2006年中國網(wǎng)通河北IP城域網(wǎng)擴建一期工程可管理安全服務設備技術規(guī)范書

2006年中國網(wǎng)通河北IP城域網(wǎng)擴建一期工程

可管理安全服務設備技術規(guī)范書

2006-6-12

第一章工程技術規(guī)范書點對點應答

本次所提供的所有方案及各項設備和系統(tǒng)(包括軟、硬件)符

合如下技術標準：

(1)IS027001：2005：信息技術安全一技術信息安全一管

理體系要求；

(2)ISO/IECFDIS17799:2005(E):信息技術一安全技術

—信息安全管理代碼實踐；

(3)ISO/IEC18028-2:2006(E)：信息技術一安全技術一IT

網(wǎng)絡安全；

(4)ISO/IECTR13335：信息技術一IT安全管理指南；

(5)中華人民共和國通信行業(yè)標準YD/T1163-2001IP網(wǎng)絡

安全技術要求一安全框架；

(6)中華人民共和國通信行業(yè)標準YD/T1132-2001防火

墻設備技術要求；

(7)《中國網(wǎng)絡通信集團公司IP網(wǎng)2004-2006年發(fā)展規(guī)

劃》；

(8)IP城域網(wǎng)規(guī)劃建設指導原則(北方分冊)；

(9)《河北網(wǎng)通互聯(lián)網(wǎng)網(wǎng)絡優(yōu)化指導意見》；

(10)《中國網(wǎng)通網(wǎng)絡技術轉型與演進的若干意見》；

(11)《網(wǎng)通集團IP網(wǎng)絡優(yōu)化和維護指導意見》；

(12)《河北省分公司數(shù)據(jù)專業(yè)產(chǎn)品供貨商及產(chǎn)品備案表》；

以下按照“2006年中國網(wǎng)通河北IP城域網(wǎng)擴建一期工程可管理安

全服務設備技術規(guī)范書”章節(jié)進行點對點應答。

3.5設備基本配置要求

3.5.1賣方提供的設備應滿足下列基本配置要求：

(1)設備應為能夠滿足本技術規(guī)范要求的完整的軟、硬件系統(tǒng)，

集成性好，便于機架式安裝；

答：滿足要求。

本項目提供的CheckPoint/Crossbeam設備為滿足本技術規(guī)

范的完整軟硬件系統(tǒng)，經(jīng)過兼容性測試，可以無縫集成，設

備為標準機架尺寸，便于機架式安裝。

(2)設備及接口的電氣特性應符合國際和國家的相關標準。

答：滿足要求。

本項目提供的CheckPoint/Crossbeam設備的設備及接口電

氣特性符合國際和國家的相關標準。

3.5.2基本性能及配置要求

賣方提供的單套設備系統(tǒng)應滿足下列性能指標要求：

?吞吐量：不小于4Gbps

答：滿足要求。

本項目提供CheckPoint/CrossbeamX40配置最少可提供

4Gbps的吞吐量。

.最大并發(fā)連接數(shù)：不小于50萬

答：滿足要求。

本項目提供CheckPoint/CrossbeamX40配置最少可提供

50萬的并發(fā)連接數(shù)。

?每秒新建連接數(shù)：不小于3萬

答：滿足要求。

本項目提供CheckPoint/CrossbeamX40配置最少可提供

3萬的每秒新建連接數(shù)。

?端口數(shù)：不小于4個千兆光纖

答：滿足要求。

本項目提供CheckPoint/CrossbeamX40配置可提供8

個千兆光纖口。

?設備應提供專用帶外管理端口

答：滿足要求。

CheckPoint/CrossbeamX40提供了2個帶外管理端口

(10/100MBase-T)

?設備應提供專用日志端口

答：滿足要求。

CheckPoint/CrossbeamX40提供了1個專用日志端口

(10/100/1000MBase-T)

?處理時延：不大于0.08s

答：滿足要求。

CheckPoint/CrossbeamX40的處理時延小于0.08s。

3.5.3基本網(wǎng)絡功能要求

賣方提供的單套設備系統(tǒng)應提供以下基本的功能：

(1)設備應支持靜態(tài)路由和RIP、RIPH、0SPF等路由協(xié)議。

答：滿足要求。

CheckPoint/CrossbeamX40支持RIP、RIPIC及OSPF等路由

協(xié)議。

(2)設備應支持802.IQVLANo

答：滿足要求。

CheckPoint/CrossbeamX40支持802.IQVLANo

CheckPoint/CrossbeamX40防火墻全面支持802.1Q協(xié)議，通

過使用CheckPoint/CrossbeamX40防火墻可以有效的對VLAN

ID進行識別和支持，并且對不同VLAN之間的訪問進行控制。

(3)設備應支持對不同VLAN間數(shù)據(jù)包的阻隔。

答：滿足要求

CheckPoint/CrossbeamX40防火墻對VLAN具有豐富的控制

功能，通過對CheckPoint/CrossbeamX40硬件防火墻的設

置，用戶可以通過防火墻對屬于不同VLAN的主機進行有效的

隔離，并且通過安全策略進行訪問控制，保護不同目標主機

和網(wǎng)絡的安全。

(4)設備應支持VLANTrunko

答：滿足要求

CheckPoint/CrossbeamX40防火墻采用專用的網(wǎng)絡操作系

統(tǒng)，支持802.1Q協(xié)議，防火墻能夠識別VLANID,支持VLAN

Trunk網(wǎng)絡流量通過防火墻。

(5)設備應支持虛擬路由模式防火墻、虛擬透明模式防火墻，并

支持此兩種模式的虛擬防火墻共存于同一個虛擬環(huán)境中。

答：滿足要求。

CheckPoint/CrossbeamX40防火墻以以下方式工作在用戶的

網(wǎng)絡中：透明模式、路由模式、透明模式與路由模式同時工

作。CheckPoint/CrossbeamX40支持此兩種模式的虛擬防火

墻共存于同一個虛擬環(huán)境中。

(6)單套系統(tǒng)支持的最大虛擬防火墻數(shù)量應不小于200個

答：滿足要求。

CheckPoint/CrossbeamX40單臺最高可支持250個虛擬防火

工回。

(7)設備應支持虛擬路由器和虛擬交換機功能。

答：滿足要求。

CheckPoint/CrossbeamX40支持虛擬路由器和虛擬交換機功

4.1一般技術要求

4.1.1硬件

(1)賣方提供的所有設備必須是最新開發(fā)且最穩(wěn)定可靠之產(chǎn)品，并

且大規(guī)模在電信運營商環(huán)境應用的成熟商用產(chǎn)品，并保證所提供產(chǎn)

品的數(shù)量、質量，特別是接口的兼容性。

答：滿足要求。

CheckPoint/CrossbeamX40是最新開發(fā)并且最穩(wěn)定可靠的產(chǎn)

品，已經(jīng)在全球范圍內的許多大型電信運營商環(huán)境得到了成

熟應用，包括美國南方貝爾、英國移動運營商02、西班牙電

信Telefonica＞德國電信、美國移動運營商Verizon

Wireless、澳大利亞電信Telstra等。在應用中，與各種網(wǎng)

絡產(chǎn)品均有很好的兼容性。

(2)各種設備應采用功能分擔、分布式多處理機結構。主要模塊冗

余度至少為1+1,易于擴容和維護。

答：滿足要求。

在CheckPoint/CrossbeamX40設備中，各模塊的功能是分

離的，每種模塊負責其各自的功能，然后整個設備通過機架

無源背板全交叉總線及Crossbeam專利的實時調度操作系統(tǒng)

XOS有機的集成。

同時，在CheckPoint/CrossbeamX40中，針對不同的功能

需求，提供了不同的設備模塊，包括：網(wǎng)絡處理模塊NPM、安

全應用處理模塊APM管理控制模塊CPM等。

所有安全技術都通過一種先進的機柜式系統(tǒng)結合在一起，從

而消除了對外部交換機、負載均衡器、接頭和/或端口鏡像的

需要。通過多種安全技術配置流路徑的工作可以從一個能為

用戶帶來全面靈活性的圖形用戶界面(GUI)上輕松完成。這

種合并是目前業(yè)界最簡單、安全而又經(jīng)濟的安全防護模式。

所有相關模塊均可配置為1+1的備份，可以靈活的根據(jù)功能

或性能的需求擴展各個模塊。

(3)賣方提供的硬件平臺應支持第三方安全設施，應為模塊化設

計，支持平滑的擴展。各模塊的擴展不影響現(xiàn)有模塊的業(yè)務處理性

能和數(shù)量。

答：滿足要求。

CheckPoint/Crossbeam設備為模塊化設計，可同時提供多種

安全應用。設備上的安全應用處理模塊APM可獨立運行不同

的安全應用，包括獨用防火墻/VPN、虛擬防火墻/VPN、IDS、

防病毒、IPS等。多個安全應用處理模塊獨立并行運行，并由

整個系統(tǒng)所統(tǒng)一監(jiān)控。各模塊的擴展不影響現(xiàn)有模塊的業(yè)務

處理性能和數(shù)量。

可增加的安全應用包括：

a)IDS/IPS

b)虛擬防火墻

c)SSLVPN

d)數(shù)據(jù)庫保護：可對網(wǎng)絡內部的各種數(shù)據(jù)庫進行保護，包括

Oracle.Sybase、DB-IKMS-SQL等?？梢詫徲嬘脩魧?shù)據(jù)庫

的訪問，可以加載對數(shù)據(jù)庫訪問的安全策略，可以告警等

e)URL過濾

f)XML服務保護

g)防病毒等

(4)主控模塊能在不中斷通信的情況下，可帶電進行板卡的熱插撥

操作。所有設備的模塊插板可帶電熱插拔，所有設備均采用模塊化

設計，其中每一模塊發(fā)生故障時均不影響其他設備和其他模塊的正

常運行。

答：滿足要求。

CheckPoint/CrossbeamX40是新一代的運營商級的安全設

備，X40系列平臺為全冗余架構，無源背板，全交叉總線，

雙獨立進線的電源模塊，冗余風扇，冗余網(wǎng)絡模塊，冗余安

全應用模塊，冗余管理控制模塊，甚至細化到每個網(wǎng)絡端口

均可定義其備份端口，實現(xiàn)了網(wǎng)絡端口的冗余，整個設備無

單一故障點，能夠提供高達99.9999%的高可靠性。同時X40

設備所有的模塊均可熱插拔。每一模塊發(fā)生故障時均不影響

其他設備和其他模塊的正常運行。

(5)賣方提供的設備要選用世界上高質量的元器件，生產(chǎn)過程中進

行嚴格質量控制，出廠前要經(jīng)買方人員嚴格測試和檢查，確保設備

長期穩(wěn)定、可靠地運行

答：滿足要求。

CheckPoint/Crossbeam設備采用世界上高質量的元器件，生

產(chǎn)過程中進行嚴格質量控制，出廠前經(jīng)過嚴格測試和檢查，

可以保證設備長期穩(wěn)定、可靠地運行。

(6)承載軟件系統(tǒng)的應為專用平臺，賣方應說明該平臺的性能。

答：滿足要求。

Crossbeam為專用安全硬件平臺，采用經(jīng)過加固和優(yōu)化的專用

操作系統(tǒng)，可以與CheckPoint虛擬防火墻無縫集成，為用

戶提供安全服務。本次提供的CheckPoint/CrossbeamX40

至少可以提供4Gbps的防火墻數(shù)據(jù)吞吐率。

4.1.2軟件

(1)軟件系統(tǒng)

賣方的軟件應為最新、成熟的電信級產(chǎn)品，并應與硬件平臺實現(xiàn)無

縫銜接；

答：滿足要求。

本項目CheckPoint提供的軟件為最新、成熟的電信級產(chǎn)品，和硬

件平臺Crossbeam經(jīng)過兼容性測試，可以實現(xiàn)無縫銜接。

賣方在建議書中應詳細列出所提供的軟件清單、版本和說明。

答：滿足要求。

軟件版本說明

CPPWR-VSX-10NGX虛擬防火墻模塊，可以支持10個虛擬防

火墻

CPPWR-SC-UNGX集中管理服務器軟件

CPFW-FSS-1NGX單機防火墻以保護集中管理服務器

CPIS-IEPS-1000NGX1000客戶端許可，可以提供端點PC防火

墻，PC入侵防范，PC應用安全，PC間諜

軟件防范功能

CPIS-IAS-1NGX客戶端集中管理服務器軟件，可以提供

多域和層次化管理功能

賣方應說明本工程涉及的分類項目對現(xiàn)網(wǎng)設備的操作系統(tǒng)及相關

系統(tǒng)軟件有何要求，是否需要使用新版本系統(tǒng)軟件，若是，應說明

新版軟件和原使用軟件之間的異同和兼容程度

答：滿足要求。

本項目提供的CheckPoint/Crossbeam設備對現(xiàn)網(wǎng)設備的操作

系統(tǒng)及相關系統(tǒng)軟件無要求。

(2)軟件模塊化結構

軟件應為模塊化設計組成，賣方必須保證任何軟件模塊的維護和更

新都不影響其它軟件模塊的功能，軟件具有容錯能力。

答：滿足要求。

CheckPoint軟件采用結構化和模塊化設計，對任何軟件模塊

的維護和更新都不影響其他軟件模塊的功能。軟件中有特定進

程監(jiān)控其他進程，如其他進程出現(xiàn)問題，特定進程會自動對其

進行修復。

(3)故障監(jiān)視和診斷

軟件能及時發(fā)現(xiàn)故障并發(fā)出告警，能夠自動恢復系統(tǒng)，不影響任何

已建立的業(yè)務連接。

答：滿足要求。

軟件中有特定進程監(jiān)控其他進程，如其他進程出現(xiàn)問題，能及

時發(fā)現(xiàn)故障并發(fā)出告警，特定進程會自動對其進行修復，不影

響任何已建立的業(yè)務連接。

(4)兼容性及升級

a.設備不同時期軟件版本應能向下兼容，軟件版本易于升級，且

在升級后不影響網(wǎng)路的性能與運行。

答：滿足要求。

CheckPoint保證軟件版本的向下兼容，軟件版本易于升級，

且在升級后不影響網(wǎng)絡的性能與運行。

b.賣方應承諾在供貨時提供最新版本的軟件，但該軟件必須是經(jīng)

過測試正式推出的，其可靠性、穩(wěn)定性經(jīng)過嚴格驗證的。

答：滿足要求。

CheckPoint保證供貨時提供最新版本的軟件，提供的軟件是

經(jīng)過測試正式推出的，其可靠性、穩(wěn)定性經(jīng)過嚴格驗證的。

c.軟件版本升級時，賣方應承諾免費更新軟件版本，并提供相應

的新版本軟件功能說明書及修改說明書。

答：滿足要求。

本項目技術規(guī)范要求提供的且買方已經(jīng)購買的軟件功能，Check

Point/Crossbeam承諾免費軟件版本更新，并提供相應的新版

本軟件功能說明書及修改說明書。

(5)賣方應說明目前所使用軟件的實際運行時間。

答：滿足要求。

本項目中CheckPoint提供的NGX版本軟件為2005年5月發(fā)布,

CheckPoint將至少在5年內提供對此版本的支持，如用戶需

要，CheckPoint可以幫助用戶過渡到最新版本。

4.1.3安裝材料

若設備安裝需要特定的安裝材料、端口連接需要特定的連接線

纜的話，賣方應予以指出并給出配置且包含在設備價格中。

答：滿足要求。

4.1.4備件

賣方應根據(jù)設備元件的質量情況提出備件配置的建議。

賣方提供的設備應是以至少五年使用期設計的，賣方要保證不

論提供的設備是否還生產(chǎn)，在使用期內買方可得到備件。

答：滿足要求。

為保證用戶生產(chǎn)網(wǎng)絡更加可靠穩(wěn)固，我們建議用戶可根據(jù)情況

對關鍵硬件模塊購買一至兩套備件.

CheckPoint/Crossbeam本次提供設備使用期大于5年,在使用

期內可保證用戶得到備件(過保修期后需收費).并且將于設備

停產(chǎn)前半年前通知用戶.

4.2設備系統(tǒng)主要技術指標

4.2.1最大位轉發(fā)率(Maximumbitforwardingrate)

位轉發(fā)率指：特定負載下每秒種防火墻將允許的數(shù)據(jù)流轉發(fā)至

正確目的接口的位數(shù)。最大位轉發(fā)率指在不同的負載下反復測量得

出的位轉發(fā)率數(shù)值集中的最大值，使用最大位轉發(fā)率時應同時說明

與之響應的負載。賣方應結合買方IP城域網(wǎng)設備性能及網(wǎng)絡架構

狀況，確定并提出防火墻的設備的標準規(guī)范，并詳細列出。

答：滿足要求。

本項目提供的CheckPoint/Crossbeam設備旁掛在匯聚層設備

邊，根據(jù)河北網(wǎng)通城域網(wǎng)現(xiàn)狀，我們認為4Gbps的防火墻設備可以

滿足需求。

FrameSize

(Bytes)64128256512102412801518

1APM

Throughput

(Mbps)

4.2.2設備功能要求

賣方提供的設備應提供以下的基本安全功能，并就每一項功能

詳細說明設備支持的程度：

(D設備應運行在經(jīng)固化的專用安全操作系統(tǒng)之上，賣方詳細說

明該操作系統(tǒng)的主要安全固化措施。

答：滿足要求

CheckPoint/Crossbeam全系列的防火墻均采用獨有的運營商

級安全操作系統(tǒng)XOS。該操作系統(tǒng)專門進行了優(yōu)化和加固，不

但提高了運行的性能，關鍵是提高了安全性。一般的開放操

作系統(tǒng)擁有許多的網(wǎng)絡服務，遠程服務，而且可能存在一般

用戶不知道的漏洞，這對防火墻自身的安全是很大的威脅。

XOS操作系統(tǒng)從設計上做了大量的安全加強，保證防火墻自身

的安全。XOS不帶有任何不必要的2進制代碼和庫結構，是一

個安全緊湊的操作系統(tǒng)；XOS操作系統(tǒng)覆蓋了已知的各種漏

洞，并且不斷致力于發(fā)現(xiàn)和覆蓋新的漏洞。

(2)設備內部核心技術應采用狀態(tài)監(jiān)測技術。

答：滿足要求

CheckPoint/CrossbeamX40防火墻中采用的是CheckPoint

獲得專利的第三代防火墻技術狀態(tài)監(jiān)測(Stateful

Inspection),,能夠提供更安全的特性。

狀態(tài)監(jiān)測是防火墻的第三代核心技術，也是最新的防火墻核

心技術，最初由CheckPoint發(fā)明，并獲得美國專利(專利

號5,835,726）O狀態(tài)監(jiān)測相比于較早的包過濾及應用網(wǎng)關方

式的技術有較大的優(yōu)勢，包括更安全，性能更高、擴展性更

好等。因此，目前，幾乎所有的防火墻產(chǎn)品均聲稱自己是狀

態(tài)監(jiān)測類的防火墻，但實際上在實現(xiàn)時有些產(chǎn)品的實現(xiàn)不完

整。

為了提供更強壯的安全性，一個防火墻必須跟蹤及控制所有

通信的數(shù)據(jù)流。與傳統(tǒng)的包過濾不同的是，狀態(tài)監(jiān)測通過分

析流入和流出的數(shù)據(jù)流，跟蹤數(shù)據(jù)流的狀態(tài)及上下文，根據(jù)

會話及應用的信息，實時確定針對該數(shù)據(jù)流的安全決策。

狀態(tài)及上下文信息必須包括：

■數(shù)據(jù)包頭信息（源地址、目的地址、協(xié)議、源端口、

目的端口、數(shù)據(jù)包長度）

-連接狀態(tài)信息（哪個端口為哪個連接而打開）

?TCP及IP分片數(shù)據(jù)（如分片號、序列號）

■數(shù)據(jù)包重裝，應用類型，上下文確認（如該數(shù)據(jù)包屬

于哪個通信會話）

■防火墻上的到達端口及離開端口

-第二層信息（如VLANID）

■數(shù)據(jù)包到達及離開的時間

根據(jù)安全策略實施對通過防火墻的數(shù)據(jù)流進行控制，允許通

過或采取相應措施。防火墻系統(tǒng)的安全規(guī)則，每一條表項都

包括條件域、動作域和選項域，當有IP包進入時，系統(tǒng)在安

全策略中從第一個表項開始查起，如果符合，就執(zhí)行該表項

指示的動作，狀態(tài)監(jiān)測技術針對協(xié)議，抽取連接的狀態(tài)信息,

并建立狀態(tài)連接表項。當沒有一條合適的表項時，系統(tǒng)的默

認動作是攔截。

(3)所提供的防火墻模塊應支持基于IP地址、組、端口、應用類

型、時間等創(chuàng)建安全規(guī)則，賣方詳細說明其支持的程度。

答：滿足要求

CheckPoint/Crossbeam支持基于IP源地址、IP目標地址、

用戶組、網(wǎng)絡組、源端口、目標端口、應用類型、時間、特

定防火墻等信息創(chuàng)建安全規(guī)則。

(4)所提供的防火墻模塊預定義服務協(xié)議數(shù)量應不小于200個，

并說明所支持的最大協(xié)議數(shù)和協(xié)議增加的方法。

答：滿足要求

CheckPoint/Crossbeam利用StatefulInspection專利技

術來保證所有通用Internet服務的安全。它支持超過200

個預定義應用、服務和協(xié)議，包括Web應用，即時消息發(fā)送、

對等網(wǎng)絡應用、VoIP、OracleSQL.RealAudio以及多媒體

服務(如H.323)、SIP、FTP、ICMP、DNS、Netmeeting等。

本次提供的防火墻模塊，可以支持的最大協(xié)議數(shù)量沒有限制,

協(xié)議增加可以通過用戶自定義和購買廠商服務自動升級更新

等方法實現(xiàn)。

(5)所提供的防火墻模塊應支持針對Mail,MS-RPC,MS-SQL,P2P

等應用層的安全控制，并說明如何控制以及所支持應用的擴

展數(shù)量和方法。

答：滿足要求。

CheckPoint/Crossbeam防火墻可以通過應用智能技術對多

種應用進行內容檢查，包括Mail,MS-RPC,MS-SQL,P2P等

應用。應用智能技術通過驗證協(xié)議是否遵循標準，檢驗協(xié)議

是否符合預期用法，阻止應用攜帶有害數(shù)據(jù)和控制應用層的

有害操作等四種策略來在合法的流量當中檢測非法的行為，

從而確保應用的安全。應用的擴展支持可以通過用戶自定義

和購買廠商服務自動升級更新等方法實現(xiàn)。

(6)所提供的防火墻模塊應支持對VoIP的保護，支持H.323、SIP、

MGCP、SCCP,并說明如何保護。

答：滿足要求。

CheckPoint/Crossbeam防火墻可以提供對VoIP的保護，支

持H.323,SIP,MGCP,SCCPoCheckPoint/Crossbeam防火

墻可以驗證VoIP協(xié)議是否符合標準，理解并跟蹤VoIP的全

部通信過程，并根據(jù)需要打開相關端口供通信使用，最后在

通信結束后自動封閉此端口。同時通過控制一些VoIP的通信

行為，對基于VoIP的攻擊進行防范。

(7)所提供的防火墻模塊支持的安全規(guī)則數(shù)目應無限制。

答：滿足要求。

CheckPoint/Crossbeam防火墻支持的安全規(guī)則數(shù)量無限制。

(8)所提供的防火墻模塊應支持安全策略一致性驗證。

答：滿足要求。

CheckPoint/Crossbeam防火墻支持規(guī)則策略的校驗，支持規(guī)

則一致性測試?？梢詸z測重復、錯誤、沖突的規(guī)則定義。

(9)所提供的防火墻模塊應具有對DoS攻擊的防護功能，防火墻

應支持SYN網(wǎng)關功能，并請說明。

答：滿足要求。

CheckPoint/Crossbeam防火墻是目前對DOS攻擊防范效果最

好的防火墻之一。能夠對包括SYNFlood、PINGofDeath攻

擊、IPSpoofing攻擊等多種DOS攻擊有很好的防護。其中對

SYN攻擊具有很好的防御功能，提供SYN網(wǎng)關的功能。同時系

統(tǒng)也提供智能的SYN防御功能，當使用此項功能的時候，用

戶不需要對SYN攻擊防御選項進行特殊的設置，系統(tǒng)會自動

的監(jiān)測和識別SYN的攻擊，并且阻斷它們。

(10)所提供的防火墻模塊應具有對其他常見網(wǎng)絡和應用層攻

擊的防護能力，并請說明。

答：滿足要求

CheckPoint/Crossbeam防火墻支持網(wǎng)絡層到應用層的全檢

測，對常見的網(wǎng)絡和應用層攻擊都具有防護能力。網(wǎng)絡層的

攻擊防范包括TearDrop,pingofdeath等DOS攻擊，ping

大包，IP分段攻擊等針對IP和ICMP的攻擊，sys攻擊，序

號攻擊等針對TCP的攻擊，等等。應用層攻擊防范包括針對

http,ftp,dns,voip,p2p,mail等應用的攻擊，等等。以

上網(wǎng)絡層和應用層的攻擊防護通過防火墻上SmartDefense模

塊實現(xiàn)。

(11)所提供的防火墻模塊應支持攻擊特征庫的動態(tài)更新，并

請說明更新方式以及是否會中斷客戶業(yè)務。

答：滿足要求。

CheckPoint/Crossbeam防火墻內置防攻擊模塊一

SmartDefense,它的攻擊特征庫支持在線升級。如用戶購買

了CheckPoint的攻擊特征庫升級服務，管理員可以使用管

理客戶端自動連接到CheckPoint網(wǎng)站完成更新。更新會先

存放于集中管理服務器，在未下發(fā)策略時不會影響防火墻執(zhí)

行點，也不會中斷客戶業(yè)務。即使下發(fā)策略，由于是針對攻

擊作出的防范，對正常業(yè)務不會產(chǎn)生影響。

(12)所提供的設備系統(tǒng)應可同時運行多種安全應用，包括

IDS、防病毒等。未來可通過許可證激活防火墻設備上的其他

安全應用。

答：滿足要求

CheckPoint/Crossbeam設備除防火墻外可以運行多種安全應

用，包括IDS、IPS、網(wǎng)關防病毒、URL過濾、數(shù)據(jù)庫保護等

模塊。所有這些模塊已經(jīng)內置在設備中，未來可以通過許可

證將這些功能激活，便于將于安全應用的擴展。

(13)設備系統(tǒng)應提供內容過濾功能，可以過濾URL地址、Java

Script、ActiveX控件和Ftp控制命令(get,put)>畸形IP

攻擊包、ICMP惡意代碼包，另外還能設置收件發(fā)件人郵件地

址過濾和大郵件過濾策略。

答：滿足要求。

CheckPoint/Crossbeam防火墻可以通過其集成的內容安全

能力使用戶免受病毒、惡意Java和ActiveXapplet、畸形

IP攻擊包、ICMP惡意代碼包及不需要的Web內容的攻擊。

對于每個通過防火墻安全服務器建立的HTTP、SMTP或FTP

連接，網(wǎng)絡管理員可以更詳細地來控制對特定資源訪問。例

如，訪問可以控制到具體的Web頁面，URL地址及FTP文件

以及操作(例如，PUT/GET命令)、SMTP的專用標題字段等

等?？蓪θ鏴-mail附件大小、文件類型等進行檢查，還可以

設置收件發(fā)件人郵件地址過濾等。

同時防火墻還可通過OPSEC的SDK接口與專門的內容過濾系

統(tǒng)互動，進行更細致的內容檢查。

（14）設備應支持NAT功能，包括一對一、多對一的NAT工作

模式。

答：滿足要求。

CheckPoint/Crossbeam防火墻支持動態(tài)和靜態(tài)地址翻譯

（NAT）功能，并且無數(shù)量限制。

CheckPoint/Crossbeam防火墻使用強大的、易于管理的網(wǎng)絡

地址翻譯（NAT）在Internet上隱藏內部網(wǎng)絡地址一避免將

它們泄漏為公眾信息。通過集成StatefulInspection技術,

CheckPoint/Crossbeam的NAT實現(xiàn)了業(yè)界最安全的地址翻

譯，而且它支持范圍廣泛的Internet服務。根據(jù)網(wǎng)絡管理

員在建立對象（如主機、網(wǎng)絡和網(wǎng)關）時提供的信息，防火

墻自動生成靜態(tài)（一對一）和動態(tài)（多對一）的翻譯規(guī)則。

（15）設備應支持網(wǎng)絡流量監(jiān)視和CPU負載統(tǒng)計。

答：滿足要求。

CheckPoint/CrossbeamX40防火墻系統(tǒng)采用專用的網(wǎng)絡操作

系統(tǒng)，提供對系統(tǒng)運行狀態(tài)和網(wǎng)絡流量監(jiān)控的統(tǒng)計分析功能,

通過管理界面用戶可以對：

■通過防火墻的網(wǎng)絡流量進行有效的檢查和記錄

-防火墻設備本身的CPU情況的記錄和檢查

-通過防火墻的審計工具用戶還可以對系統(tǒng)的其他資源如:

內存的使用率等多方面的內容進行審計。

4.2.3設備系統(tǒng)安全管理功能

賣方提供的設備系統(tǒng)應提供以下的安全管理功能：

（1）設備應支持專有管理客戶端、WEB及命令行管理方式。

答：滿足要求

CheckPoint/CrossbeamX40防火墻系統(tǒng)支持豐富的管理和控

制功能：

a）基于本地串口的命令行管理功能

b）基于網(wǎng)絡的Web界面的管理功能。

c）基于專用GUI管理系統(tǒng)的圖形化安全管理功能

d）基于通用安全的HTTPS、SSH的管理功能

（2）設備應支持本地管理、遠程管理和集中管理。

答：滿足要求。

CheckPoint/Crossbeam設備支持本地管理和遠程管理方式。

本地管理和遠程可以通過WEB界面（通過SSL加密）管理。

同時Crossbeam防火墻還支持SSHvlv2,保證了遠程管理的安

全性。通過中央管理服務器Smartcenter可以對防火墻設備

進行集中管理。

（3）要求使用集中管理軟件統(tǒng)一管理所有防火墻（包括虛擬系

統(tǒng)），包括策略管理，用戶管理，VPN管理，入侵防護管理,

攻擊防護代碼統(tǒng)一升級等。

答：滿足要求。

CheckPoint/Crossbeam防火墻非常適合構建分布式客戶/服

務器安全訪問應用控制，可以說，防火墻的結構就是以分布

式安全控制的出發(fā)點來進行設計的。

CheckPoint/Crossbeam產(chǎn)品是三層體系結構：

GUI：為用戶提供圖形化的界面，便于配置防火墻的策略和對

象，上面不存儲任何數(shù)據(jù)。在防火墻允許的范圍內，可安裝

于任何一臺PC機上。

ManagementServer（管理服務器）：用于存儲在GUI上定義的

策略和對象，完成對所有防火墻（包括虛擬系統(tǒng)）的統(tǒng)一管

理，包括策略管理，用戶管理，VPN管理，入侵防護管理，攻

擊防護代碼統(tǒng)一升級等。當安全策略下發(fā)時，管理服務器將

策略編譯后推到各個防火墻上。同時管理服務器可用來察看

執(zhí)行模塊的狀態(tài)信息，并存儲執(zhí)行模塊生成的日志。

EnforcementModule（執(zhí)行模塊）：用于數(shù)據(jù)包的過濾，決定

數(shù)據(jù)包的通行、阻斷、轉發(fā)。所有的防火墻安全策略可以由

管理服務器進行集中化定制，對每個防火墻可以定義不同的

策略文件。各個模塊之間的通信使用SSL進行加密。

為便于管理，我們建議在此次項目中采用集中化管理的原則

布署防火墻產(chǎn)品。即所有防火墻都可在網(wǎng)管中心對其進行集

中化的安全管理，統(tǒng)一配置安全策略，這樣帶來的優(yōu)點：

實現(xiàn)了對各業(yè)務安全的集中化管理，減小網(wǎng)絡整體存在安全

漏洞的可能性，同時順應了業(yè)務集中的趨勢，減小了各部門

對安全方面的管理支出。

(4)設備應支持管理員基于角色的管理。

答：滿足要求。

CheckPoint/Crossbeam對防火墻的管理員權限可以分為多

個定義，包括可寫、只讀、用戶自定義。在用戶自定義中可

以靈活定義用戶對防火墻的各個模塊的權限，例如：用戶只

能修改日志而不能修改策略。

(5)設備應支持管理員使用數(shù)字證書作為認證方式以提高安全

性。

答：滿足要求。

CheckPoint/Crossbeam設備的管理服務器中內置CA,所有

防火墻功能模塊均可通過該證書進行認證。對于管理員，可

以使用基于X.509數(shù)字證書，進行登錄認證，極大提高了安

全性。

4.2.4設備日志、報警和報表功能

賣方提供的設備系統(tǒng)應提供以下的日志、報警和報表功能：

(1)所提供的防火墻模塊應該具有內置日志服務器，可以提供實

時和歷史日志

答：滿足要求。

CheckPoint/Crossbeam內置日志服務器，可以提供實時和歷

史記錄。同時可將日志導向其它的日志服務器。

(2)設備應支持豐富的日志域，支持超過60種以上的日志域

答：滿足要求

CheckPoint/Crossbeam通過日志查看器Smartviewtracker

模塊用來察看日志，可察看的日志字段超過60種以上，并可

以靈活的定義過濾條件。

(3)設備應支持日志的本地記錄，防火墻模塊應有40G以上的內

置硬盤，并說明是否支持異地或外部記錄方式。

答：滿足要求

CheckPoint/Crossbeam支持日志的本地記錄，X系列產(chǎn)品均

有80G以上的內置硬盤?？梢栽O定防火墻模塊在本地記錄日

志同時，實時或定期將日志發(fā)送到集中管理服務器或異地的

其他日志服務器?？梢蕴峁┤罩据敵鼋涌冢┑谌浇邮辗?/p>

火墻的日志。

(4)設備應支持SYSL0G功能。

答：滿足要求

CheckPoint/Crossbeam支持標準的SYSLOG,同時設備上有

單獨的日志端口，可將日志導向第三方Log服務器。

(5)設備應支持日志過濾功能。

答：滿足要求

通過SmartViewtracker功能模塊，可以靈活的進行日志過

濾，可按特定字段進行過濾，也可進行不同字段的組合過濾。

(6)設備應支持管理員日志及對管理員的審計。

答：滿足要求

CheckPoint/Crossbeam內置日志服務器除記錄歷史記錄外，

還記錄實時連接和管理員的審計日志，管理員對防火墻所做

操作(如修改對象和策略)均被記錄。

(7)設備應提供與第三方日志審計工具的接口

答：滿足要求。

可以通過OPSEC與第三方審計工具進行互動，提供日志輸出接

口LEA(logexportAPI)o

(8)設備應提供實時告警功能，對防火墻本身或受保護網(wǎng)段的非

法攻擊支持多種告警方式如SNMP告警、E-mail告警、日志告

警等等。

答：滿足要求。

CheckPoint/Crossbeam防火墻系統(tǒng)可以對多種網(wǎng)絡事件

進行告警功能，用戶可以按照需要對指定網(wǎng)絡行為進行警

告設置，當這些事件發(fā)生的時候，系統(tǒng)可以通過SNMP,

E-mail,日志等多種方式進行告警。

(9)設備應提供SNMPTrap、E-Mail、Alarm>LOG、自定義等方式

的報警功能支持。

答：滿足要求

CheckPoint/Crossbeam防火墻支持多種告警方式如SNMP

告警、EmailL告警、日志告警、用戶自定義程序告警等等。

通過用戶自定義方式，在X40防火墻上還可實現(xiàn)更加靈活的

報警方式，如尋呼機、QQ等。

(10)設備應提供內置報表工具對日志作統(tǒng)計分析

答：滿足要求。

CheckPoint/Crossbeam防火墻的組件EventiaReporter

提供日志分析和統(tǒng)計，并可根據(jù)客戶定義的時間，內容，生

成數(shù)據(jù)表格、圖形報告。

4.2.5設備可擴展性要求

（1）設備應可通過增加模塊的方式提供更多的網(wǎng)絡端口，賣方應

詳細說明設備可提供的網(wǎng)絡端口擴展模塊。

答：滿足要求。

CheckPoint/Crossbeam設備可通過增加網(wǎng)絡模塊NPM的方式

增加設備上的網(wǎng)絡端口。目前，X40可提供的網(wǎng)絡模塊包括8

個千兆端口（銅纜、單模光纖、多模光纖可選）及16個百兆

接口的模塊。

（2）設備應可通過增加模塊的方式提高投標設備的性能，賣方應

詳細說明設備可提供的擴展模塊的信息。

答：滿足要求。

CheckPoint/CrossbeamX40的性能可以隨著需求的增加而擴

展，可以通過增加APM模塊來提高X40整體設備的處理能力，

新增加的APM模塊可自動與原有APM模塊工作于自動負載均衡

模式。每塊APM模塊可提供4Gbps的防火墻吞吐能力、每秒

30,000新建連接數(shù)以及50萬最大并發(fā)連接數(shù)。每增加一塊APM

模塊，其設備的整體性能，包括吞吐量、并發(fā)連接數(shù)、每秒新

建連接數(shù)等，近似于線性增加，這樣，通過簡單增加APM模塊

到現(xiàn)有的X40設備上，就可提升X40設備的處理能力。

而對性能的增加，實施也非常簡單。只需要增加一塊APM模塊,

插入到現(xiàn)有的X40設備中即可，對網(wǎng)絡中的其他設備，完全不

需要改變。

(3)設備應可通過增加模塊的方式，在投標設備上增加新的安全

功能，賣方應詳細說明如何在投標設備上增加新的安全功能。

這些安全功能將包括IDS、IPS、SSLVPN、防病毒URL過濾、

XML應用保護等。

答：滿足要求

CheckPoint/Crossbeam設備網(wǎng)絡處理、安全應用、管理功能

均以模塊方式工作，如果增加新的安全應用，只需要增加APM

模塊即可。所有的APM硬件均相同，由控制模塊來定義APM

的功能，激活安全應用的License即可，目前支持的主要安

全功能包括：IDS、IPS、SSLVPN、防病毒、URL過濾、XML

應用、數(shù)據(jù)庫保護。

(4)設備增加新的安全應用功能時，必須基本不影響原有設備模

塊的性能功能和。賣方應詳細說明這一要求的實現(xiàn)方式。

答：滿足要求。

CheckPoint/CrossbeamX40上，所有新增加的模塊均有獨立

的處理能力，將不會影響原有防火墻及虛擬防火墻的性能。

在每個模塊上均有獨立的中央處理器、內存、總線、操作系

統(tǒng)等。所有APM配置均相同。APM提供高性能安全應用處理。

硬件模塊均可進行熱插拔。同時可將安全應用定義為不同的

邏輯組，在增加安全應用時，數(shù)據(jù)流會自動負載均衡到新的

模塊上，原有的通信和會話不會丟失。

4.2.6高可用性及高可靠性要求

賣方提供的設備系統(tǒng)應提供高可用性支持，具體要求為：

（1）設備應支持高可用性配置，提供雙機熱備功能，賣方應詳細

說明雙機熱備的實現(xiàn)方式。

答：滿足要求

CheckPoint/CrossbeamX40可以通過4種方式提供防火墻的

高可靠性HA：

a）標準的VRRP協(xié)議（RFC2338）

b）動態(tài)路由協(xié)議

c）四層交換機

d）ClusterXL技術

（2）設備應有專用的高可用性心跳端口。

答：滿足要求。

CheckPoint/Crossbeam在CPM（控制模塊）上有專用的高可

用性心跳端口，通過該端口可以在多臺設備間監(jiān)測彼此狀態(tài),

為最大限度的保證高可靠性，在設備上還可定義多個端口為

心跳端口。

（3）設備應支持具有運營商級的設備高可靠性，包括冗余電源、

冗余風扇、冗余模塊、冗余網(wǎng)絡接口等。賣方應詳細說明所

提供設備自身的其他冗余配置特性。

答：滿足要求。

CheckPoint/CrossbeamX40設備提供SBHA單機高可用性

（SingleBoxHighAvailability）功能特性，即在一臺X

設備上，所有的系統(tǒng)部件均可提供備份，包括：

/冗余數(shù)據(jù)交換（多NPM）

,冗余控制管理（雙CPM）

/冗余存儲

/冗余網(wǎng)絡處理器（網(wǎng)絡端口-端口備份）

,冗余安全應用處理模塊（多個APM）

/模塊的N+1備份

/冗余電源（可提供2個獨立電源）

（4）設備應支持單機高可用性技術，即在單臺設備上，可提供防

火墻等安全應用的高可用性及負載均衡技術。賣方應詳細說

明所提供設備單機高可用性技術的實現(xiàn)方式。

答：滿足要求。

在X系統(tǒng)中，可安裝多個APM模塊運行同一安全應用，實現(xiàn)

安全應用的負載均衡。X系統(tǒng)的控制模塊CPM實時監(jiān)控每塊

APM的健康狀況，包括APM上面運行的應用、CPU負載狀況、

內存使用狀況等。這些信息被實時的反應在X系統(tǒng)的數(shù)據(jù)轉

發(fā)表中。而網(wǎng)絡處理模塊NPM就是根據(jù)這張表中的信息，確

定轉發(fā)數(shù)據(jù)到某安全應用的具體哪一塊APM上。這樣就實現(xiàn)

了安全應用的負載均衡，而并不需要額外的網(wǎng)絡資源，也不

需要該安全應用本身支持負載均衡功能或HA功能，也并不消

耗APM的任何資源?？梢詫Ψ阑饓眠M行負載均衡，也可

對防病毒應用進行負載均衡，對IDS/IPS、郵件安全、內網(wǎng)安

全等，都是一樣可實現(xiàn)負載均衡。

在X系列上，安全應用處理模塊APM模塊是完全相同的。每

塊APM均可運行不同的安全應用。各種安全引擎已經(jīng)被預先

裝在了X設備的系統(tǒng)中，在系統(tǒng)的控制下，APM在不同時間可

運行不同的安全應用。

這一特性可帶來很大的系統(tǒng)靈活性及可靠性。在可靠性方面,

可實現(xiàn)獨有的“N+1”備份技術。

見下圖示例。

防火崎貨戰(zhàn)均衡組IDS貨戰(zhàn)均祈組備份APM

在這張圖的典型配置下，我們在X設備中配置了3塊APM作

為防火墻，另3塊APM作為IDS,均是負載均衡狀態(tài)，共6塊

APM模塊。這時，我們可另配置1塊APM模塊，作為這6塊

APM模塊的備份模塊，而不需要每種應用都配置備份模塊。即

“N+1”的備份。

“N+1”備份是這樣工作的。

假設IDS負載均衡組中的某APM模塊出現(xiàn)故障，這時，首先,

NPM將立即將這塊APM處理的任務轉發(fā)到另2塊IDSAPM處理;

然后，CPM將備份APM的IDS功能通過license激活，備份

APM這時就變成了IDS負載均衡組中的一塊APM,NPM也開始

轉發(fā)IDS處理數(shù)據(jù)流量給這塊APMo

“N+1”備份還有一個特性是可設置各安全應用的優(yōu)先級，當

高優(yōu)先級的安全應用APM模塊出現(xiàn)故障時，系統(tǒng)可拿較低優(yōu)

先級安全應用的模塊備份高優(yōu)先級的安全應用。我們再接著

上面的例子。假設，在極端狀況下，原來故障的IDSAPM還

沒有恢復正常，而防火墻負載均衡組的某APM模塊也出現(xiàn)故

障。這時，由于IDS安全應用的級別低于防火墻應用（實際

應用中通常也是如此）,系統(tǒng)將拿一塊IDS應用組的APM模塊,

將其切換為防火墻功能，成為防火墻負載均衡組中的一塊

APMo

另外，該特性還可實現(xiàn)在不同的時間APM運行不同的安全應

用。可根據(jù)在不同時間數(shù)據(jù)流量的不同特點靈活的配置各APM

的使用。如，在晚上，當WEB訪問流量較多時，而郵件相對

較少，我們這時可配置系統(tǒng)在晚上把某些或某個郵件保護的

APM模塊切換成URL過濾模塊。這可實現(xiàn)系統(tǒng)很高的靈活性。

4.2.7VPN功能支持

賣方提供的設備應提供VPN功能支持，基本要求包括：

(1)提供的防火墻應具有虛擬專用網(wǎng)(VPN)功能，可以實現(xiàn)網(wǎng)關

到網(wǎng)關和客戶端到網(wǎng)關兩種方式。應支持IPSECVPN功能。

答：滿足要求。

CheckPoint/Crossbeam防火墻集成了訪問控制、認證和加密

以確保網(wǎng)絡連接的安全性、本地和遠程用戶的可靠性以及數(shù)

據(jù)通信的私有性和完整性。

目前可以實現(xiàn)三種協(xié)議的VPN,包括IPSec、L2TP、SSL。

其中IPSec支持多種VPN模式，主要包括：

(l)Site-to-site主要用于網(wǎng)絡與網(wǎng)絡之間進行VPN連接,

常用于與合作公司、第三方伙伴之間的連接。

在site-to-site的VPN當中，又可細分為兩種結構：

Starmode(星狀結構)：星狀結構中所有VPN設備匯聚

于中心VPN設備中，各個VPN設備之間的VPN建立，需要先

與中心的VPN建立通道，由中心VPN設備進行VPN路由。星

狀結構常用于總部與各分支機構之間實現(xiàn)VPNo

Meshedmode(網(wǎng)狀結構)：網(wǎng)狀結構中所有的VPN設備

之間直接相連，互相之間建立起VPN通道，不存在中心VPN

設備。

(2)Client-to-site用于移動用戶的接入，用戶在機器上安

裝了客戶端軟件后，可通過拔號、ADSL、寬帶等方式與公司

之間的防火墻建立起VPN通道。

(2)提供的防火墻支持全網(wǎng)狀或星形VPN拓撲，并支持VPN路由

功能

答：滿足要求

CheckPoint/Corssbeam防火墻支持全網(wǎng)狀或星形VPN拓撲，

并支持VPN路由功能。

(3)提供的防火墻擁有內置CA

答：滿足要求

CheckPoint/Crossbeam防火墻內置CA。

(4)設備應支持AES,3DES,DES等加密算法和MD5,SHA1等驗證

算法。

答：滿足要求。

CheckPoint/Crossbeam設備支持AES,3DES,DES等加密算

法和MD5,SHA1等驗證算法

4.2.8兼容性要求

(1)賣方提供的設備應能夠與OPSEC組織的第三方安全產(chǎn)品進行

很好的聯(lián)動，最大限度的提高整個系統(tǒng)的安全性，請詳細說

明兼容的主要產(chǎn)品。

答：滿足要求

CheckPoint和Crossbeam是OPSEC的主要成員，X40防火墻系

統(tǒng)能夠支持所有的OPSEC成員的安全產(chǎn)品，其中包括：入侵檢

測，防病毒，內容過濾等多種安全產(chǎn)品的聯(lián)動。如在IDS/IPS

方面可以和ISS、SourceFire等廠商產(chǎn)品合作；在防病毒方面可

以和趨勢科技的產(chǎn)品合作；在郵件過濾上可以同趨勢科技和

Aladdin的產(chǎn)品合作；在URL過濾上可以和websense、smartfilter

的產(chǎn)品合作。

(2)賣方應詳細說明所提供設備對其他廠商產(chǎn)品(包括網(wǎng)絡設備、

主機系統(tǒng))的互連互通能力。

答：滿足要求

支持所有主流的網(wǎng)絡設備、主要系統(tǒng)廠家。

4.3環(huán)境要求

設備要在下列環(huán)境下能夠保證長期正常工作:

環(huán)境溫度：5℃?35℃

相對濕度：30%?80%

賣方應說明設備升級前后對環(huán)境的要求是否有變化。

答：滿足要求。

設備升級前后對環(huán)境的要求無變化。

4.4電源要求

設備應能在下列供電變化范圍內正常工作：

直流：一40V?-57V；

交流：?220V±10%,50Hz±5%o

賣方應說明設備升級前后對電源的要求是否有變化。

本工程提供的供電方式為直流。

答：滿足要求。

設備升級前后對電源的要求無變化。本次提供的設備可以根據(jù)用戶

要求選配直流或交流電源。

5.2配置要求

(1)賣方應按照各附表設備配置要求進行設備配置，給出設備

配置說明(解釋各項配置的組成說明和作用)。

答：滿足要求。

集中管理服務器配置

產(chǎn)品軟件/說明

硬件

CPPWR-SC-U軟件集中管理服務器軟件

CPFW-FSS-1軟件單機防火墻以保護集中管理服務器

PC服務器硬件作為集中管理服務器軟件承載平臺，建

議使用至強CPU,4G內存，100G以上硬

盤

可管理安全服務設備配置

產(chǎn)品軟件/說明

硬件

CPPWR-VSX-10軟件虛擬防火墻模塊，可以支持10個虛擬防

火墻

CrossbeamX40硬件由以下四個部分組成

X40-DCX40DC機架，雙電源.可以支持2個

NPM,10個APM,2個CPMs.

CPM-8100-80GCPM控制處理模塊(ControlProcessing

Module)

NPM-8200-8G網(wǎng)絡處理模塊.帶8個千兆接口

APM-8400-1P4-1G應用處理模塊.APM-8400.4Gbps防火墻

吞吐量

端點安全服務器配置

產(chǎn)品軟件/說明

硬件

CPIS-IAS-1軟件客戶端集中管理服務器軟件，可以提供

多域和層次化管理功能

CPIS-IEPS-1000軟件客戶端許可，可以提供PC防火墻，PC入

侵防范，PC應用安全，PC間諜軟件防范

功能

PC服務器硬件作為客戶端集中管理服務器軟件承載平

臺，建議使用雙至強CPU2.OGhz以上，

4G內存，100G以上硬盤

(2)賣方的所有配置方案應保證設備運行所必須提供的電源模

塊、主控模塊等主要部件的冗余配置并對模塊進行單獨報價和說

明。

答：滿足要求。

(3)賣方可以提出多種配置方案與相應的報價供買方參考，具

體選擇由買方確定，賣方應保證各種優(yōu)惠條件和價格折扣保持不

變。

答：滿足要求。

(4)賣方應根據(jù)配置要求，結合現(xiàn)有網(wǎng)絡設備的配置情況作出

相應位置安排(包括割接過渡狀態(tài)),并分析對割接是否有影響。

答：滿足要求。

因為是旁掛部署，割接時對當前網(wǎng)絡無影響。

(5)賣方應保證設備配置的品種、數(shù)量準確無誤，保證工程如

期順利進行，如有錯漏，由賣方無償補足。

答：滿足要求。

(6)賣方在本工程新增設備保修期外可應買方要求以不高于本

次實際成交價提供備件。

答：滿足要求。

(7)若買方最終確定的設備配置內容和數(shù)量有所變化，賣方應

保證各種優(yōu)惠條件和價格折扣保持不變。

答：滿足要求。

第二章.總體技術方案建議書

2.1前言

2.1.1背景

隨著計算機網(wǎng)絡的發(fā)展，其開放性，共享性，互連程度擴大,

網(wǎng)絡的重要性和對社會的影響也越來越大。城域網(wǎng)作為城市

主要的數(shù)據(jù)業(yè)務承載網(wǎng)絡，特別是電子商務(E-Commerce)、

企業(yè)數(shù)據(jù)專線、網(wǎng)絡互聯(lián)、虛擬專用網(wǎng)(VPN)、Internet接

入服務等應用在社會經(jīng)濟生活的地位日益凸現(xiàn)。網(wǎng)絡的安全

性直接影響到社會的經(jīng)濟效益。例如，2003年1月份的SQL

殺手蠕蟲事件，中國有兩萬多臺數(shù)據(jù)庫服務器受到影響，使

國內主要骨干網(wǎng)全部處于癱瘓或半癱瘓狀態(tài)；2003年8月份

的沖擊波蠕蟲，使成千上萬的用戶計算機變慢，被感染的計

算機反復重啟，有的還導致了系統(tǒng)崩潰，受到“沖擊波”病

毒感染的計算機反過來又會影響到網(wǎng)絡的正常運行。隨著網(wǎng)

絡安全問題重要性增加，如何保證城域網(wǎng)安全，應對日益增

多的網(wǎng)絡攻擊、病毒破壞和黑客入侵等問題已成為城域網(wǎng)建

設和運營所關注的重點。

2.1.2方案構成

本方案是針對2006年中國網(wǎng)通河北IP城域網(wǎng)擴建一期工程

可管理安全服務設備項目而提出的網(wǎng)絡安全解決方案，當前

階段集中在CheckPoint/Crossbeam防火墻部署和Check

PointIntegrity端點安全部署的技術方案，可針對系統(tǒng)安全

的訪問控制、網(wǎng)絡攻擊、蠕蟲傳播等方面提供相應的防范。

我們有理由相信，有了我們構建的優(yōu)秀網(wǎng)絡安全系統(tǒng)，加之

我們?yōu)槟钌系娜轿坏闹艿椒?，您的網(wǎng)絡一定會變得安

全而高效，您的事業(yè)也一定會因此而取得巨大的成功。

2.2河北網(wǎng)通IP城域網(wǎng)擴建一期工程可管理安全服務設備項

目方案建議

2.2.1城域網(wǎng)安全分析

2.2.1.1網(wǎng)絡現(xiàn)狀

(1)網(wǎng)絡結構

河北省共有11個地市，目前IP骨干網(wǎng)以石家莊和唐山為雙核

心，各2臺思科公司GSR12816,分別通過2.5GP0S鏈路連接其他9

個地市的GSR12016和GSR12012上，各地市的思科公司GSR路由器

作為各自IP城域網(wǎng)與IP骨干網(wǎng)的接口，與集團IP網(wǎng)通過4條10G

POS互連。

各市分公司城域網(wǎng)建設在規(guī)模和業(yè)務發(fā)展水平上略有不同，但

從物理結構看，從上到下分為三層：核心層、匯聚層和接入層。網(wǎng)

絡構架大體相同，其中：

核心層：大型網(wǎng)絡一般由3-4個核心節(jié)點、中小型網(wǎng)絡一般采

用2-3個核心節(jié)點經(jīng)GE鏈路以網(wǎng)狀或半網(wǎng)狀結構組成。

匯聚層網(wǎng)絡由寬帶接入服務器和匯聚層交換機組成。寬帶接入

服務器布放置匯聚層端局，匯聚層交換機覆蓋全省所有縣局和市內

端局。

核心層主要實現(xiàn)業(yè)務量的快速轉發(fā)，具備較強的路由控制；匯

聚層主要進行大量接入層設備的匯聚收斂;接入層主要以ADSL和小

區(qū)以太網(wǎng)為主，擴大業(yè)務覆蓋范圍。

接入層設備以二層或三層方式上連到匯聚層。如果接入層設備

有路由功能，則匯聚層交換機與這些接入層設備之間跑三層，運行

靜態(tài)路由協(xié)議，用戶的網(wǎng)關在接入層設備上。如接入層二層交換機

需要接入兩個或兩個以上的VLAN時，以802.1Q的TRUNK方式上連

匯聚層交換機，用戶的網(wǎng)關在匯聚層設備上。IPDSLAM以802.1Q

的TRUNK方式上連匯聚層交換機，一個VLAN用于PPPoE用戶VLAN

穿透，另一個VLAN用于和匯聚層交換機直接運行靜態(tài)路由協(xié)議。

（2）網(wǎng)絡業(yè)務

IP網(wǎng)的業(yè)務目前主要可以分為：互聯(lián)網(wǎng)訪問（主要通過XDSL、

光纖+LAN接入）；IPVPN,VLANVPN（主要通過光纖+LAN接

入）；VPDN（主要通過NAS或XDSL接入）;MPLSVPN（主要通過光纖+

LAN、和ADSL接入）；本地VoD服務（主要通過IDC機房的接入交換機）;

本地游戲服務（主要通過IDC機房的接入交換機）；省公司IDC業(yè)務;

未來可能承載的業(yè)務包括：VoIP語音服務、IP/TV視頻服務、3G、

NGN等其它業(yè)務。

2.2.1.2城域網(wǎng)安全模型

對于網(wǎng)絡運營商而言，城域網(wǎng)包括基礎承載網(wǎng)絡和業(yè)務管理平臺。

城域承載網(wǎng)是城域網(wǎng)業(yè)務接入、匯聚和交換的物理核心網(wǎng)，它由核

心交換層、匯聚層、綜合接入層構成。業(yè)務管理平臺由業(yè)務支撐平

臺、網(wǎng)管平臺、認證計費平臺等組成。

安全模型將城域網(wǎng)分成三個區(qū)域：信任域、非信任域和隔離區(qū)域。

信任域是運營商的基礎網(wǎng)絡，通常采用防火墻等設備與電信業(yè)務網(wǎng)

隔離，包括網(wǎng)管平臺、智能業(yè)務平臺、認證平臺等設備；隔離區(qū)域

是信任域和非信任域之間進行數(shù)據(jù)交互的平臺，包括電信運營商提

供的各種業(yè)務平臺，如Web服務平臺、FTP服務器、用戶查詢平臺、

Mail服務器等；非信任域是運營商面對客戶的基礎網(wǎng)絡，它直接提

供用戶的接入和業(yè)務，同時也是Internet網(wǎng)絡的一部分，包括基礎

用戶接入、數(shù)據(jù)交換、媒體網(wǎng)關等設備，是運營商不能完全控制的

網(wǎng)絡。非信任域的基礎網(wǎng)絡是信息傳輸?shù)幕A，在城域網(wǎng)中起著至

關重要的作用，作為安全模型中的非信任域，需要重點考慮。

2.2.1.3城域網(wǎng)安全特點

(1)安全威脅

(A)網(wǎng)外黑客對網(wǎng)內服務器，用戶和設備的攻擊

(B)網(wǎng)內染毒用戶，病毒爆發(fā)帶來的帶寬占用，各種DDoS

攻擊造成網(wǎng)絡全面或局部業(yè)務癱瘓

(C)運營商核心信息竊取和篡改

(2)脆弱性

(A)網(wǎng)絡規(guī)模大，用戶數(shù)量多，設備多樣復雜

(B)用戶行為幾乎不可控

(C)網(wǎng)絡主體信任度低

(3)影響