河北城域网技术规范书草稿样本

中国网通河北IP城域网扩建一期工程可管理安全服务设备技术规范书-

第一章工程技术规范书点对点应答此次所提供全部方案及各项设备和系统(包含软、硬件)符合以下技术标准：ISO27001：：信息技术安全－技术信息安全－管理体系要求；ISO/IECFDIS17799:(E):信息技术－安全技术－信息安全管理代码实践；ISO/IEC18028-2:(E)：信息技术－安全技术－IT网络安全；ISO/IECTR13335：信息技术－IT安全管理指南；中国通信行业标准YD/T1163-IP网络安全技术要求－安全框架；中国通信行业标准YD/T1132-防火墙设备技术要求；《中国网络通信集团企业IP网－发展计划》；IP城域网计划建设指导标准（北方分册）；《河北网通互联网网络优化指导意见》；《中国网通网络技术转型和演进若干意见》；《网通集团IP网络优化和维护指导意见》；《河北省分企业数据专业产品供货商及产品立案表》；以下根据“中国网通河北IP城域网扩建一期工程可管理安全服务设备技术规范书”章节进行点对点应答。3.5设备基础配置要求3.5.1卖方提供设备应满足下列基础配置要求：设备应为能够满足本技术规范要求完整软、硬件系统，集成性好，便于机架式安装；答：满足要求。本项目提供CheckPoint/Crossbeam设备为满足本技术规范完整软硬件系统，经过兼容性测试，能够无缝集成，设备为标准机架尺寸，便于机架式安装。设备及接口电气特征应符合国际和国家相关标准。答：满足要求。本项目提供CheckPoint/Crossbeam设备设备及接口电气特征符合国际和国家相关标准。3.5.2基础性能及配置要求卖方提供单套设备系统应满足下列性能指标要求：吞吐量：大于4Gbps答：满足要求。本项目提供CheckPoint/CrossbeamX40配置最少可提供4Gbps吞吐量。最大并发连接数：大于50万答：满足要求。本项目提供CheckPoint/CrossbeamX40配置最少可提供50万并发连接数。每秒新建连接数：大于3万答：满足要求。本项目提供CheckPoint/CrossbeamX40配置最少可提供3万每秒新建连接数。端口数：大于4个千兆光纤答：满足要求。本项目提供CheckPoint/CrossbeamX40配置可提供8个千兆光纤口。设备应提供专用带外管理端口答：满足要求。CheckPoint/CrossbeamX40提供了2个带外管理端口（10/100MBase-T）设备应提供专用日志端口答：满足要求。CheckPoint/CrossbeamX40提供了1个专用日志端口（10/100/1000MBase-T）处理时延：小于0.08s答：满足要求。CheckPoint/CrossbeamX40处理时延小于0.08s。3.5.3基础网络功效要求卖方提供单套设备系统应提供以下基础功效：设备应支持静态路由和RIP、RIPII、OSPF等路由协议。答：满足要求。CheckPoint/CrossbeamX40支持RIP、RIPII及OSPF等路由协议。设备应支持802.1QVLAN。答：满足要求。CheckPoint/CrossbeamX40支持802.1QVLAN。CheckPoint/CrossbeamX40防火墙全方面支持802.1Q协议，经过使用CheckPoint/CrossbeamX40防火墙能够有效对VLANID进行识别和支持，而且对不一样VLAN之间访问进行控制。设备应支持对不一样VLAN间数据包阻隔。答：满足要求CheckPoint/CrossbeamX40防火墙对VLAN含有丰富控制功效，经过对CheckPoint/CrossbeamX40硬件防火墙设置，用户能够经过防火墙对属于不一样VLAN主机进行有效隔离，而且经过安全策略进行访问控制，保护不一样目标主机和网络安全。设备应支持VLANTrunk。答：满足要求CheckPoint/CrossbeamX40防火墙采取专用网络操作系统，支持802.1Q协议，防火墙能够识别VLANID,支持VLANTrunk网络流量经过防火墙。设备应支持虚拟路由模式防火墙、虚拟透明模式防火墙，并支持此两种模式虚拟防火墙共存于同一个虚拟环境中。答：满足要求。CheckPoint/CrossbeamX40防火墙以以下方法工作在用户网络中：透明模式、路由模式、透明模式和路由模式同时工作。CheckPoint/CrossbeamX40支持此两种模式虚拟防火墙共存于同一个虚拟环境中。单套系统支持最大虚拟防火墙数量应大于200个答：满足要求。CheckPoint/CrossbeamX40单台最高可支持250个虚拟防火墙。设备应支持虚拟路由器和虚拟交换机功效。答：满足要求。CheckPoint/CrossbeamX40支持虚拟路由器和虚拟交换机功效。4.1通常技术要求4.1.1硬件(1)卖方提供全部设备必需是最新开发且最稳定可靠之产品，而且大规模在电信运行商环境应用成熟商用产品，并确保所提供产品数量、质量，尤其是接口兼容性。答：满足要求。CheckPoint/CrossbeamX40是最新开发而且最稳定可靠产品，已经在全球范围内很多大型电信运行商环境得到了成熟应用，包含美国南方贝尔、英国移动运行商O2、西班牙电信Telefonica、德国电信、美国移动运行商VerizonWireless、澳大利亚电信Telstra等。在应用中，和多种网络产品全部有很好兼容性。(2)多种设备应采取功效分担、分布式多处理机结构。关键模块冗余度最少为1+1，易于扩容和维护。答：满足要求。在CheckPoint/CrossbeamX40设备中，各模块功效是分离，每种模块负责其各自功效，然后整个设备经过机架无源背板全交叉总线及Crossbeam专利实时调度操作系统XOS有机集成。同时，在CheckPoint/CrossbeamX40中，针对不一样功效需求，提供了不一样设备模块，包含：网络处理模块NPM、安全应用处理模块APM、管理控制模块CPM等。全部安全技术全部经过一个优异机柜式系统结合在一起，从而消除了对外部交换机、负载均衡器、接头和/或端口镜像需要。经过多个安全技术配置流路径工作能够从一个能为用户带来全方面灵活性图形用户界面（GUI）上轻松完成。这种合并是现在业界最简单、安全而又经济安全防护模式。全部相关模块均可配置为1＋1备份，能够灵活依据功效或性能需求扩展各个模块。(3)卖方提供硬件平台应支持第三方安全设施，应为模块化设计，支持平滑扩展。各模块扩展不影响现有模块业务处理性能和数量。答：满足要求。CheckPoint/Crossbeam设备为模块化设计，可同时提供多个安全应用。设备上安全应用处理模块APM可独立运行不一样安全应用，包含独用防火墙/VPN、虚拟防火墙/VPN、IDS、防病毒、IPS等。多个安全应用处理模块独立并行运行，并由整个系统所统一监控。各模块扩展不影响现有模块业务处理性能和数量。可增加安全应用包含：IDS/IPS虚拟防火墙SSLVPN数据库保护：可对网络内部多种数据库进行保护，包含Oracle、Sybase、DB-II、MS-SQL等。能够审计用户对数据库访问，能够加载对数据库访问安全策略，能够告警等URL过滤XML服务保护防病毒等(4)主控模块能在不中止通信情况下，可带电进行板卡热插拨操作。全部设备模块插板可带电热插拔，全部设备均采取模块化设计，其中每一模块发生故障时均不影响其它设备和其它模块正常运行。答：满足要求。CheckPoint/CrossbeamX40是新一代运行商级安全设备，X40系列平台为全冗余架构，无源背板，全交叉总线，双独立进线电源模块，冗余风扇，冗余网络模块，冗余安全应用模块，冗余管理控制模块，甚至细化到每个网络端口均可定义其备份端口，实现了网络端口冗余，整个设备无单一故障点，能够提供高达99.9999%高可靠性。同时X40设备全部模块均可热插拔。每一模块发生故障时均不影响其它设备和其它模块正常运行。(5)卖方提供设备要选择世界上高质量元器件，生产过程中进行严格质量控制，出厂前要经买方人员严格测试和检验，确保设备长久稳定、可靠地运行答：满足要求。CheckPoint/Crossbeam设备采取世界上高质量元器件，生产过程中进行严格质量控制，出厂前经过严格测试和检验，能够确保设备长久稳定、可靠地运行。承载软件系统应为专用平台，卖方应说明该平台性能。答：满足要求。Crossbeam为专用安全硬件平台，采取经过加固和优化专用操作系统，能够和CheckPoint虚拟防火墙无缝集成，为用户提供安全服务。此次提供CheckPoint/CrossbeamX40最少能够提供4Gbps防火墙数据吞吐率。4.1.2软件(1)软件系统卖方软件应为最新、成熟电信级产品，并应和硬件平台实现无缝衔接；答：满足要求。本项目CheckPoint提供软件为最新、成熟电信级产品，和硬件平台Crossbeam经过兼容性测试，能够实现无缝衔接。卖方在提议书中应具体列出所提供软件清单、版本和说明。答：满足要求。软件版本说明CPPWR-VSX-10NGX虚拟防火墙模块，能够支持10个虚拟防火墙CPPWR-SC-UNGX集中管理服务器软件CPFW-FSS-1NGX单机防火墙以保护集中管理服务器CPIS-IEPS-1000NGX1000用户端许可，能够提供端点PC防火墙，PC入侵防范，PC应用安全，PC间谍软件防范功效CPIS-IAS-1NGX用户端集中管理服务器软件，能够提供多域和层次化管理功效卖方应说明本工程包含分类项目对现网设备操作系统及相关系统软件有何要求，是否需要使用新版本系统软件，若是，应说明新版软件和原使用软件之间异同和兼容程度答：满足要求。本项目提供CheckPoint/Crossbeam设备对现网设备操作系统及相关系统软件无要求。(2)软件模块化结构软件应为模块化设计组成，卖方必需确保任何软件模块维护和更新全部不影响其它软件模块功效，软件含有容错能力。答：满足要求。CheckPoint软件采取结构化和模块化设计，对任何软件模块维护和更新全部不影响其它软件模块功效。软件中有特定进程监控其它进程，如其它进程出现问题，特定进程会自动对其进行修复。(3)故障监视和诊疗软件能立即发觉故障并发出告警，能够自动恢复系统，不影响任何已建立业务连接。答：满足要求。软件中有特定进程监控其它进程，如其它进程出现问题，能立即发觉故障并发出告警，特定进程会自动对其进行修复，不影响任何已建立业务连接。(4)兼容性及升级a.设备不一样时期软件版本应能向下兼容，软件版本易于升级，且在升级后不影响网路性能和运行。答：满足要求。CheckPoint确保软件版本向下兼容，软件版本易于升级，且在升级后不影响网络性能和运行。b.卖方应承诺在供货时提供最新版本软件，但该软件必需是经过测试正式推出，其可靠性、稳定性经过严格验证。答：满足要求。CheckPoint确保供货时提供最新版本软件，提供软件是经过测试正式推出，其可靠性、稳定性经过严格验证。c.软件版本升级时，卖方应承诺无偿更新软件版本，并提供对应新版本软件功效说明书及修改说明书。答：满足要求。本项目技术规范要求提供且买方已经购置软件功效，CheckPoint/Crossbeam承诺无偿软件版本更新，并提供对应新版本软件功效说明书及修改说明书。(5)卖方应说明现在所使用软件实际运行时间。答：满足要求。本项目中CheckPoint提供NGX版本软件为5月公布，CheckPoint将最少在5年内提供对此版本支持，如用户需要，CheckPoint能够帮助用户过渡到最新版本。4.1.3安装材料若设备安装需要特定安装材料、端口连接需要特定连接线缆话，卖方应给予指出并给出配置且包含在设备价格中。答：满足要求。4.1.4备件卖方应依据设备元件质量情况提出备件配置提议。卖方提供设备应是以最少五年使用期设计，卖方要确保不管提供设备是否还生产，在使用期内买方可得到备件。答：满足要求。为确保用户生产网络愈加可靠稳固,我们提议用户可依据情况对关键硬件模块购置一至两套备件.CheckPoint/Crossbeam此次提供设备使用期大于5年,在使用期内可确保用户得到备件(过保修期后需收费).而且将于设备停产前六个月前通知用户.4.2设备系统关键技术指标4.2.1最大位转发率（Maximumbitforwardingrate）位转发率指：特定负载下每秒种防火墙将许可数据流转发至正确目标接口位数。最大位转发率指在不一样负载下反复测量得出位转发率数值集中最大值，使用最大位转发率时应同时说明和之响应负载。卖方应结合买方IP城域网设备性能及网络架构情况，确定并提出防火墙设备标准规范，并具体列出。答：满足要求。本项目提供CheckPoint/Crossbeam设备旁挂在汇聚层设备边，依据河北网通城域网现实状况，我们认为4Gbps防火墙设备能够满足需求。FrameSize(Bytes)641282565121024128015181APMThroughput(Mbps)2924989501,7893,1883,5714,0004.2.2设备功效要求卖方提供设备应提供以下基础安全功效，并就每一项功效具体说明设备支持程度：设备应运行在经固化专用安全操作系统之上，卖方具体说明该操作系统关键安全固化方法。答：满足要求CheckPoint/Crossbeam全系列防火墙均采取独有运行商级安全操作系统XOS。该操作系统专门进行了优化和加固，不仅提升了运行性能，关键是提升了安全性。通常开放操作系统拥有很多网络服务，远程服务，而且可能存在通常见户不知道漏洞，这对防火墙本身安全是很大威胁。XOS操作系统从设计上做了大量安全加强，确保防火墙本身安全。XOS不带有任何无须要2进制代码和库结构，是一个安全紧凑操作系统；XOS操作系统覆盖了已知多种漏洞，而且不停致力于发觉和覆盖新漏洞。设备内部关键技术应采取状态监测技术。答：满足要求CheckPoint/CrossbeamX40防火墙中采取是CheckPoint取得专利第三代防火墙技术状态监测（StatefulInspection）。能够提供更安全特征。状态监测是防火墙第三代关键技术，也是最新防火墙关键技术，最初由CheckPoint发明，并取得美国专利（专利号5,835,726）。状态监测相比于较早包过滤及应用网关方法技术有较大优势，包含更安全，性能更高、扩展性愈加好等。所以，现在，几乎全部防火墙产品均声称自己是状态监测类防火墙，但实际上在实现时有些产品实现不完整。为了提供更强壮安全性，一个防火墙必需跟踪及控制全部通信数据流。和传统包过滤不一样是，状态监测经过分析流入和流出数据流，跟踪数据流状态及上下文，依据会话及应用信息，实时确定针对该数据流安全决议。状态及上下文信息必需包含：数据包头信息（源地址、目标地址、协议、源端口、目标端口、数据包长度）连接状态信息（哪个端口为哪个连接而打开）TCP及IP分片数据（如分片号、序列号）数据包重装，应用类型，上下文确定（如该数据包属于哪个通信会话）防火墙上抵达端口及离开端口第二层信息（如VLANID）数据包抵达及离开时间依据安全策略实施对经过防火墙数据流进行控制，许可经过或采取对应方法。防火墙系统安全规则，每一条表项全部包含条件域、动作域和选项域，当有IP包进入时，系统在安全策略中从第一个表项开始查起，假如符合，就实施该表项指示动作，状态监测技术针对协议，抽取连接状态信息，并建立状态连接表项。当没有一条适宜表项时，系统默认动作是拦截。所提供防火墙模块应支持基于IP地址、组、端口、应用类型、时间等创建安全规则,卖方具体说明其支持程度。答：满足要求CheckPoint/Crossbeam支持基于IP源地址、IP目标地址、用户组、网络组、源端口、目标端口、应用类型、时间、特定防火墙等信息创建安全规则。所提供防火墙模块预定义服务协议数量应大于200个，并说明所支持最大协议数和协议增加方法。答：满足要求CheckPoint/Crossbeam利用StatefulInspection专利技术来确保全部通用Internet服务安全。它支持超出200个预定义应用、服务和协议，包含Web应用，即时消息发送、对等网络应用、VoIP、OracleSQL、RealAudio和多媒体服务（如H.323）、SIP、FTP、ICMP、DNS、Netmeeting等。此次提供防火墙模块，能够支持最大协议数量没有限制，协议增加能够经过用户自定义和购置厂商服务自动升级更新等方法实现。所提供防火墙模块应支持针对Mail，MS-RPC，MS-SQL，P2P等应用层安全控制，并说明怎样控制和所支持应用扩展数量和方法。答：满足要求。CheckPoint/Crossbeam防火墙能够经过应用智能技术对多个应用进行内容检验，包含Mail，MS-RPC，MS-SQL，P2P等应用。应用智能技术经过验证协议是否遵照标准，检验协议是否符合预期使用方法，阻止应用携带有害数据和控制应用层有害操作等四种策略来在正当流量当中检测非法行为，从而确保应用安全。应用扩展支持能够经过用户自定义和购置厂商服务自动升级更新等方法实现。所提供防火墙模块应支持对VoIP保护，支持H.323、SIP、MGCP、SCCP，并说明怎样保护。答：满足要求。CheckPoint/Crossbeam防火墙能够提供对VoIP保护，支持H.323，SIP，MGCP，SCCP。CheckPoint/Crossbeam防火墙能够验证VoIP协议是否符合标准，了解并跟踪VoIP全部通信过程，并依据需要打开相关端口供通信使用，最终在通信结束后自动封闭此端口。同时经过控制部分VoIP通信行为，对基于VoIP攻击进行防范。所提供防火墙模块支持安全规则数目应无限制。答：满足要求。CheckPoint/Crossbeam防火墙支持安全规则数量无限制。所提供防火墙模块应支持安全策略一致性验证。答：满足要求。CheckPoint/Crossbeam防火墙支持规则策略校验，支持规则一致性测试。能够检测反复、错误、冲突规则定义。所提供防火墙模块应含有对DoS攻击防护功效，防火墙应支持SYN网关功效，并请说明。答：满足要求。CheckPoint/Crossbeam防火墙是现在对DOS攻击防范效果最好防火墙之一。能够对包含SYNFlood、PINGofDeath攻击、IPSpoofing攻击等多个DOS攻击有很好防护。其中对SYN攻击含有很好防御功效，提供SYN网关功效。同时系统也提供智能SYN防御功效，当使用此项功效时候，用户不需要对SYN攻击防御选项进行特殊设置，系统会自动监测和识别SYN攻击，而且阻断它们。所提供防火墙模块应含有对其它常见网络和应用层攻击防护能力，并请说明。答：满足要求CheckPoint/Crossbeam防火墙支持网络层到应用层全检测，对常见网络和应用层攻击全部含有防护能力。网络层攻击防范包含TearDrop，pingofdeath等DOS攻击，ping大包，IP分段攻击等针对IP和ICMP攻击，sys攻击，序号攻击等针对TCP攻击，等等。应用层攻击防范包含针对http，ftp，dns，voip，p2p，mail等应用攻击，等等。以上网络层和应用层攻击防护经过防火墙上SmartDefense模块实现。所提供防火墙模块应支持攻击特征库动态更新，并请说明更新方法和是否会中止用户业务。答：满足要求。CheckPoint/Crossbeam防火墙内置防攻击模块—SmartDefense，它攻击特征库支持在线升级。如用户购置了CheckPoint攻击特征库升级服务，管理员能够使用管理用户端自动连接到CheckPoint网站完成更新。更新会先存放于集中管理服务器，在未下发策略时不会影响防火墙实施点，也不会中止用户业务。即使下发策略，因为是针对攻击作出防范，对正常业务不会产生影响。所提供设备系统应可同时运行多个安全应用，包含IDS、防病毒等。未来可经过许可证激活防火墙设备上其它安全应用。答：满足要求CheckPoint/Crossbeam设备除防火墙外能够运行多个安全应用，包含IDS、IPS、网关防病毒、URL过滤、数据库保护等模块。全部这些模块已经内置在设备中，未来能够经过许可证将这些功效激活，便于将于安全应用扩展。设备系统应提供内容过滤功效，能够过滤URL地址、JavaScript、ActiveX控件和Ftp控制命令(get,put)、畸形IP攻击包、ICMP恶意代码包，另外还能设置收件发件人邮件地址过滤和大邮件过滤策略。答：满足要求。CheckPoint/Crossbeam防火墙能够经过其集成内容安全能力使用户免受病毒、恶意Java和ActiveXapplet、畸形IP攻击包、ICMP恶意代码包及不需要Web内容攻击。对于每个经过防火墙安全服务器建立HTTP、SMTP或FTP连接，网络管理员能够更具体地来控制对特定资源访问。比如，访问能够控制到具体Web页面，URL地址及FTP文件和操作（比如，PUT/GET命令）、SMTP专用标题字段等等。可对如e-mail附件大小、文件类型等进行检验，还能够设置收件发件人邮件地址过滤等。同时防火墙还可经过OPSECSDK接口和专门内容过滤系统互动，进行更细致内容检验。设备应支持NAT功效，包含一对一、多对一NAT工作模式。答：满足要求。CheckPoint/Crossbeam防火墙支持动态和静态地址翻译(NAT)功效，而且无数量限制。CheckPoint/Crossbeam防火墙使用强大、易于管理网络地址翻译（NAT）在Internet上隐藏内部网络地址--避免将它们泄漏为公众信息。经过集成StatefulInspection技术，CheckPoint/CrossbeamNAT实现了业界最安全地址翻译，而且它支持范围广泛Internet服务。依据网络管理员在建立对象（如主机、网络和网关）时提供信息，防火墙自动生成静态(一对一)和动态（多对一）翻译规则。设备应支持网络流量监视和CPU负载统计。 答：满足要求。CheckPoint/CrossbeamX40防火墙系统采取专用网络操作系统，提供对系统运行状态和网络流量监控统计分析功效，经过管理界面用户能够对：经过防火墙网络流量进行有效检验和统计防火墙设备本身CPU情况统计和检验经过防火墙审计工具用户还能够对系统其它资源如：内存使用率等多方面内容进行审计。4.2.3设备系统安全管理功效卖方提供设备系统应提供以下安全管理功效：设备应支持专有管理用户端、WEB及命令行管理方法。答：满足要求CheckPoint/CrossbeamX40防火墙系统支持丰富管理和控制功效：基于当地串口命令行管理功效基于网络Web界面管理功效。基于专用GUI管理系统图形化安全管理功效基于通用安全HTTPS、SSH管理功效设备应支持当地管理、远程管理和集中管理。答：满足要求。CheckPoint/Crossbeam设备支持当地管理和远程管理方法。当地管理和远程能够经过WEB界面（经过SSL加密）管理。同时Crossbeam防火墙还支持SSHv1v2，确保了远程管理安全性。经过中央管理服务器SmartCenter能够对防火墙设备进行集中管理。要求使用集中管理软件统一管理全部防火墙（包含虚拟系统），包含策略管理，用户管理，VPN管理，入侵防护管理，攻击防护代码统一升级等。答：满足要求。CheckPoint/Crossbeam防火墙很适合构建分布式用户/服务器安全访问应用控制，能够说，防火墙结构就是以分布式安全控制出发点来进行设计。CheckPoint/Crossbeam产品是三层体系结构：GUI：为用户提供图形化界面，便于配置防火墙策略和对象，上面不存放任何数据。在防火墙许可范围内，可安装于任何一台PC机上。ManagementServer(管理服务器)：用于存放在GUI上定义策略和对象，完成对全部防火墙（包含虚拟系统）统一管理，包含策略管理，用户管理，VPN管理，入侵防护管理，攻击防护代码统一升级等。当安全策略下发时，管理服务器将策略编译后推到各个防火墙上。同时管理服务器可用来察看实施模块状态信息，并存放实施模块生成日志。EnforcementModule（实施模块）：用于数据包过滤，决定数据包通行、阻断、转发。全部防火墙安全策略能够由管理服务器进行集中化定制，对每个防火墙能够定义不一样策略文件。各个模块之间通信使用SSL进行加密。为便于管理，我们提议在此次项目中采取集中化管理标准布署防火墙产品。即全部防火墙全部可在网管中心对其进行集中化安全管理，统一配置安全策略，这么带来优点：实现了对各业务安全集中化管理，减小网络整体存在安全漏洞可能性，同时顺应了业务集中趋势，减小了各部门对安全方面管理支出。设备应支持管理员基于角色管理。答：满足要求。CheckPoint/Crossbeam对防火墙管理员权限能够分为多个定义，包含可写、只读、用户自定义。在用户自定义中能够灵活定义用户对防火墙各个模块权限，比如：用户只能修改日志而不能修改策略。设备应支持管理员使用数字证书作为认证方法以提升安全性。答：满足要求。CheckPoint/Crossbeam设备管理服务器中内置CA，全部防火墙功效模块均可经过该证书进行认证。对于管理员，能够使用基于X.509数字证书，进行登录认证，极大提升了安全性。4.2.4设备日志、报警和报表功效卖方提供设备系统应提供以下日志、报警和报表功效：所提供防火墙模块应该含有内置日志服务器，能够提供实时和历史日志答：满足要求。CheckPoint/Crossbeam内置日志服务器，能够提供实时和历史统计。同时可将日志导向其它日志服务器。设备应支持丰富日志域，支持超出60种以上日志域答：满足要求CheckPoint/Crossbeam经过日志查看器Smartviewtracker模块用来察看日志，可察看日志字段超出60种以上，并能够灵活定义过滤条件。设备应支持日志当地统计，防火墙模块应有40G以上内置硬盘，并说明是否支持异地或外部统计方法。答：满足要求CheckPoint/Crossbeam支持日志当地统计，X系列产品全部有80G以上内置硬盘。能够设定防火墙模块在当地统计日志同时，实时或定时将日志发送到集中管理服务器或异地其它日志服务器。能够提供日志输出接口，供第三方接收防火墙日志。设备应支持SYSLOG功效。答：满足要求CheckPoint/Crossbeam支持标准SYSLOG，同时设备上有单独日志端口，可将日志导向第三方Log服务器。设备应支持日志过滤功效。答：满足要求经过SmartViewtracker功效模块，能够灵活进行日志过滤，可按特定字段进行过滤，也可进行不一样字段组合过滤。设备应支持管理员日志及对管理员审计。答：满足要求CheckPoint/Crossbeam内置日志服务器除统计历史统计外，还统计实时连接和管理员审计日志，管理员对防火墙所做操作（如修改对象和策略）均被统计。设备应提供和第三方日志审计工具接口答：满足要求。能够经过OPSEC和第三方审计工具进行互动，提供日志输出接口LEA（logexportAPI）。设备应提供实时告警功效，对防火墙本身或受保护网段非法攻击支持多个告警方法如SNMP告警、E-mail告警、日志告警等等。答：满足要求。CheckPoint/Crossbeam防火墙系统能够对多个网络事件进行告警功效，用户能够根据需要对指定网络行为进行警告设置，当这些事件发生时候，系统能够经过SNMP，E-mail,日志等多个方法进行告警。设备应提供SNMPTrap、E-Mail、Alarm、LOG、自定义等方法报警功效支持。答：满足要求CheckPoint/Crossbeam防火墙支持多个告警方法如SNMP告警、EmailL告警、日志告警、用户自定义程序告警等等。经过用户自定义方法，在X40防火墙上还可实现愈加灵活报警方法，如寻呼机、QQ等。设备应提供内置报表工具对日志作统计分析答：满足要求。CheckPoint/Crossbeam防火墙组件EventiaReporter提供日志分析和统计，并可依据用户定义时间，内容，生成数据表格、图形汇报。4.2.5设备可扩展性要求（1）设备应可经过增加模块方法提供更多网络端口，卖方应具体说明设备可提供网络端口扩展模块。答：满足要求。CheckPoint/Crossbeam设备可经过增加网络模块NPM方法增加设备上网络端口。现在，X40可提供网络模块包含8个千兆端口（铜缆、单模光纤、多模光纤可选）及16个百兆接口模块。设备应可经过增加模块方法提升投标设备性能，卖方应具体说明设备可提供扩展模块信息。答：满足要求。CheckPoint/CrossbeamX40性能能够伴随需求增加而扩展，能够经过增加APM模块来提升X40整体设备处理能力，新增加APM模块可自动和原有APM模块工作于自动负载均衡模式。每块APM模块可提供4Gbps防火墙吞吐能力、每秒30,000新建连接数和50万最大并发连接数。每增加一块APM模块，其设备整体性能，包含吞吐量、并发连接数、每秒新建连接数等，近似于线性增加，这么，经过简单增加APM模块到现有X40设备上，就可提升X40设备处理能力。而对性能增加，实施也很简单。只需要增加一块APM模块，插入到现有X40设备中即可，对网络中其它设备，完全不需要改变。设备应可经过增加模块方法，在投标设备上增加新安全功效，卖方应具体说明怎样在投标设备上增加新安全功效。这些安全功效将包含IDS、IPS、SSLVPN、防病毒URL过滤、XML应用保护等。答：满足要求CheckPoint/Crossbeam设备网络处理、安全应用、管理功效均以模块方法工作，假如增加新安全应用，只需要增加APM模块即可。全部APM硬件均相同，由控制模块来定义APM功效，激活安全应用License即可，现在支持关键安全功效包含：IDS、IPS、SSLVPN、防病毒、URL过滤、XML应用、数据库保护。设备增加新安全应用功效时，必需基础不影响原有设备模块性能功效和。卖方应具体说明这一要求实现方法。答：满足要求。CheckPoint/CrossbeamX40上，全部新增加模块全部有独立处理能力，将不会影响原有防火墙及虚拟防火墙性能。在每个模块上全部有独立中央处理器、内存、总线、操作系统等。全部APM配置均相同。APM提供高性能安全应用处理。硬件模块均可进行热插拔。同时可将安全应用定义为不一样逻辑组，在增加安全应用时，数据流会自动负载均衡到新模块上，原有通信和会话不会丢失。4.2.6高可用性及高可靠性要求卖方提供设备系统应提供高可用性支持，具体要求为：设备应支持高可用性配置，提供双机热备功效，卖方应具体说明双机热备实现方法。答：满足要求CheckPoint/CrossbeamX40能够经过4种方法提供防火墙高可靠性HA：标准VRRP协议（RFC2338）动态路由协议四层交换机ClusterXL技术设备应有专用高可用性心跳端口。答：满足要求。CheckPoint/Crossbeam在CPM（控制模块）上有专用高可用性心跳端口，经过该端口能够在多台设备间监测相互状态，为最大程度确保高可靠性，在设备上还可定义多个端口为心跳端口。设备应支持含有运行商级设备高可靠性，包含冗余电源、冗余风扇、冗余模块、冗余网络接口等。卖方应具体说明所提供设备本身其它冗余配置特征。答：满足要求。CheckPoint/CrossbeamX40设备提供SBHA单机高可用性（SingleBoxHighAvailability）功效特征，即在一台X设备上，全部系统部件均可提供备份，包含：冗余数据交换(多NPM)冗余控制管理(双CPM)冗余存放冗余网络处理器（网络端口-端口备份）冗余安全应用处理模块(多个APM)模块N+1备份冗余电源（可提供2个独立电源）设备应支持单机高可用性技术，即在单台设备上，可提供防火墙等安全应用高可用性及负载均衡技术。卖方应具体说明所提供设备单机高可用性技术实现方法。答：满足要求。在X系统中，可安装多个APM模块运行同一安全应用，实现安全应用负载均衡。X系统控制模块CPM实时监控每块APM健康情况，包含APM上面运行应用、CPU负载情况、内存使用情况等。这些信息被实时反应在X系统数据转发表中。而网络处理模块NPM就是依据这张表中信息，确定转发数据到某安全应用具体哪一块APM上。这么就实现了安全应用负载均衡，而并不需要额外网络资源，也不需要该安全应用本身支持负载均衡功效或HA功效，也并不消耗APM任何资源。能够对防火墙应用进行负载均衡，也可对防病毒应用进行负载均衡，对IDS/IPS、邮件安全、内网安全等，全部是一样可实现负载均衡。在X系列上，安全应用处理模块APM模块是完全相同。每块APM均可运行不一样安全应用。多种安全引擎已经被预先装在了X设备系统中，在系统控制下，APM在不一样时间可运行不一样安全应用。这一特征可带来很大系统灵活性及可靠性。在可靠性方面，可实现独有“N+1”备份技术。见下图示例。在这张图经典配置下，我们在X设备中配置了3块APM作为防火墙，另3块APM作为IDS，均是负载均衡状态，共6块APM模块。这时，我们可另配置1块APM模块，作为这6块APM模块备份模块，而不需要每种应用全部配置备份模块。即“N+1”备份。“N+1”假设IDS负载均衡组中某APM模块出现故障，这时，首先，NPM将立即将这块APM处理任务转发到另2块IDSAPM处理；然后，CPM将备份APMIDS功效经过license激活，备份APM这时就变成了IDS负载均衡组中一块APM，NPM也开始转发IDS处理数据流量给这块APM。“N+1”另外，该特征还可实现在不一样时间APM运行不一样安全应用。可依据在不一样时间数据流量不一样特点灵活配置各APM使用。如，在晚上，当WEB访问流量较多时，而邮件相对较少，我们这时可配置系统在晚上把一些或某个邮件保护APM模块切换成URL过滤模块。这可实现系统很高灵活性。4.2.7VPN功效支持卖方提供设备应提供VPN功效支持，基础要求包含：提供防火墙应含有虚拟专用网（VPN）功效，能够实现网关到网关和用户端到网关两种方法。应支持IPSECVPN功效。答：满足要求。CheckPoint/Crossbeam防火墙集成了访问控制、认证和加密以确保网络连接安全性、当地和远程用户可靠性和数据通信私有性和完整性。现在能够实现三种协议VPN，包含IPSec、L2TP、SSL。其中IPSec支持多个VPN模式，关键包含：(1)Site-to-site关键用于网络和网络之间进行VPN连接，常见于和合作企业、第三方伙伴之间连接。在site-to-siteVPN当中，又可细分为两种结构：Starmode(星状结构)：星状结构中全部VPN设备汇聚于中心VPN设备中，各个VPN设备之间VPN建立，需要先和中心VPN建立通道，由中心VPN设备进行VPN路由。星状结构常见于总部和各分支机构之间实现VPN。Meshedmode(网状结构)：网状结构中全部VPN设备之间直接相连，相互之间建立起VPN通道，不存在中心VPN设备。(2)Client-to-site用于移动用户接入，用户在机器上安装了用户端软件后，可经过拔号、ADSL、宽带等方法和企业之间防火墙建立起VPN通道。提供防火墙支持全网状或星形VPN拓扑，并支持VPN路由功效答：满足要求CheckPoint/Corssbeam防火墙支持全网状或星形VPN拓扑，并支持VPN路由功效。提供防火墙拥有内置CA答：满足要求CheckPoint/Crossbeam防火墙内置CA。设备应支持AES,3DES,DES等加密算法和MD5，SHA1等验证算法。答：满足要求。CheckPoint/Crossbeam设备支持AES,3DES,DES等加密算法和MD5，SHA1等验证算法4.2.8兼容性要求卖方提供设备应能够和OPSEC组织第三方安全产品进行很好联动，最大程度提升整个系统安全性，请具体说明兼容关键产品。答：满足要求CheckPoint和Crossbeam是OPSEC关键组员，X40防火墙系统能够支持全部OPSEC组员安全产品，其中包含：入侵检测，防病毒，内容过滤等多个安全产品联动。如在IDS/IPS方面能够和ISS、SourceFire等厂商产品合作；在防病毒方面能够和趋势科技产品合作；在邮件过滤上能够同趋势科技和Aladdin产品合作；在URL过滤上能够和websense、smartfilter产品合作。卖方应具体说明所提供设备对其它厂商产品（包含网络设备、主机系统）互连互通能力。答：满足要求支持全部主流网络设备、关键系统厂家。4.3环境要求设备要在下列环境下能够确保长久正常工作：环境温度：5℃～相对湿度：30％～80％卖方应说明设备升级前后对环境要求是否有改变。答：满足要求。设备升级前后对环境要求无改变。4.4电源要求设备应能在下列供电改变范围内正常工作：直流：－40V～－57V；交流：～220V10％，50Hz5％。卖方应说明设备升级前后对电源要求是否有改变。本工程提供供电方法为直流。答：满足要求。设备升级前后对电源要求无改变。此次提供设备能够依据用户要求选配直流或交流电源。5.2配置要求卖方应根据各附表设备配置要求进行设备配置，给出设备配置说明(解释各项配置组成说明和作用)。答：满足要求。集中管理服务器配置产品软件/硬件说明CPPWR-SC-U软件集中管理服务器软件CPFW-FSS-1软件单机防火墙以保护集中管理服务器PC服务器硬件作为集中管理服务器软件承载平台，提议使用至强CPU，4G内存，100G以上硬盘可管理安全服务设备配置产品软件/硬件说明CPPWR-VSX-10软件虚拟防火墙模块，能够支持10个虚拟防火墙CrossbeamX40硬件由以下四个部分组成X40-DCX40DC机架,双电源.能够支持2个NPM,10个APM,2个CPMs.CPM-8100-80GCPM控制处理模块(ControlProcessingModule)NPM-8200-8G网络处理模块.带8个千兆接口APM-8400-1P4-1G应用处理模块.APM-8400.4Gbps防火墙吞吐量端点安全服务器配置产品软件/硬件说明CPIS-IAS-1软件用户端集中管理服务器软件，能够提供多域和层次化管理功效CPIS-IEPS-1000软件用户端许可，能够提供PC防火墙，PC入侵防范，PC应用安全，PC间谍软件防范功效PC服务器硬件作为用户端集中管理服务器软件承载平台，提议使用双至强CPU2.0Ghz以上，4G内存，100G以上硬盘卖方全部配置方案应确保设备运行所必需提供电源模块、主控模块等关键部件冗余配置并对模块进行单独报价和说明。答：满足要求。卖方能够提出多个配置方案和对应报价供买方参考，具体选择由买方确定，卖方应确保多种优惠条件和价格折扣保持不变。答：满足要求。卖方应依据配置要求，结合现有网络设备配置情况作出对应位置安排(包含割接过渡状态)，并分析对割接是否有影响。答：满足要求。因为是旁挂布署，割接时对目前网络无影响。卖方应确保设备配置品种、数量正确无误，确保工程准期顺利进行，如有错漏，由卖方无偿补足。答：满足要求。卖方在本工程新增设备保修期外可应买方要求以不高于此次实际成交价提供备件。答：满足要求。若买方最终确定设备配置内容和数量有所改变，卖方应确保多种优惠条件和价格折扣保持不变。答：满足要求。第二章.总体技术方案提议书2.1序言2.1.1背景伴随计算机网络发展，其开放性，共享性，互连程度扩大，网络关键性和对社会影响也越来越大。城域网作为城市关键数据业务承载网络，尤其是电子商务（E-Commerce）、企业数据专线、网络互联、虚拟专用网（VPN）、Internet接入服务等应用在社会经济生活地位日益凸现。网络安全性直接影响到社会经济效益。比如，1月份SQL杀手蠕虫事件，中国有两万多台数据库服务器受到影响，使中国关键骨干网全部处于瘫痪或半瘫痪状态；8月份冲击波蠕虫，使成千上万用户计算机变慢，被感染计算机反复重启，有还造成了系统瓦解，受到“冲击波”病毒感染计算机反过来又会影响到网络正常运行。伴随网络安全问题关键性增加，怎样确保城域网安全，应对日益增多网络攻击、病毒破坏和黑客入侵等问题已成为城域网建设和运行所关注关键。方案组成本方案是针对中国网通河北IP城域网扩建一期工程可管理安全服务设备项目而提出网络安全处理方案，目前阶段集中在CheckPoint/Crossbeam防火墙布署和CheckPointIntegrity端点安全布署技术方案，可针对系统安全访问控制、网络攻击、蠕虫传输等方面提供对应防范。我们有理由相信，有了我们构建优异网络安全系统，加之我们为您奉上全方位周到服务，您网络一定会变得安全而高效，您事业也一定会所以而取得巨大成功。2.2河北网通IP城域网扩建一期工程可管理安全服务设备项目方案提议2.2.1城域网安全分析2.2.1（1）网络结构河北省共有11个地市,现在IP骨干网以石家庄和唐山为双关键，各2台思科企业GSR12816，分别经过2.5GPOS链路连接其它9个地市GSR1和GSR1上，各地市思科企业GSR路由器作为各自IP城域网和IP骨干网接口，和集团IP网经过4条10GPOS互连。各市分企业城域网建设在规模和业务发展水平上略有不一样，但从物理结构看，从上到下分为三层：关键层、汇聚层和接入层。网络构架大致相同，其中：关键层：大型网络通常由3-4个关键节点、中小型网络通常采取2-3个关键节点经GE链路以网状或半网状结构组成。汇聚层网络由宽带接入服务器和汇聚层交换机组成。宽带接入服务器布放置汇聚层端局，汇聚层交换机覆盖全省全部县局和市内端局。关键层关键实现业务量快速转发，含有较强路由控制；汇聚层关键进行大量接入层设备汇聚收敛；接入层关键以ADSL和小区以太网为主，扩大业务覆盖范围。接入层设备以二层或三层方法上连到汇聚层。假如接入层设备有路由功效，则汇聚层交换机和这些接入层设备之间跑三层，运行静态路由协议，用户网关在接入层设备上。如接入层二层交换机需要接入两个或两个以上VLAN时，以802.1QTRUNK方法上连汇聚层交换机，用户网关在汇聚层设备上。IPDSLAM以802.1QTRUNK方法上连汇聚层交换机，一个VLAN用于PPPoE用户VLAN穿透，另一个VLAN用于和汇聚层交换机直接运行静态路由协议。（2）网络业务IP网业务现在关键能够分为：互联网访问(关键经过XDSL、光纤＋LAN接入);IPVPN，VLANVPN(关键经过光纤＋LAN接入);VPDN(关键经过NAS或XDSL接入);MPLSVPN(关键经过光纤＋LAN、和ADSL接入);当地VoD服务(关键经过IDC机房接入交换机);当地游戏服务(关键经过IDC机房接入交换机);省企业IDC业务;未来可能承载业务包含：VoIP语音服务、IP/TV视频服务、3G、NGN等其它业务。2.2.1对于网络运行商而言，城域网包含基础承载网络和业务管理平台。城域承载网是城域网业务接入、汇聚和交换物理关键网，它由关键交换层、汇聚层、综合接入层组成。业务管理平台由业务支撑平台、网管平台、认证计费平台等组成。

安全模型将城域网分成三个区域：信任域、非信任域和隔离区域。信任域是运行商基础网络，通常采取防火墙等设备和电信业务网隔离，包含网管平台、智能业务平台、认证平台等设备；隔离区域是信任域和非信任域之间进行数据交互平台，包含电信运行商提供多种业务平台，如Web服务平台、FTP服务器、用户查询平台、Mail服务器等；非信任域是运行商面对用户基础网络，它直接提供用户接入和业务，同时也是Internet网络一部分，包含基础用户接入、数据交换、媒体网关等设备，是运行商不能完全控制网络。非信任域基础网络是信息传输基础，在城域网中起着至关关键作用，作为安全模型中非信任域，需要关键考虑。（1）安全威胁（A）网外黑客对网内服务器，用户和设备攻击（B）网内染毒用户，病毒爆发带来带宽占用，多种DDoS攻击造成网络全方面或局部业务瘫痪（C）运行商关键信息窃取和篡改（2）脆弱性（A）网络规模大，用户数量多，设备多样复杂（B）用户行为几乎不可控（C）网络主体信任度低

（3）影响（A）城域网运行业务，影响大（B）全部城域网用户群，影响面广2.2.2本期实现对河北网通IP城域网面向用户可管理安全服务支撑，其关键对象是大、中用户和有安全需求终端用户。应实现基础基于应用状态检测过滤等功效。并基于此构建IP网安全策略，为以后拓展为面向公众系统化安全平台奠定基础。应实现IP网络框架中智能业务网络要求安全功效。应是电信运行级可管理安全平台系统。2.2.3鉴于安全系统关键作用，网络系统设计必需既适应该前应用，又面向未来信息化发展需求。在设计网络技术方案时，遵照以下设计标准：实用性和优异性：采取目前最优异计算机、通信、网络和安全技术，切实确保系统结构和性能优异性、技术领先性，采取成熟技术满足目前业务需求，兼顾其它相关业务需求，并含有良好发展潜力，以适应未来业务发展和技术升级需要。安全可靠性：为确保未来业务应用，系统必需含有高可靠性。在采取硬件备份、冗余等可靠性技术基础上，采取相关软件技术提供较强管理机制、控制手段、事故监控和网络安全保密等技术方法提升网络系统安全可靠性。灵活性和可扩展性：安全系统是一个不停发展系统，所以必需含有良好扩展性。该系统应和原有系统有机结合，并深入成为系统改造、扩展有效基础，能够依据未来信息化建设不停深入发展需要，扩大网络容量和提升网络各层次节点功效，提供技术升级、设备更新灵活性。开放性/互连性：含有和多个协议计算机通信网络互连互通特征，确保网络系统基础设施作用能够充足发挥。在结构上真正实现开放，基于国际开放式标准，坚持全国统一规范标准，从而为未来业务发展奠定基础。经济性/投资保护：应以较高性能价格比构建安全系统，使资金产出投入比达成最大值。能以较低成本、较少人员投入来维持系统运转，提供高效能和高效益。尽可能保留并延长已经有系统投资，充足利用以往在资金和技术方面投入。可管理性：因为系统本身含有一定复杂性，伴随业务不停发展，安全管理任务肯定会日益繁重。所以在网络设计中，必需建立一个全方面网络安全管了处理方案。安全设备必需采取智能化，可管理设备，同时采取优异管理软件，实现优异分布式管理。最终能够监控、监测整个网络运行情况，合理分配网络资源、动态配置网络负载、快速确定网络故障等。易用性:系统在使用上应尽可能简便。2.2.4本方案选择CheckPoint/Crossbeam产品，因为：能够提供端到端安全处理方案，提供灵活体系结构支持最新安全技术全球市场领导者：36%防火墙市场分额(FrostandSullivan，年4月)提供一整套安全处理方案，并把她们纳入到统一安全架构中安全机制开放框架—“开放安全平台”有全球300多家合作伙伴，紧密集成达成互操作关键技术采取真正状态监测技术提供业界最优异集中管理功效，中央基于策略管理简单易用。日志和审计功效强大而简便易用冗余电源、热插拔接口卡提供电信级高可靠性、高稳定性经过专利X-Stream提供业界一流高可靠性和灵活性使用XOS安全路由操作系统，是现在业界安全漏洞最少操作系统之一，并专门为安全应用设计优化业界领先防火墙性能，并支持硬件VPN加速广泛接口模块选择、良好可扩展性操作系统专门为IP路由和转发进行优化，含有强大路由能力，支持丰富路由功效和协议运行级可靠性，在单台设备中即可达成99.9999%可靠性2.2.5可管理安全服务设备布署依据本期工程建设目标，我们设计安全方案关键在于安全机制建立和差异化业务提供。经过布署安全产品，在城域网中建立安全机制，增加业务感知能力，提供在必需时控制手段。我们从两个方面进行考虑。首先，运行商80%收入来自于20%关键用户。怎样保障关键用户安全，为其提供愈加好服务，从而使关键用户放心将关键应用经过城域网承载，进而增加运行商收入，这是一个对运行商来说很关键问题。其次，最终用户不可控，这是城域网所面正确一个挑战。只有确保了终端用户安全，才能在很大程度上缓解城域网安全威胁。所实施安全方案应含有投入合理，易于管理，能够同时结合多个安全防护手段等特点。方案一：为关键用户提供管理安全服务

在关键用户接入汇聚层设备上并联能够提供虚拟防火墙功效CheckPoint/Crossbeam安全设备。

选择布署防火墙，因为防火墙是网络安全架构基础。在ISO/IEC18028-2网络安全架构描述中，提出了10种安全控制手段，其中访问控制被列在第一位，由此能够看到访问控制关键性。而防火墙恰好是进行访问控制工具。防火墙就好比是家中入户门，尽管能够有其它安全手段，如窗户上加装防护栏，安装摄像头等，但假如没有入户门，任何人均可随意出入，那么其它控制手段形同虚设。在网络中也是如此，能够布署防病毒，IDS，但假如没有防火墙，资源能够被任意访问，资产仍是无法得到保护。所以此次先布署防火墙，以后在此基础上，能够布署其它安全控制手段。防火墙能够布署在用户端也能够布署在服务供给商一侧。如布署在用户端，设备数量会很多，投入巨大，且因为设备分散，管理起来也不方便。布署在服务供给商一侧，管理方便。因为此次推荐设备支持虚拟防火墙技术，能够在一个硬件平台上虚拟出多个防火墙，每个虚拟防火墙能够为一个或多个用户提供安全服务。这么能够节省设备成本，并尽可能多为汇聚到此点关键接入用户提供服务。

在技术实现上，首先由汇聚层设备依据源地址区分用户是否需要安全保护，无需保护用户直接到关键层，需要保护用户转发到能够提供虚拟防火墙功效安全设备，和某一个虚拟防火墙关联，由防火墙提供安全保护。防火墙不仅要能对关键用户数据网络层和传输层进行保护，更关键是能够在应用层为用户提供安全屏障，防范最新攻击，从而降低存在于城域网安全威胁，使用户能够安心在城域网上开展业务。因为在一个点能够为很多用户提供安全保护，运行商在这里还能够提供其它部分安全增值服务，比如URL过滤，针对特定用户防病毒，报表统计等。因为在城域网范围内这么点可能很多，采取安全产品一定要含有中央管理功效，包含集中策略管理，集中日志分析，集中报表生成，集中攻击代码升级等，这么才能最大程度降低管理员工作量，从而提升可靠性。

(1)网络拓扑

（2）非关键用户访问互联网步骤

步骤1：用户A数据包经过接入层设备抵达汇聚层设备A

步骤2：汇聚层设备A进行策略路由选择，判定用户A为非关键用户，数据包不会被送到并联安全设备，根据原来工作方法处理

步骤3：汇聚层设备A将用户A数据包送往关键层设备A

返回数据根据原来工作方法处理

针对这类用户处理和未连接安全设备之前一致，安全设备对这类用户不起作用。

（3）选择安全服务关键用户访问互联网步骤

步骤1：用户B数据包经过接入层设备抵达汇聚层设备A

步骤2：汇聚层设备A进行策略路由选择，判定用户B为关键用户

步骤3：汇聚层设备A将用户B数据包送往安全设备

步骤4：安全设备将数据包送往对应虚拟防火墙进行访问控制，攻击防护

步骤5：安全设备将数据包送回汇聚层设备A（安全设备路由下一跳为关键层设备A）

步骤6：汇聚层设备A将数据包经过物理链路发送到关键层设备A

用户B返回数据包需要在关键层设备A上添加静态路由，指向安全设备

如安全设备出现故障，旁路安全设备只需在汇聚层设备A上去除策略路由，在关键层设备A上去除指向安全设备静态路由。

针对这类用户能够经过安全设备提供安全增值服务，包含访问控制，入侵检测和防范，日志分析，报表，防病毒，URL过滤等。一些使用MPLS用户需要访问互联网，传统方法是在每一个用户网络出口放置防火墙，这么做防火墙数量会很多，投入大，因为地点分散，安全管理复杂度增大。提议能够在某一个PE上并联能够提供虚拟防火墙功效安全设备。需要支持虚拟防火墙技术，关键能够节省设备成本，并尽可能多为用户提供服务。在技术实现上，需要此种服务用户经过MPLS和连接有安全设备PE相连。连接有安全设备PE将MPLS包解除标签，还原数据包被送到能够提供虚拟防火墙功效安全设备（相当于CE），和某一个虚拟防火墙关联，由防火墙提供安全保护。防火墙不仅要能对关键用户数据网络层和传输层进行保护，更关键是能够在应用层对用户提供安全屏障，防范最新安全威胁。因为在一个点能够为很多用户提供安全保护，运行商在这里还能够提供其它部分安全服务，比如URL过滤，针对特定用户防病毒，报表统计等。采取安全产品一定要含有中央管理功效，包含集中策略管理，集中日志分析，集中报表生成，集中攻击代码升级等，这么才能最大程度降低管理员工作量，从而提升可靠性。

（1）MPLS用户内部访问

步骤1：用户A场点1要访问场点2，经过CE-1连接到PE-1

步骤2：数据经过MPLS隧道从PE-1抵达PE-2

步骤3：经过CE-2抵达场点2

此种应用和安全设备无关

（2）MPLS用户需要访问互联网

步骤1：用户A从场点1访问互联网，首先抵达PE-1

步骤2：数据包经过MPLS隧道从PE-1抵达连接有安全设备PE-2

步骤3：PE-2将MPLS包解除标签

步骤4：PE-2将还原包送给安全设备（相当于CE）

步骤5：安全设备将数据包关联到相关虚拟防火墙

步骤6：虚拟防火墙将数据包作地址转换送到关键层设备访问互联网，本图中经过汇聚层设备PE-2上联

步骤7：汇聚层设备PE-2将数据包送到关键层设备

返回数据包需要在关键层设备A上添加静态路由，指向安全设备

方案三为终端用户提供管理安全服务最终用户不可控，这是城域网所面正确一个挑战。只有确保了终端用户安全，才能在很大程度上缓解城域网安全威胁。在此提供一个方案提议，运行商能够为愿意享受安全服务最终用户提供端点安全产品下载，一旦用户下载了端点安全产品，能够享受到端点安全保护，包含访问控制，应用控制，间谍软件防护等安全保护。安全策略由运行商制订，安全升级由运行商提供。用户得到了安全保护，运行商取得了收入，控制了终端，净化了网络流量，同时能够吸引更多用户使用网络。端点安全产品布署

步骤1：用户从运行商购置服务并下载用户端软件

步骤2：用户连接到运行商网络，经过认证

步骤3：运行商认证服务器识别用户，如用户为购置安全服务用户，则经过接入设备分配特定IP地址

步骤4：端点安全中央管理服务器针对特定用户IP部属安全策略，提供安全防护，攻击防护，间谍软件防护，保护用户端

此种布署，能够保护用户端安全，同时能够在必需时对用户端一些应用进行限制，从而保护运行商网络。2.2.6运行商管理着大量设备，假如没有统一集中安全管理，就无法立即了解网络运行情况，并立即应对突发事件。本方案推荐CheckPoint/Crossbeam产品含有统一集中安全管理能力，采取三层管理构架，最下面是安全实施点（设备），中间是管理服务器，最上面是管理用户端。管理员能够经过管理用户端在管理服务器上制订安全策略，统一下发到各个实施点，从而确保了各个实施点安全策略一致性，同时此种方法也能够避免单点管理带给管理员管理负担。CheckPoint所追求就是简单安全管理，为此它推出了集中化管理界面，远程许可证管理工具，一键VPN技术等等，全部这些全部是为了简化操作，降低误操作几率，节省人力和物力。同时此种集中管理方法对于安全应变能力更强。比如管理员同时管理10台防火墙，假如已经知道一些蠕虫将入侵网络，在CheckPoint管理体系中，只需制订一条安全策略，然后同时下发给10台防火墙就能够了；而在单点管理管理体系中，必需一台一台修改策略，可能在改到第五台时，第六台以后防火墙已经被突破了，从而造成用户损失。CheckPoint能够提供统一安全架构，所以CheckPoint端点安全服务器也能够经过防火墙集中管理服务器来管理。2.2.7（1）资金投入小

防火墙能够布署在用户端也能够布署在服务供给商一侧。如布署在用户端，设备数量会很多，投入巨大，且因为设备分散，管理起来也不方便。布署在服务供给商一侧，管理方便。因为此次推荐设备支持虚拟防火墙技术，能够在一个硬件平台上虚拟出多个防火墙，每个虚拟防火墙能够为一个或多个用户提供安全服务。这么能够节省设备成本，并尽可能多为汇聚到此点关键接入用户提供服务。（2）安全性高

此次推荐CheckPoint防火墙是全球市场拥有率最高防火墙产品，它采取了很多拥有专利安全技术，能够最大程度保护网络资源。

状态监测技术

从技术发展角度来讲，防火墙历经了三代。第一代为包过滤防火墙，优点是速度快，价格廉价，因为路由器经过访问控制列表即可实现相关功效；缺点是只能检验到网络层以下，没有应用层感知，安全性较差。第二代防火墙为应用级网关，优点是安全性好，对数据包要拆开七层进行检验；缺点是性能差和扩展性差。第三代防火墙为采取状态监测技术防火墙，它对数据报检验，不仅基于目前连接，还要考虑以前连接和得自于应用信息，依据上下文关系，来做出综合判定，从而确保安全性。状态监测模块在协议堆栈底层，操作系统内核之中，所以伸缩性强，而且速度快。在当今市场上，超出90%防火墙声称自己采取了状态监测技术，由此可见，此项技术为最主流防火墙技术。状态监测技术是CheckPoint发明，至今仍持有此项技术专利。

应用智能技术

大部分防火墙提供了有效访问控制，不过仍有很多还不能支持应用级攻击检测和阻隔。认识到这个事实后，电脑黑客们现在将她们目标直指应用程序。今天，互联网环境中部分最严重威胁来自于那些利用已知应用程序缺点攻击。黑客们最感爱好是像HTTP（TCP端口80）和HTTPS（TCP端口443）这么服务，通常这些服务在很多网络中是开放。访问控制装置不能轻易检测到面向这些服务恶意使用。经过直接面向应用程序，黑客们试图取得最少以下一个恶意目标，包含：

•拒绝对正当用户服务（DoS攻击）

•取得对服务器或用户端管理访问权

•取得对后端信息数据库访问权

•安装特洛伊木马软件，可绕过安全保护并能够对应用程序进行访问

•在服务器上安装运行于“sniffer（网络探针）”模式软件，并获取用户名和密码

因为基于应用攻击本身很复杂，有效防卫必需也一样复杂和智能。为了处理基于应用攻击日益增强威胁，企业防火墙必需包含高等级多层安全防护。这种多层安全网关应该预防网络及应用攻击，同时提供对IT资源强大访问控制。CheckPointApplicationIntelligence™（应用智能）是一组高级功效，能够检测和阻止应用级攻击

（3）集中安全管理

本方案推荐CheckPoint/Crossbeam产品含有统一集中安全管理能力，采取三层管理构架，最下面是安全实施点（设备），中间是管理服务器，最上面是管理用户端。管理员能够经过管理用户端在管理服务器上制订安全策略，统一下发到各个实施点，从而确保了各个实施点安全策略一致性，此种方法也能够避免单点管理带给管理员管理负担。同时此种集中管理方法能够对安全事件作出快速响应，加强运行商对网络安全控制能力。因为CheckPoint能够提供统一安全架构，所以CheckPoint端点安全服务器也能够经过防火墙集中管理服务器来管理。

（4）高可靠性和高可用性CheckPoint/Crossbeam提供是新一代运行商级安全设备，X系列平台为全冗余架构，无源背板，全交叉总线，最多4个独立进线电源模块，冗余风扇，冗余网络模块，冗余安全应用模块，冗余管理控制模块，甚至细化到每个网络端口均可定义其备份端口，实现了网络端口冗余，整个设备无单一故障点，能够提供高达99.9999%高可靠性。同时X系列设备全部模块均可热插拔。X系列设备除了可提供传统双机热备功效外，还提供独有“单机高可用性”技术，即在单台X设备上，可提供极高可用性，整个设备无单一故障点，包含电源、风扇、全部模块、网络端口、内部操作系统、内部应用系统等，全部有备份，可用做到6个9高可用（5）能够提供多个安全增值服务在CheckPoint/CrossbeamX系列设备上，可同时运行多个安全应用，包含：防火墙：虚拟防火墙：IDS/IPS数据库保护：其它还有防病毒、URL过滤等。未来新出现安全需求，也可简单经过增加模块实现。此种设计很便于服务供给商依据用户需求不停增加新业务，从而增加收入。（6）良好适应性和扩展性此次推荐方案中将CheckPoint/Crossbeam设备旁挂在汇聚层设备边上，无须改变原来网络拓扑结构。对于需要进行安全检验和保护流量，只需在汇聚层设备上添加策略路由，在关键层设备上添加回程静态路由。如需屏蔽安全设备，无须改变网络连线，只须去除汇聚层设备策略路由和关键层设备上回程静态路由即可。方案一样拥有良好扩展性。安全应用扩展：安全应用可伴随需求产生而灵活扩展。如初始配置，X系列设备可只配置防火墙功效，当未来有需求时，可依据需求灵活增加IDS、IPS、数据库保护、XML应用保护等安全功效。而对安全应用功效增加仅需要在原有设备上增加一个模块即可，对原有网络结构没有任何改动，很方便。性能扩展：伴随用户网络发展，当某应用性能不能够满足新需求时，可简单增加一个模块即可，X系列设备可自动实现新增加模块和原有模块工作于负载均衡模式，一样对原有网络结构没有任何改动，很方便。端口扩展：X系列端口数也可伴随应用需求增加而增加。每增加一块网络模块，即可增加8个千兆或16个百兆端口。千兆端口接口类型能够为RJ-45、多模光纤或单模光纤。（7）全方面安全防护此次提供方案既考虑了大中用户，也考虑了端点，提供组合安全保障，为城域网提供了有效安全控制手段。2.2.8（1）CheckPointVSX虚拟防火墙产品介绍VPN-1VSX是一个高速、多策略虚拟安全处理方案。基于经过实践证实安全处理方案，VSX能够为复杂基础架构中多个网络提供综合全方面保护，帮助它们安全连接到互联网和DMZ等共享资源，而且实现了在提供集中管理同时许可它们之间进行安全互动。VSX网关利用一台硬件设备就能够帮助各单位创建一个包含路由器、交换机和VPN-1网关复杂、虚拟网络。这种处理方案替换和改造负责安全保护和联网物理设备，降低了为整个网络提供安全保障所需硬件投入。现在，只有VSX提供平台才实现了高可扩展性、虚拟化网络，和能够被轻松布署和管理安全服务。

可扩展虚拟架构VSX由多个虚拟安全系统组成，其中每个系统全部是市场领先VPN-1网关完整虚拟版。多个虚拟系统能够和网关上单个物理接口相连，但同时又保持和其它虚拟系统完全独立，确保绝对安全和私有网络环境。单个VSX安装能够支持多达250个虚拟系统布署，提供含有高扩展性虚拟平台，并实现不停增加硬件投资最小化。

虚拟网络连接VSX支持创建虚拟网络多种组件，包含路由器、交换机、网线，实现对安装和配置虚拟网络环境全方面控制。经过接入虚拟网络环境，管理员能够虚拟实施其熟悉物理拓扑和设计。除此以外，VSX还能够支持以路由器模式或网桥模式来运行虚拟系统。以网桥模式来布署虚拟系统能够帮助管理员为网络无缝添加新虚拟系统，而不需要重新配置网络设置和拓扑。

线速安全为了支持数以千计应用程序和用户，高速宽带网络需要高性能网关。为了以线速提供世界级安全保护，VSX能够经过CheckPoint企业SecureXL实施技术布署到多个运行商级平台，从而确保提供安全、数倍于千兆级输出。

连续安全保护CheckPoint企业ClusterXL®技术帮助您经过对VSX配置实现连续安全保护。同在物理系统上实现集群一样，VSX集群连接和同时两个或更多VSX网关，这么，假如有一个网关出问题了，另外一个能够立即接替它网络和安全保护工作。VSX提供无缝连接容错处理和从一个集群组员到另一个组员路由。它还包含在动态路由环境中进行良好VSX网关容错处理，从而尽可能降低网络故障。经过网桥模式，单个虚拟系统能够故障切换到集群中另外一个网关中对应虚拟系统。这种高可用性和灵活性促进了在应用层和网络层实现覆盖整个网络不间断和安全商业运行。

无和伦比安全保护VSX为一系列网络需求提供安全保护，内置功效可直接支持200多个预定义应用程序、服务和协议，同时还支持即时消息发送