USG系列防火墙产品安装质量检查报告

1、。USG系列防火墙产品安装质量检查报告本文档适用产品范围：USG系列型号产品。项目名称合同号交付单位单位属性检查人员检查日期检查站点* 检查得分* 注 : 检查得分为以下安装通用质量检查得分与产品软硬件安装质量检查得分之和。 ASPCSP1. 设备安装通用质量检查机柜安装线缆布放接地机房环境设备安装通用质量检查Checklist检查内容和要求分值检查结果1机柜（机箱）固定可靠，符合工程设计文件的抗震要求。4符合 不符合 不涉及2机柜的结构附件安装正确可靠，门、门锁等开关顺畅。2符合 不符合 不涉及3机柜垂直偏差度应小于 3mm，整行机柜在同一平面上。2符合 不符合 不涉及4机柜各部件不能出现变

2、形，油漆脱落、碰伤、污迹等。2符合 不符合 不涉及5机柜所有进出线孔应封闭处理，防鼠网封堵规范。2符合 不符合 不涉及6机柜与地面、墙面、走线梯之间应按规范安装绝缘板。1符合 不符合 不涉及1线缆理顺，间距均匀，松紧适度，线扣整齐，不留尖刺。2符合 不符合 不涉及2信号线缆不能布放于机柜散热网孔上、机箱的进出风口处。2符合 不符合 不涉及3信号线缆在机柜内的走线路由正确，不影响维护和扩容。2符合 不符合 不涉及4尾纤机柜外布放时采取保护措施（加保护套管或槽道）。2符合 不符合 不涉及5.多余尾纤盘绕整齐，盘绕直径大于 8cm。2符合 不符合 不涉及6.未使用的光纤头和单板光口应用保护帽（塞）做

3、好保护。2符合 不符合 不涉及7 电源线、地线与信号线分开布放，一般间距大于3cm。2符合 不符合 不涉及8 设备电源线、地线的线径满足设备配电要求。2符合 不符合 不涉及9.电源线及地线压接线鼻时，应焊接或压接牢固。2符合 不符合 不涉及10.标签制作模板是否符合客户要求，标签位置整齐、朝向一致。2符合 不符合 不涉及1 机柜采用大于 16mm的保护地线就近连接机房地排。4符合 不符合 不涉及2 设备、机箱外壳保护地线可靠连接至机柜接地点。2符合 不符合 不涉及3 机柜前后门、侧门可靠接地，线径不小于6mm。2符合 不符合 不涉及4 配线架 DDF、ODF、MDF可靠接地，线径不小于16mm

4、。2符合 不符合 不涉及5 防静电手腕插入机柜上的防静电安装孔内。1符合 不符合 不涉及1机房抗震、防雷及承重满足设备长期安全运行需要。1符合 不符合 不涉及精选资料，欢迎下载。2供电电压及空开容量满足设备长期安全运行要求。2符合 不符合 不涉及3机房环境温度和相对湿度满足设备长期安全运行要求。1符合 不符合 不涉及4机房洁净度满足设备长期安全运行要求。1符合 不符合 不涉及5机房应有相应的防火措施。1符合 不符合 不涉及（其他问题请在此进行记录，按问题等级进行扣分，严重问题4其他问题扣分/分、重要问题 2 分、一般问题 1 分。）得分2. USG系列防火墙产品软硬件安装质量检查USG系列防火

5、墙产品软硬件安装质量检查Checklist检查内容和要求分值检查结果1.单板松不脱螺丝应松紧适度，不得处于松脱状态。1符合 不符合 不涉及2.假拉手条及假面板应全部安装。1符合 不符合 不涉及3.机柜里面、底部和顶部不应有多余的线扣、螺钉等杂物。1符合 不符合 不涉及4.数据线缆不应有破损、断裂、中间接头。1符合 不符合 不涉及5.数据线缆插头干净无损坏，现场制作的插头正确规范，插头连接1符合 不符合 不涉及正确可靠。6.数据线缆每线都应做导通测试。1符合 不符合 不涉及7.电缆的绑扎应间距均匀，松紧适度，线扣整齐，扎好后应将多余1符合 不符合 不涉及部分齐根剪掉，不留尖刺。硬件安装8.机柜外

6、电缆布线：符合 不符合 不涉及电缆布放时应理顺，不交叉弯折。用槽道时，允许不绑扎，电缆不得溢出槽道。用走线梯时，应固定在走线梯横梁上，绑扎整齐，成矩形（单芯电1缆可以绑扎成圆型），如果走线架与机柜顶的间距大于0.8M 时，应在机架上方架设线梯以减小因电缆自重而产生的应力。在地板下叠加布放时，最高不能超过防静电地板下净高度的3/4 。未使用槽道布放时，应成矩形状（单芯电缆可以绑扎成圆型）。9.保护套管应进入机柜内部，进入机柜内部的长度不宜超过10CM，1符合 不符合 不涉及且套管应绑扎固定。10. 尾纤保护套管切口应光滑，否则要用绝缘胶布等做防割处理。1符合 不符合 不涉及1.软件版本必须是公司

7、正式发布的版本或者已申请的受控版本（试符合 不符合 不涉及验局除外）2操作方法： display version2.检查软件版本是否有配套补丁及运行状态1符合 不符合 不涉及软件安装操作方法： display patch-information3.设备系统名 (sysname) ：如果客户有自己的命名规则，按照客户符合 不符合 不涉及的规则设置主机名；如果没有，按规范（节点代码_局点缩写 _设备1名_设备序列号（ A、 B、C 等）正确设置设备主机名。操作方法： display current-configuration | include sysname精选资料，欢迎下载。4. 系统时间：时

8、间设置应与本地时间一致，误差小于1 分钟，最好符合 不符合 不涉及使用 NTP协议获取与全网同步的时间。1操作方法： display clock5. 运行的配置文件与保存的配置文件一致1符合 不符合 不涉及操作方法： compare configuration6.telnet 口令和 super 口令的设置要不同， 使用密文格式， 并检查符合 不符合 不涉及密码是否过于简单，建议使用 STelnet 。1操作方法： display current-configuration7. 检查是否配置了取消状态检测，一般情况下要使能状态检测1符合 不符合 不涉及操作方法： display current

9、-configuration | include session符合 不符合 不涉及8. 是否关闭了 FTP Server 功能1符合 不符合 不涉及操作方法： display current configuration | include ftp符合 不符合 不涉及9. 设置正确的启动版本和启动配置文件， 当前运行的版本和配置应符合 不符合 不涉及该和下次启动的版本和配置文件一致。1操作方法： display startup10. 日志功能没有特殊原因，不要关闭日志中心功能。1符合 不符合 不涉及操作方法： display info-center11. 端口描述：所有激活接口都使用 desc

10、ription命令进行了规范1符合 不符合 不涉及描述，建议按照客户规范进行描述；如果客户没有相应规范，按照一般工程规范进行描述。接口描述规则：本端设备名 - 本端端口号- 对端设备名 - 端口号 -/ 端口速率例如： descriptionYMK_EUDEMON1000_A-G2/0/0-YMK_EUDEMON1000_B-G2/0/0-/1000M。操作方法： display interface12. 主控板上管理网口的使用情况：USG5500/USG6000/USG9500产品1符合不符合不涉及主控板上的管理网口不能用作业务口；操作方法： display interface gi0/0/

11、013. FE/GE 口配置：端口模式（包括速率、双工模式）配置必须与符合不符合不涉及对端一致。避免一端自协商一端强制的情况，推荐使用两端自协商或两端强制同一模式的设置（建议百兆采用自协商模式，千兆采用强制全双工模式）。操作方法： display interface14. LOOPBACK地址配置：地址的子网掩码为32 位。1符合 不符合 不涉及操作方法： display current-configuration interface LoopBack15. 网管版本配置要求 SNMP版本设置与网管一致。1符合 不符合 不涉及操作方法： display current-configuratio

12、n|includesnmp-agentsys-info version16. 读写团体名配置，禁止使用 public 、private 缺省团体名。符合 不符合 不涉及操作方法： display current-configuration|includesnmp-agent1community17. trap 功能，当有网管或日志主机时应当配置trap功能。符合 不符合 不涉及操作方法： display trapbuffer1符合 不符合 不涉及display current-configuration | include snmp-agent trap精选资料，欢迎下载。enable18当配

13、置有日志主机时，应当设置正确的日志主机地址操作方法： display info-center1display current-configuration | include snmp-agenttarget-host19. 防火墙缺省策略的检查，禁止开放缺省策略1操作方法： display firewall packet-filter default all20.SYN flood防范功能1操作方法： display current | include syn-flood21.ICMP flood防范功能1操作方法： display current | include icmp-flood22

14、.UDP Flood 攻击防范功能1操作方法： display current | include udp-flood23. 防火墙域间策略需要限制除维护网段外其他域到 Local 域的访问，各域间策略遵循最小策略开放原则，域间策略符合现网业务需1求和配置规范操作方法： display policy interzone24. 双机热备组网时NAT地址池和 NATServer 应该携带 vrrp vrid参数1操作方法： displaycurrent-configuration| includenat serverdisplay current-configuration | include n

15、at address25. 检查防火墙 NAT地址池是否配置了黑洞路由，是否会导致路由环路1操作方法： display fib26. 检查防火墙会话数是否达到总数的80%1操作方法： display firewall session statistic27. 单板状态查看：主控板、 NP板、接口板是否运行正常。如果有单板显示故障，需尽快分析。1操作方法： display device28. 电源状态查看：各电源模块工作温度在正常范围内。1操作方法： display environment29.CPU 占有率： CPU占有率应正常，与当前开展的业务类型和转发流量相符。 超过 60应分析当时的业务

16、流量。通常 CPU使用率与流量关系不大，只与业务类型有关，一般的来说，软件IPSEC、ASPF、1NAT ALG对 CPU资源消耗较大。操作方法： display cpu-usage30. 内存占有率：内存占有率不应过高。 超过 80时需要分析当时的会话表容量和路1由表容量，否则需要分析是否存在内存泄漏的情况。操作方法： display memory31. 系统当前正在发生的告警信息：有告警及时处理。1操作方法： display alarm urgent符合 不符合 不涉及符合 不符合 不涉及符合不符合不涉及符合 不符合 不涉及符合 不符合 不涉及符合不符合不涉及符合不符合不涉及符合不符合不涉

17、及符合 不符合 不涉及符合 不符合 不涉及符合 不符合 不涉及符合 不符合 不涉及符合不符合不涉及符合不符合不涉及符合不符合不涉及符合不符合不涉及符合不符合不涉及符合不符合不涉及符合不符合不涉及精选资料，欢迎下载。32. 日志信息： 不要有较多重复的信息：比如端口频繁up/down；不符合不符合不涉及要有大量用户认证失败信息等；不要有各类严重告警信息等, 需要具体分析每一个告警的危害。1操作方法： display logbuffer33. 显示 IP 统计信息：通常不应该有大量错包计数。1符合 不符合 不涉及操作方法： display ip statistics34. 显示 ICMP统计信息：

18、通常不应该有较多错误统计和不可达统计。1符合 不符合 不涉及操作方法： display icmp statistics35. 调试信息开关：正常工作情况下，所有debug 开关关闭。1符合 不符合 不涉及操作方法： display debugging36. 配合网管时， Trap 功能要打开，不应该有丢弃的统计计数。1符合 不符合 不涉及操作方法： display trapbuffer37. 接口是否出现了 CRC、冲突包的错误报文1符合 不符合 不涉及操作方法： display interface38. 端口统计数据：查看各个使用的端口收发统计数据是否正常，符合 不符合 不涉及是否存在只收不发或只发不收的情况，是否存在出入接口一样情1况。操作方法： display interface39. 检查接口是否出现了physical error、Resource errors和符合 不符合 不涉及overruns