USG系列防火墙产品安装质量检查报告.doc

USG系列防火墙产品安装质量检查报告本文档适用产品范围：USG系列型号产品。项目名称合同号交付单位单位属性ASP CSP检查人员检查日期检查站点*检查得分*注:检查得分为以下安装通用质量检查得分与产品软硬件安装质量检查得分之和。1. 设备安装通用质量检查设备安装通用质量检查Checklist检查内容和要求分值检查结果机柜安装1机柜（机箱）固定可靠，符合工程设计文件的抗震要求。4符合 不符合 不涉及2机柜的结构附件安装正确可靠，门、门锁等开关顺畅。2符合 不符合 不涉及3机柜垂直偏差度应小于3mm，整行机柜在同一平面上。2符合 不符合 不涉及4机柜各部件不能出现变形，油漆脱落、碰伤、污迹等。2符合 不符合 不涉及5机柜所有进出线孔应封闭处理，防鼠网封堵规范。2符合 不符合 不涉及6机柜与地面、墙面、走线梯之间应按规范安装绝缘板。1符合 不符合 不涉及线缆布放1线缆理顺，间距均匀，松紧适度，线扣整齐，不留尖刺。2符合 不符合 不涉及2信号线缆不能布放于机柜散热网孔上、机箱的进出风口处。2符合 不符合 不涉及3信号线缆在机柜内的走线路由正确，不影响维护和扩容。2符合 不符合 不涉及4尾纤机柜外布放时采取保护措施（加保护套管或槽道）。2符合 不符合 不涉及5. 多余尾纤盘绕整齐，盘绕直径大于8cm。2符合 不符合 不涉及6. 未使用的光纤头和单板光口应用保护帽（塞）做好保护。2符合 不符合 不涉及7电源线、地线与信号线分开布放，一般间距大于3cm。2符合 不符合 不涉及8设备电源线、地线的线径满足设备配电要求。2符合 不符合 不涉及9. 电源线及地线压接线鼻时，应焊接或压接牢固。2符合 不符合 不涉及10. 标签制作模板是否符合客户要求，标签位置整齐、朝向一致。2符合 不符合 不涉及接地1机柜采用大于16mm的保护地线就近连接机房地排。4符合 不符合 不涉及2设备、机箱外壳保护地线可靠连接至机柜接地点。2符合 不符合 不涉及3机柜前后门、侧门可靠接地，线径不小于6mm 。2符合 不符合 不涉及4配线架DDF、ODF、MDF可靠接地，线径不小于16mm。2符合 不符合 不涉及5防静电手腕插入机柜上的防静电安装孔内。1符合 不符合 不涉及机房环境1机房抗震、防雷及承重满足设备长期安全运行需要。1符合 不符合 不涉及2供电电压及空开容量满足设备长期安全运行要求。2符合 不符合 不涉及3机房环境温度和相对湿度满足设备长期安全运行要求。1符合 不符合 不涉及4机房洁净度满足设备长期安全运行要求。1符合 不符合 不涉及5机房应有相应的防火措施。1符合 不符合 不涉及其他问题（其他问题请在此进行记录，按问题等级进行扣分，严重问题4分、重要问题2分、一般问题1分。）扣分/得分2. USG系列防火墙产品软硬件安装质量检查USG系列防火墙产品软硬件安装质量检查Checklist检查内容和要求分值检查结果硬件安装1.单板松不脱螺丝应松紧适度，不得处于松脱状态。1符合 不符合 不涉及2.假拉手条及假面板应全部安装。1符合 不符合 不涉及3.机柜里面、底部和顶部不应有多余的线扣、螺钉等杂物。1符合 不符合 不涉及4.数据线缆不应有破损、断裂、中间接头。1符合 不符合 不涉及5.数据线缆插头干净无损坏，现场制作的插头正确规范，插头连接正确可靠。1符合 不符合 不涉及6.数据线缆每线都应做导通测试。1符合 不符合 不涉及7.电缆的绑扎应间距均匀，松紧适度，线扣整齐，扎好后应将多余部分齐根剪掉，不留尖刺。1符合 不符合 不涉及8.机柜外电缆布线：电缆布放时应理顺，不交叉弯折。用槽道时，允许不绑扎，电缆不得溢出槽道。用走线梯时，应固定在走线梯横梁上，绑扎整齐，成矩形（单芯电缆可以绑扎成圆型），如果走线架与机柜顶的间距大于0.8M时，应在机架上方架设线梯以减小因电缆自重而产生的应力。在地板下叠加布放时，最高不能超过防静电地板下净高度的3/4。未使用槽道布放时，应成矩形状（单芯电缆可以绑扎成圆型）。1符合 不符合 不涉及9.保护套管应进入机柜内部，进入机柜内部的长度不宜超过10CM，且套管应绑扎固定。1符合 不符合 不涉及10.尾纤保护套管切口应光滑，否则要用绝缘胶布等做防割处理。1符合 不符合 不涉及软件安装1.软件版本必须是公司正式发布的版本或者已申请的受控版本（试验局除外）操作方法：display version2符合 不符合 不涉及2.检查软件版本是否有配套补丁及运行状态操作方法：display patch-information1符合 不符合 不涉及3.设备系统名(sysname)：如果客户有自己的命名规则，按照客户的规则设置主机名；如果没有，按规范（节点代码_局点缩写_设备名_设备序列号（A、B、C等）正确设置设备主机名。操作方法：display current-configuration | include sysname1符合 不符合 不涉及4.系统时间：时间设置应与本地时间一致，误差小于1分钟，最好使用NTP协议获取与全网同步的时间。操作方法：display clock1符合 不符合 不涉及5.运行的配置文件与保存的配置文件一致操作方法：compare configuration 1符合 不符合 不涉及6.telnet口令和super口令的设置要不同，使用密文格式，并检查密码是否过于简单，建议使用STelnet。操作方法：display current-configuration1符合 不符合 不涉及7.检查是否配置了取消状态检测，一般情况下要使能状态检测操作方法：display current-configuration | include session1符合 不符合 不涉及符合 不符合 不涉及8.是否关闭了FTP Server 功能操作方法：display current configuration | include ftp1符合 不符合 不涉及符合 不符合 不涉及9.设置正确的启动版本和启动配置文件，当前运行的版本和配置应该和下次启动的版本和配置文件一致。操作方法：display startup1符合 不符合 不涉及10.日志功能没有特殊原因，不要关闭日志中心功能。操作方法：display info-center1符合 不符合 不涉及11.端口描述：所有激活接口都使用description 命令进行了规范描述，建议按照客户规范进行描述；如果客户没有相应规范，按照一般工程规范进行描述。接口描述规则： 本端设备名-本端端口号-对端设备名-端口号-/端口速率 例如：description YMK_EUDEMON1000_A-G2/0/0-YMK_EUDEMON1000_B-G2/0/0-/1000M。操作方法：display interface1符合 不符合 不涉及12.主控板上管理网口的使用情况：USG5500/USG6000/USG9500产品主控板上的管理网口不能用作业务口； 操作方法：display interface gi0/0/01符合 不符合 不涉及13. FE/GE口配置：端口模式（包括速率、双工模式）配置必须与对端一致。避免一端自协商一端强制的情况，推荐使用两端自协商或两端强制同一模式的设置（建议百兆采用自协商模式，千兆采用强制全双工模式）。操作方法：display interface符合 不符合 不涉及14. LOOPBACK地址配置：地址的子网掩码为32位。操作方法：display current-configuration interface LoopBack1符合 不符合 不涉及15. 网管版本配置要求SNMP版本设置与网管一致。操作方法：display current-configuration | include snmp-agent sys-info version1符合 不符合 不涉及16.读写团体名配置，禁止使用public、private 缺省团体名。操作方法：display current-configuration | include snmp-agent community1符合 不符合 不涉及17. trap功能，当有网管或日志主机时应当配置trap功能。操作方法：display trapbufferdisplay current-configuration | include snmp-agent trap enable1符合 不符合 不涉及符合 不符合 不涉及18当配置有日志主机时，应当设置正确的日志主机地址操作方法：display info-centerdisplay current-configuration | include snmp-agent target-host1符合 不符合 不涉及符合 不符合 不涉及19. 防火墙缺省策略的检查，禁止开放缺省策略操作方法：display firewall packet-filter default all1符合 不符合 不涉及符合 不符合 不涉及20.SYN flood防范功能操作方法：display current | include syn-flood1符合 不符合 不涉及21.ICMP flood防范功能操作方法：display current | include icmp-flood1符合 不符合 不涉及22.UDP Flood攻击防范功能操作方法：display current | include udp-flood1符合 不符合 不涉及23.防火墙域间策略需要限制除维护网段外其他域到Local域的访问，各域间策略遵循最小策略开放原则，域间策略符合现网业务需求和配置规范操作方法：display policy interzone1符合 不符合 不涉及24.双机热备组网时NAT地址池和NAT Server应该携带vrrp vrid参数操作方法：display current-configuration | include nat serverdisplay current-configuration | include nat address1符合 不符合 不涉及符合 不符合 不涉及25.检查防火墙NAT地址池是否配置了黑洞路由，是否会导致路由环路操作方法：display fib1符合 不符合 不涉及符合 不符合 不涉及26.检查防火墙会话数是否达到总数的80%操作方法：display firewall session statistic1符合 不符合 不涉及符合 不符合 不涉及27.单板状态查看：主控板、NP板、接口板是否运行正常。如果有单板显示故障，需尽快分析。操作方法：display device 1符合 不符合 不涉及28.电源状态查看：各电源模块工作温度在正常范围内。操作方法：display environment1符合 不符合 不涉及29.CPU占有率：CPU占有率应正常，与当前开展的业务类型和转发流量相符。超过60应分析当时的业务流量。通常CPU使用率与流量关系不大，只与业务类型有关，一般的来说，软件IPSEC、ASPF、NAT ALG对CPU资源消耗较大。操作方法：display cpu-usage1符合 不符合 不涉及30.内存占有率：内存占有率不应过高。超过80时需要分析当时的会话表容量和路由表容量，否则需要分析是否存在内存泄漏的情况。操作方法：display memory1符合 不符合 不涉及31.系统当前正在发生的告警信息：有告警及时处理。操作方法：display alarm urgent1符合 不符合 不涉及32.日志信息：不要有较多重复的信息：比如端口频繁up/down；不要有大量用户认证失败信息等；不要有各类严重告警信息等,需要具体分析每一个告警的危害。操作方法：display logbuffer1符合 不符合 不涉及33.显示IP统计信息：通常不应该有大量错包计数。操作方法：display ip statistics1符合 不符合 不涉及34.显示ICMP统计信息：通常不应该有较多错误统计和不可达统计。操作方法：display icmp statistics1符合 不符合 不涉及35.调试信息开关：正常工作情况下，所有debug开关关闭。操作方法：display debugging1符合 不符合 不涉及36.配合网管时，Trap功能要打开，不应该有丢弃的统计计数。操作方法：display trapbuffer1符合 不符合 不涉及37.接口是否出现了CRC、冲突包的错误报文操作方法：display interface1符合 不符合 不涉及38.端口统计数据：查看各个使用的端口收发统计数据是否正常，是否存在只收不发或只发不收的情况，是否存在出入接口一样情况。操作方法：display interface1符合 不符合 不涉及39.检查