2006年中國(guó)網(wǎng)通河北IP城域網(wǎng)擴(kuò)建一期工程可管理安全服務(wù)設(shè)備技術(shù)規(guī)范書(shū)

2006年中國(guó)網(wǎng)通河北IP城域網(wǎng)擴(kuò)建一期工程

可管理安全服務(wù)設(shè)備技術(shù)規(guī)范書(shū)

2006-6-12

第一章工程技術(shù)規(guī)范書(shū)點(diǎn)對(duì)點(diǎn)應(yīng)答

本次所提供的所有方案及各項(xiàng)設(shè)備和系統(tǒng)(包括軟、硬件)符

合如下技術(shù)標(biāo)準(zhǔn)：

(1)IS027001：2005：信息技術(shù)安全一技術(shù)信息安全一管

理體系要求；

(2)ISO/IECFDIS17799:2005(E):信息技術(shù)一安全技術(shù)

—信息安全管理代碼實(shí)踐；

(3)ISO/IEC18028-2:2006(E)：信息技術(shù)一安全技術(shù)一IT

網(wǎng)絡(luò)安全；

(4)ISO/IECTR13335：信息技術(shù)一IT安全管理指南；

(5)中華人民共和國(guó)通信行業(yè)標(biāo)準(zhǔn)YD/T1163-2001IP網(wǎng)絡(luò)

安全技術(shù)要求一安全框架；

(6)中華人民共和國(guó)通信行業(yè)標(biāo)準(zhǔn)YD/T1132-2001防火

墻設(shè)備技術(shù)要求；

(7)《中國(guó)網(wǎng)絡(luò)通信集團(tuán)公司IP網(wǎng)2004-2006年發(fā)展規(guī)

劃》；

(8)IP城域網(wǎng)規(guī)劃建設(shè)指導(dǎo)原則(北方分冊(cè))；

(9)《河北網(wǎng)通互聯(lián)網(wǎng)網(wǎng)絡(luò)優(yōu)化指導(dǎo)意見(jiàn)》；

(10)《中國(guó)網(wǎng)通網(wǎng)絡(luò)技術(shù)轉(zhuǎn)型與演進(jìn)的若干意見(jiàn)》；

(11)《網(wǎng)通集團(tuán)IP網(wǎng)絡(luò)優(yōu)化和維護(hù)指導(dǎo)意見(jiàn)》；

(12)《河北省分公司數(shù)據(jù)專(zhuān)業(yè)產(chǎn)品供貨商及產(chǎn)品備案表》；

以下按照“2006年中國(guó)網(wǎng)通河北IP城域網(wǎng)擴(kuò)建一期工程可管理安

全服務(wù)設(shè)備技術(shù)規(guī)范書(shū)”章節(jié)進(jìn)行點(diǎn)對(duì)點(diǎn)應(yīng)答。

3.5設(shè)備基本配置要求

3.5.1賣(mài)方提供的設(shè)備應(yīng)滿足下列基本配置要求：

(1)設(shè)備應(yīng)為能夠滿足本技術(shù)規(guī)范要求的完整的軟、硬件系統(tǒng)，

集成性好，便于機(jī)架式安裝；

答：滿足要求。

本項(xiàng)目提供的CheckPoint/Crossbeam設(shè)備為滿足本技術(shù)規(guī)

范的完整軟硬件系統(tǒng)，經(jīng)過(guò)兼容性測(cè)試，可以無(wú)縫集成，設(shè)

備為標(biāo)準(zhǔn)機(jī)架尺寸，便于機(jī)架式安裝。

(2)設(shè)備及接口的電氣特性應(yīng)符合國(guó)際和國(guó)家的相關(guān)標(biāo)準(zhǔn)。

答：滿足要求。

本項(xiàng)目提供的CheckPoint/Crossbeam設(shè)備的設(shè)備及接口電

氣特性符合國(guó)際和國(guó)家的相關(guān)標(biāo)準(zhǔn)。

3.5.2基本性能及配置要求

賣(mài)方提供的單套設(shè)備系統(tǒng)應(yīng)滿足下列性能指標(biāo)要求：

?吞吐量：不小于4Gbps

答：滿足要求。

本項(xiàng)目提供CheckPoint/CrossbeamX40配置最少可提供

4Gbps的吞吐量。

.最大并發(fā)連接數(shù)：不小于50萬(wàn)

答：滿足要求。

本項(xiàng)目提供CheckPoint/CrossbeamX40配置最少可提供

50萬(wàn)的并發(fā)連接數(shù)。

?每秒新建連接數(shù)：不小于3萬(wàn)

答：滿足要求。

本項(xiàng)目提供CheckPoint/CrossbeamX40配置最少可提供

3萬(wàn)的每秒新建連接數(shù)。

?端口數(shù)：不小于4個(gè)千兆光纖

答：滿足要求。

本項(xiàng)目提供CheckPoint/CrossbeamX40配置可提供8

個(gè)千兆光纖口。

?設(shè)備應(yīng)提供專(zhuān)用帶外管理端口

答：滿足要求。

CheckPoint/CrossbeamX40提供了2個(gè)帶外管理端口

(10/100MBase-T)

?設(shè)備應(yīng)提供專(zhuān)用日志端口

答：滿足要求。

CheckPoint/CrossbeamX40提供了1個(gè)專(zhuān)用日志端口

(10/100/1000MBase-T)

?處理時(shí)延：不大于0.08s

答：滿足要求。

CheckPoint/CrossbeamX40的處理時(shí)延小于0.08s。

3.5.3基本網(wǎng)絡(luò)功能要求

賣(mài)方提供的單套設(shè)備系統(tǒng)應(yīng)提供以下基本的功能：

(1)設(shè)備應(yīng)支持靜態(tài)路由和RIP、RIPH、0SPF等路由協(xié)議。

答：滿足要求。

CheckPoint/CrossbeamX40支持RIP、RIPIC及OSPF等路由

協(xié)議。

(2)設(shè)備應(yīng)支持802.IQVLANo

答：滿足要求。

CheckPoint/CrossbeamX40支持802.IQVLANo

CheckPoint/CrossbeamX40防火墻全面支持802.1Q協(xié)議，通

過(guò)使用CheckPoint/CrossbeamX40防火墻可以有效的對(duì)VLAN

ID進(jìn)行識(shí)別和支持，并且對(duì)不同VLAN之間的訪問(wèn)進(jìn)行控制。

(3)設(shè)備應(yīng)支持對(duì)不同VLAN間數(shù)據(jù)包的阻隔。

答：滿足要求

CheckPoint/CrossbeamX40防火墻對(duì)VLAN具有豐富的控制

功能，通過(guò)對(duì)CheckPoint/CrossbeamX40硬件防火墻的設(shè)

置，用戶可以通過(guò)防火墻對(duì)屬于不同VLAN的主機(jī)進(jìn)行有效的

隔離，并且通過(guò)安全策略進(jìn)行訪問(wèn)控制，保護(hù)不同目標(biāo)主機(jī)

和網(wǎng)絡(luò)的安全。

(4)設(shè)備應(yīng)支持VLANTrunko

答：滿足要求

CheckPoint/CrossbeamX40防火墻采用專(zhuān)用的網(wǎng)絡(luò)操作系

統(tǒng)，支持802.1Q協(xié)議，防火墻能夠識(shí)別VLANID,支持VLAN

Trunk網(wǎng)絡(luò)流量通過(guò)防火墻。

(5)設(shè)備應(yīng)支持虛擬路由模式防火墻、虛擬透明模式防火墻，并

支持此兩種模式的虛擬防火墻共存于同一個(gè)虛擬環(huán)境中。

答：滿足要求。

CheckPoint/CrossbeamX40防火墻以以下方式工作在用戶的

網(wǎng)絡(luò)中：透明模式、路由模式、透明模式與路由模式同時(shí)工

作。CheckPoint/CrossbeamX40支持此兩種模式的虛擬防火

墻共存于同一個(gè)虛擬環(huán)境中。

(6)單套系統(tǒng)支持的最大虛擬防火墻數(shù)量應(yīng)不小于200個(gè)

答：滿足要求。

CheckPoint/CrossbeamX40單臺(tái)最高可支持250個(gè)虛擬防火

工回。

(7)設(shè)備應(yīng)支持虛擬路由器和虛擬交換機(jī)功能。

答：滿足要求。

CheckPoint/CrossbeamX40支持虛擬路由器和虛擬交換機(jī)功

4.1一般技術(shù)要求

4.1.1硬件

(1)賣(mài)方提供的所有設(shè)備必須是最新開(kāi)發(fā)且最穩(wěn)定可靠之產(chǎn)品，并

且大規(guī)模在電信運(yùn)營(yíng)商環(huán)境應(yīng)用的成熟商用產(chǎn)品，并保證所提供產(chǎn)

品的數(shù)量、質(zhì)量，特別是接口的兼容性。

答：滿足要求。

CheckPoint/CrossbeamX40是最新開(kāi)發(fā)并且最穩(wěn)定可靠的產(chǎn)

品，已經(jīng)在全球范圍內(nèi)的許多大型電信運(yùn)營(yíng)商環(huán)境得到了成

熟應(yīng)用，包括美國(guó)南方貝爾、英國(guó)移動(dòng)運(yùn)營(yíng)商02、西班牙電

信Telefonica＞德國(guó)電信、美國(guó)移動(dòng)運(yùn)營(yíng)商Verizon

Wireless、澳大利亞電信Telstra等。在應(yīng)用中，與各種網(wǎng)

絡(luò)產(chǎn)品均有很好的兼容性。

(2)各種設(shè)備應(yīng)采用功能分擔(dān)、分布式多處理機(jī)結(jié)構(gòu)。主要模塊冗

余度至少為1+1,易于擴(kuò)容和維護(hù)。

答：滿足要求。

在CheckPoint/CrossbeamX40設(shè)備中，各模塊的功能是分

離的，每種模塊負(fù)責(zé)其各自的功能，然后整個(gè)設(shè)備通過(guò)機(jī)架

無(wú)源背板全交叉總線及Crossbeam專(zhuān)利的實(shí)時(shí)調(diào)度操作系統(tǒng)

XOS有機(jī)的集成。

同時(shí)，在CheckPoint/CrossbeamX40中，針對(duì)不同的功能

需求，提供了不同的設(shè)備模塊，包括：網(wǎng)絡(luò)處理模塊NPM、安

全應(yīng)用處理模塊APM管理控制模塊CPM等。

所有安全技術(shù)都通過(guò)一種先進(jìn)的機(jī)柜式系統(tǒng)結(jié)合在一起，從

而消除了對(duì)外部交換機(jī)、負(fù)載均衡器、接頭和/或端口鏡像的

需要。通過(guò)多種安全技術(shù)配置流路徑的工作可以從一個(gè)能為

用戶帶來(lái)全面靈活性的圖形用戶界面(GUI)上輕松完成。這

種合并是目前業(yè)界最簡(jiǎn)單、安全而又經(jīng)濟(jì)的安全防護(hù)模式。

所有相關(guān)模塊均可配置為1+1的備份，可以靈活的根據(jù)功能

或性能的需求擴(kuò)展各個(gè)模塊。

(3)賣(mài)方提供的硬件平臺(tái)應(yīng)支持第三方安全設(shè)施，應(yīng)為模塊化設(shè)

計(jì)，支持平滑的擴(kuò)展。各模塊的擴(kuò)展不影響現(xiàn)有模塊的業(yè)務(wù)處理性

能和數(shù)量。

答：滿足要求。

CheckPoint/Crossbeam設(shè)備為模塊化設(shè)計(jì)，可同時(shí)提供多種

安全應(yīng)用。設(shè)備上的安全應(yīng)用處理模塊APM可獨(dú)立運(yùn)行不同

的安全應(yīng)用，包括獨(dú)用防火墻/VPN、虛擬防火墻/VPN、IDS、

防病毒、IPS等。多個(gè)安全應(yīng)用處理模塊獨(dú)立并行運(yùn)行，并由

整個(gè)系統(tǒng)所統(tǒng)一監(jiān)控。各模塊的擴(kuò)展不影響現(xiàn)有模塊的業(yè)務(wù)

處理性能和數(shù)量。

可增加的安全應(yīng)用包括：

a)IDS/IPS

b)虛擬防火墻

c)SSLVPN

d)數(shù)據(jù)庫(kù)保護(hù)：可對(duì)網(wǎng)絡(luò)內(nèi)部的各種數(shù)據(jù)庫(kù)進(jìn)行保護(hù)，包括

Oracle.Sybase、DB-IKMS-SQL等?？梢詫徲?jì)用戶對(duì)數(shù)據(jù)庫(kù)

的訪問(wèn)，可以加載對(duì)數(shù)據(jù)庫(kù)訪問(wèn)的安全策略，可以告警等

e)URL過(guò)濾

f)XML服務(wù)保護(hù)

g)防病毒等

(4)主控模塊能在不中斷通信的情況下，可帶電進(jìn)行板卡的熱插撥

操作。所有設(shè)備的模塊插板可帶電熱插拔，所有設(shè)備均采用模塊化

設(shè)計(jì)，其中每一模塊發(fā)生故障時(shí)均不影響其他設(shè)備和其他模塊的正

常運(yùn)行。

答：滿足要求。

CheckPoint/CrossbeamX40是新一代的運(yùn)營(yíng)商級(jí)的安全設(shè)

備，X40系列平臺(tái)為全冗余架構(gòu)，無(wú)源背板，全交叉總線，

雙獨(dú)立進(jìn)線的電源模塊，冗余風(fēng)扇，冗余網(wǎng)絡(luò)模塊，冗余安

全應(yīng)用模塊，冗余管理控制模塊，甚至細(xì)化到每個(gè)網(wǎng)絡(luò)端口

均可定義其備份端口，實(shí)現(xiàn)了網(wǎng)絡(luò)端口的冗余，整個(gè)設(shè)備無(wú)

單一故障點(diǎn)，能夠提供高達(dá)99.9999%的高可靠性。同時(shí)X40

設(shè)備所有的模塊均可熱插拔。每一模塊發(fā)生故障時(shí)均不影響

其他設(shè)備和其他模塊的正常運(yùn)行。

(5)賣(mài)方提供的設(shè)備要選用世界上高質(zhì)量的元器件，生產(chǎn)過(guò)程中進(jìn)

行嚴(yán)格質(zhì)量控制，出廠前要經(jīng)買(mǎi)方人員嚴(yán)格測(cè)試和檢查，確保設(shè)備

長(zhǎng)期穩(wěn)定、可靠地運(yùn)行

答：滿足要求。

CheckPoint/Crossbeam設(shè)備采用世界上高質(zhì)量的元器件，生

產(chǎn)過(guò)程中進(jìn)行嚴(yán)格質(zhì)量控制，出廠前經(jīng)過(guò)嚴(yán)格測(cè)試和檢查，

可以保證設(shè)備長(zhǎng)期穩(wěn)定、可靠地運(yùn)行。

(6)承載軟件系統(tǒng)的應(yīng)為專(zhuān)用平臺(tái)，賣(mài)方應(yīng)說(shuō)明該平臺(tái)的性能。

答：滿足要求。

Crossbeam為專(zhuān)用安全硬件平臺(tái)，采用經(jīng)過(guò)加固和優(yōu)化的專(zhuān)用

操作系統(tǒng)，可以與CheckPoint虛擬防火墻無(wú)縫集成，為用

戶提供安全服務(wù)。本次提供的CheckPoint/CrossbeamX40

至少可以提供4Gbps的防火墻數(shù)據(jù)吞吐率。

4.1.2軟件

(1)軟件系統(tǒng)

賣(mài)方的軟件應(yīng)為最新、成熟的電信級(jí)產(chǎn)品，并應(yīng)與硬件平臺(tái)實(shí)現(xiàn)無(wú)

縫銜接；

答：滿足要求。

本項(xiàng)目CheckPoint提供的軟件為最新、成熟的電信級(jí)產(chǎn)品，和硬

件平臺(tái)Crossbeam經(jīng)過(guò)兼容性測(cè)試，可以實(shí)現(xiàn)無(wú)縫銜接。

賣(mài)方在建議書(shū)中應(yīng)詳細(xì)列出所提供的軟件清單、版本和說(shuō)明。

答：滿足要求。

軟件版本說(shuō)明

CPPWR-VSX-10NGX虛擬防火墻模塊，可以支持10個(gè)虛擬防

火墻

CPPWR-SC-UNGX集中管理服務(wù)器軟件

CPFW-FSS-1NGX單機(jī)防火墻以保護(hù)集中管理服務(wù)器

CPIS-IEPS-1000NGX1000客戶端許可，可以提供端點(diǎn)PC防火

墻，PC入侵防范，PC應(yīng)用安全，PC間諜

軟件防范功能

CPIS-IAS-1NGX客戶端集中管理服務(wù)器軟件，可以提供

多域和層次化管理功能

賣(mài)方應(yīng)說(shuō)明本工程涉及的分類(lèi)項(xiàng)目對(duì)現(xiàn)網(wǎng)設(shè)備的操作系統(tǒng)及相關(guān)

系統(tǒng)軟件有何要求，是否需要使用新版本系統(tǒng)軟件，若是，應(yīng)說(shuō)明

新版軟件和原使用軟件之間的異同和兼容程度

答：滿足要求。

本項(xiàng)目提供的CheckPoint/Crossbeam設(shè)備對(duì)現(xiàn)網(wǎng)設(shè)備的操作

系統(tǒng)及相關(guān)系統(tǒng)軟件無(wú)要求。

(2)軟件模塊化結(jié)構(gòu)

軟件應(yīng)為模塊化設(shè)計(jì)組成，賣(mài)方必須保證任何軟件模塊的維護(hù)和更

新都不影響其它軟件模塊的功能，軟件具有容錯(cuò)能力。

答：滿足要求。

CheckPoint軟件采用結(jié)構(gòu)化和模塊化設(shè)計(jì)，對(duì)任何軟件模塊

的維護(hù)和更新都不影響其他軟件模塊的功能。軟件中有特定進(jìn)

程監(jiān)控其他進(jìn)程，如其他進(jìn)程出現(xiàn)問(wèn)題，特定進(jìn)程會(huì)自動(dòng)對(duì)其

進(jìn)行修復(fù)。

(3)故障監(jiān)視和診斷

軟件能及時(shí)發(fā)現(xiàn)故障并發(fā)出告警，能夠自動(dòng)恢復(fù)系統(tǒng)，不影響任何

已建立的業(yè)務(wù)連接。

答：滿足要求。

軟件中有特定進(jìn)程監(jiān)控其他進(jìn)程，如其他進(jìn)程出現(xiàn)問(wèn)題，能及

時(shí)發(fā)現(xiàn)故障并發(fā)出告警，特定進(jìn)程會(huì)自動(dòng)對(duì)其進(jìn)行修復(fù)，不影

響任何已建立的業(yè)務(wù)連接。

(4)兼容性及升級(jí)

a.設(shè)備不同時(shí)期軟件版本應(yīng)能向下兼容，軟件版本易于升級(jí)，且

在升級(jí)后不影響網(wǎng)路的性能與運(yùn)行。

答：滿足要求。

CheckPoint保證軟件版本的向下兼容，軟件版本易于升級(jí)，

且在升級(jí)后不影響網(wǎng)絡(luò)的性能與運(yùn)行。

b.賣(mài)方應(yīng)承諾在供貨時(shí)提供最新版本的軟件，但該軟件必須是經(jīng)

過(guò)測(cè)試正式推出的，其可靠性、穩(wěn)定性經(jīng)過(guò)嚴(yán)格驗(yàn)證的。

答：滿足要求。

CheckPoint保證供貨時(shí)提供最新版本的軟件，提供的軟件是

經(jīng)過(guò)測(cè)試正式推出的，其可靠性、穩(wěn)定性經(jīng)過(guò)嚴(yán)格驗(yàn)證的。

c.軟件版本升級(jí)時(shí)，賣(mài)方應(yīng)承諾免費(fèi)更新軟件版本，并提供相應(yīng)

的新版本軟件功能說(shuō)明書(shū)及修改說(shuō)明書(shū)。

答：滿足要求。

本項(xiàng)目技術(shù)規(guī)范要求提供的且買(mǎi)方已經(jīng)購(gòu)買(mǎi)的軟件功能，Check

Point/Crossbeam承諾免費(fèi)軟件版本更新，并提供相應(yīng)的新版

本軟件功能說(shuō)明書(shū)及修改說(shuō)明書(shū)。

(5)賣(mài)方應(yīng)說(shuō)明目前所使用軟件的實(shí)際運(yùn)行時(shí)間。

答：滿足要求。

本項(xiàng)目中CheckPoint提供的NGX版本軟件為2005年5月發(fā)布,

CheckPoint將至少在5年內(nèi)提供對(duì)此版本的支持，如用戶需

要，CheckPoint可以幫助用戶過(guò)渡到最新版本。

4.1.3安裝材料

若設(shè)備安裝需要特定的安裝材料、端口連接需要特定的連接線

纜的話，賣(mài)方應(yīng)予以指出并給出配置且包含在設(shè)備價(jià)格中。

答：滿足要求。

4.1.4備件

賣(mài)方應(yīng)根據(jù)設(shè)備元件的質(zhì)量情況提出備件配置的建議。

賣(mài)方提供的設(shè)備應(yīng)是以至少五年使用期設(shè)計(jì)的，賣(mài)方要保證不

論提供的設(shè)備是否還生產(chǎn)，在使用期內(nèi)買(mǎi)方可得到備件。

答：滿足要求。

為保證用戶生產(chǎn)網(wǎng)絡(luò)更加可靠穩(wěn)固，我們建議用戶可根據(jù)情況

對(duì)關(guān)鍵硬件模塊購(gòu)買(mǎi)一至兩套備件.

CheckPoint/Crossbeam本次提供設(shè)備使用期大于5年,在使用

期內(nèi)可保證用戶得到備件(過(guò)保修期后需收費(fèi)).并且將于設(shè)備

停產(chǎn)前半年前通知用戶.

4.2設(shè)備系統(tǒng)主要技術(shù)指標(biāo)

4.2.1最大位轉(zhuǎn)發(fā)率(Maximumbitforwardingrate)

位轉(zhuǎn)發(fā)率指：特定負(fù)載下每秒種防火墻將允許的數(shù)據(jù)流轉(zhuǎn)發(fā)至

正確目的接口的位數(shù)。最大位轉(zhuǎn)發(fā)率指在不同的負(fù)載下反復(fù)測(cè)量得

出的位轉(zhuǎn)發(fā)率數(shù)值集中的最大值，使用最大位轉(zhuǎn)發(fā)率時(shí)應(yīng)同時(shí)說(shuō)明

與之響應(yīng)的負(fù)載。賣(mài)方應(yīng)結(jié)合買(mǎi)方IP城域網(wǎng)設(shè)備性能及網(wǎng)絡(luò)架構(gòu)

狀況，確定并提出防火墻的設(shè)備的標(biāo)準(zhǔn)規(guī)范，并詳細(xì)列出。

答：滿足要求。

本項(xiàng)目提供的CheckPoint/Crossbeam設(shè)備旁掛在匯聚層設(shè)備

邊，根據(jù)河北網(wǎng)通城域網(wǎng)現(xiàn)狀，我們認(rèn)為4Gbps的防火墻設(shè)備可以

滿足需求。

FrameSize

(Bytes)64128256512102412801518

1APM

Throughput

(Mbps)

4.2.2設(shè)備功能要求

賣(mài)方提供的設(shè)備應(yīng)提供以下的基本安全功能，并就每一項(xiàng)功能

詳細(xì)說(shuō)明設(shè)備支持的程度：

(D設(shè)備應(yīng)運(yùn)行在經(jīng)固化的專(zhuān)用安全操作系統(tǒng)之上，賣(mài)方詳細(xì)說(shuō)

明該操作系統(tǒng)的主要安全固化措施。

答：滿足要求

CheckPoint/Crossbeam全系列的防火墻均采用獨(dú)有的運(yùn)營(yíng)商

級(jí)安全操作系統(tǒng)XOS。該操作系統(tǒng)專(zhuān)門(mén)進(jìn)行了優(yōu)化和加固，不

但提高了運(yùn)行的性能，關(guān)鍵是提高了安全性。一般的開(kāi)放操

作系統(tǒng)擁有許多的網(wǎng)絡(luò)服務(wù)，遠(yuǎn)程服務(wù)，而且可能存在一般

用戶不知道的漏洞，這對(duì)防火墻自身的安全是很大的威脅。

XOS操作系統(tǒng)從設(shè)計(jì)上做了大量的安全加強(qiáng)，保證防火墻自身

的安全。XOS不帶有任何不必要的2進(jìn)制代碼和庫(kù)結(jié)構(gòu)，是一

個(gè)安全緊湊的操作系統(tǒng)；XOS操作系統(tǒng)覆蓋了已知的各種漏

洞，并且不斷致力于發(fā)現(xiàn)和覆蓋新的漏洞。

(2)設(shè)備內(nèi)部核心技術(shù)應(yīng)采用狀態(tài)監(jiān)測(cè)技術(shù)。

答：滿足要求

CheckPoint/CrossbeamX40防火墻中采用的是CheckPoint

獲得專(zhuān)利的第三代防火墻技術(shù)狀態(tài)監(jiān)測(cè)(Stateful

Inspection),,能夠提供更安全的特性。

狀態(tài)監(jiān)測(cè)是防火墻的第三代核心技術(shù)，也是最新的防火墻核

心技術(shù)，最初由CheckPoint發(fā)明，并獲得美國(guó)專(zhuān)利(專(zhuān)利

號(hào)5,835,726）O狀態(tài)監(jiān)測(cè)相比于較早的包過(guò)濾及應(yīng)用網(wǎng)關(guān)方

式的技術(shù)有較大的優(yōu)勢(shì)，包括更安全，性能更高、擴(kuò)展性更

好等。因此，目前，幾乎所有的防火墻產(chǎn)品均聲稱自己是狀

態(tài)監(jiān)測(cè)類(lèi)的防火墻，但實(shí)際上在實(shí)現(xiàn)時(shí)有些產(chǎn)品的實(shí)現(xiàn)不完

整。

為了提供更強(qiáng)壯的安全性，一個(gè)防火墻必須跟蹤及控制所有

通信的數(shù)據(jù)流。與傳統(tǒng)的包過(guò)濾不同的是，狀態(tài)監(jiān)測(cè)通過(guò)分

析流入和流出的數(shù)據(jù)流，跟蹤數(shù)據(jù)流的狀態(tài)及上下文，根據(jù)

會(huì)話及應(yīng)用的信息，實(shí)時(shí)確定針對(duì)該數(shù)據(jù)流的安全決策。

狀態(tài)及上下文信息必須包括：

■數(shù)據(jù)包頭信息（源地址、目的地址、協(xié)議、源端口、

目的端口、數(shù)據(jù)包長(zhǎng)度）

-連接狀態(tài)信息（哪個(gè)端口為哪個(gè)連接而打開(kāi)）

?TCP及IP分片數(shù)據(jù)（如分片號(hào)、序列號(hào)）

■數(shù)據(jù)包重裝，應(yīng)用類(lèi)型，上下文確認(rèn)（如該數(shù)據(jù)包屬

于哪個(gè)通信會(huì)話）

■防火墻上的到達(dá)端口及離開(kāi)端口

-第二層信息（如VLANID）

■數(shù)據(jù)包到達(dá)及離開(kāi)的時(shí)間

根據(jù)安全策略實(shí)施對(duì)通過(guò)防火墻的數(shù)據(jù)流進(jìn)行控制，允許通

過(guò)或采取相應(yīng)措施。防火墻系統(tǒng)的安全規(guī)則，每一條表項(xiàng)都

包括條件域、動(dòng)作域和選項(xiàng)域，當(dāng)有IP包進(jìn)入時(shí)，系統(tǒng)在安

全策略中從第一個(gè)表項(xiàng)開(kāi)始查起，如果符合，就執(zhí)行該表項(xiàng)

指示的動(dòng)作，狀態(tài)監(jiān)測(cè)技術(shù)針對(duì)協(xié)議，抽取連接的狀態(tài)信息,

并建立狀態(tài)連接表項(xiàng)。當(dāng)沒(méi)有一條合適的表項(xiàng)時(shí)，系統(tǒng)的默

認(rèn)動(dòng)作是攔截。

(3)所提供的防火墻模塊應(yīng)支持基于IP地址、組、端口、應(yīng)用類(lèi)

型、時(shí)間等創(chuàng)建安全規(guī)則，賣(mài)方詳細(xì)說(shuō)明其支持的程度。

答：滿足要求

CheckPoint/Crossbeam支持基于IP源地址、IP目標(biāo)地址、

用戶組、網(wǎng)絡(luò)組、源端口、目標(biāo)端口、應(yīng)用類(lèi)型、時(shí)間、特

定防火墻等信息創(chuàng)建安全規(guī)則。

(4)所提供的防火墻模塊預(yù)定義服務(wù)協(xié)議數(shù)量應(yīng)不小于200個(gè)，

并說(shuō)明所支持的最大協(xié)議數(shù)和協(xié)議增加的方法。

答：滿足要求

CheckPoint/Crossbeam利用StatefulInspection專(zhuān)利技

術(shù)來(lái)保證所有通用Internet服務(wù)的安全。它支持超過(guò)200

個(gè)預(yù)定義應(yīng)用、服務(wù)和協(xié)議，包括Web應(yīng)用，即時(shí)消息發(fā)送、

對(duì)等網(wǎng)絡(luò)應(yīng)用、VoIP、OracleSQL.RealAudio以及多媒體

服務(wù)(如H.323)、SIP、FTP、ICMP、DNS、Netmeeting等。

本次提供的防火墻模塊，可以支持的最大協(xié)議數(shù)量沒(méi)有限制,

協(xié)議增加可以通過(guò)用戶自定義和購(gòu)買(mǎi)廠商服務(wù)自動(dòng)升級(jí)更新

等方法實(shí)現(xiàn)。

(5)所提供的防火墻模塊應(yīng)支持針對(duì)Mail,MS-RPC,MS-SQL,P2P

等應(yīng)用層的安全控制，并說(shuō)明如何控制以及所支持應(yīng)用的擴(kuò)

展數(shù)量和方法。

答：滿足要求。

CheckPoint/Crossbeam防火墻可以通過(guò)應(yīng)用智能技術(shù)對(duì)多

種應(yīng)用進(jìn)行內(nèi)容檢查，包括Mail,MS-RPC,MS-SQL,P2P等

應(yīng)用。應(yīng)用智能技術(shù)通過(guò)驗(yàn)證協(xié)議是否遵循標(biāo)準(zhǔn)，檢驗(yàn)協(xié)議

是否符合預(yù)期用法，阻止應(yīng)用攜帶有害數(shù)據(jù)和控制應(yīng)用層的

有害操作等四種策略來(lái)在合法的流量當(dāng)中檢測(cè)非法的行為，

從而確保應(yīng)用的安全。應(yīng)用的擴(kuò)展支持可以通過(guò)用戶自定義

和購(gòu)買(mǎi)廠商服務(wù)自動(dòng)升級(jí)更新等方法實(shí)現(xiàn)。

(6)所提供的防火墻模塊應(yīng)支持對(duì)VoIP的保護(hù)，支持H.323、SIP、

MGCP、SCCP,并說(shuō)明如何保護(hù)。

答：滿足要求。

CheckPoint/Crossbeam防火墻可以提供對(duì)VoIP的保護(hù)，支

持H.323,SIP,MGCP,SCCPoCheckPoint/Crossbeam防火

墻可以驗(yàn)證VoIP協(xié)議是否符合標(biāo)準(zhǔn)，理解并跟蹤VoIP的全

部通信過(guò)程，并根據(jù)需要打開(kāi)相關(guān)端口供通信使用，最后在

通信結(jié)束后自動(dòng)封閉此端口。同時(shí)通過(guò)控制一些VoIP的通信

行為，對(duì)基于VoIP的攻擊進(jìn)行防范。

(7)所提供的防火墻模塊支持的安全規(guī)則數(shù)目應(yīng)無(wú)限制。

答：滿足要求。

CheckPoint/Crossbeam防火墻支持的安全規(guī)則數(shù)量無(wú)限制。

(8)所提供的防火墻模塊應(yīng)支持安全策略一致性驗(yàn)證。

答：滿足要求。

CheckPoint/Crossbeam防火墻支持規(guī)則策略的校驗(yàn)，支持規(guī)

則一致性測(cè)試。可以檢測(cè)重復(fù)、錯(cuò)誤、沖突的規(guī)則定義。

(9)所提供的防火墻模塊應(yīng)具有對(duì)DoS攻擊的防護(hù)功能，防火墻

應(yīng)支持SYN網(wǎng)關(guān)功能，并請(qǐng)說(shuō)明。

答：滿足要求。

CheckPoint/Crossbeam防火墻是目前對(duì)DOS攻擊防范效果最

好的防火墻之一。能夠?qū)Π⊿YNFlood、PINGofDeath攻

擊、IPSpoofing攻擊等多種DOS攻擊有很好的防護(hù)。其中對(duì)

SYN攻擊具有很好的防御功能，提供SYN網(wǎng)關(guān)的功能。同時(shí)系

統(tǒng)也提供智能的SYN防御功能，當(dāng)使用此項(xiàng)功能的時(shí)候，用

戶不需要對(duì)SYN攻擊防御選項(xiàng)進(jìn)行特殊的設(shè)置，系統(tǒng)會(huì)自動(dòng)

的監(jiān)測(cè)和識(shí)別SYN的攻擊，并且阻斷它們。

(10)所提供的防火墻模塊應(yīng)具有對(duì)其他常見(jiàn)網(wǎng)絡(luò)和應(yīng)用層攻

擊的防護(hù)能力，并請(qǐng)說(shuō)明。

答：滿足要求

CheckPoint/Crossbeam防火墻支持網(wǎng)絡(luò)層到應(yīng)用層的全檢

測(cè)，對(duì)常見(jiàn)的網(wǎng)絡(luò)和應(yīng)用層攻擊都具有防護(hù)能力。網(wǎng)絡(luò)層的

攻擊防范包括TearDrop,pingofdeath等DOS攻擊，ping

大包，IP分段攻擊等針對(duì)IP和ICMP的攻擊，sys攻擊，序

號(hào)攻擊等針對(duì)TCP的攻擊，等等。應(yīng)用層攻擊防范包括針對(duì)

http,ftp,dns,voip,p2p,mail等應(yīng)用的攻擊，等等。以

上網(wǎng)絡(luò)層和應(yīng)用層的攻擊防護(hù)通過(guò)防火墻上SmartDefense模

塊實(shí)現(xiàn)。

(11)所提供的防火墻模塊應(yīng)支持攻擊特征庫(kù)的動(dòng)態(tài)更新，并

請(qǐng)說(shuō)明更新方式以及是否會(huì)中斷客戶業(yè)務(wù)。

答：滿足要求。

CheckPoint/Crossbeam防火墻內(nèi)置防攻擊模塊一

SmartDefense,它的攻擊特征庫(kù)支持在線升級(jí)。如用戶購(gòu)買(mǎi)

了CheckPoint的攻擊特征庫(kù)升級(jí)服務(wù)，管理員可以使用管

理客戶端自動(dòng)連接到CheckPoint網(wǎng)站完成更新。更新會(huì)先

存放于集中管理服務(wù)器，在未下發(fā)策略時(shí)不會(huì)影響防火墻執(zhí)

行點(diǎn)，也不會(huì)中斷客戶業(yè)務(wù)。即使下發(fā)策略，由于是針對(duì)攻

擊作出的防范，對(duì)正常業(yè)務(wù)不會(huì)產(chǎn)生影響。

(12)所提供的設(shè)備系統(tǒng)應(yīng)可同時(shí)運(yùn)行多種安全應(yīng)用，包括

IDS、防病毒等。未來(lái)可通過(guò)許可證激活防火墻設(shè)備上的其他

安全應(yīng)用。

答：滿足要求

CheckPoint/Crossbeam設(shè)備除防火墻外可以運(yùn)行多種安全應(yīng)

用，包括IDS、IPS、網(wǎng)關(guān)防病毒、URL過(guò)濾、數(shù)據(jù)庫(kù)保護(hù)等

模塊。所有這些模塊已經(jīng)內(nèi)置在設(shè)備中，未來(lái)可以通過(guò)許可

證將這些功能激活，便于將于安全應(yīng)用的擴(kuò)展。

(13)設(shè)備系統(tǒng)應(yīng)提供內(nèi)容過(guò)濾功能，可以過(guò)濾URL地址、Java

Script、ActiveX控件和Ftp控制命令(get,put)>畸形IP

攻擊包、ICMP惡意代碼包，另外還能設(shè)置收件發(fā)件人郵件地

址過(guò)濾和大郵件過(guò)濾策略。

答：滿足要求。

CheckPoint/Crossbeam防火墻可以通過(guò)其集成的內(nèi)容安全

能力使用戶免受病毒、惡意Java和ActiveXapplet、畸形

IP攻擊包、ICMP惡意代碼包及不需要的Web內(nèi)容的攻擊。

對(duì)于每個(gè)通過(guò)防火墻安全服務(wù)器建立的HTTP、SMTP或FTP

連接，網(wǎng)絡(luò)管理員可以更詳細(xì)地來(lái)控制對(duì)特定資源訪問(wèn)。例

如，訪問(wèn)可以控制到具體的Web頁(yè)面，URL地址及FTP文件

以及操作(例如，PUT/GET命令)、SMTP的專(zhuān)用標(biāo)題字段等

等?？蓪?duì)如e-mail附件大小、文件類(lèi)型等進(jìn)行檢查，還可以

設(shè)置收件發(fā)件人郵件地址過(guò)濾等。

同時(shí)防火墻還可通過(guò)OPSEC的SDK接口與專(zhuān)門(mén)的內(nèi)容過(guò)濾系

統(tǒng)互動(dòng)，進(jìn)行更細(xì)致的內(nèi)容檢查。

（14）設(shè)備應(yīng)支持NAT功能，包括一對(duì)一、多對(duì)一的NAT工作

模式。

答：滿足要求。

CheckPoint/Crossbeam防火墻支持動(dòng)態(tài)和靜態(tài)地址翻譯

（NAT）功能，并且無(wú)數(shù)量限制。

CheckPoint/Crossbeam防火墻使用強(qiáng)大的、易于管理的網(wǎng)絡(luò)

地址翻譯（NAT）在Internet上隱藏內(nèi)部網(wǎng)絡(luò)地址一避免將

它們泄漏為公眾信息。通過(guò)集成StatefulInspection技術(shù),

CheckPoint/Crossbeam的NAT實(shí)現(xiàn)了業(yè)界最安全的地址翻

譯，而且它支持范圍廣泛的Internet服務(wù)。根據(jù)網(wǎng)絡(luò)管理

員在建立對(duì)象（如主機(jī)、網(wǎng)絡(luò)和網(wǎng)關(guān)）時(shí)提供的信息，防火

墻自動(dòng)生成靜態(tài)（一對(duì)一）和動(dòng)態(tài)（多對(duì)一）的翻譯規(guī)則。

（15）設(shè)備應(yīng)支持網(wǎng)絡(luò)流量監(jiān)視和CPU負(fù)載統(tǒng)計(jì)。

答：滿足要求。

CheckPoint/CrossbeamX40防火墻系統(tǒng)采用專(zhuān)用的網(wǎng)絡(luò)操作

系統(tǒng)，提供對(duì)系統(tǒng)運(yùn)行狀態(tài)和網(wǎng)絡(luò)流量監(jiān)控的統(tǒng)計(jì)分析功能,

通過(guò)管理界面用戶可以對(duì)：

■通過(guò)防火墻的網(wǎng)絡(luò)流量進(jìn)行有效的檢查和記錄

-防火墻設(shè)備本身的CPU情況的記錄和檢查

-通過(guò)防火墻的審計(jì)工具用戶還可以對(duì)系統(tǒng)的其他資源如:

內(nèi)存的使用率等多方面的內(nèi)容進(jìn)行審計(jì)。

4.2.3設(shè)備系統(tǒng)安全管理功能

賣(mài)方提供的設(shè)備系統(tǒng)應(yīng)提供以下的安全管理功能：

（1）設(shè)備應(yīng)支持專(zhuān)有管理客戶端、WEB及命令行管理方式。

答：滿足要求

CheckPoint/CrossbeamX40防火墻系統(tǒng)支持豐富的管理和控

制功能：

a）基于本地串口的命令行管理功能

b）基于網(wǎng)絡(luò)的Web界面的管理功能。

c）基于專(zhuān)用GUI管理系統(tǒng)的圖形化安全管理功能

d）基于通用安全的HTTPS、SSH的管理功能

（2）設(shè)備應(yīng)支持本地管理、遠(yuǎn)程管理和集中管理。

答：滿足要求。

CheckPoint/Crossbeam設(shè)備支持本地管理和遠(yuǎn)程管理方式。

本地管理和遠(yuǎn)程可以通過(guò)WEB界面（通過(guò)SSL加密）管理。

同時(shí)Crossbeam防火墻還支持SSHvlv2,保證了遠(yuǎn)程管理的安

全性。通過(guò)中央管理服務(wù)器Smartcenter可以對(duì)防火墻設(shè)備

進(jìn)行集中管理。

（3）要求使用集中管理軟件統(tǒng)一管理所有防火墻（包括虛擬系

統(tǒng)），包括策略管理，用戶管理，VPN管理，入侵防護(hù)管理,

攻擊防護(hù)代碼統(tǒng)一升級(jí)等。

答：滿足要求。

CheckPoint/Crossbeam防火墻非常適合構(gòu)建分布式客戶/服

務(wù)器安全訪問(wèn)應(yīng)用控制，可以說(shuō)，防火墻的結(jié)構(gòu)就是以分布

式安全控制的出發(fā)點(diǎn)來(lái)進(jìn)行設(shè)計(jì)的。

CheckPoint/Crossbeam產(chǎn)品是三層體系結(jié)構(gòu)：

GUI：為用戶提供圖形化的界面，便于配置防火墻的策略和對(duì)

象，上面不存儲(chǔ)任何數(shù)據(jù)。在防火墻允許的范圍內(nèi)，可安裝

于任何一臺(tái)PC機(jī)上。

ManagementServer（管理服務(wù)器）：用于存儲(chǔ)在GUI上定義的

策略和對(duì)象，完成對(duì)所有防火墻（包括虛擬系統(tǒng)）的統(tǒng)一管

理，包括策略管理，用戶管理，VPN管理，入侵防護(hù)管理，攻

擊防護(hù)代碼統(tǒng)一升級(jí)等。當(dāng)安全策略下發(fā)時(shí)，管理服務(wù)器將

策略編譯后推到各個(gè)防火墻上。同時(shí)管理服務(wù)器可用來(lái)察看

執(zhí)行模塊的狀態(tài)信息，并存儲(chǔ)執(zhí)行模塊生成的日志。

EnforcementModule（執(zhí)行模塊）：用于數(shù)據(jù)包的過(guò)濾，決定

數(shù)據(jù)包的通行、阻斷、轉(zhuǎn)發(fā)。所有的防火墻安全策略可以由

管理服務(wù)器進(jìn)行集中化定制，對(duì)每個(gè)防火墻可以定義不同的

策略文件。各個(gè)模塊之間的通信使用SSL進(jìn)行加密。

為便于管理，我們建議在此次項(xiàng)目中采用集中化管理的原則

布署防火墻產(chǎn)品。即所有防火墻都可在網(wǎng)管中心對(duì)其進(jìn)行集

中化的安全管理，統(tǒng)一配置安全策略，這樣帶來(lái)的優(yōu)點(diǎn)：

實(shí)現(xiàn)了對(duì)各業(yè)務(wù)安全的集中化管理，減小網(wǎng)絡(luò)整體存在安全

漏洞的可能性，同時(shí)順應(yīng)了業(yè)務(wù)集中的趨勢(shì)，減小了各部門(mén)

對(duì)安全方面的管理支出。

(4)設(shè)備應(yīng)支持管理員基于角色的管理。

答：滿足要求。

CheckPoint/Crossbeam對(duì)防火墻的管理員權(quán)限可以分為多

個(gè)定義，包括可寫(xiě)、只讀、用戶自定義。在用戶自定義中可

以靈活定義用戶對(duì)防火墻的各個(gè)模塊的權(quán)限，例如：用戶只

能修改日志而不能修改策略。

(5)設(shè)備應(yīng)支持管理員使用數(shù)字證書(shū)作為認(rèn)證方式以提高安全

性。

答：滿足要求。

CheckPoint/Crossbeam設(shè)備的管理服務(wù)器中內(nèi)置CA,所有

防火墻功能模塊均可通過(guò)該證書(shū)進(jìn)行認(rèn)證。對(duì)于管理員，可

以使用基于X.509數(shù)字證書(shū)，進(jìn)行登錄認(rèn)證，極大提高了安

全性。

4.2.4設(shè)備日志、報(bào)警和報(bào)表功能

賣(mài)方提供的設(shè)備系統(tǒng)應(yīng)提供以下的日志、報(bào)警和報(bào)表功能：

(1)所提供的防火墻模塊應(yīng)該具有內(nèi)置日志服務(wù)器，可以提供實(shí)

時(shí)和歷史日志

答：滿足要求。

CheckPoint/Crossbeam內(nèi)置日志服務(wù)器，可以提供實(shí)時(shí)和歷

史記錄。同時(shí)可將日志導(dǎo)向其它的日志服務(wù)器。

(2)設(shè)備應(yīng)支持豐富的日志域，支持超過(guò)60種以上的日志域

答：滿足要求

CheckPoint/Crossbeam通過(guò)日志查看器Smartviewtracker

模塊用來(lái)察看日志，可察看的日志字段超過(guò)60種以上，并可

以靈活的定義過(guò)濾條件。

(3)設(shè)備應(yīng)支持日志的本地記錄，防火墻模塊應(yīng)有40G以上的內(nèi)

置硬盤(pán)，并說(shuō)明是否支持異地或外部記錄方式。

答：滿足要求

CheckPoint/Crossbeam支持日志的本地記錄，X系列產(chǎn)品均

有80G以上的內(nèi)置硬盤(pán)?？梢栽O(shè)定防火墻模塊在本地記錄日

志同時(shí)，實(shí)時(shí)或定期將日志發(fā)送到集中管理服務(wù)器或異地的

其他日志服務(wù)器?？梢蕴峁┤罩据敵鼋涌冢┑谌浇邮辗?/p>

火墻的日志。

(4)設(shè)備應(yīng)支持SYSL0G功能。

答：滿足要求

CheckPoint/Crossbeam支持標(biāo)準(zhǔn)的SYSLOG,同時(shí)設(shè)備上有

單獨(dú)的日志端口，可將日志導(dǎo)向第三方Log服務(wù)器。

(5)設(shè)備應(yīng)支持日志過(guò)濾功能。

答：滿足要求

通過(guò)SmartViewtracker功能模塊，可以靈活的進(jìn)行日志過(guò)

濾，可按特定字段進(jìn)行過(guò)濾，也可進(jìn)行不同字段的組合過(guò)濾。

(6)設(shè)備應(yīng)支持管理員日志及對(duì)管理員的審計(jì)。

答：滿足要求

CheckPoint/Crossbeam內(nèi)置日志服務(wù)器除記錄歷史記錄外，

還記錄實(shí)時(shí)連接和管理員的審計(jì)日志，管理員對(duì)防火墻所做

操作(如修改對(duì)象和策略)均被記錄。

(7)設(shè)備應(yīng)提供與第三方日志審計(jì)工具的接口

答：滿足要求。

可以通過(guò)OPSEC與第三方審計(jì)工具進(jìn)行互動(dòng)，提供日志輸出接

口LEA(logexportAPI)o

(8)設(shè)備應(yīng)提供實(shí)時(shí)告警功能，對(duì)防火墻本身或受保護(hù)網(wǎng)段的非

法攻擊支持多種告警方式如SNMP告警、E-mail告警、日志告

警等等。

答：滿足要求。

CheckPoint/Crossbeam防火墻系統(tǒng)可以對(duì)多種網(wǎng)絡(luò)事件

進(jìn)行告警功能，用戶可以按照需要對(duì)指定網(wǎng)絡(luò)行為進(jìn)行警

告設(shè)置，當(dāng)這些事件發(fā)生的時(shí)候，系統(tǒng)可以通過(guò)SNMP,

E-mail,日志等多種方式進(jìn)行告警。

(9)設(shè)備應(yīng)提供SNMPTrap、E-Mail、Alarm>LOG、自定義等方式

的報(bào)警功能支持。

答：滿足要求

CheckPoint/Crossbeam防火墻支持多種告警方式如SNMP

告警、EmailL告警、日志告警、用戶自定義程序告警等等。

通過(guò)用戶自定義方式，在X40防火墻上還可實(shí)現(xiàn)更加靈活的

報(bào)警方式，如尋呼機(jī)、QQ等。

(10)設(shè)備應(yīng)提供內(nèi)置報(bào)表工具對(duì)日志作統(tǒng)計(jì)分析

答：滿足要求。

CheckPoint/Crossbeam防火墻的組件EventiaReporter

提供日志分析和統(tǒng)計(jì)，并可根據(jù)客戶定義的時(shí)間，內(nèi)容，生

成數(shù)據(jù)表格、圖形報(bào)告。

4.2.5設(shè)備可擴(kuò)展性要求

（1）設(shè)備應(yīng)可通過(guò)增加模塊的方式提供更多的網(wǎng)絡(luò)端口，賣(mài)方應(yīng)

詳細(xì)說(shuō)明設(shè)備可提供的網(wǎng)絡(luò)端口擴(kuò)展模塊。

答：滿足要求。

CheckPoint/Crossbeam設(shè)備可通過(guò)增加網(wǎng)絡(luò)模塊NPM的方式

增加設(shè)備上的網(wǎng)絡(luò)端口。目前，X40可提供的網(wǎng)絡(luò)模塊包括8

個(gè)千兆端口（銅纜、單模光纖、多模光纖可選）及16個(gè)百兆

接口的模塊。

（2）設(shè)備應(yīng)可通過(guò)增加模塊的方式提高投標(biāo)設(shè)備的性能，賣(mài)方應(yīng)

詳細(xì)說(shuō)明設(shè)備可提供的擴(kuò)展模塊的信息。

答：滿足要求。

CheckPoint/CrossbeamX40的性能可以隨著需求的增加而擴(kuò)

展，可以通過(guò)增加APM模塊來(lái)提高X40整體設(shè)備的處理能力，

新增加的APM模塊可自動(dòng)與原有APM模塊工作于自動(dòng)負(fù)載均衡

模式。每塊APM模塊可提供4Gbps的防火墻吞吐能力、每秒

30,000新建連接數(shù)以及50萬(wàn)最大并發(fā)連接數(shù)。每增加一塊APM

模塊，其設(shè)備的整體性能，包括吞吐量、并發(fā)連接數(shù)、每秒新

建連接數(shù)等，近似于線性增加，這樣，通過(guò)簡(jiǎn)單增加APM模塊

到現(xiàn)有的X40設(shè)備上，就可提升X40設(shè)備的處理能力。

而對(duì)性能的增加，實(shí)施也非常簡(jiǎn)單。只需要增加一塊APM模塊,

插入到現(xiàn)有的X40設(shè)備中即可，對(duì)網(wǎng)絡(luò)中的其他設(shè)備，完全不

需要改變。

(3)設(shè)備應(yīng)可通過(guò)增加模塊的方式，在投標(biāo)設(shè)備上增加新的安全

功能，賣(mài)方應(yīng)詳細(xì)說(shuō)明如何在投標(biāo)設(shè)備上增加新的安全功能。

這些安全功能將包括IDS、IPS、SSLVPN、防病毒URL過(guò)濾、

XML應(yīng)用保護(hù)等。

答：滿足要求

CheckPoint/Crossbeam設(shè)備網(wǎng)絡(luò)處理、安全應(yīng)用、管理功能

均以模塊方式工作，如果增加新的安全應(yīng)用，只需要增加APM

模塊即可。所有的APM硬件均相同，由控制模塊來(lái)定義APM

的功能，激活安全應(yīng)用的License即可，目前支持的主要安

全功能包括：IDS、IPS、SSLVPN、防病毒、URL過(guò)濾、XML

應(yīng)用、數(shù)據(jù)庫(kù)保護(hù)。

(4)設(shè)備增加新的安全應(yīng)用功能時(shí)，必須基本不影響原有設(shè)備模

塊的性能功能和。賣(mài)方應(yīng)詳細(xì)說(shuō)明這一要求的實(shí)現(xiàn)方式。

答：滿足要求。

CheckPoint/CrossbeamX40上，所有新增加的模塊均有獨(dú)立

的處理能力，將不會(huì)影響原有防火墻及虛擬防火墻的性能。

在每個(gè)模塊上均有獨(dú)立的中央處理器、內(nèi)存、總線、操作系

統(tǒng)等。所有APM配置均相同。APM提供高性能安全應(yīng)用處理。

硬件模塊均可進(jìn)行熱插拔。同時(shí)可將安全應(yīng)用定義為不同的

邏輯組，在增加安全應(yīng)用時(shí)，數(shù)據(jù)流會(huì)自動(dòng)負(fù)載均衡到新的

模塊上，原有的通信和會(huì)話不會(huì)丟失。

4.2.6高可用性及高可靠性要求

賣(mài)方提供的設(shè)備系統(tǒng)應(yīng)提供高可用性支持，具體要求為：

（1）設(shè)備應(yīng)支持高可用性配置，提供雙機(jī)熱備功能，賣(mài)方應(yīng)詳細(xì)

說(shuō)明雙機(jī)熱備的實(shí)現(xiàn)方式。

答：滿足要求

CheckPoint/CrossbeamX40可以通過(guò)4種方式提供防火墻的

高可靠性HA：

a）標(biāo)準(zhǔn)的VRRP協(xié)議（RFC2338）

b）動(dòng)態(tài)路由協(xié)議

c）四層交換機(jī)

d）ClusterXL技術(shù)

（2）設(shè)備應(yīng)有專(zhuān)用的高可用性心跳端口。

答：滿足要求。

CheckPoint/Crossbeam在CPM（控制模塊）上有專(zhuān)用的高可

用性心跳端口，通過(guò)該端口可以在多臺(tái)設(shè)備間監(jiān)測(cè)彼此狀態(tài),

為最大限度的保證高可靠性，在設(shè)備上還可定義多個(gè)端口為

心跳端口。

（3）設(shè)備應(yīng)支持具有運(yùn)營(yíng)商級(jí)的設(shè)備高可靠性，包括冗余電源、

冗余風(fēng)扇、冗余模塊、冗余網(wǎng)絡(luò)接口等。賣(mài)方應(yīng)詳細(xì)說(shuō)明所

提供設(shè)備自身的其他冗余配置特性。

答：滿足要求。

CheckPoint/CrossbeamX40設(shè)備提供SBHA單機(jī)高可用性

（SingleBoxHighAvailability）功能特性，即在一臺(tái)X

設(shè)備上，所有的系統(tǒng)部件均可提供備份，包括：

/冗余數(shù)據(jù)交換（多NPM）

,冗余控制管理（雙CPM）

/冗余存儲(chǔ)

/冗余網(wǎng)絡(luò)處理器（網(wǎng)絡(luò)端口-端口備份）

,冗余安全應(yīng)用處理模塊（多個(gè)APM）

/模塊的N+1備份

/冗余電源（可提供2個(gè)獨(dú)立電源）

（4）設(shè)備應(yīng)支持單機(jī)高可用性技術(shù)，即在單臺(tái)設(shè)備上，可提供防

火墻等安全應(yīng)用的高可用性及負(fù)載均衡技術(shù)。賣(mài)方應(yīng)詳細(xì)說(shuō)

明所提供設(shè)備單機(jī)高可用性技術(shù)的實(shí)現(xiàn)方式。

答：滿足要求。

在X系統(tǒng)中，可安裝多個(gè)APM模塊運(yùn)行同一安全應(yīng)用，實(shí)現(xiàn)

安全應(yīng)用的負(fù)載均衡。X系統(tǒng)的控制模塊CPM實(shí)時(shí)監(jiān)控每塊

APM的健康狀況，包括APM上面運(yùn)行的應(yīng)用、CPU負(fù)載狀況、

內(nèi)存使用狀況等。這些信息被實(shí)時(shí)的反應(yīng)在X系統(tǒng)的數(shù)據(jù)轉(zhuǎn)

發(fā)表中。而網(wǎng)絡(luò)處理模塊NPM就是根據(jù)這張表中的信息，確

定轉(zhuǎn)發(fā)數(shù)據(jù)到某安全應(yīng)用的具體哪一塊APM上。這樣就實(shí)現(xiàn)

了安全應(yīng)用的負(fù)載均衡，而并不需要額外的網(wǎng)絡(luò)資源，也不

需要該安全應(yīng)用本身支持負(fù)載均衡功能或HA功能，也并不消

耗APM的任何資源?？梢詫?duì)防火墻應(yīng)用進(jìn)行負(fù)載均衡，也可

對(duì)防病毒應(yīng)用進(jìn)行負(fù)載均衡，對(duì)IDS/IPS、郵件安全、內(nèi)網(wǎng)安

全等，都是一樣可實(shí)現(xiàn)負(fù)載均衡。

在X系列上，安全應(yīng)用處理模塊APM模塊是完全相同的。每

塊APM均可運(yùn)行不同的安全應(yīng)用。各種安全引擎已經(jīng)被預(yù)先

裝在了X設(shè)備的系統(tǒng)中，在系統(tǒng)的控制下，APM在不同時(shí)間可

運(yùn)行不同的安全應(yīng)用。

這一特性可帶來(lái)很大的系統(tǒng)靈活性及可靠性。在可靠性方面,

可實(shí)現(xiàn)獨(dú)有的“N+1”備份技術(shù)。

見(jiàn)下圖示例。

防火崎貨戰(zhàn)均衡組IDS貨戰(zhàn)均祈組備份APM

在這張圖的典型配置下，我們?cè)赬設(shè)備中配置了3塊APM作

為防火墻，另3塊APM作為IDS,均是負(fù)載均衡狀態(tài)，共6塊

APM模塊。這時(shí)，我們可另配置1塊APM模塊，作為這6塊

APM模塊的備份模塊，而不需要每種應(yīng)用都配置備份模塊。即

“N+1”的備份。

“N+1”備份是這樣工作的。

假設(shè)IDS負(fù)載均衡組中的某APM模塊出現(xiàn)故障，這時(shí)，首先,

NPM將立即將這塊APM處理的任務(wù)轉(zhuǎn)發(fā)到另2塊IDSAPM處理;

然后，CPM將備份APM的IDS功能通過(guò)license激活，備份

APM這時(shí)就變成了IDS負(fù)載均衡組中的一塊APM,NPM也開(kāi)始

轉(zhuǎn)發(fā)IDS處理數(shù)據(jù)流量給這塊APMo

“N+1”備份還有一個(gè)特性是可設(shè)置各安全應(yīng)用的優(yōu)先級(jí)，當(dāng)

高優(yōu)先級(jí)的安全應(yīng)用APM模塊出現(xiàn)故障時(shí)，系統(tǒng)可拿較低優(yōu)

先級(jí)安全應(yīng)用的模塊備份高優(yōu)先級(jí)的安全應(yīng)用。我們?cè)俳又?/p>

上面的例子。假設(shè)，在極端狀況下，原來(lái)故障的IDSAPM還

沒(méi)有恢復(fù)正常，而防火墻負(fù)載均衡組的某APM模塊也出現(xiàn)故

障。這時(shí)，由于IDS安全應(yīng)用的級(jí)別低于防火墻應(yīng)用（實(shí)際

應(yīng)用中通常也是如此）,系統(tǒng)將拿一塊IDS應(yīng)用組的APM模塊,

將其切換為防火墻功能，成為防火墻負(fù)載均衡組中的一塊

APMo

另外，該特性還可實(shí)現(xiàn)在不同的時(shí)間APM運(yùn)行不同的安全應(yīng)

用。可根據(jù)在不同時(shí)間數(shù)據(jù)流量的不同特點(diǎn)靈活的配置各APM

的使用。如，在晚上，當(dāng)WEB訪問(wèn)流量較多時(shí)，而郵件相對(duì)

較少，我們這時(shí)可配置系統(tǒng)在晚上把某些或某個(gè)郵件保護(hù)的

APM模塊切換成URL過(guò)濾模塊。這可實(shí)現(xiàn)系統(tǒng)很高的靈活性。

4.2.7VPN功能支持

賣(mài)方提供的設(shè)備應(yīng)提供VPN功能支持，基本要求包括：

(1)提供的防火墻應(yīng)具有虛擬專(zhuān)用網(wǎng)(VPN)功能，可以實(shí)現(xiàn)網(wǎng)關(guān)

到網(wǎng)關(guān)和客戶端到網(wǎng)關(guān)兩種方式。應(yīng)支持IPSECVPN功能。

答：滿足要求。

CheckPoint/Crossbeam防火墻集成了訪問(wèn)控制、認(rèn)證和加密

以確保網(wǎng)絡(luò)連接的安全性、本地和遠(yuǎn)程用戶的可靠性以及數(shù)

據(jù)通信的私有性和完整性。

目前可以實(shí)現(xiàn)三種協(xié)議的VPN,包括IPSec、L2TP、SSL。

其中IPSec支持多種VPN模式，主要包括：

(l)Site-to-site主要用于網(wǎng)絡(luò)與網(wǎng)絡(luò)之間進(jìn)行VPN連接,

常用于與合作公司、第三方伙伴之間的連接。

在site-to-site的VPN當(dāng)中，又可細(xì)分為兩種結(jié)構(gòu)：

Starmode(星狀結(jié)構(gòu))：星狀結(jié)構(gòu)中所有VPN設(shè)備匯聚

于中心VPN設(shè)備中，各個(gè)VPN設(shè)備之間的VPN建立，需要先

與中心的VPN建立通道，由中心VPN設(shè)備進(jìn)行VPN路由。星

狀結(jié)構(gòu)常用于總部與各分支機(jī)構(gòu)之間實(shí)現(xiàn)VPNo

Meshedmode(網(wǎng)狀結(jié)構(gòu))：網(wǎng)狀結(jié)構(gòu)中所有的VPN設(shè)備

之間直接相連，互相之間建立起VPN通道，不存在中心VPN

設(shè)備。

(2)Client-to-site用于移動(dòng)用戶的接入，用戶在機(jī)器上安

裝了客戶端軟件后，可通過(guò)拔號(hào)、ADSL、寬帶等方式與公司

之間的防火墻建立起VPN通道。

(2)提供的防火墻支持全網(wǎng)狀或星形VPN拓?fù)?，并支持VPN路由

功能

答：滿足要求

CheckPoint/Corssbeam防火墻支持全網(wǎng)狀或星形VPN拓?fù)洌?/p>

并支持VPN路由功能。

(3)提供的防火墻擁有內(nèi)置CA

答：滿足要求

CheckPoint/Crossbeam防火墻內(nèi)置CA。

(4)設(shè)備應(yīng)支持AES,3DES,DES等加密算法和MD5,SHA1等驗(yàn)證

算法。

答：滿足要求。

CheckPoint/Crossbeam設(shè)備支持AES,3DES,DES等加密算

法和MD5,SHA1等驗(yàn)證算法

4.2.8兼容性要求

(1)賣(mài)方提供的設(shè)備應(yīng)能夠與OPSEC組織的第三方安全產(chǎn)品進(jìn)行

很好的聯(lián)動(dòng)，最大限度的提高整個(gè)系統(tǒng)的安全性，請(qǐng)?jiān)敿?xì)說(shuō)

明兼容的主要產(chǎn)品。

答：滿足要求

CheckPoint和Crossbeam是OPSEC的主要成員，X40防火墻系

統(tǒng)能夠支持所有的OPSEC成員的安全產(chǎn)品，其中包括：入侵檢

測(cè)，防病毒，內(nèi)容過(guò)濾等多種安全產(chǎn)品的聯(lián)動(dòng)。如在IDS/IPS

方面可以和ISS、SourceFire等廠商產(chǎn)品合作；在防病毒方面可

以和趨勢(shì)科技的產(chǎn)品合作；在郵件過(guò)濾上可以同趨勢(shì)科技和

Aladdin的產(chǎn)品合作；在URL過(guò)濾上可以和websense、smartfilter

的產(chǎn)品合作。

(2)賣(mài)方應(yīng)詳細(xì)說(shuō)明所提供設(shè)備對(duì)其他廠商產(chǎn)品(包括網(wǎng)絡(luò)設(shè)備、

主機(jī)系統(tǒng))的互連互通能力。

答：滿足要求

支持所有主流的網(wǎng)絡(luò)設(shè)備、主要系統(tǒng)廠家。

4.3環(huán)境要求

設(shè)備要在下列環(huán)境下能夠保證長(zhǎng)期正常工作:

環(huán)境溫度：5℃?35℃

相對(duì)濕度：30%?80%

賣(mài)方應(yīng)說(shuō)明設(shè)備升級(jí)前后對(duì)環(huán)境的要求是否有變化。

答：滿足要求。

設(shè)備升級(jí)前后對(duì)環(huán)境的要求無(wú)變化。

4.4電源要求

設(shè)備應(yīng)能在下列供電變化范圍內(nèi)正常工作：

直流：一40V?-57V；

交流：?220V±10%,50Hz±5%o

賣(mài)方應(yīng)說(shuō)明設(shè)備升級(jí)前后對(duì)電源的要求是否有變化。

本工程提供的供電方式為直流。

答：滿足要求。

設(shè)備升級(jí)前后對(duì)電源的要求無(wú)變化。本次提供的設(shè)備可以根據(jù)用戶

要求選配直流或交流電源。

5.2配置要求

(1)賣(mài)方應(yīng)按照各附表設(shè)備配置要求進(jìn)行設(shè)備配置，給出設(shè)備

配置說(shuō)明(解釋各項(xiàng)配置的組成說(shuō)明和作用)。

答：滿足要求。

集中管理服務(wù)器配置

產(chǎn)品軟件/說(shuō)明

硬件

CPPWR-SC-U軟件集中管理服務(wù)器軟件

CPFW-FSS-1軟件單機(jī)防火墻以保護(hù)集中管理服務(wù)器

PC服務(wù)器硬件作為集中管理服務(wù)器軟件承載平臺(tái)，建

議使用至強(qiáng)CPU,4G內(nèi)存，100G以上硬

盤(pán)

可管理安全服務(wù)設(shè)備配置

產(chǎn)品軟件/說(shuō)明

硬件

CPPWR-VSX-10軟件虛擬防火墻模塊，可以支持10個(gè)虛擬防

火墻

CrossbeamX40硬件由以下四個(gè)部分組成

X40-DCX40DC機(jī)架，雙電源.可以支持2個(gè)

NPM,10個(gè)APM,2個(gè)CPMs.

CPM-8100-80GCPM控制處理模塊(ControlProcessing

Module)

NPM-8200-8G網(wǎng)絡(luò)處理模塊.帶8個(gè)千兆接口

APM-8400-1P4-1G應(yīng)用處理模塊.APM-8400.4Gbps防火墻

吞吐量

端點(diǎn)安全服務(wù)器配置

產(chǎn)品軟件/說(shuō)明

硬件

CPIS-IAS-1軟件客戶端集中管理服務(wù)器軟件，可以提供

多域和層次化管理功能

CPIS-IEPS-1000軟件客戶端許可，可以提供PC防火墻，PC入

侵防范，PC應(yīng)用安全，PC間諜軟件防范

功能

PC服務(wù)器硬件作為客戶端集中管理服務(wù)器軟件承載平

臺(tái)，建議使用雙至強(qiáng)CPU2.OGhz以上，

4G內(nèi)存，100G以上硬盤(pán)

(2)賣(mài)方的所有配置方案應(yīng)保證設(shè)備運(yùn)行所必須提供的電源模

塊、主控模塊等主要部件的冗余配置并對(duì)模塊進(jìn)行單獨(dú)報(bào)價(jià)和說(shuō)

明。

答：滿足要求。

(3)賣(mài)方可以提出多種配置方案與相應(yīng)的報(bào)價(jià)供買(mǎi)方參考，具

體選擇由買(mǎi)方確定，賣(mài)方應(yīng)保證各種優(yōu)惠條件和價(jià)格折扣保持不

變。

答：滿足要求。

(4)賣(mài)方應(yīng)根據(jù)配置要求，結(jié)合現(xiàn)有網(wǎng)絡(luò)設(shè)備的配置情況作出

相應(yīng)位置安排(包括割接過(guò)渡狀態(tài)),并分析對(duì)割接是否有影響。

答：滿足要求。

因?yàn)槭桥話觳渴?，割接時(shí)對(duì)當(dāng)前網(wǎng)絡(luò)無(wú)影響。

(5)賣(mài)方應(yīng)保證設(shè)備配置的品種、數(shù)量準(zhǔn)確無(wú)誤，保證工程如

期順利進(jìn)行，如有錯(cuò)漏，由賣(mài)方無(wú)償補(bǔ)足。

答：滿足要求。

(6)賣(mài)方在本工程新增設(shè)備保修期外可應(yīng)買(mǎi)方要求以不高于本

次實(shí)際成交價(jià)提供備件。

答：滿足要求。

(7)若買(mǎi)方最終確定的設(shè)備配置內(nèi)容和數(shù)量有所變化，賣(mài)方應(yīng)

保證各種優(yōu)惠條件和價(jià)格折扣保持不變。

答：滿足要求。

第二章.總體技術(shù)方案建議書(shū)

2.1前言

2.1.1背景

隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，其開(kāi)放性，共享性，互連程度擴(kuò)大,

網(wǎng)絡(luò)的重要性和對(duì)社會(huì)的影響也越來(lái)越大。城域網(wǎng)作為城市

主要的數(shù)據(jù)業(yè)務(wù)承載網(wǎng)絡(luò)，特別是電子商務(wù)(E-Commerce)、

企業(yè)數(shù)據(jù)專(zhuān)線、網(wǎng)絡(luò)互聯(lián)、虛擬專(zhuān)用網(wǎng)(VPN)、Internet接

入服務(wù)等應(yīng)用在社會(huì)經(jīng)濟(jì)生活的地位日益凸現(xiàn)。網(wǎng)絡(luò)的安全

性直接影響到社會(huì)的經(jīng)濟(jì)效益。例如，2003年1月份的SQL

殺手蠕蟲(chóng)事件，中國(guó)有兩萬(wàn)多臺(tái)數(shù)據(jù)庫(kù)服務(wù)器受到影響，使

國(guó)內(nèi)主要骨干網(wǎng)全部處于癱瘓或半癱瘓狀態(tài)；2003年8月份

的沖擊波蠕蟲(chóng)，使成千上萬(wàn)的用戶計(jì)算機(jī)變慢，被感染的計(jì)

算機(jī)反復(fù)重啟，有的還導(dǎo)致了系統(tǒng)崩潰，受到“沖擊波”病

毒感染的計(jì)算機(jī)反過(guò)來(lái)又會(huì)影響到網(wǎng)絡(luò)的正常運(yùn)行。隨著網(wǎng)

絡(luò)安全問(wèn)題重要性增加，如何保證城域網(wǎng)安全，應(yīng)對(duì)日益增

多的網(wǎng)絡(luò)攻擊、病毒破壞和黑客入侵等問(wèn)題已成為城域網(wǎng)建

設(shè)和運(yùn)營(yíng)所關(guān)注的重點(diǎn)。

2.1.2方案構(gòu)成

本方案是針對(duì)2006年中國(guó)網(wǎng)通河北IP城域網(wǎng)擴(kuò)建一期工程

可管理安全服務(wù)設(shè)備項(xiàng)目而提出的網(wǎng)絡(luò)安全解決方案，當(dāng)前

階段集中在CheckPoint/Crossbeam防火墻部署和Check

PointIntegrity端點(diǎn)安全部署的技術(shù)方案，可針對(duì)系統(tǒng)安全

的訪問(wèn)控制、網(wǎng)絡(luò)攻擊、蠕蟲(chóng)傳播等方面提供相應(yīng)的防范。

我們有理由相信，有了我們構(gòu)建的優(yōu)秀網(wǎng)絡(luò)安全系統(tǒng)，加之

我們?yōu)槟钌系娜轿坏闹艿椒?wù)，您的網(wǎng)絡(luò)一定會(huì)變得安

全而高效，您的事業(yè)也一定會(huì)因此而取得巨大的成功。

2.2河北網(wǎng)通IP城域網(wǎng)擴(kuò)建一期工程可管理安全服務(wù)設(shè)備項(xiàng)

目方案建議

2.2.1城域網(wǎng)安全分析

2.2.1.1網(wǎng)絡(luò)現(xiàn)狀

(1)網(wǎng)絡(luò)結(jié)構(gòu)

河北省共有11個(gè)地市，目前IP骨干網(wǎng)以石家莊和唐山為雙核

心，各2臺(tái)思科公司GSR12816,分別通過(guò)2.5GP0S鏈路連接其他9

個(gè)地市的GSR12016和GSR12012上，各地市的思科公司GSR路由器

作為各自IP城域網(wǎng)與IP骨干網(wǎng)的接口，與集團(tuán)IP網(wǎng)通過(guò)4條10G

POS互連。

各市分公司城域網(wǎng)建設(shè)在規(guī)模和業(yè)務(wù)發(fā)展水平上略有不同，但

從物理結(jié)構(gòu)看，從上到下分為三層：核心層、匯聚層和接入層。網(wǎng)

絡(luò)構(gòu)架大體相同，其中：

核心層：大型網(wǎng)絡(luò)一般由3-4個(gè)核心節(jié)點(diǎn)、中小型網(wǎng)絡(luò)一般采

用2-3個(gè)核心節(jié)點(diǎn)經(jīng)GE鏈路以網(wǎng)狀或半網(wǎng)狀結(jié)構(gòu)組成。

匯聚層網(wǎng)絡(luò)由寬帶接入服務(wù)器和匯聚層交換機(jī)組成。寬帶接入

服務(wù)器布放置匯聚層端局，匯聚層交換機(jī)覆蓋全省所有縣局和市內(nèi)

端局。

核心層主要實(shí)現(xiàn)業(yè)務(wù)量的快速轉(zhuǎn)發(fā)，具備較強(qiáng)的路由控制；匯

聚層主要進(jìn)行大量接入層設(shè)備的匯聚收斂;接入層主要以ADSL和小

區(qū)以太網(wǎng)為主，擴(kuò)大業(yè)務(wù)覆蓋范圍。

接入層設(shè)備以二層或三層方式上連到匯聚層。如果接入層設(shè)備

有路由功能，則匯聚層交換機(jī)與這些接入層設(shè)備之間跑三層，運(yùn)行

靜態(tài)路由協(xié)議，用戶的網(wǎng)關(guān)在接入層設(shè)備上。如接入層二層交換機(jī)

需要接入兩個(gè)或兩個(gè)以上的VLAN時(shí)，以802.1Q的TRUNK方式上連

匯聚層交換機(jī)，用戶的網(wǎng)關(guān)在匯聚層設(shè)備上。IPDSLAM以802.1Q

的TRUNK方式上連匯聚層交換機(jī)，一個(gè)VLAN用于PPPoE用戶VLAN

穿透，另一個(gè)VLAN用于和匯聚層交換機(jī)直接運(yùn)行靜態(tài)路由協(xié)議。

（2）網(wǎng)絡(luò)業(yè)務(wù)

IP網(wǎng)的業(yè)務(wù)目前主要可以分為：互聯(lián)網(wǎng)訪問(wèn)（主要通過(guò)XDSL、

光纖+LAN接入）；IPVPN,VLANVPN（主要通過(guò)光纖+LAN接

入）；VPDN（主要通過(guò)NAS或XDSL接入）;MPLSVPN（主要通過(guò)光纖+

LAN、和ADSL接入）；本地VoD服務(wù)（主要通過(guò)IDC機(jī)房的接入交換機(jī)）;

本地游戲服務(wù)（主要通過(guò)IDC機(jī)房的接入交換機(jī)）；省公司IDC業(yè)務(wù);

未來(lái)可能承載的業(yè)務(wù)包括：VoIP語(yǔ)音服務(wù)、IP/TV視頻服務(wù)、3G、

NGN等其它業(yè)務(wù)。

2.2.1.2城域網(wǎng)安全模型

對(duì)于網(wǎng)絡(luò)運(yùn)營(yíng)商而言，城域網(wǎng)包括基礎(chǔ)承載網(wǎng)絡(luò)和業(yè)務(wù)管理平臺(tái)。

城域承載網(wǎng)是城域網(wǎng)業(yè)務(wù)接入、匯聚和交換的物理核心網(wǎng)，它由核

心交換層、匯聚層、綜合接入層構(gòu)成。業(yè)務(wù)管理平臺(tái)由業(yè)務(wù)支撐平

臺(tái)、網(wǎng)管平臺(tái)、認(rèn)證計(jì)費(fèi)平臺(tái)等組成。

安全模型將城域網(wǎng)分成三個(gè)區(qū)域：信任域、非信任域和隔離區(qū)域。

信任域是運(yùn)營(yíng)商的基礎(chǔ)網(wǎng)絡(luò)，通常采用防火墻等設(shè)備與電信業(yè)務(wù)網(wǎng)

隔離，包括網(wǎng)管平臺(tái)、智能業(yè)務(wù)平臺(tái)、認(rèn)證平臺(tái)等設(shè)備；隔離區(qū)域

是信任域和非信任域之間進(jìn)行數(shù)據(jù)交互的平臺(tái)，包括電信運(yùn)營(yíng)商提

供的各種業(yè)務(wù)平臺(tái)，如Web服務(wù)平臺(tái)、FTP服務(wù)器、用戶查詢平臺(tái)、

Mail服務(wù)器等；非信任域是運(yùn)營(yíng)商面對(duì)客戶的基礎(chǔ)網(wǎng)絡(luò)，它直接提

供用戶的接入和業(yè)務(wù)，同時(shí)也是Internet網(wǎng)絡(luò)的一部分，包括基礎(chǔ)

用戶接入、數(shù)據(jù)交換、媒體網(wǎng)關(guān)等設(shè)備，是運(yùn)營(yíng)商不能完全控制的

網(wǎng)絡(luò)。非信任域的基礎(chǔ)網(wǎng)絡(luò)是信息傳輸?shù)幕A(chǔ)，在城域網(wǎng)中起著至

關(guān)重要的作用，作為安全模型中的非信任域，需要重點(diǎn)考慮。

2.2.1.3城域網(wǎng)安全特點(diǎn)

(1)安全威脅

(A)網(wǎng)外黑客對(duì)網(wǎng)內(nèi)服務(wù)器，用戶和設(shè)備的攻擊

(B)網(wǎng)內(nèi)染毒用戶，病毒爆發(fā)帶來(lái)的帶寬占用，各種DDoS

攻擊造成網(wǎng)絡(luò)全面或局部業(yè)務(wù)癱瘓

(C)運(yùn)營(yíng)商核心信息竊取和篡改

(2)脆弱性

(A)網(wǎng)絡(luò)規(guī)模大，用戶數(shù)量多，設(shè)備多樣復(fù)雜

(B)用戶行為幾乎不可控

(C)網(wǎng)絡(luò)主體信任度低

(3)影響