USG系列防火墙产品安装质量检查报告

1、USG系列防火墙产品安装质量检查报告本文档适用产品范围：USG系列型号产品项目名称合同号交付单位单位属性 ASP CSP检查人员检查日期检查站点*检查得分*注：检查得分为以下安装通用质量检查得分与产品软硬件安装质量检查得分之和1.设备安装通用质量检查设备安装通用质量检查Checklist检查内容和要求分值检查结果机柜安装1.机柜（机箱）固定可靠，符合工程设计文件的抗震要求。4符合不符合不涉及2.机柜的结构附件安装正确可靠，门、门锁等开关顺畅。2符合不符合不涉及3.机柜垂直偏差度应小于 3mm整行机柜在同一平面上。2符合不符合不涉及4.机柜各部件不能出现变形，油漆脱落、碰伤、污迹等。2符合不符合

2、不涉及5.机柜所有进出线孔应封闭处理，防鼠网封堵规范。2符合不符合不涉及6.机柜与地面、墙面、走线梯之间应按规范安装绝缘板。1符合不符合不涉及线缆布放1.线缆理顺，间距均匀，松紧适度，线扣整齐，不留尖刺。2符合不符合不涉及2.信号线缆不能布放于机柜散热网孔上、机箱的进出风口处。2符合不符合不涉及3.信号线缆在机柜内的走线路由正确，不影响维护和扩容。2符合不符合不涉及4.尾纤机柜外布放时采取保护措施（加保护套管或槽道）。2符合不符合不涉及5.多余尾纤盘绕整齐，盘绕直径大于8cm2符合不符合不涉及6.未使用的光纤头和单板光口应用保护帽（塞）做好保护。2符合不符合不涉及7.电源线、地线与信号线分开布

3、放，一般间距大于3cm。2符合不符合不涉及8.设备电源线、地线的线径满足设备配电要求。2符合不符合不涉及9.电源线及地线压接线鼻时，应焊接或压接牢固。2符合不符合不涉及10.标签制作模板是否符合客户要求，标签位置整齐、朝向一致。2符合不符合不涉及接地1.机柜采用大于16mm的保护地线就近连接机房地排。4符合不符合不涉及2.设备、机箱外壳保护地线可靠连接至机柜接地点。2符合不符合不涉及3.机柜前后门、侧门可靠接地，线径不小于6mm。2符合不符合不涉及4.配线架DDF ODF MDF可靠接地，线径不小于 16mm2符合不符合不涉及5.防静电手腕插入机柜上的防静电安装孔内。1符合不符合不涉及机房环境

4、1.机房抗震、防雷及承重满足设备长期安全运行需要。1符合不符合不涉及2.供电电压及空开容量满足设备长期安全运行要求。2符合不符合不涉及3.机房环境温度和相对湿度满足设备长期安全运行要求。1符合不符合不涉及4.机房洁净度满足设备长期安全运行要求。1符合不符合不涉及5.机房应有相应的防火措施。1符合不符合不涉及其他问题（其他问题请在此进行记录，按问题等级进行扣分，严重问题4分、重要问题2分、一般问题1分。）扣分/得分2. USG系列防火墙产品软硬件安装质量检查USG系列防火墙产品软硬件安装质量检查Checklist检查内容和要求分值检查结果硬件安装1.单板松不脱螺丝应松紧适度，不得处于松脱状态。1

5、符合不符合不涉及2.假拉手条及假面板应全部安装。1符合不符合不涉及3.机柜里面、底部和顶部不应有多余的线扣、螺钉等杂物。1符合不符合不涉及4.数据线缆不应有破损、断裂、中间接头。1符合不符合不涉及5.数据线缆插头干净无损坏，现场制作的插头正确规范，插头连接 正确可靠。1符合不符合不涉及6.数据线缆每线都应做导通测试。1符合不符合不涉及7.电缆的绑扎应间距均匀，松紧适度，线扣整齐，扎好后应将多余 部分齐根剪掉，不留尖刺。1符合不符合不涉及8.机柜外电缆布线：电缆布放时应理顺，不交叉弯折。用槽道时，允许不绑扎，电缆不得溢出槽道。用走线梯时，应固定在走线梯横梁上，绑扎整齐，成矩形（单芯电 缆可以绑扎

6、成圆型），如果走线架与机柜顶的间距大于0.8M时，应在机架上方架设线梯以减小因电缆自重而产生的应力。在地板下叠加布放时，最高不能超过防静电地板下净高度的3/4。未使用槽道布放时，应成矩形状（单芯电缆可以绑扎成圆型）。1符合不符合不涉及9.保护套管应进入机柜内部，进入机柜内部的长度不宜超过10CM且套管应绑扎固定。1符合不符合不涉及10.尾纤保护套管切口应光滑，否则要用绝缘胶布等做防割处理。1符合不符合不涉及软件安装1.软件版本必须是公司正式发布的版本或者已申请的受控版本（试验局除外）操作方法：display version2符合不符合不涉及2.检查软件版本是否有配套补丁及运行状态操作方法：di

7、splay patch-information1符合不符合不涉及3.设备系统名（sysname）:如果客户有自己的命名规则，按照客户 的规则设置主机名；如果没有，按规范（节点代码一局点缩写一设备名_设备序列号（A、B C等）正确设置设备主机名。操作方法： display current-configuration | include sysname1符合不符合不涉及4.系统时间：时间设置应与本地时间一致，误差小于1分钟，最好使用NTP协议获取与全网同步的时间。操作方法：display clock1符合不符合不涉及5.运行的配置文件与保存的配置文件一致操作方法：compare configura

8、tion1符合不符合不涉及6.teInet 口令和super 口令的设置要不同，使用密文格式，并检查 密码是否过于简单，建议使用STelnet。操作方法：display current-configuration1符合不符合不涉及7.检查是否配置了取消状态检测，一般情况下要使能状态检测1符合不符合不涉及操作方法： display current-configuration | include session符合不符合不涉及8.是否关闭了 FTP Server功能1符合不符合不涉及操作方法： display current configuration | include ftp符合不符合不涉及9

9、.设置正确的启动版本和启动配置文件，当前运行的版本和配置应 该和下次启动的版本和配置文件一致。操作方法：display startup1符合不符合不涉及10. 日志功能没有特殊原因，不要关闭日志中心功能。操作方法：display info-center1符合不符合不涉及11.端口描述：所有激活接口都使用description命令进行了规范描述，建议按照客户规范进行描述；如果客户没有相应规范，按照 一般工程规范进行描述。接口描述规则：本端设备名-本端端口号-对端设备名-端口号-/端口速率 例如：descriptionYMK_EUDEMON1000_A-G2/0/0-YMK_EUDEMON1000

10、_B-G2/0/0-/10 Mo操作方法：display interface1)0符合不符合不涉及12.主控板上管理网口的使用情况：USG5500/USG6000/USG95产品主控板上的管理网口不能用作业务口；操作方法：display interface gi0/0/01符合不符合不涉及13. FE/GE 口配置：端口模式（包括速率、双工模式）配置必须与 对端一致。避免一端自协商一端强制的情况，推荐使用两端自协商 或两端强制同一模式的设置（建议百兆采用自协商模式，千兆采用 强制全双工模式）。操作方法：display interface符合不符合不涉及14. LOOPBACK址配置：地址的子网

11、掩码为32位。操作方法： display current-configuration interface LoopBack1符合不符合不涉及15.网管版本配置要求 SNMP版本设置与网管一致。操作方法：display current-configuration| include snmp-agentsys-info version1符合不符合不涉及16.读写团体名配置，禁止使用public 、 private 缺省团体名。操作方法：display current-configuration| include snmp-agentcommunity1符合不符合不涉及17. trap 功能，当有网

12、管或日志主机时应当配置trap功能。符合不符合不涉及操作方法：display trapbufferdisplay current-configuration | include snmp-agent trap1符合不符合不涉及enable18.当配置有日志主机时，应当设置正确的日志主机地址操作方法：display info-centerdisplay current-configuration | include snmp-agent target-host1符合不符合不涉及符合不符合不涉及19.防火墙缺省策略的检查，禁止开放缺省策略操作方法： display firewall packet-

13、filter default all1符合不符合不涉及符合不符合不涉及20.SYN flood防范功能操作方法： display current | include syn-flood1符合不符合不涉及21CMP flood 防范功能操作方法： display current | include icmp-flood1符合不符合不涉及22.UDP Flood攻击防范功能操作方法： display current | include udp-flood1符合不符合不涉及23.防火墙域间策略需要限制除维护网段外其他域到Local域的访问，各域间策略遵循最小策略开放原则，域间策略符合现网业务需 求和

14、配置规范操作方法： display policy interzone1符合不符合不涉及24.双机热备组网时NAT地址池和NATServer应该携带vrrp vrid参数操作方法：display current-configuration| include nat serverdisplay current-configuration | include nat address1符合不符合不涉及符合不符合不涉及25.检查防火墙NAT地址池是否配置了黑洞路由，是否会导致路由环路操作方法：display fib1符合不符合不涉及符合不符合不涉及26.检查防火墙会话数是否达到总数的80%操作方法： d

15、isplay firewall session statistic1符合不符合不涉及符合不符合不涉及27.单板状态查看：主控板、NP板、接口板是否运行正常。 如果有单板显示故障，需尽快分析。操作方法：display device1符合不符合不涉及28.电源状态查看：各电源模块工作温度在正常范围内。操作方法：display environment1符合不符合不涉及29.CPU占有率：CPU占有率应正常，与当前开展的业务类型和转发 流量相符。超过60%应分析当时的业务流量。 通常CPU使用率与流 量关系不大，只与业务类型有关， 一般的来说，软件IPSEC ASPF NAT ALG寸CPU资源消耗较

16、大。操作方法：display cpu-usage1符合不符合不涉及30.内存占有率：内存占有率不应过高。超过80%时需要分析当时的会话表容量和路 由表容量，否则需要分析是否存在内存泄漏的情况。操作方法：display memory1符合不符合不涉及31.系统当前正在发生的告警信息：有告警及时处理。操作方法：display alarm urgent1符合不符合不涉及32.日志信息：不要有较多重复的信息：比如端口频繁up/down；不 要有大量用户认证失败信息等；不要有各类严重告警信息等，需要具体分析每一个告警的危害。操作方法：display logbuffer1符合不符合不涉及33.显示IP统计

17、信息：通常不应该有大量错包计数。操作方法： display ip statistics1符合不符合不涉及34.显示ICMF统计信息：通常不应该有较多错误统计和不可达统计。操作方法： display icmp statistics1符合不符合不涉及35.调试信息开关：正常工作情况下，所有debug开关关闭。操作方法：display debugging1符合不符合不涉及36.配合网管时，Trap功能要打开，不应该有丢弃的统计计数。操作方法：display trapbuffer1符合不符合不涉及37.接口是否岀现了 CRC冲突包的错误报文操作方法：display interface1符合不符合不涉及38.端口统计数据：查看各个使用的端口收发统计数据是否正常， 是否存在只收不发或只发不收的情况，是否存在出入接口一样情 况。操作方法：display interface1符合不符合不涉及39.检查接口是否出现了physical error 、Resource errors禾廿overruns的统计计数，如果