到 license 一项。点击 acitvate firewall 即可激活 license。但需要注意,此时的 firewall 一定要能够访问外网。否则无法从 McAfee license 服务器中取到此设备的 license。

     软件更新

      然后到 software management 中升级当前防火墙到最新的软件版本。接下来就是对时区的设置。

     更改时区:

     为了更加清晰的了解当前防火墙的端口配置,可到 Network 选项下的 interfaces 里查看当前已经配置的端口及其对应的 IP 地址。

     查看网络端口:

      查看网络区域:

      完成 SW1 的初始安装,接下来进行 SW2 的安装,同样首先开启该设备。

     SW2 的配置:

      同意 license 许可,并输入 Y 进入下一步。

     按照以上截图中相关信息进行填写,这里的信息可以非正式。

      此截图配置此防火墙为标准模式(路由模式),并允许基本的网络访问服务。

     以上截图为配置的重点。需要注意,external IP 即为外网 IP(10.3.3.82),internal IP 即为内网IP(172.16.16.203)。默认只有内网 IP 可以被访问和登录。依次输入 DNS(202.106.0.20)和默认网关(10.3.3.3)。

     设置登录防火墙的初始用户名和密码。同样的,我们在 SW2 里也设置了同样的用户名和密

     码。用户名为 swadmin 密码为 admin123

     待完成密码设置后,防火墙配置即告完成,输入 A 表示同意以上配置。并回车,系统会自动进行服务重启,当看到 login 登录标识即表示防火墙已经初始化完成。

      在安装了 McAfee Admin console 的机器上打开此程序,并添加 SX2 的 IP 到程序中。即可登录进行管理。

     到此 SW2 已经可以正常使用了。接下来进行 license 激活和软件更新。

      进入 maintenance 选项,并找到 license 一项。点击 acitvate firewall 即可激活 license。同样的,此时的 firewall 一定要能够访问外网。否则无法从 McAfee license 服务器中取到此设备的 license。

      软件更新

     SW2 也需要把软件更新到最新的版本,保证和 SW1 的软件版本一致。

      更改时区:

     更改时区到中国北京

     查看网络端口:

     为了更加清晰的了解当前防火墙的端口配置,可到 Network 选项下的 interfaces 里查看当前已经配置的端口及其对应的 IP 地址。

     查看网络区域:

     到此 SW2 的基本配置已经完成,防火墙已经运行正常,接下来需要进行配置的备份。

     按照以下截图,备份 SW1,SW2 的配置到本机和管理服务器。

      由于 PICC 采用双机部署,所以,为了能够完成正常的割接,我们需要把这两台新的设备配置为双机,并保证所配置的 IP 地址和虚地址和当前在线的旧防火墙一致。

     双机配置:

     双机配置需要建立一个心跳连接。如下图所示我们需要先建立一个 heartbeat 区域。取名为 heartbeat。

     Sw1 设备上的配置:

      我已经添加了一个 Heartbeat 区域,并绑定了网卡 em2 到该区域,设置了 IP 地址为192.168.0.200.

      Sw2 设备上的配置:

      我们在 SW2 上也添加了一个 Heartbeat 区域,并绑定了网卡 em2 到该区域,设置了 IP 地址为 192.168.0.1.

      HA 集群配置过程:

      点击 maintenance 里的 cluster wizard。即可开启一个集群配置的向导。

      我们采用主/备双机模式

      设定 内网口的虚 IP 地址为 192.168.206.23, 外网口的虚 IP 地址为 10.3.3.30. 心跳虚 IP 地址为 192.168.0.99

      在 SW1 上的集群已经建立完成,通过下图可验证当前 SW1 已经出现了 high availability 的组别。并且 SW1 已经为 pirmary 角色。

     Sw1 的状态已经变为了如下状态:

      随即需要在 SW1 上添加邻居的心跳地址到 pair members 里。并设定共享密匙为 admin123.邻居的名字为 sw2.picc.com.cn。

      添加完成后状态如上图。

      接下来需要把 SW2 加入到 sw1 中:

     在 SW2 中点击 maintenance 里的 cluster wizard。即可开启一个集群配置的向导。

      点击加入存在的集群。

     并输入密匙和对端心跳的地址 192.168.0.200.

      如图,集群成功建立。

     集群安装完成:

     此图显示 SW1 为主设备,SW2 为备用设备。

      其登录地址已经变为了 share IP:

      到此,新设备的双机已经完成。

      完成了新设备的双机安装后,接着需要进行如下部分的配置:

     1. 配置相关静态路由。

     2. 配置 DNS 地址。

     (202.106.0.20) 3. 添加网络服务。

     4. 添加网络对象。

     5. 添加防火墙策略,并保证和旧的防火墙策略一致。

     完成以上配置,并保存一次配置,即可进行正式的网络割接工作。

     上线 割接 配置 步骤:

     由于当前机房电力供应紧张,所以需要较为繁琐的割接过程。我们需要分两个部分来完成本次割接,首先是准备阶段。

     办公室准备部分:

     为了不对网络造成影响,我们首先需要在办公室把两台新设备升级到最新的软件版本。

     然后,分别按照机房的旧有设备的 IP 配置到新设备上(SW1.picc.com.cn 对应新的 SW1,SW2.picc.com.cn 对应 SW2),然后配置两台新设备为双机模式。

     机房割接部分:

     两台设备已经按照旧有设备完全配置。我们采用如下步骤进行割接。

      1. 首先关闭旧有设备角色为 standby(备)的防火墙,此时不用拔掉网线。

     2. 然后开启新设备为 primary(主)角色 SW1 防火墙,此时不用插上网线。用笔记本接入 SW1 的管理口,并测试可通过 share IP 管理防火墙,并登录进入防火墙,确认当前防火墙的角色为 primary 角色。由于新设备已经被配置为双机模式,此时,即使备机SW2 没有在线,share IP 应该也是可以工作的。该测试必须测试直到成功为止。然后进入下一步。

      3. 拔掉旧防火墙角色为 primary(主)的设备的内网和外网网线,然后插入到新的防火墙角色为 primary(主)的内网和外网接口中。

     测试:

     测试网络访问是否正常。(可通过登录防火墙后台 ping www.sina.com.cn。或登陆内部一台服务器访问外网。测试是否可以访问)

     如果正常,关闭旧的 primary(主)防火墙电源,并启动新的 standby(备)防火墙电源。

     如果不正常(网络不通,内网无法访问外网),把拔掉的网线再重新插入到旧的 primary(主)防火墙上。

     (此部分很重要)

     4. 拔下旧防火墙角色为 standby(备)的设备内网和外网网线,并插入到新的防火墙角色为 standby(备)的内网和外网接口中。

     5. 查看双机是否正确识别,确认主墙和备墙状态。

     6. 测试网络连通性。

     7. 割接完成。

     回退步骤:把内网和外网接口插回到旧防火墙上。请查看割接部分第 3 点。

      附:日常管理规范:

     为了保证最优的防火墙利用率和管理便捷性,建议管理员按照如下规则进行策略制定和日常管理:

     1. 定期登录防火墙,进行配置备份。

      2. 制定规范的命名规则。

     建议采用按服务对象分组命名。例如如下的 NetScaller 策略组.

     上图能看到策略组为 NetScaller,表示该组下的所有策略均与 NetScaller 有关。方便进行管理和识别。

     禁止出现如下方式:

      该图为未分组策略,无法清晰的识别对应的服务和所属的组别。

     3. 添加备注和说明 当添加任何网络对象,服务或策略的时候,最好在后端添加备注和说明。以方便识别。如下为正确的设置:

     非正式的设置如下:

     4. 制定策略时间性 制定策略的有效期,对制定的策略进行时效性制定。测试的策略规定有效期,过期作废。

     永久策略需标明。

     配置截图如下:

     5. 管理员密码定期更改 虽然我们采用 C/S 架构进行管理,安全性已经达到较高水平,但为了更加安全,建议定期进行密码修改,具体可参见 PICC 内部 IT 管理相关规范。

  • 关于人生哲学说说|哲学与人生
  • 老人没食欲吃什么食物好:老人没有食欲吃什
  • 鸭子的饲养方法|养鸭子需要多少投资
  • 属龙2017年的4月份运势怎么样:属龙2017年运
  • 《为自己工作》读后感范文 小学生读后感范
  • 哲学性的语句【哲学的相关语句】
  • 红楼梦经典哲理语句 [哲学经典哲理语句句
  • 爱护环境人人有责演说稿600字 爱护环境人
  • 勤奋走向成功作文:走向成功的作文
    • 范文大全
    • 职场知识
    • 精美散文
    • 名著
    • 讲坛
    • 诗歌
    • 礼仪知识
    最新文章

    推荐访问

    大反思大讨论活动 保安全” 筑防线 “查思想 贡献伟大时代” “以青春之我 工作评议报告 创建活动综述 市社保局党支部 自述报告 “党员先锋示范岗” 党建德育工作 达标创星活动 “星级党支部”创建 评星定级管理 社会组织党支部 第四巡察组 新进年轻干部 委厅机关 党性教育培训班 履职能力建设专题培训班 新考录社区工作者 “头雁领航”重点培训班 党组织业务培训 能力提升培训会 赋能经济高质量发展 “五好”园区 三年攻坚行动 行政管理能力建设提升班 高质量发展能力提升培训班 市疾控系统 中基层管理人员 专业能力提升专题培训班 新发展预备党员 进驻工作 迎接审计组 讲评推进大会 “三抓三促”行动动员 “永不过时的红岩精神” 市委党史研究室 科学绿化现场会 深化以案促改 一体推进不敢腐不能腐不想腐 奋斗精神 专题辅导讲稿 坚守使命追求 涉密 《党史学习教育工作条例》 百年新征程 “百年定位” 党课教育

    本文防火墙实施方案由蒲公英阅读网整理提供,版权归原作者、原出处所有。

    Copyright © 蒲公英阅读网 All Rights Reserved.