114防火墙 施工作业指导书(2012).docx

中国南方电网有限责任公司电网建设施工作业指导书 第 6 部分：变电自动化103第 6 部分：变电自动化防火墙施工作业指导书编码：DLZDH-ZW-10中国南方电网有限责任公司电网建设施工作业指导书 第 6 部分：变电自动化目次1适用范围 . 932编写依据 . 933作业流程 . 944安全风险辨析与预控 . 945作业准备 . 946作业方法及质量控制措施 . 957质量控制点 . 981131适用范围本作业指导书适用于南方电网公司 110kV 及以上电压等级变电站自动化系统新建和改造项目的安装调试和验收工作，扩建项目和其他电压等级变电站自动化系统的验收工作可参照执行。2编写依据下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。表 2-1 引用标准及规范名称序号标准及规范名称颁发机构1电子计算机场地通用规范GB/T 2887-2000国家质量技术监督局2计算机场地安全要求GB 9361-1988中华人民共和国电子工业部3电子计算机场地通用规范GB/T 2887-2000国家质量技术监督局4计算机场地安全要求GB 9361-1988中华人民共和国电子工业部5远动设备及系统 第 2 部分 工作条件 第 1 篇：电源和电磁兼容性GB/T 15153.1-1998国家质量技术监督局6远动设备及系统 第 2 部分 工作条件 第 2 篇：环境条件GB/T 15153.2-2000国家质量技术监督局7地区电网调度自动化系统GB/T 13730-2002中华人民共和国国家质量监督检验检疫总局8计算机软件单元测试GB/T 15532-1995国家技术监督局9远动设备及系统接口(电气特性) GB/T16435.1-1996国家技术监督局10电磁兼容 试验和测量技术GB/T 17626国家质量技术监督局11电气装置安装工程盘、柜及二次回路结线施工及验收规范GB 50171-92国家技术监督局中华人民共和国建设部12地区电网调度自动化设计技术规程DL 5002-1991中华人民共和国能源部13电力系统调度自动化设计技术规程DL 5003-1991中华人民共和国能源部14交流电气装置的接地DL/T 621-1997中华人民共和国电力工业部15220500kV 变电所计算机监控系统设计技术规程DL/T 5149-2001中华人民共和国经济贸易委员会16火力发电厂、变电所二次线设计技术规定DL/T5136-2001中华人民共和国经济贸易委员会17500kV 变电所保护和控制设备抗扰度要求DL/Z713-2000中华人民共和国经济贸易委员会18南方电网 220kV500kV 变电站计算机监控系统技术规范中国南方电网有限责任公司19南方电网电力二次系统安全防护管理规定中国南方电网有限责任公司20南方电网电力二次系统安全防护技术规范Q/CSG110005-2012中国南方电网有限责任公司21南方电网变电站自动化系统验收规范中国南方电网有限责任公司3作业流程硬件配置检查访问控制功能 检 查动态网络地址 转 换功能检查IP 与 MAC 地址绑 定功能检查应用层协议过 滤 功能检查防火墙工作模 式 检查流量管理功能 检 查VLAN Trunk 支持 功能检查双机热备份功 能 检查防火墙安全配 置 检查管理员功能检查日志审计功能 检 查配置信息管理 功 能检查异常情况告警 功 能检查攻击防御功能 检 查网络层吞吐量 测 试最大 TCP 新建速 率测试最大 TCP 并发连 接数测试应用层吞吐量 测 试12 小时稳定性测 试图 3-1：验收作业流程4安全风险辨析与预控4.1防火墙施工作业前，施工项目部根据该项目作业任务、施工条件，参照电网建设施工安全基准风险指南（下简称指南）开展针对性安全风险评估工作，形成该任务的风险分析表。4.2按 指南 中 与防火 墙 施工相 关 联的 电 网建设 安 全施工 作 业票 （编 码 ：DLZDH-ZW-10-01/01），结合现场实际情况进行差异化分析，确定风险等级，现场技术员填写安全施工作业票，安全员审核，施工负责人签发。4.3施工负责人核对风险控制措施，并在日站班会上对全体作业人员进行安全交底，接受交底的作业人员负责将安全措施落实到各作业任务和步骤中。4.4安全施工作业票由施工负责人现场持有，工作内容、地点不变时可连续使用 10 天，超过10 天须重新办理作业票，在工作完成后上交项目部保存备查。表 4-1 作业任务安全基准风险指南序号危 害 名 称风险种类风险等级风险控制措施1对被测设备工作电源电 压等级辨识不清设备性能下降低风险工作前认真阅读防火墙用户手册2不熟悉测试仪器使用和 测试方法，造成对被测设 备功能、性能判断不准确设备性能下降可接受的风险工作前进行相关培训，充分熟悉仪器使用和测 试方法3测试板卡安装错误，测 试仪启动后可能造成测试 仪损坏设备损坏低风险工作前仔细确认板卡是否安装牢固，测试仪启 动过程中注意观察各指示灯情况序号危 害 名 称风险种类风险等级风险控制措施4带电插拔测试板卡造成 测试仪损坏设备损坏低风险插拔板卡前必须断开装置电源5防火墙 ACL 功能设置 错误被迫停运低风险1. 测试前认真阅读用户手册，熟悉相关配置 方法。2. 认真阅读用户手册，了解设备性能指标5. 作业准备5.1 人员配备表 5-1 人员配备表工序名称建议工作人数负责人数监护人数硬件配置检查211访问控制功能检查211动态网络地址转换功能检查211IP 与 MAC 地址绑定功能检查211应用层协议过滤功能检查211防火墙工作模式检查211流量管理功能检查211VLAN Trunk 支持功能检查211双机热备份功能检查211防火墙安全配置检查211管理员功能检查211日志审计功能检查211配置信息管理功能检查211异常情况告警功能检查211攻击防御功能检查211网络层吞吐量测试21最大 TCP 新建速率测试21最大 TCP 并发连接数测试21注:作业人数根据具体工程量规模配备。5.2 主要工器具及仪器仪表配置表 5-2 主要工器具及仪器仪表配置表序号名称规格/编号单位数量备注1网络测试仪台12测试辅助交换机台23笔记本电脑台24USB 接口 CONSOLE线条15试验用网线个若干6螺丝刀等常用试验工具个若干注: 主要工器具及仪器仪表根据具体工程量规模配备。6作业方法及质量控制措施序号1检验项目硬件配置检 查(W)检验内容检验方法1.检查设备板卡和接口配置；2. 检查设备电源配备情况；3.通过管理员界面或命令行查看设备操作系统、软件版本、CPU 和存储。检验标准满足南方电网电 力二次系统安全 防护技术规范 Q/CSG XXXXXX操作 系统 类 型和版本电源数量CPU 类型与数量存储 类型 与 数量接口 类型 与 数量2访问控制功 能检查(H)访问 控制 功 能 检查1.根据需求搭建测试环境；2.防火墙工作在路由模式下；3.使用测试仪发送数据流，观察数据流在防火墙进行 ACL 相应配置下的通过情况。具有基本 ACL 和高 级 ACL 访问控制功 能3动态网络地 址转换功能 检查(H)动态 网络 地 址 转换功能检查1.根据需求搭建测试环境；2.用测试仪接口模拟 10 个 IP 地址，发送单向数据流；3.在防火墙上配置网络地址转换池，进行多对多网络地址转；4.在测试仪数据流接收接口上抓包，检查 IP 地址转换情况。支持动态网络地 址转换45IP 与 MAC 地 址绑定功能 检查(H)应用层协议 过滤功能检 查(H)IP 与 MAC 地址 绑定功能检查1.根据需求搭建测试环境；2.将测试仪数据流发送接口 IP 地址同另一非该接口 MAC 地址绑定，观察数据流通过情况；3.将测试仪数据流发送接口 IP 地址同该接口 MAC 地址绑定，观察数据流通过情况。支持 IP 与 MAC 地 址绑定应用 层协 议 过 滤功能检查1.使用 2 台 PC 分别作为客户端和服务器连接至防火墙，在服务器装 HTTP 和FTP 软件，检验防火墙的相应过滤功能；2.具体包括：HTTP：1）URL 过滤；2）Java applet 和 Active 过滤；3）页面内容过滤。FTP：1）命令级的控制（put、get）；2）目录、文件访问控制。3.将防火墙连接至互联网，验证防火墙的 SMTP 过滤相关功能：1）主题过滤；2）正文过滤；3）附带文件过滤；4）地址过滤；5）防止邮件炸弹；6）限制邮件大小；7）限制邮件转发。支持 HTTP、FTP 和 SMTP 应用层协议 过滤6防火墙工作 模 式 检 查 (H)防火 墙工 作 模 式检查1.根据需求搭建测试环境；2. 检查防 火 墙是否支 持 交换工作模 式；3. 检查防 火 墙是否支 持 路由工作模 式。支持路由和交换 两种工作模式7流量管理功 能检查(H)流量 管理 功 能 检查1.根据需求搭建测试环境；2.使用测试仪发送单向数据流，检查防火墙是否具有流量限速功能；3.使用测试仪发送超过防火墙接口接收能力（通过 ACL 或端口协商实现）的数据流；4.使用优先级机制保证单条数据流带宽，观察数据流通过量。支持流量限速和 优先级功能8VLAN Trunk 支持功能检 查(H)VLAN Trunk 支 持功能检查1.根据需求搭建测试环境；2.将交换机的一个接口设置为 Trunk模式同防火墙的一个接口相连；3.使用 2 台 PC 机分别连接至交换机和防火墙上，验证其连通性。支 持 VLAN Trunk功能9双机热备份 功 能 检 查 (H)双机 热备 份 功 能检查1.根据需求搭建测试环境；2.验证防火墙能否实现双机热备切换功能；3.记录连接恢复过程中的切换时间和丢包数。支持双机热备份 功能10防火墙安全 配 置 检 查 (S)防火 墙安 全 配 置检查查看安全策略、网络服务、攻击防御 和路由等配置信息。防火墙安全配置 符合访问规则，不存在冗余路由，未开启高风险网络 服务。11管理员功能 检查(H)管理 员功 能 检查通过询问和查看，以及实际操作进行检验。能够设置管理员 等级和操作权限12日志审计功 能检查(H)日志 审计 功 能 检查1.查阅日志信息，检查日志审计工具；2.分别进行登录/退出防火墙、启动/停止系统功能、配置安全规则、配置审计功能等操作，检查日志信息；3.生成恶意事件，发送验证业务流，检查受监 控 通信过程 的 日志记录信 息。支持日志审计功 能13配置信息管 理功能检查 (H)配置 信息 管 理 功能检查检查防火墙上的配置信息、过滤规则是否可以方便地下载并保存在 PC 上，可上载备份的配置信息和过滤规则。能够对防火墙配 置信息进行管理14异常情况告 警功能检查 (H)异常 情况 告 警 功能检查1.设置防火墙的报警触发条件；2.生成报警事件，检查报警效果；3.根据测试表格要求，完成上述测试。对防火墙运行异 常情况有告警提 示功能15攻击防御功 能检查(H)攻击 防御 功 能 检查1.防火墙关闭相应的攻击防范功能；2.检查攻击包是否能通过防火墙，检查防火墙的 CPU 使用率；3.防火墙开启相应的攻击防范功能；4.检查攻击包是否能通过防火墙，攻击时防火墙是否能告警相应的攻击类型，检查防火墙的 CPU 使用率。能够抵御常见的 网络攻击16网络层吞吐 量测试(H)网络 层吞 吐 量 测试1.开启防火墙功能，工作在透明模式下；2.防火墙配置一条全通策略；3.测试仪发送双向 UDP 数据流；4.30s 测试，测试粒度为 0.5%；5.分别使用 64B、128B、256B、512B、1024B、1280B、1518B 长度的帧进行测试百 兆 防 火 墙 100Mb千 兆 防 火 墙 1000Mb。17最大 TCP 新 建速率测试 (H)最大 TCP 新建速 率测试1.开启防火墙功能，工作在透明模式下；2.防火墙配置一条全通策略；3.使用测试仪发送 HTTP1.1 数据流，每个 HTTP 连接请求 64B 页面，测试防火墙每秒最大 TCP 新建连接数（含 1条规则和 500 条规则）。百 兆 防 火 墙 3000 连接/秒千 兆 防 火 墙 20000 连接/秒18最大 TCP 并 发连接数测 试(H)最大 TCP 并发连 接数测试1.开启防火墙功能，工作在透明模式下；2.防火墙配置一条全通策略；3.Avalanche向Reflector发 送HTTP1.1 数据流，每个 HTTP 连接请求64B 页面，测试防火墙最大 TCP 并发连接数（含 1 条规则和 500 条规则）。百 兆 防 火 墙 200000千 兆 防 火 墙 10000007质量控制措施及检验标准7.1 质量控制措施7.1.1 严格按照施工图设计、施工组织设计方案和相关技术要求进行施工。7.1.2 设备到货验收时，要核实设备型号、出厂质量合格证、出厂测试记录、并按要求格式作书面 记录。7.1.3 自动化系统及其设备的配置满足南方电网变电站自动化系统技术规范要求。7.1.4 严格按设备标识规范进行标识工作。7.1.5 严格按南方电网变电站自动化系统相关技术标准和验收标准，并通过规约联调、四遥试验、 失压试验、雪崩处理能力验证、对时精度测试等检查项目验证变电站综合自动化系统功能的正确性。7.1.6 施工过程中发现设备存在质量问题应马上停止施工，填写设备缺陷通知单，及时报告各有关 单位共同解决，并按要求格式形成书面记录和存档。7.1.7 工程竣工验收后，施工单位应提供设备数码照片。7.2 质量控制点表表 7-2 质量控制点表序号控制点控制方式WHS1防火墙注：质量控制点中 H:停工待检；W：见证点；S：旁站点7.3 检验标准质量检验按10kV500kV 输变电及配电工程质量验收与评定标准第 6 册：变电自动化工程中的 Q/ CSG 表 6-1.1.10、附件 10.1 要求执行。附件 1 安全施工作业票编码：DLZDH-ZW-10-01/01工作时间工作地点技术员现场安全员现