河北IP城域网技术规范书草稿V11-final

2006年中国网通河北IP城域网扩建一期工程可管理安全服务设备技术规范书2006-第一章工程技术规范书点对点应答本次所提供的所有方案及各项设备和系统(包括软、硬件)符合如下技术标准：ISO27001：2005：信息技术安全－技术信息安全－管理体系要求；ISO/IECFDIS17799:2005(E):信息技术－安全技术－信息安全管理代码实践；ISO/IEC18028-2:2006(E)：信息技术－安全技术－IT网络安全；ISO/IECTR13335：信息技术－IT安全管理指南；中华人民共和国通信行业标准YD/T1163-2001IP网络安全技术要求－安全框架；中华人民共和国通信行业标准YD/T1132-2001防火墙设备技术要求；《中国网络通信集团公司IP网2004－2006年发展规划》；IP城域网规划建设指导原则（北方分册）；《河北网通互联网网络优化指导意见》；《中国网通网络技术转型与演进的若干意见》；《网通集团IP网络优化和维护指导意见》；《河北省分公司数据专业产品供货商及产品备案表》；以下按照“2006年中国网通河北IP城域网扩建一期工程可管理安全服务设备技术规范书”章节进行点对点应答。3.5设备基本配置要求3.5.1卖方提供的设备应满足下列基本配置要求：设备应为能够满足本技术规范要求的完整的软、硬件系统，集成性好，便于机架式安装；答：满足要求。本项目提供的CheckPoint/Crossbeam设备为满足本技术规范的完整软硬件系统，经过兼容性测试，可以无缝集成，设备为标准机架尺寸，便于机架式安装。设备及接口的电气特性应符合国际和国家的相关标准。答：满足要求。本项目提供的CheckPoint/Crossbeam设备的设备及接口电气特性符合国际和国家的相关标准。3.5.2基本性能及配置要求卖方提供的单套设备系统应满足下列性能指标要求：吞吐量：不小于4Gbps答：满足要求。本项目提供CheckPoint/CrossbeamX40配置最少可提供4Gbps的吞吐量。最大并发连接数：不小于50万答：满足要求。本项目提供CheckPoint/CrossbeamX40配置最少可提供50万的并发连接数。每秒新建连接数：不小于3万答：满足要求。本项目提供CheckPoint/CrossbeamX40配置最少可提供3万的每秒新建连接数。端口数：不小于4个千兆光纤答：满足要求。本项目提供CheckPoint/CrossbeamX40配置可提供8个千兆光纤口。设备应提供专用带外管理端口答：满足要求。CheckPoint/CrossbeamX40提供了2个带外管理端口（10/100MBase-T）设备应提供专用日志端口答：满足要求。CheckPoint/CrossbeamX40提供了1个专用日志端口（10/100/1000MBase-T）处理时延：不大于0.08s答：满足要求。CheckPoint/CrossbeamX40的处理时延小于0.08s。3.5.3基本网络功能要求卖方提供的单套设备系统应提供以下基本的功能：设备应支持静态路由和RIP、RIPII、OSPF等路由协议。答：满足要求。CheckPoint/CrossbeamX40支持RIP、RIPII及OSPF等路由协议。设备应支持802.1QVLAN。答：满足要求。CheckPoint/CrossbeamX40支持802.1QVLAN。CheckPoint/CrossbeamX40防火墙全面支持802.1Q协议，通过使用CheckPoint/CrossbeamX40防火墙可以有效的对VLANID进行识别和支持，并且对不同VLAN之间的访问进行控制。设备应支持对不同VLAN间数据包的阻隔。答：满足要求CheckPoint/CrossbeamX40防火墙对VLAN具有丰富的控制功能，通过对CheckPoint/CrossbeamX40硬件防火墙的设置，用户可以通过防火墙对属于不同VLAN的主机进行有效的隔离，并且通过安全策略进行访问控制，保护不同目标主机和网络的安全。设备应支持VLANTrunk。答：满足要求CheckPoint/CrossbeamX40防火墙采用专用的网络操作系统，支持802.1Q协议，防火墙能够识别VLANID,支持VLANTrunk网络流量通过防火墙。设备应支持虚拟路由模式防火墙、虚拟透明模式防火墙，并支持此两种模式的虚拟防火墙共存于同一个虚拟环境中。答：满足要求。CheckPoint/CrossbeamX40防火墙以以下方式工作在用户的网络中：透明模式、路由模式、透明模式与路由模式同时工作。CheckPoint/CrossbeamX40支持此两种模式的虚拟防火墙共存于同一个虚拟环境中。单套系统支持的最大虚拟防火墙数量应不小于200个答：满足要求。CheckPoint/CrossbeamX40单台最高可支持250个虚拟防火墙。设备应支持虚拟路由器和虚拟交换机功能。答：满足要求。CheckPoint/CrossbeamX40支持虚拟路由器和虚拟交换机功能。4.1一般技术要求4.1.1硬件(1)卖方提供的所有设备必须是最新开发且最稳定可靠之产品，并且大规模在电信运营商环境应用的成熟商用产品，并保证所提供产品的数量、质量，特别是接口的兼容性。答：满足要求。CheckPoint/CrossbeamX40是最新开发并且最稳定可靠的产品，已经在全球范围内的许多大型电信运营商环境得到了成熟应用，包括美国南方贝尔、英国移动运营商O2、西班牙电信Telefonica、德国电信、美国移动运营商VerizonWireless、澳大利亚电信Telstra等。在应用中，与各种网络产品均有很好的兼容性。(2)各种设备应采用功能分担、分布式多处理机结构。主要模块冗余度至少为1+1，易于扩容和维护。答：满足要求。在CheckPoint/CrossbeamX40设备中，各模块的功能是分离的，每种模块负责其各自的功能，然后整个设备通过机架无源背板全交叉总线及Crossbeam专利的实时调度操作系统XOS有机的集成。同时，在CheckPoint/CrossbeamX40中，针对不同的功能需求，提供了不同的设备模块，包括：网络处理模块NPM、安全应用处理模块APM、管理控制模块CPM等。所有安全技术都通过一种先进的机柜式系统结合在一起，从而消除了对外部交换机、负载均衡器、接头和/或端口镜像的需要。通过多种安全技术配置流路径的工作可以从一个能为用户带来全面灵活性的图形用户界面（GUI）上轻松完成。这种合并是目前业界最简单、安全而又经济的安全防护模式。所有相关模块均可配置为1＋1的备份，可以灵活的根据功能或性能的需求扩展各个模块。(3)卖方提供的硬件平台应支持第三方安全设施，应为模块化设计，支持平滑的扩展。各模块的扩展不影响现有模块的业务处理性能和数量。答：满足要求。CheckPoint/Crossbeam设备为模块化设计，可同时提供多种安全应用。设备上的安全应用处理模块APM可独立运行不同的安全应用，包括独用防火墙/VPN、虚拟防火墙/VPN、IDS、防病毒、IPS等。多个安全应用处理模块独立并行运行，并由整个系统所统一监控。各模块的扩展不影响现有模块的业务处理性能和数量。可增加的安全应用包括：IDS/IPS虚拟防火墙SSLVPN数据库保护：可对网络内部的各种数据库进行保护，包括Oracle、Sybase、DB-II、MS-SQL等。可以审计用户对数据库的访问，可以加载对数据库访问的安全策略，可以告警等URL过滤XML服务保护防病毒等(4)主控模块能在不中断通信的情况下，可带电进行板卡的热插拨操作。所有设备的模块插板可带电热插拔，所有设备均采用模块化设计，其中每一模块发生故障时均不影响其他设备和其他模块的正常运行。答：满足要求。CheckPoint/CrossbeamX40是新一代的运营商级的安全设备，X40系列平台为全冗余架构，无源背板，全交叉总线，双独立进线的电源模块，冗余风扇，冗余网络模块，冗余安全应用模块，冗余管理控制模块，甚至细化到每个网络端口均可定义其备份端口，实现了网络端口的冗余，整个设备无单一故障点，能够提供高达99.9999%的高可靠性。同时X40设备所有的模块均可热插拔。每一模块发生故障时均不影响其他设备和其他模块的正常运行。(5)卖方提供的设备要选用世界上高质量的元器件，生产过程中进行严格质量控制，出厂前要经买方人员严格测试和检查，确保设备长期稳定、可靠地运行答：满足要求。CheckPoint/Crossbeam设备采用世界上高质量的元器件，生产过程中进行严格质量控制，出厂前经过严格测试和检查，可以保证设备长期稳定、可靠地运行。承载软件系统的应为专用平台，卖方应说明该平台的性能。答：满足要求。Crossbeam为专用安全硬件平台，采用经过加固和优化的专用操作系统，可以与CheckPoint虚拟防火墙无缝集成，为用户提供安全服务。本次提供的CheckPoint/CrossbeamX40至少可以提供4Gbps的防火墙数据吞吐率。4.1.2软件(1)软件系统卖方的软件应为最新、成熟的电信级产品，并应与硬件平台实现无缝衔接；答：满足要求。本项目CheckPoint提供的软件为最新、成熟的电信级产品，和硬件平台Crossbeam经过兼容性测试，可以实现无缝衔接。卖方在建议书中应详细列出所提供的软件清单、版本和说明。答：满足要求。软件版本说明CPPWR-VSX-10NGX虚拟防火墙模块，可以支持10个虚拟防火墙CPPWR-SC-UNGX集中管理服务器软件CPFW-FSS-1NGX单机防火墙以保护集中管理服务器CPIS-IEPS-1000NGX1000客户端许可，可以提供端点PC防火墙，PC入侵防范，PC应用安全，PC间谍软件防范功能CPIS-IAS-1NGX客户端集中管理服务器软件，可以提供多域和层次化管理功能卖方应说明本工程涉及的分类项目对现网设备的操作系统及相关系统软件有何要求，是否需要使用新版本系统软件，若是，应说明新版软件和原使用软件之间的异同和兼容程度答：满足要求。本项目提供的CheckPoint/Crossbeam设备对现网设备的操作系统及相关系统软件无要求。(2)软件模块化结构软件应为模块化设计组成，卖方必须保证任何软件模块的维护和更新都不影响其它软件模块的功能，软件具有容错能力。答：满足要求。CheckPoint软件采用结构化和模块化设计，对任何软件模块的维护和更新都不影响其他软件模块的功能。软件中有特定进程监控其他进程，如其他进程出现问题，特定进程会自动对其进行修复。(3)故障监视和诊断软件能及时发现故障并发出告警，能够自动恢复系统，不影响任何已建立的业务连接。答：满足要求。软件中有特定进程监控其他进程，如其他进程出现问题，能及时发现故障并发出告警，特定进程会自动对其进行修复，不影响任何已建立的业务连接。(4)兼容性及升级a.设备不同时期软件版本应能向下兼容，软件版本易于升级，且在升级后不影响网路的性能与运行。答：满足要求。CheckPoint保证软件版本的向下兼容，软件版本易于升级，且在升级后不影响网络的性能与运行。b.卖方应承诺在供货时提供最新版本的软件，但该软件必须是经过测试正式推出的，其可靠性、稳定性经过严格验证的。答：满足要求。CheckPoint保证供货时提供最新版本的软件，提供的软件是经过测试正式推出的，其可靠性、稳定性经过严格验证的。c.软件版本升级时，卖方应承诺免费更新软件版本，并提供相应的新版本软件功能说明书及修改说明书。答：满足要求。本项目技术规范要求提供的且买方已经购买的软件功能，CheckPoint/Crossbeam承诺免费软件版本更新，并提供相应的新版本软件功能说明书及修改说明书。(5)卖方应说明目前所使用软件的实际运行时间。答：满足要求。本项目中CheckPoint提供的NGX版本软件为2005年5月发布，CheckPoint将至少在5年内提供对此版本的支持，如用户需要，CheckPoint可以帮助用户过渡到最新版本。4.1.3安装材料若设备安装需要特定的安装材料、端口连接需要特定的连接线缆的话，卖方应予以指出并给出配置且包含在设备价格中。答：满足要求。4.1.4备件卖方应根据设备元件的质量情况提出备件配置的建议。卖方提供的设备应是以至少五年使用期设计的，卖方要保证不论提供的设备是否还生产，在使用期内买方可得到备件。答：满足要求。为保证用户生产网络更加可靠稳固,我们建议用户可根据情况对关键硬件模块购买一至两套备件.CheckPoint/Crossbeam本次提供设备使用期大于5年,在使用期内可保证用户得到备件(过保修期后需收费).并且将于设备停产前半年前通知用户.4.2设备系统主要技术指标4.2.1最大位转发率（Maximumbitforwardingrate）位转发率指：特定负载下每秒种防火墙将允许的数据流转发至正确目的接口的位数。最大位转发率指在不同的负载下反复测量得出的位转发率数值集中的最大值，使用最大位转发率时应同时说明与之响应的负载。卖方应结合买方IP城域网设备性能及网络架构状况，确定并提出防火墙的设备的标准规范，并详细列出。答：满足要求。本项目提供的CheckPoint/Crossbeam设备旁挂在汇聚层设备边，根据河北网通城域网现状，我们认为4Gbps的防火墙设备可以满足需求。FrameSize(Bytes)641282565121024128015181APMThroughput(Mbps)2924989501,7893,1883,5714,0004.2.2设备功能要求卖方提供的设备应提供以下的基本安全功能，并就每一项功能详细说明设备支持的程度：设备应运行在经固化的专用安全操作系统之上，卖方详细说明该操作系统的主要安全固化措施。答：满足要求CheckPoint/Crossbeam全系列的防火墙均采用独有的运营商级安全操作系统XOS。该操作系统专门进行了优化和加固，不但提高了运行的性能，关键是提高了安全性。一般的开放操作系统拥有许多的网络服务，远程服务，而且可能存在一般用户不知道的漏洞，这对防火墙自身的安全是很大的威胁。XOS操作系统从设计上做了大量的安全加强，保证防火墙自身的安全。XOS不带有任何不必要的2进制代码和库结构，是一个安全紧凑的操作系统；XOS操作系统覆盖了已知的各种漏洞，并且不断致力于发现和覆盖新的漏洞。设备内部核心技术应采用状态监测技术。答：满足要求CheckPoint/CrossbeamX40防火墙中采用的是CheckPoint获得专利的第三代防火墙技术状态监测（StatefulInspection）。能够提供更安全的特性。状态监测是防火墙的第三代核心技术，也是最新的防火墙核心技术，最初由CheckPoint发明，并获得美国专利（专利号5,835,726）。状态监测相比于较早的包过滤及应用网关方式的技术有较大的优势，包括更安全，性能更高、扩展性更好等。因此，目前，几乎所有的防火墙产品均声称自己是状态监测类的防火墙，但实际上在实现时有些产品的实现不完整。为了提供更强壮的安全性，一个防火墙必须跟踪及控制所有通信的数据流。与传统的包过滤不同的是，状态监测通过分析流入和流出的数据流，跟踪数据流的状态及上下文，根据会话及应用的信息，实时确定针对该数据流的安全决策。状态及上下文信息必须包括：数据包头信息（源地址、目的地址、协议、源端口、目的端口、数据包长度）连接状态信息（哪个端口为哪个连接而打开）TCP及IP分片数据（如分片号、序列号）数据包重装，应用类型，上下文确认（如该数据包属于哪个通信会话）防火墙上的到达端口及离开端口第二层信息（如VLANID）数据包到达及离开的时间根据安全策略实施对通过防火墙的数据流进行控制，允许通过或采取相应措施。防火墙系统的安全规则，每一条表项都包括条件域、动作域和选项域，当有IP包进入时，系统在安全策略中从第一个表项开始查起，如果符合，就执行该表项指示的动作，状态监测技术针对协议，抽取连接的状态信息，并建立状态连接表项。当没有一条合适的表项时，系统的默认动作是拦截。所提供的防火墙模块应支持基于IP地址、组、端口、应用类型、时间等创建安全规则,卖方详细说明其支持的程度。答：满足要求CheckPoint/Crossbeam支持基于IP源地址、IP目标地址、用户组、网络组、源端口、目标端口、应用类型、时间、特定防火墙等信息创建安全规则。所提供的防火墙模块预定义服务协议数量应不小于200个，并说明所支持的最大协议数和协议增加的方法。答：满足要求CheckPoint/Crossbeam利用StatefulInspection专利技术来保证所有通用Internet服务的安全。它支持超过200个预定义应用、服务和协议，包括Web应用，即时消息发送、对等网络应用、VoIP、OracleSQL、RealAudio以及多媒体服务（如H.323）、SIP、FTP、ICMP、DNS、Netmeeting等。本次提供的防火墙模块，可以支持的最大协议数量没有限制，协议增加可以通过用户自定义和购买厂商服务自动升级更新等方法实现。所提供的防火墙模块应支持针对Mail，MS-RPC，MS-SQL，P2P等应用层的安全控制，并说明如何控制以及所支持应用的扩展数量和方法。答：满足要求。CheckPoint/Crossbeam防火墙可以通过应用智能技术对多种应用进行内容检查，包括Mail，MS-RPC，MS-SQL，P2P等应用。应用智能技术通过验证协议是否遵循标准，检验协议是否符合预期用法，阻止应用携带有害数据和控制应用层的有害操作等四种策略来在合法的流量当中检测非法的行为，从而确保应用的安全。应用的扩展支持可以通过用户自定义和购买厂商服务自动升级更新等方法实现。所提供的防火墙模块应支持对VoIP的保护，支持H.323、SIP、MGCP、SCCP，并说明如何保护。答：满足要求。CheckPoint/Crossbeam防火墙可以提供对VoIP的保护，支持H.323，SIP，MGCP，SCCP。CheckPoint/Crossbeam防火墙可以验证VoIP协议是否符合标准，理解并跟踪VoIP的全部通信过程，并根据需要打开相关端口供通信使用，最后在通信结束后自动封闭此端口。同时通过控制一些VoIP的通信行为，对基于VoIP的攻击进行防范。所提供的防火墙模块支持的安全规则数目应无限制。答：满足要求。CheckPoint/Crossbeam防火墙支持的安全规则数量无限制。所提供的防火墙模块应支持安全策略一致性验证。答：满足要求。CheckPoint/Crossbeam防火墙支持规则策略的校验，支持规则一致性测试。可以检测重复、错误、冲突的规则定义。所提供的防火墙模块应具有对DoS攻击的防护功能，防火墙应支持SYN网关功能，并请说明。答：满足要求。CheckPoint/Crossbeam防火墙是目前对DOS攻击防范效果最好的防火墙之一。能够对包括SYNFlood、PINGofDeath攻击、IPSpoofing攻击等多种DOS攻击有很好的防护。其中对SYN攻击具有很好的防御功能，提供SYN网关的功能。同时系统也提供智能的SYN防御功能，当使用此项功能的时候，用户不需要对SYN攻击防御选项进行特殊的设置，系统会自动的监测和识别SYN的攻击，并且阻断它们。所提供的防火墙模块应具有对其他常见网络和应用层攻击的防护能力，并请说明。答：满足要求CheckPoint/Crossbeam防火墙支持网络层到应用层的全检测，对常见的网络和应用层攻击都具有防护能力。网络层的攻击防范包括TearDrop，pingofdeath等DOS攻击，ping大包，IP分段攻击等针对IP和ICMP的攻击，sys攻击，序号攻击等针对TCP的攻击，等等。应用层攻击防范包括针对http，ftp，dns，voip，p2p，mail等应用的攻击，等等。以上网络层和应用层的攻击防护通过防火墙上SmartDefense模块实现。所提供的防火墙模块应支持攻击特征库的动态更新，并请说明更新方式以及是否会中断客户业务。答：满足要求。CheckPoint/Crossbeam防火墙内置防攻击模块—SmartDefense，它的攻击特征库支持在线升级。如用户购买了CheckPoint的攻击特征库升级服务，管理员可以使用管理客户端自动连接到CheckPoint网站完成更新。更新会先存放于集中管理服务器，在未下发策略时不会影响防火墙执行点，也不会中断客户业务。即使下发策略，由于是针对攻击作出的防范，对正常业务不会产生影响。所提供的设备系统应可同时运行多种安全应用，包括IDS、防病毒等。未来可通过许可证激活防火墙设备上的其他安全应用。答：满足要求CheckPoint/Crossbeam设备除防火墙外可以运行多种安全应用，包括IDS、IPS、网关防病毒、URL过滤、数据库保护等模块。所有这些模块已经内置在设备中，未来可以通过许可证将这些功能激活，便于将于安全应用的扩展。设备系统应提供内容过滤功能，可以过滤URL地址、JavaScript、ActiveX控件和Ftp控制命令(get,put)、畸形IP攻击包、ICMP恶意代码包，另外还能设置收件发件人邮件地址过滤和大邮件过滤策略。答：满足要求。CheckPoint/Crossbeam防火墙可以通过其集成的内容安全能力使用户免受病毒、恶意Java和ActiveXapplet、畸形IP攻击包、ICMP恶意代码包及不需要的Web内容的攻击。对于每个通过防火墙安全服务器建立的HTTP、SMTP或FTP连接，网络管理员可以更详细地来控制对特定资源访问。例如，访问可以控制到具体的Web页面，URL地址及FTP文件以及操作（例如，PUT/GET命令）、SMTP的专用标题字段等等。可对如e-mail附件大小、文件类型等进行检查，还可以设置收件发件人邮件地址过滤等。同时防火墙还可通过OPSEC的SDK接口与专门的内容过滤系统互动，进行更细致的内容检查。设备应支持NAT功能，包括一对一、多对一的NAT工作模式。答：满足要求。CheckPoint/Crossbeam防火墙支持动态和静态地址翻译(NAT)功能，并且无数量限制。CheckPoint/Crossbeam防火墙使用强大的、易于管理的网络地址翻译（NAT）在Internet上隐藏内部网络地址--避免将它们泄漏为公众信息。通过集成StatefulInspection技术，CheckPoint/Crossbeam的NAT实现了业界最安全的地址翻译，而且它支持范围广泛的Internet服务。根据网络管理员在建立对象（如主机、网络和网关）时提供的信息，防火墙自动生成静态(一对一)和动态（多对一）的翻译规则。设备应支持网络流量监视和CPU负载统计。 答：满足要求。CheckPoint/CrossbeamX40防火墙系统采用专用的网络操作系统，提供对系统运行状态和网络流量监控的统计分析功能，通过管理界面用户可以对：通过防火墙的网络流量进行有效的检查和记录防火墙设备本身的CPU情况的记录和检查通过防火墙的审计工具用户还可以对系统的其他资源如：内存的使用率等多方面的内容进行审计。4.2.3设备系统安全管理功能卖方提供的设备系统应提供以下的安全管理功能：设备应支持专有管理客户端、WEB及命令行管理方式。答：满足要求CheckPoint/CrossbeamX40防火墙系统支持丰富的管理和控制功能：基于本地串口的命令行管理功能基于网络的Web界面的管理功能。基于专用GUI管理系统的图形化安全管理功能基于通用安全的HTTPS、SSH的管理功能设备应支持本地管理、远程管理和集中管理。答：满足要求。CheckPoint/Crossbeam设备支持本地管理和远程管理方式。本地管理和远程可以通过WEB界面（通过SSL加密）管理。同时Crossbeam防火墙还支持SSHv1v2，保证了远程管理的安全性。通过中央管理服务器SmartCenter可以对防火墙设备进行集中管理。要求使用集中管理软件统一管理所有防火墙（包括虚拟系统），包括策略管理，用户管理，VPN管理，入侵防护管理，攻击防护代码统一升级等。答：满足要求。CheckPoint/Crossbeam防火墙非常适合构建分布式客户/服务器安全访问应用控制，可以说，防火墙的结构就是以分布式安全控制的出发点来进行设计的。CheckPoint/Crossbeam产品是三层体系结构：GUI：为用户提供图形化的界面，便于配置防火墙的策略和对象，上面不存储任何数据。在防火墙允许的范围内，可安装于任何一台PC机上。ManagementServer(管理服务器)：用于存储在GUI上定义的策略和对象，完成对所有防火墙（包括虚拟系统）的统一管理，包括策略管理，用户管理，VPN管理，入侵防护管理，攻击防护代码统一升级等。当安全策略下发时，管理服务器将策略编译后推到各个防火墙上。同时管理服务器可用来察看执行模块的状态信息，并存储执行模块生成的日志。EnforcementModule（执行模块）：用于数据包的过滤，决定数据包的通行、阻断、转发。所有的防火墙安全策略可以由管理服务器进行集中化定制，对每个防火墙可以定义不同的策略文件。各个模块之间的通信使用SSL进行加密。为便于管理，我们建议在此次项目中采用集中化管理的原则布署防火墙产品。即所有防火墙都可在网管中心对其进行集中化的安全管理，统一配置安全策略，这样带来的优点：实现了对各业务安全的集中化管理，减小网络整体存在安全漏洞的可能性，同时顺应了业务集中的趋势，减小了各部门对安全方面的管理支出。设备应支持管理员基于角色的管理。答：满足要求。CheckPoint/Crossbeam对防火墙的管理员权限可以分为多个定义，包括可写、只读、用户自定义。在用户自定义中可以灵活定义用户对防火墙的各个模块的权限，例如：用户只能修改日志而不能修改策略。设备应支持管理员使用数字证书作为认证方式以提高安全性。答：满足要求。CheckPoint/Crossbeam设备的管理服务器中内置CA，所有防火墙功能模块均可通过该证书进行认证。对于管理员，可以使用基于X.509数字证书，进行登录认证，极大提高了安全性。4.2.4设备日志、报警和报表功能卖方提供的设备系统应提供以下的日志、报警和报表功能：所提供的防火墙模块应该具有内置日志服务器，可以提供实时和历史日志答：满足要求。CheckPoint/Crossbeam内置日志服务器，可以提供实时和历史记录。同时可将日志导向其它的日志服务器。设备应支持丰富的日志域，支持超过60种以上的日志域答：满足要求CheckPoint/Crossbeam通过日志查看器Smartviewtracker模块用来察看日志，可察看的日志字段超过60种以上，并可以灵活的定义过滤条件。设备应支持日志的本地记录，防火墙模块应有40G以上的内置硬盘，并说明是否支持异地或外部记录方式。答：满足要求CheckPoint/Crossbeam支持日志的本地记录，X系列产品均有80G以上的内置硬盘。可以设定防火墙模块在本地记录日志同时，实时或定期将日志发送到集中管理服务器或异地的其他日志服务器。可以提供日志输出接口，供第三方接收防火墙的日志。设备应支持SYSLOG功能。答：满足要求CheckPoint/Crossbeam支持标准的SYSLOG，同时设备上有单独的日志端口，可将日志导向第三方Log服务器。设备应支持日志过滤功能。答：满足要求通过SmartViewtracker功能模块，可以灵活的进行日志过滤，可按特定字段进行过滤，也可进行不同字段的组合过滤。设备应支持管理员日志及对管理员的审计。答：满足要求CheckPoint/Crossbeam内置日志服务器除记录历史记录外，还记录实时连接和管理员的审计日志，管理员对防火墙所做操作（如修改对象和策略）均被记录。设备应提供与第三方日志审计工具的接口答：满足要求。可以通过OPSEC与第三方审计工具进行互动，提供日志输出接口LEA（logexportAPI）。设备应提供实时告警功能，对防火墙本身或受保护网段的非法攻击支持多种告警方式如SNMP告警、E-mail告警、日志告警等等。答：满足要求。CheckPoint/Crossbeam防火墙系统可以对多种网络事件进行告警功能，用户可以按照需要对指定网络行为进行警告设置，当这些事件发生的时候，系统可以通过SNMP，E-mail,日志等多种方式进行告警。设备应提供SNMPTrap、E-Mail、Alarm、LOG、自定义等方式的报警功能支持。答：满足要求CheckPoint/Crossbeam防火墙支持多种告警方式如SNMP告警、EmailL告警、日志告警、用户自定义程序告警等等。通过用户自定义方式，在X40防火墙上还可实现更加灵活的报警方式，如寻呼机、QQ等。设备应提供内置报表工具对日志作统计分析答：满足要求。CheckPoint/Crossbeam防火墙的组件EventiaReporter提供日志分析和统计，并可根据客户定义的时间，内容，生成数据表格、图形报告。4.2.5设备可扩展性要求（1）设备应可通过增加模块的方式提供更多的网络端口，卖方应详细说明设备可提供的网络端口扩展模块。答：满足要求。CheckPoint/Crossbeam设备可通过增加网络模块NPM的方式增加设备上的网络端口。目前，X40可提供的网络模块包括8个千兆端口（铜缆、单模光纤、多模光纤可选）及16个百兆接口的模块。设备应可通过增加模块的方式提高投标设备的性能，卖方应详细说明设备可提供的扩展模块的信息。答：满足要求。CheckPoint/CrossbeamX40的性能可以随着需求的增加而扩展，可以通过增加APM模块来提高X40整体设备的处理能力，新增加的APM模块可自动与原有APM模块工作于自动负载均衡模式。每块APM模块可提供4Gbps的防火墙吞吐能力、每秒30,000新建连接数以及50万最大并发连接数。每增加一块APM模块，其设备的整体性能，包括吞吐量、并发连接数、每秒新建连接数等，近似于线性增加，这样，通过简单增加APM模块到现有的X40设备上，就可提升X40设备的处理能力。而对性能的增加，实施也非常简单。只需要增加一块APM模块，插入到现有的X40设备中即可，对网络中的其他设备，完全不需要改变。设备应可通过增加模块的方式，在投标设备上增加新的安全功能，卖方应详细说明如何在投标设备上增加新的安全功能。这些安全功能将包括IDS、IPS、SSLVPN、防病毒URL过滤、XML应用保护等。答：满足要求CheckPoint/Crossbeam设备网络处理、安全应用、管理功能均以模块方式工作，如果增加新的安全应用，只需要增加APM模块即可。所有的APM硬件均相同，由控制模块来定义APM的功能，激活安全应用的License即可，目前支持的主要安全功能包括：IDS、IPS、SSLVPN、防病毒、URL过滤、XML应用、数据库保护。设备增加新的安全应用功能时，必须基本不影响原有设备模块的性能功能和。卖方应详细说明这一要求的实现方式。答：满足要求。CheckPoint/CrossbeamX40上，所有新增加的模块均有独立的处理能力，将不会影响原有防火墙及虚拟防火墙的性能。在每个模块上均有独立的中央处理器、内存、总线、操作系统等。所有APM配置均相同。APM提供高性能安全应用处理。硬件模块均可进行热插拔。同时可将安全应用定义为不同的逻辑组，在增加安全应用时，数据流会自动负载均衡到新的模块上，原有的通信和会话不会丢失。4.2.6高可用性及高可靠性要求卖方提供的设备系统应提供高可用性支持，具体要求为：设备应支持高可用性配置，提供双机热备功能，卖方应详细说明双机热备的实现方式。答：满足要求CheckPoint/CrossbeamX40可以通过4种方式提供防火墙的高可靠性HA：标准的VRRP协议（RFC2338）动态路由协议四层交换机ClusterXL技术设备应有专用的高可用性心跳端口。答：满足要求。CheckPoint/Crossbeam在CPM（控制模块）上有专用的高可用性心跳端口，通过该端口可以在多台设备间监测彼此状态，为最大限度的保证高可靠性，在设备上还可定义多个端口为心跳端口。设备应支持具有运营商级的设备高可靠性，包括冗余电源、冗余风扇、冗余模块、冗余网络接口等。卖方应详细说明所提供设备自身的其他冗余配置特性。答：满足要求。CheckPoint/CrossbeamX40设备提供SBHA单机高可用性（SingleBoxHighAvailability）功能特性，即在一台X设备上，所有的系统部件均可提供备份，包括：冗余数据交换(多NPM)冗余控制管理(双CPM)冗余存储冗余网络处理器（网络端口-端口备份）冗余安全应用处理模块(多个APM)模块的N+1备份冗余电源（可提供2个独立电源）设备应支持单机高可用性技术，即在单台设备上，可提供防火墙等安全应用的高可用性及负载均衡技术。卖方应详细说明所提供设备单机高可用性技术的实现方式。答：满足要求。在X系统中，可安装多个APM模块运行同一安全应用，实现安全应用的负载均衡。X系统的控制模块CPM实时监控每块APM的健康状况，包括APM上面运行的应用、CPU负载状况、内存使用状况等。这些信息被实时的反应在X系统的数据转发表中。而网络处理模块NPM就是根据这张表中的信息，确定转发数据到某安全应用的具体哪一块APM上。这样就实现了安全应用的负载均衡，而并不需要额外的网络资源，也不需要该安全应用本身支持负载均衡功能或HA功能，也并不消耗APM的任何资源。可以对防火墙应用进行负载均衡，也可对防病毒应用进行负载均衡，对IDS/IPS、邮件安全、内网安全等，都是一样可实现负载均衡。在X系列上，安全应用处理模块APM模块是完全相同的。每块APM均可运行不同的安全应用。各种安全引擎已经被预先装在了X设备的系统中，在系统的控制下，APM在不同时间可运行不同的安全应用。这一特性可带来很大的系统灵活性及可靠性。在可靠性方面，可实现独有的“N+1”备份技术。见下图示例。在这张图的典型配置下，我们在X设备中配置了3块APM作为防火墙，另3块APM作为IDS，均是负载均衡状态，共6块APM模块。这时，我们可另配置1块APM模块，作为这6块APM模块的备份模块，而不需要每种应用都配置备份模块。即“N+1”的备份。“N+1”假设IDS负载均衡组中的某APM模块出现故障，这时，首先，NPM将立即将这块APM处理的任务转发到另2块IDSAPM处理；然后，CPM将备份APM的IDS功能通过license激活，备份APM这时就变成了IDS负载均衡组中的一块APM，NPM也开始转发IDS处理数据流量给这块APM。“N+1”另外，该特性还可实现在不同的时间APM运行不同的安全应用。可根据在不同时间数据流量的不同特点灵活的配置各APM的使用。如，在晚上，当WEB访问流量较多时，而邮件相对较少，我们这时可配置系统在晚上把某些或某个邮件保护的APM模块切换成URL过滤模块。这可实现系统很高的灵活性。4.2.7VPN功能支持卖方提供的设备应提供VPN功能支持，基本要求包括：提供的防火墙应具有虚拟专用网（VPN）功能，可以实现网关到网关和客户端到网关两种方式。应支持IPSECVPN功能。答：满足要求。CheckPoint/Crossbeam防火墙集成了访问控制、认证和加密以确保网络连接的安全性、本地和远程用户的可靠性以及数据通信的私有性和完整性。目前可以实现三种协议的VPN，包括IPSec、L2TP、SSL。其中IPSec支持多种VPN模式，主要包括：(1)Site-to-site主要用于网络与网络之间进行VPN连接，常用于与合作公司、第三方伙伴之间的连接。在site-to-site的VPN当中，又可细分为两种结构：Starmode(星状结构)：星状结构中所有VPN设备汇聚于中心VPN设备中，各个VPN设备之间的VPN建立，需要先与中心的VPN建立通道，由中心VPN设备进行VPN路由。星状结构常用于总部与各分支机构之间实现VPN。Meshedmode(网状结构)：网状结构中所有的VPN设备之间直接相连，互相之间建立起VPN通道，不存在中心VPN设备。(2)Client-to-site用于移动用户的接入，用户在机器上安装了客户端软件后，可通过拔号、ADSL、宽带等方式与公司之间的防火墙建立起VPN通道。提供的防火墙支持全网状或星形VPN拓扑，并支持VPN路由功能答：满足要求CheckPoint/Corssbeam防火墙支持全网状或星形VPN拓扑，并支持VPN路由功能。提供的防火墙拥有内置CA答：满足要求CheckPoint/Crossbeam防火墙内置CA。设备应支持AES,3DES,DES等加密算法和MD5，SHA1等验证算法。答：满足要求。CheckPoint/Crossbeam设备支持AES,3DES,DES等加密算法和MD5，SHA1等验证算法4.2.8兼容性要求卖方提供的设备应能够与OPSEC组织的第三方安全产品进行很好的联动，最大限度的提高整个系统的安全性，请详细说明兼容的主要产品。答：满足要求CheckPoint和Crossbeam是OPSEC的主要成员，X40防火墙系统能够支持所有的OPSEC成员的安全产品，其中包括：入侵检测，防病毒，内容过滤等多种安全产品的联动。如在IDS/IPS方面可以和ISS、SourceFire等厂商产品合作；在防病毒方面可以和趋势科技的产品合作；在邮件过滤上可以同趋势科技和Aladdin的产品合作；在URL过滤上可以和websense、smartfilter的产品合作。卖方应详细说明所提供设备对其他厂商产品（包括网络设备、主机系统）的互连互通能力。答：满足要求支持所有主流的网络设备、主要系统厂家。4.3环境要求设备要在下列环境下能够保证长期正常工作：环境温度：5℃～相对湿度：30％～80％卖方应说明设备升级前后对环境的要求是否有变化。答：满足要求。设备升级前后对环境的要求无变化。4.4电源要求设备应能在下列供电变化范围内正常工作：直流：－40V～－57V；交流：～220V10％，50Hz5％。卖方应说明设备升级前后对电源的要求是否有变化。本工程提供的供电方式为直流。答：满足要求。设备升级前后对电源的要求无变化。本次提供的设备可以根据用户要求选配直流或交流电源。5.2配置要求卖方应按照各附表设备配置要求进行设备配置，给出设备配置说明(解释各项配置的组成说明和作用)。答：满足要求。集中管理服务器配置产品软件/硬件说明CPPWR-SC-U软件集中管理服务器软件CPFW-FSS-1软件单机防火墙以保护集中管理服务器PC服务器硬件作为集中管理服务器软件承载平台，建议使用至强CPU，4G内存，100G以上硬盘可管理安全服务设备配置产品软件/硬件说明CPPWR-VSX-10软件虚拟防火墙模块，可以支持10个虚拟防火墙CrossbeamX40硬件由以下四个部分组成X40-DCX40DC机架,双电源.可以支持2个NPM,10个APM,2个CPMs.CPM-8100-80GCPM控制处理模块(ControlProcessingModule)NPM-8200-8G网络处理模块.带8个千兆接口APM-8400-1P4-1G应用处理模块.APM-8400.4Gbps防火墙吞吐量端点安全服务器配置产品软件/硬件说明CPIS-IAS-1软件客户端集中管理服务器软件，可以提供多域和层次化管理功能CPIS-IEPS-1000软件客户端许可，可以提供PC防火墙，PC入侵防范，PC应用安全，PC间谍软件防范功能PC服务器硬件作为客户端集中管理服务器软件承载平台，建议使用双至强CPU2.0Ghz以上，4G内存，100G以上硬盘卖方的所有配置方案应保证设备运行所必须提供的电源模块、主控模块等主要部件的冗余配置并对模块进行单独报价和说明。答：满足要求。卖方可以提出多种配置方案与相应的报价供买方参考，具体选择由买方确定，卖方应保证各种优惠条件和价格折扣保持不变。答：满足要求。卖方应根据配置要求，结合现有网络设备的配置情况作出相应位置安排(包括割接过渡状态)，并分析对割接是否有影响。答：满足要求。因为是旁挂部署，割接时对当前网络无影响。卖方应保证设备配置的品种、数量准确无误，保证工程如期顺利进行，如有错漏，由卖方无偿补足。答：满足要求。卖方在本工程新增设备保修期外可应买方要求以不高于本次实际成交价提供备件。答：满足要求。若买方最终确定的设备配置内容和数量有所变化，卖方应保证各种优惠条件和价格折扣保持不变。答：满足要求。第二章.总体技术方案建议书2.1前言2.1.1背景随着计算机网络的发展，其开放性，共享性，互连程度扩大，网络的重要性和对社会的影响也越来越大。城域网作为城市主要的数据业务承载网络，特别是电子商务（E-Commerce）、企业数据专线、网络互联、虚拟专用网（VPN）、Internet接入服务等应用在社会经济生活的地位日益凸现。网络的安全性直接影响到社会的经济效益。例如，2003年1月份的SQL杀手蠕虫事件，中国有两万多台数据库服务器受到影响，使国内主要骨干网全部处于瘫痪或半瘫痪状态；2003年8月份的冲击波蠕虫，使成千上万的用户计算机变慢，被感染的计算机反复重启，有的还导致了系统崩溃，受到“冲击波”病毒感染的计算机反过来又会影响到网络的正常运行。随着网络安全问题重要性增加，如何保证城域网安全，应对日益增多的网络攻击、病毒破坏和黑客入侵等问题已成为城域网建设和运营所关注的重点。方案构成本方案是针对2006年中国网通河北IP城域网扩建一期工程可管理安全服务设备项目而提出的网络安全解决方案，当前阶段集中在CheckPoint/Crossbeam防火墙部署和CheckPointIntegrity端点安全部署的技术方案，可针对系统安全的访问控制、网络攻击、蠕虫传播等方面提供相应的防范。我们有理由相信，有了我们构建的优秀网络安全系统，加之我们为您奉上的全方位的周到服务，您的网络一定会变得安全而高效，您的事业也一定会因此而取得巨大的成功。2.2河北网通IP城域网扩建一期工程可管理安全服务设备项目方案建议2.2.1城域网安全分析2.2.1（1）网络结构河北省共有11个地市,目前IP骨干网以石家庄和唐山为双核心，各2台思科公司GSR12816，分别通过2.5GPOS链路连接其他9个地市的GSR12016和GSR12012上，各地市的思科公司GSR路由器作为各自IP城域网与IP骨干网的接口，与集团IP网通过4条10GPOS互连。各市分公司城域网建设在规模和业务发展水平上略有不同，但从物理结构看，从上到下分为三层：核心层、汇聚层和接入层。网络构架大体相同，其中：核心层：大型网络一般由3-4个核心节点、中小型网络一般采用2-3个核心节点经GE链路以网状或半网状结构组成。汇聚层网络由宽带接入服务器和汇聚层交换机组成。宽带接入服务器布放置汇聚层端局，汇聚层交换机覆盖全省所有县局和市内端局。核心层主要实现业务量的快速转发，具备较强的路由控制；汇聚层主要进行大量接入层设备的汇聚收敛；接入层主要以ADSL和小区以太网为主，扩大业务覆盖范围。接入层设备以二层或三层方式上连到汇聚层。如果接入层设备有路由功能，则汇聚层交换机与这些接入层设备之间跑三层，运行静态路由协议，用户的网关在接入层设备上。如接入层二层交换机需要接入两个或两个以上的VLAN时，以802.1Q的TRUNK方式上连汇聚层交换机，用户的网关在汇聚层设备上。IPDSLAM以802.1Q的TRUNK方式上连汇聚层交换机，一个VLAN用于PPPoE用户VLAN穿透，另一个VLAN用于和汇聚层交换机直接运行静态路由协议。（2）网络业务IP网的业务目前主要可以分为：互联网访问(主要通过XDSL、光纤＋LAN接入);IPVPN，VLANVPN(主要通过光纤＋LAN接入);VPDN(主要通过NAS或XDSL接入);MPLSVPN(主要通过光纤＋LAN、和ADSL接入);本地VoD服务(主要通过IDC机房的接入交换机);本地游戏服务(主要通过IDC机房的接入交换机);省公司IDC业务;未来可能承载的业务包括：VoIP语音服务、IP/TV视频服务、3G、NGN等其它业务。2.2.1对于网络运营商而言，城域网包括基础承载网络和业务管理平台。城域承载网是城域网业务接入、汇聚和交换的物理核心网，它由核心交换层、汇聚层、综合接入层构成。业务管理平台由业务支撑平台、网管平台、认证计费平台等组成。安全模型将城域网分成三个区域：信任域、非信任域和隔离区域。信任域是运营商的基础网络，通常采用防火墙等设备与电信业务网隔离，包括网管平台、智能业务平台、认证平台等设备；隔离区域是信任域和非信任域之间进行数据交互的平台，包括电信运营商提供的各种业务平台，如Web服务平台、FTP服务器、用户查询平台、Mail服务器等；非信任域是运营商面对客户的基础网络，它直接提供用户的接入和业务，同时也是Internet网络的一部分，包括基础用户接入、数据交换、媒体网关等设备，是运营商不能完全控制的网络。非信任域的基础网络是信息传输的基础，在城域网中起着至关重要的作用，作为安全模型中的非信任域，需要重点考虑。（1）安全威胁（A）网外黑客对网内服务器，用户和设备的攻击（B）网内染毒用户，病毒爆发带来的带宽占用，各种DDoS攻击造成网络全面或局部业务瘫痪（C）运营商核心信息窃取和篡改（2）脆弱性（A）网络规模大，用户数量多，设备多样复杂（B）用户行为几乎不可控（C）网络主体信任度低（3）影响（A）城域网运营业务，影响大（B）所有城域网用户群，影响面广2.2.2本期实现对河北网通IP城域网面向客户的可管理安全服务的支撑，其主要对象是大、中客户和有安全需求的终端客户。应实现基本的基于应用的状态检测过滤等功能。并基于此构建IP网安全策略，为以后拓展为面向公众的系统化的安全平台奠定基础。应实现IP网络框架中智能业务网络要求的安全功能。应是电信运营级的可管理安全平台系统。2.2.3鉴于安全系统的重要作用，网络系统设计必须既适应当前应用，又面向未来信息化发展的需求。在设计网络技术方案时，遵循以下设计原则：实用性和先进性：采用当前最先进的计算机、通信、网络和安全技术，切实保证系统结构和性能的先进性、技术的领先性，采用成熟的技术满足当前的业务需求，兼顾其他相关的业务需求，并具有良好的发展潜力，以适应未来业务的发展和技术升级的需要。安全可靠性：为保证将来的业务应用，系统必须具有高可靠性。在采用硬件备份、冗余等可靠性技术的基础上，采用相关的软件技术提供较强的管理机制、控制手段、事故监控和网络安全保密等技术措施提高网络系统的安全可靠性。灵活性与可扩展性：安全系统是一个不断发展的系统，所以必须具有良好的扩展性。该系统应与原有系统有机结合，并进一步成为系统改造、扩展的有效基础，能够根据将来信息化建设不断深入发展的需要，扩大网络容量和提高网络各层次节点的功能，提供技术升级、设备更新的灵活性。开放性/互连性：具备与多种协议计算机通信网络互连互通的特性，确保网络系统基础设施的作用可以充分发挥。在结构上真正实现开放，基于国际开放式标准，坚持全国统一规范的原则，从而为未来的业务发展奠定基础。经济性/投资保护：应以较高的性能价格比构建安全系统，使资金的产出投入比达到最大值。能以较低的成本、较少的人员投入来维持系统运转，提供高效能与高效益。尽可能保留并延长已有系统的投资，充分利用以往在资金与技术方面的投入。可管理性：由于系统本身具有一定复杂性，随着业务的不断发展，安全管理的任务必定会日益繁重。所以在网络的设计中，必须建立一个全面的网络安全管理解决方案。安全设备必须采用智能化，可管理的设备，同时采用先进的管理软件，实现先进的分布式管理。最终能够监控、监测整个网络的运行状况，合理分配网络资源、动态配置网络负载、迅速确定网络故障等。易用性:系统在使用上应尽量简便。2.2.4本方案选择CheckPoint/Crossbeam产品，因为：可以提供端到端的安全解决方案，提供灵活的体系结构支持最新的安全技术全球市场的领导者：36%防火墙市场分额(FrostandSullivan，2004年4月)提供一整套的安全解决方案，并把他们纳入到统一安全架构中安全机制的开放框架—“开放安全平台”有全球300多家合作伙伴，紧密的集成达到互操作核心技术采用真正的状态监测技术提供业界最优异的集中管理功能，中央基于策略的管理简单易用。日志和审计功能强大而简便易用冗余电源、热插拔接口卡提供电信级的高可靠性、高稳定性通过专利的X-Stream提供业界一流的高可靠性和灵活性使用XOS安全路由操作系统，是目前业界安全漏洞最少的操作系统之一，并专门为安全应用设计优化业界领先的防火墙性能，并支持硬件VPN加速广泛的接口模块选择、良好的可扩展性操作系统专门为IP路由和转发进行优化，具备强大的路由能力，支持丰富的路由功能和协议运营级的可靠性，在单台设备中即可达到99.9999%的可靠性2.2.5可管理安全服务设备部署根据本期工程的建设目标，我们设计的安全方案重点在于安全机制的建立和差异化业务的提供。通过部署安全产品，在城域网中建立安全机制，增加业务感知的能力，提供在必要时的控制手段。我们从两个方面进行考虑。一方面，运营商80%的收入来自于20%的重要客户。如何保障重要客户的安全，为其提供更好的服务，从而使重要客户放心的将重要应用通过城域网承载，进而增加运营商的收入，这是一个对运营商来说非常重要的问题。另一方面，最终用户不可控，这是城域网所面对的一个挑战。只有确保了终端用户的安全，才能在很大程度上缓解城域网的安全威胁。所实施的安全方案应具有投入合理，易于管理，可以同时结合多种安全防护手段等特点。在重要客户接入的汇聚层设备上并联可以提供虚拟防火墙功能的CheckPoint/Crossbeam安全设备。选择部署防火墙，因为防火墙是网络安全架构的基础。在ISO/IEC18028-2网络安全架构的描述中，提出了10种安全控制手段，其中访问控制被列在第一位，由此可以看到访问控制的重要性。而防火墙恰好是进行访问控制的工具。防火墙就好比是家中的入户门，尽管可以有其他的安全手段，如窗户上加装防护栏，安装摄像头等，但如果没有入户门，任何人均可随意出入，那么其他控制手段形同虚设。在网络中也是如此，可以部署防病毒，IDS，但如果没有防火墙，资源可以被任意访问，资产仍是无法得到保护。所以此次先部署防火墙，今后在此基础上，可以部署其他安全控制手段。防火墙可以部署在用户端也可以部署在服务供应商一侧。如部署在用户端，设备数量会很多，投入巨大，且由于设备分散，管理起来也不方便。部署在服务供应商一侧，管理方便。由于本次推荐的设备支持虚拟防火墙技术，可以在一个硬件平台上虚拟出多个防火墙，每个虚拟防火墙可以为一个或多个用户提供安全服务。这样可以节约设备成本，并尽可能多的为汇聚到此点的重要接入用户提供服务。在技术实现上，首先由汇聚层设备根据源地址区分客户是否需要安全保护，无需保护的客户直接到核心层，需要保护的客户转发到可以提供虚拟防火墙功能的安全设备，与某一个虚拟防火墙关联，由防火墙提供安全保护。防火墙不仅要能对重要客户数据的网络层和传输层进行保护，更重要的是可以在应用层为用户提供安全屏障，防范最新的攻击，从而减少存在于城域网的安全威胁，使用户可以安心在城域网上开展业务。由于在一个点可以为很多用户提供安全保护，运营商在这里还可以提供其他一些安全增值服务，例如URL过滤，针对特定用户的防病毒，报表统计等。因为在城域网范围内这样的点可能很多，采用的安全产品一定要具有中央管理功能，包括集中策略管理，集中日志分析，集中报表生成，集中攻击代码升级等，这样才能最大限度的减少管理员的工作量，从而提高可靠性。(1)网络拓扑（2）非重要客户访问互联网流程步骤1：客户A数据包通过接入层设备到达汇聚层设备A步骤2：汇聚层设备A进行策略路由选择，判断客户A为非重要客户，数据包不会被送到并联的安全设备，按照原来工作方式处理步骤3：汇聚层设备A将客户A数据包送往核心层设备A返回数据按照原来工作方式处理针对此类客户的处理与未连接安全设备之前一致，安全设备对此类用户不起作用。（3）选择安全服务的重要客户访问互联网流程步骤1：客户B数据包通过接入层设备到达汇聚层设备A步骤2：汇聚层设备A进行策略路由选择，判断客户B为重要客户步骤3：汇聚层设备A将客户B的数据包送往安全设备步骤4：安全设备将数据包送往对应的虚拟防火墙进行访问控制，攻击防护步骤5：安全设备将数据包送回汇聚层设备A（安全设备路由下一跳为核心层设备A）步骤6：汇聚层设备A将数据包通过物理链路发送到核心层设备A客户B返回数据包需要在核心层设备A上添加静态路由，指向安全设备如安全设备出现故障，旁路安全设备只需在汇聚层设备A上去除策略路由，在核心层设备A上去除指向安全设备的静态路由。针对此类用户可以通过安全设备提供安全增值服务，包括访问控制，入侵检测和防范，日志分析，报表，防病毒，URL过滤等。某些使用MPLS的客户需要访问互联网，传统的方式是在每一个客户的网络出口放置防火墙，这样做防火墙数量会很多，投入大，由于地点分散，安全管理的复杂度增大。建议可以在某一个PE上并联可以提供虚拟防火墙功能的安全设备。需要支持虚拟防火墙技术，主要可以节约设备成本，并尽可能多的为用户提供服务。在技术实现上，需要此种服务的客户通过MPLS与连接有安全设备的PE相连。连接有安全设备的PE将MPLS包解除标签，还原的数据包被送到可以提供虚拟防火墙功能的安全设备（相当于CE），与某一个虚拟防火墙关联，由防火墙提供安全保护。防火墙不仅要能对重要客户数据的网络层和传输层进行保护，更重要的是可以在应用层对用户提供安全屏障，防范最新的安全威胁。由于在一个点可以为很多用户提供安全保护，运营商在这里还可以提供其他一些安全服务，例如URL过滤，针对特定用户的防病毒，报表统计等。采用的安全产品一定要具有中央管理功能，包括集中策略管理，集中日志分析，集中报表生成，集中攻击代码升级等，这样才能最大限度的减少管理员的工作量，从而提高可靠性。（1）MPLS客户内部访问步骤1：客户A的场点1要访问场点2，通过CE-1连接到PE-1步骤2：数据通过MPLS隧道从PE-1到达PE-2步骤3：通过CE-2到达场点2此种应用与安全设备无关（2）MPLS用户需要访问互联网步骤1：客户A从场点1访问互联网，首先到达PE-1步骤2：数据包通过MPLS隧道从PE-1到达连接有安全设备的PE-2步骤3：PE-2将MPLS包解除标签步骤4：PE-2将还原的包送给安全设备（相当于CE）步骤5：安全设备将数据包关联到相关虚拟防火墙步骤6：虚拟防火墙将数据包作地址转换送到核心层设备访问互联网，本图中通过汇聚层设备PE-2上联步骤7：汇聚层设备PE-2将数据包送到核心层设备返回数据包需要在核心层设备A上添加静态路由，指向安全设备方案三为终端用户提供管理安全服务最终用户不可控，这是城域网所面对的一个挑战。只有确保了终端用户的安全，才能在很大程度上缓解城域网的安全威胁。在此提供一个方案建议，运营商可以为愿意享有安全服务的最终用户提供端点安全产品的下载，一旦用户下载了端点安全产品，可以享受到端点的安全保护，包括访问控制，应用控制，间谍软件防护等安全保护。安全策略由运营商制定，安全升级由运营商提供。用户得到了安全保护，运营商获得了收入，控制了终端，净化了网络流量，同时可以吸引更多的用户使用网络。端点安全产品部署步骤1：用户从运营商购买服务并下载客户端软件步骤2：用户连接到运营商网络，通过认证步骤3：运营商认证服务器识别用户，如用户为购买安全服务用户，则通过接入设备分配特定IP地址步骤4：端点安全中央管理服务器针对特定用户的IP部属安全策略，提供安全防护，攻击防护，间谍软件防护，保护客户端此种部署，可以保护客户端安全，同时可以在必要时对客户端的某些应用进行限制，从而保护运营商网络。2.2.6运营商管理着大量设备，如果没有统一集中的安全管理，就无法及时了解网络的运行状况，并及时应对突发事件。本方案推荐的CheckPoint/Crossbeam产品具有统一集中安全管理能力，采用三层管理构架，最下面是安全的执行点（设备），中间是管理服务器，最上面是管理客户端。管理员可以通过管理客户端在管理服务器上制定安全策略，统一下发到各个执行点，从而确保了各个执行点的安全策略的一致性，同时此种方式也可以避免单点管理带给管理员的管理负担。CheckPoint所追求的就是简单的安全管理，为此它推出了集中化的管理界面，远程许可证管理工具，一键VPN技术等等，所有这些都是为了简化操作，降低误操作几率，节省人力和物力。同时此种集中管理方式对于安全的应变能力更强。例如管理员同时管理10台防火墙，如果已经知道某些蠕虫将入侵网络，在CheckPoint管理体系中，只需制订一条安全策略，然后同时下发给10台防火墙就可以了；而在单点管理的管理体系中，必须一台一台的修改策略，可能在改到第五台时，第六台以后的防火墙已经被突破了，从而造成用户的损失。CheckPoint可以提供统一安全架构，因此CheckPoint的端点安全服务器也可以通过防火墙的集中管理服务器来管理。2.2.7（1）资金投入小防火墙可以部署在用户端也可以部署在服务供应商一侧。如部署在用户端，设备数量会很多，投入巨大，且由于设备分散，管理起来也不方便。部署在服务供应商一侧，管理方便。由于本次推荐的设备支持虚拟防火墙技术，可以在一个硬件平台上虚拟出多个防火墙，每个虚拟防火墙可以为一个或多个用户提供安全服务。这样可以节约设备成本，并尽可能多的为汇聚到此点的重要接入用户提供服务。（2）安全性高本次推荐的CheckPoint防火墙是全球市场占有率最高的防火墙产品，它采用了很多拥有专利的安全技术，可以最大限度的保护网络资源。状态监测技术从技术发展的角度来讲，防火墙历经了三代。第一代为包过滤防火墙，优点是速度快，价格便宜，因为路由器通过访问控制列表即可实现相关功能；缺点是只能检查到网络层以下，没有应用层的感知，安全性较差。第二代防火墙为应用级网关，优点是安全性好，对数据包要拆开七层进行检查；缺点是性能差和扩展性差。第三代防火墙为采用状态监测技术的防火墙，它对数据报的检查，不仅基于当前连接，还要考虑以前的连接以及得自于应用的信息，根据上下文关系，来做出综合判断，从而保证安全性。状态监测模块位于协议堆栈的底层，操作系统的内核之中，因而伸缩性强，而且速度快。在当今市场上，超过90%的防火墙声称自己采用了状态监测技术，由此可见，此项技术为最主流的防火墙技术。状态监测技术是CheckPoint发明的，至今仍持有此项技术的专利。应用智能技术大部分防火墙提供了有效的访问控制，但是仍有许多还不能支持应用级的攻击检测和阻隔。认识到这个事实后，电脑黑客们现在将他们的目标直指应用程序。今天，互联网环境中的一些最严重的威胁来自于那些利用已知应用程序缺陷的攻击。黑客们最感兴趣的是像HTTP（TCP端口80）和HTTPS（TCP端口443）这样的服务，通常这些服务在许多网络中是开放的。访问控制装置不能轻易检测到面向这些服务的恶意使用。通过直接面向应用程序，黑客们试图获得至少以下一种恶意目标，包括：•拒绝对合法用户的服务（DoS攻击）•获得对服务器或客户端的管理访问权•获得对后端信息数据库的访问权•安装特洛伊木马软件，可绕过安全保护并能够对应用程序进行访问•在服务器上安装运行于“sniffer（网络探针）”模式的软件，并获取用户名和密码由于基于应用的攻击本身很复杂，有效的防卫必须也同样复杂和智能。为了解决基于应用攻击日益增强的威胁，企业防火墙必须包含高级别的多层安全防护。这种多层安全网关应该防止网络及应用攻击，同时提供对IT资源强大的访问控制。CheckPointApplicationIntelligence™（应用智能）是一组高级功能，能够检测和阻止应用级攻击（3）集中安全管理本方案推荐的CheckPoint/Crossbeam产品具有统一集中安全管理能力，采用三层管理构架，最下面是安全的执行点（设备），中间是管理服务器，最上面是管理客户端。管理员可以通过管理客户端在管理服务器上制定安全策略，统一下发到各个执行点，从而确保了各个执行点的安全策略的一致性，此种方式也可以避免单点管理带给管理员的管理负担。同时此种集中管理方式可以对安全事件作出快速响应，加强运营商对网络安全的控制能力。由于CheckPoint可以提供统一安全架构，因此CheckPoint的端点安全服务器也可以通过防火墙的集中管理服务器来管理。（4）高可靠性和高可用性CheckPoint/Crossbeam提供的是新一代的运营商级的安全设备，X系列平台为全冗余架构，无源背板，全交叉总线，最多4个独立进线的电源模块，冗余风扇，冗余网络模块，冗余安全应用模块，冗余管理控制模块，甚至细化到每个网络端口均可定义其备份端口，实现了网络端口的冗余，整个设备无单一故障点，能够提供高达99.9999%的高可靠性。同时X系列设备所有的模块均可热插拔。X系列设备除了可提供传统的双机热备功能外，还提供独有的“单机高可用性”技术，即在单台X设备上，可提供极高的可用性，整个设备无单一故障点，包括电源、风扇、所有模块、网络端口、内部操作系统、内部应用系统等，均有备份，可用做到6个9的高可用（5）可以提供多种安全增值服务在CheckPoint/CrossbeamX系列设备上，可同时运行多种安全应用，包括：防火墙：虚拟防火墙：IDS/IPS数据库保护：其他还有防病毒、URL过滤等。未来新出现的安全需求，也可简单的通过增加模块实现。此种设计非常便于服务供应商根据用户需求不断增加新业务，从而增加收入。（6）良好的适应性和扩展性本次推荐的方案中将CheckPoint/Crossbeam设备旁挂在汇聚层设备边上，无须改变原来网络的拓扑结构。对于需要进行安全检查和保护的流量，只需在汇聚层设备上添加策略路由，在核心层设备上添加回程静态路由。如需屏蔽安全设备，无须改变网络连线，只须去除汇聚层设备的策略路由和核心层设备上的回程静态路由即可。方案同样拥有良好的扩展性。安全应用的扩展：安全应用可随着需求的产生而灵活扩展。如初始配置，X系列设备可只配置防火墙功能，当未来有需求时，可根据需求灵活的增加IDS、IPS、数据库保护、XML应用保护等安全功能。而对安全应用功能的增加仅需要在原有设备上增加一个模块即可，对原有的网络结构没有任何改动，非常方便。性能的扩展：随着用户网络的发展，当某应用的性能不能够满足新的需求时，可简单的增加一个模块即可，X系列设备可自动实现新增加的模块与原有模块工作于负载均衡模式，同样对原有的网络结构没有任何改动，非常方便。端口扩展：X系列的端口数也可随着应用需求的增长而增长。每增加一块网络模块，即可增加8个千兆或16个百兆端口。千兆端口的接口类型可以为RJ-45、多模光纤或单模光纤。（7）全面的安全防护本次提供的方案既考虑了大中客户，也考虑了端点，提供组合的安全保障，为城域网提供了有效的安全控制手段。2.2.8（1）CheckPointVSX虚拟防火墙产品介绍VPN-1VSX是一种高速、多策略虚拟安全解决方案。基于经过实践证明的安全解决方案，VSX可以为复杂基础架构中的多个网络提供综合全面的保护，帮助它们安全的连接到互联网和DMZ等共享的资源，并且实现了在提供集中管理的同时允许它们之间进行安全互动。VSX网关利用一台硬件设备就可以帮助各单位创建一个包括路由器、交换机和VPN-1网关的复杂、虚拟的网络。这种解决方案替换和改造负责安全保护和联网的物理设备，减少了为整个网络提供安全保障所需的硬件投入。目前，只有VSX提供的平台才实现了高可扩展性、虚拟化网络，以及可以被轻松部署和管理的安全服务。可扩展的虚拟架构VSX由多个虚拟安全系统组成，其中每个系统都是市场领先的VPN-1网关的完整