2006年中国网通河北IP城域网扩建一期工程可管理安全服务设备技术规范书

2006年中国网通河北IP城域网扩建一期工程

可管理安全服务设备技术规范书

2006-6-12

第一章工程技术规范书点对点应答

本次所提供的所有方案及各项设备和系统(包括软、硬件)符

合如下技术标准：

(1)IS027001：2005：信息技术安全一技术信息安全一管

理体系要求；

(2)ISO/IECFDIS17799:2005(E):信息技术一安全技术

—信息安全管理代码实践；

(3)ISO/IEC18028-2:2006(E)：信息技术一安全技术一IT

网络安全；

(4)ISO/IECTR13335：信息技术一IT安全管理指南；

(5)中华人民共和国通信行业标准YD/T1163-2001IP网络

安全技术要求一安全框架；

(6)中华人民共和国通信行业标准YD/T1132-2001防火

墙设备技术要求；

(7)《中国网络通信集团公司IP网2004-2006年发展规

划》；

(8)IP城域网规划建设指导原则(北方分册)；

(9)《河北网通互联网网络优化指导意见》；

(10)《中国网通网络技术转型与演进的若干意见》；

(11)《网通集团IP网络优化和维护指导意见》；

(12)《河北省分公司数据专业产品供货商及产品备案表》；

以下按照“2006年中国网通河北IP城域网扩建一期工程可管理安

全服务设备技术规范书”章节进行点对点应答。

3.5设备基本配置要求

3.5.1卖方提供的设备应满足下列基本配置要求：

(1)设备应为能够满足本技术规范要求的完整的软、硬件系统，

集成性好，便于机架式安装；

答：满足要求。

本项目提供的CheckPoint/Crossbeam设备为满足本技术规

范的完整软硬件系统，经过兼容性测试，可以无缝集成，设

备为标准机架尺寸，便于机架式安装。

(2)设备及接口的电气特性应符合国际和国家的相关标准。

答：满足要求。

本项目提供的CheckPoint/Crossbeam设备的设备及接口电

气特性符合国际和国家的相关标准。

3.5.2基本性能及配置要求

卖方提供的单套设备系统应满足下列性能指标要求：

•吞吐量：不小于4Gbps

答：满足要求。

本项目提供CheckPoint/CrossbeamX40配置最少可提供

4Gbps的吞吐量。

.最大并发连接数：不小于50万

答：满足要求。

本项目提供CheckPoint/CrossbeamX40配置最少可提供

50万的并发连接数。

・每秒新建连接数：不小于3万

答：满足要求。

本项目提供CheckPoint/CrossbeamX40配置最少可提供

3万的每秒新建连接数。

•端口数：不小于4个千兆光纤

答：满足要求。

本项目提供CheckPoint/CrossbeamX40配置可提供8

个千兆光纤口。

・设备应提供专用带外管理端口

答：满足要求。

CheckPoint/CrossbeamX40提供了2个带外管理端口

(10/100MBase-T)

・设备应提供专用日志端口

答：满足要求。

CheckPoint/CrossbeamX40提供了1个专用日志端口

(10/100/1000MBase-T)

•处理时延：不大于0.08s

答：满足要求。

CheckPoint/CrossbeamX40的处理时延小于0.08s。

3.5.3基本网络功能要求

卖方提供的单套设备系统应提供以下基本的功能：

(1)设备应支持静态路由和RIP、RIPH、0SPF等路由协议。

答：满足要求。

CheckPoint/CrossbeamX40支持RIP、RIPIC及OSPF等路由

协议。

(2)设备应支持802.IQVLANo

答：满足要求。

CheckPoint/CrossbeamX40支持802.IQVLANo

CheckPoint/CrossbeamX40防火墙全面支持802.1Q协议，通

过使用CheckPoint/CrossbeamX40防火墙可以有效的对VLAN

ID进行识别和支持，并且对不同VLAN之间的访问进行控制。

(3)设备应支持对不同VLAN间数据包的阻隔。

答：满足要求

CheckPoint/CrossbeamX40防火墙对VLAN具有丰富的控制

功能，通过对CheckPoint/CrossbeamX40硬件防火墙的设

置，用户可以通过防火墙对属于不同VLAN的主机进行有效的

隔离，并且通过安全策略进行访问控制，保护不同目标主机

和网络的安全。

(4)设备应支持VLANTrunko

答：满足要求

CheckPoint/CrossbeamX40防火墙采用专用的网络操作系

统，支持802.1Q协议，防火墙能够识别VLANID,支持VLAN

Trunk网络流量通过防火墙。

(5)设备应支持虚拟路由模式防火墙、虚拟透明模式防火墙，并

支持此两种模式的虚拟防火墙共存于同一个虚拟环境中。

答：满足要求。

CheckPoint/CrossbeamX40防火墙以以下方式工作在用户的

网络中：透明模式、路由模式、透明模式与路由模式同时工

作。CheckPoint/CrossbeamX40支持此两种模式的虚拟防火

墙共存于同一个虚拟环境中。

(6)单套系统支持的最大虚拟防火墙数量应不小于200个

答：满足要求。

CheckPoint/CrossbeamX40单台最高可支持250个虚拟防火

工回。

(7)设备应支持虚拟路由器和虚拟交换机功能。

答：满足要求。

CheckPoint/CrossbeamX40支持虚拟路由器和虚拟交换机功

4.1一般技术要求

4.1.1硬件

(1)卖方提供的所有设备必须是最新开发且最稳定可靠之产品，并

且大规模在电信运营商环境应用的成熟商用产品，并保证所提供产

品的数量、质量，特别是接口的兼容性。

答：满足要求。

CheckPoint/CrossbeamX40是最新开发并且最稳定可靠的产

品，已经在全球范围内的许多大型电信运营商环境得到了成

熟应用，包括美国南方贝尔、英国移动运营商02、西班牙电

信Telefonica＞德国电信、美国移动运营商Verizon

Wireless、澳大利亚电信Telstra等。在应用中，与各种网

络产品均有很好的兼容性。

(2)各种设备应采用功能分担、分布式多处理机结构。主要模块冗

余度至少为1+1,易于扩容和维护。

答：满足要求。

在CheckPoint/CrossbeamX40设备中，各模块的功能是分

离的，每种模块负责其各自的功能，然后整个设备通过机架

无源背板全交叉总线及Crossbeam专利的实时调度操作系统

XOS有机的集成。

同时，在CheckPoint/CrossbeamX40中，针对不同的功能

需求，提供了不同的设备模块，包括：网络处理模块NPM、安

全应用处理模块APM管理控制模块CPM等。

所有安全技术都通过一种先进的机柜式系统结合在一起，从

而消除了对外部交换机、负载均衡器、接头和/或端口镜像的

需要。通过多种安全技术配置流路径的工作可以从一个能为

用户带来全面灵活性的图形用户界面(GUI)上轻松完成。这

种合并是目前业界最简单、安全而又经济的安全防护模式。

所有相关模块均可配置为1+1的备份，可以灵活的根据功能

或性能的需求扩展各个模块。

(3)卖方提供的硬件平台应支持第三方安全设施，应为模块化设

计，支持平滑的扩展。各模块的扩展不影响现有模块的业务处理性

能和数量。

答：满足要求。

CheckPoint/Crossbeam设备为模块化设计，可同时提供多种

安全应用。设备上的安全应用处理模块APM可独立运行不同

的安全应用，包括独用防火墙/VPN、虚拟防火墙/VPN、IDS、

防病毒、IPS等。多个安全应用处理模块独立并行运行，并由

整个系统所统一监控。各模块的扩展不影响现有模块的业务

处理性能和数量。

可增加的安全应用包括：

a)IDS/IPS

b)虚拟防火墙

c)SSLVPN

d)数据库保护：可对网络内部的各种数据库进行保护，包括

Oracle.Sybase、DB-IKMS-SQL等。可以审计用户对数据库

的访问，可以加载对数据库访问的安全策略，可以告警等

e)URL过滤

f)XML服务保护

g)防病毒等

(4)主控模块能在不中断通信的情况下，可带电进行板卡的热插拨

操作。所有设备的模块插板可带电热插拔，所有设备均采用模块化

设计，其中每一模块发生故障时均不影响其他设备和其他模块的正

常运行。

答：满足要求。

CheckPoint/CrossbeamX40是新一代的运营商级的安全设

备，X40系列平台为全冗余架构，无源背板，全交叉总线，

双独立进线的电源模块，冗余风扇，冗余网络模块，冗余安

全应用模块，冗余管理控制模块，甚至细化到每个网络端口

均可定义其备份端口，实现了网络端口的冗余，整个设备无

单一故障点，能够提供高达99.9999%的高可靠性。同时X40

设备所有的模块均可热插拔。每一模块发生故障时均不影响

其他设备和其他模块的正常运行。

(5)卖方提供的设备要选用世界上高质量的元器件，生产过程中进

行严格质量控制，出厂前要经买方人员严格测试和检查，确保设备

长期稳定、可靠地运行

答：满足要求。

CheckPoint/Crossbeam设备采用世界上高质量的元器件，生

产过程中进行严格质量控制，出厂前经过严格测试和检查，

可以保证设备长期稳定、可靠地运行。

(6)承载软件系统的应为专用平台，卖方应说明该平台的性能。

答：满足要求。

Crossbeam为专用安全硬件平台，采用经过加固和优化的专用

操作系统，可以与CheckPoint虚拟防火墙无缝集成，为用

户提供安全服务。本次提供的CheckPoint/CrossbeamX40

至少可以提供4Gbps的防火墙数据吞吐率。

4.1.2软件

(1)软件系统

卖方的软件应为最新、成熟的电信级产品，并应与硬件平台实现无

缝衔接；

答：满足要求。

本项目CheckPoint提供的软件为最新、成熟的电信级产品，和硬

件平台Crossbeam经过兼容性测试，可以实现无缝衔接。

卖方在建议书中应详细列出所提供的软件清单、版本和说明。

答：满足要求。

软件版本说明

CPPWR-VSX-10NGX虚拟防火墙模块，可以支持10个虚拟防

火墙

CPPWR-SC-UNGX集中管理服务器软件

CPFW-FSS-1NGX单机防火墙以保护集中管理服务器

CPIS-IEPS-1000NGX1000客户端许可，可以提供端点PC防火

墙，PC入侵防范，PC应用安全，PC间谍

软件防范功能

CPIS-IAS-1NGX客户端集中管理服务器软件，可以提供

多域和层次化管理功能

卖方应说明本工程涉及的分类项目对现网设备的操作系统及相关

系统软件有何要求，是否需要使用新版本系统软件，若是，应说明

新版软件和原使用软件之间的异同和兼容程度

答：满足要求。

本项目提供的CheckPoint/Crossbeam设备对现网设备的操作

系统及相关系统软件无要求。

(2)软件模块化结构

软件应为模块化设计组成，卖方必须保证任何软件模块的维护和更

新都不影响其它软件模块的功能，软件具有容错能力。

答：满足要求。

CheckPoint软件采用结构化和模块化设计，对任何软件模块

的维护和更新都不影响其他软件模块的功能。软件中有特定进

程监控其他进程，如其他进程出现问题，特定进程会自动对其

进行修复。

(3)故障监视和诊断

软件能及时发现故障并发出告警，能够自动恢复系统，不影响任何

已建立的业务连接。

答：满足要求。

软件中有特定进程监控其他进程，如其他进程出现问题，能及

时发现故障并发出告警，特定进程会自动对其进行修复，不影

响任何已建立的业务连接。

(4)兼容性及升级

a.设备不同时期软件版本应能向下兼容，软件版本易于升级，且

在升级后不影响网路的性能与运行。

答：满足要求。

CheckPoint保证软件版本的向下兼容，软件版本易于升级，

且在升级后不影响网络的性能与运行。

b.卖方应承诺在供货时提供最新版本的软件，但该软件必须是经

过测试正式推出的，其可靠性、稳定性经过严格验证的。

答：满足要求。

CheckPoint保证供货时提供最新版本的软件，提供的软件是

经过测试正式推出的，其可靠性、稳定性经过严格验证的。

c.软件版本升级时，卖方应承诺免费更新软件版本，并提供相应

的新版本软件功能说明书及修改说明书。

答：满足要求。

本项目技术规范要求提供的且买方已经购买的软件功能，Check

Point/Crossbeam承诺免费软件版本更新，并提供相应的新版

本软件功能说明书及修改说明书。

(5)卖方应说明目前所使用软件的实际运行时间。

答：满足要求。

本项目中CheckPoint提供的NGX版本软件为2005年5月发布,

CheckPoint将至少在5年内提供对此版本的支持，如用户需

要，CheckPoint可以帮助用户过渡到最新版本。

4.1.3安装材料

若设备安装需要特定的安装材料、端口连接需要特定的连接线

缆的话，卖方应予以指出并给出配置且包含在设备价格中。

答：满足要求。

4.1.4备件

卖方应根据设备元件的质量情况提出备件配置的建议。

卖方提供的设备应是以至少五年使用期设计的，卖方要保证不

论提供的设备是否还生产，在使用期内买方可得到备件。

答：满足要求。

为保证用户生产网络更加可靠稳固，我们建议用户可根据情况

对关键硬件模块购买一至两套备件.

CheckPoint/Crossbeam本次提供设备使用期大于5年,在使用

期内可保证用户得到备件(过保修期后需收费).并且将于设备

停产前半年前通知用户.

4.2设备系统主要技术指标

4.2.1最大位转发率(Maximumbitforwardingrate)

位转发率指：特定负载下每秒种防火墙将允许的数据流转发至

正确目的接口的位数。最大位转发率指在不同的负载下反复测量得

出的位转发率数值集中的最大值，使用最大位转发率时应同时说明

与之响应的负载。卖方应结合买方IP城域网设备性能及网络架构

状况，确定并提出防火墙的设备的标准规范，并详细列出。

答：满足要求。

本项目提供的CheckPoint/Crossbeam设备旁挂在汇聚层设备

边，根据河北网通城域网现状，我们认为4Gbps的防火墙设备可以

满足需求。

FrameSize

(Bytes)64128256512102412801518

1APM

Throughput

(Mbps)

4.2.2设备功能要求

卖方提供的设备应提供以下的基本安全功能，并就每一项功能

详细说明设备支持的程度：

(D设备应运行在经固化的专用安全操作系统之上，卖方详细说

明该操作系统的主要安全固化措施。

答：满足要求

CheckPoint/Crossbeam全系列的防火墙均采用独有的运营商

级安全操作系统XOS。该操作系统专门进行了优化和加固，不

但提高了运行的性能，关键是提高了安全性。一般的开放操

作系统拥有许多的网络服务，远程服务，而且可能存在一般

用户不知道的漏洞，这对防火墙自身的安全是很大的威胁。

XOS操作系统从设计上做了大量的安全加强，保证防火墙自身

的安全。XOS不带有任何不必要的2进制代码和库结构，是一

个安全紧凑的操作系统；XOS操作系统覆盖了已知的各种漏

洞，并且不断致力于发现和覆盖新的漏洞。

(2)设备内部核心技术应采用状态监测技术。

答：满足要求

CheckPoint/CrossbeamX40防火墙中采用的是CheckPoint

获得专利的第三代防火墙技术状态监测(Stateful

Inspection),,能够提供更安全的特性。

状态监测是防火墙的第三代核心技术，也是最新的防火墙核

心技术，最初由CheckPoint发明，并获得美国专利(专利

号5,835,726）O状态监测相比于较早的包过滤及应用网关方

式的技术有较大的优势，包括更安全，性能更高、扩展性更

好等。因此，目前，几乎所有的防火墙产品均声称自己是状

态监测类的防火墙，但实际上在实现时有些产品的实现不完

整。

为了提供更强壮的安全性，一个防火墙必须跟踪及控制所有

通信的数据流。与传统的包过滤不同的是，状态监测通过分

析流入和流出的数据流，跟踪数据流的状态及上下文，根据

会话及应用的信息，实时确定针对该数据流的安全决策。

状态及上下文信息必须包括：

■数据包头信息（源地址、目的地址、协议、源端口、

目的端口、数据包长度）

-连接状态信息（哪个端口为哪个连接而打开）

・TCP及IP分片数据（如分片号、序列号）

■数据包重装，应用类型，上下文确认（如该数据包属

于哪个通信会话）

■防火墙上的到达端口及离开端口

-第二层信息（如VLANID）

■数据包到达及离开的时间

根据安全策略实施对通过防火墙的数据流进行控制，允许通

过或采取相应措施。防火墙系统的安全规则，每一条表项都

包括条件域、动作域和选项域，当有IP包进入时，系统在安

全策略中从第一个表项开始查起，如果符合，就执行该表项

指示的动作，状态监测技术针对协议，抽取连接的状态信息,

并建立状态连接表项。当没有一条合适的表项时，系统的默

认动作是拦截。

(3)所提供的防火墙模块应支持基于IP地址、组、端口、应用类

型、时间等创建安全规则，卖方详细说明其支持的程度。

答：满足要求

CheckPoint/Crossbeam支持基于IP源地址、IP目标地址、

用户组、网络组、源端口、目标端口、应用类型、时间、特

定防火墙等信息创建安全规则。

(4)所提供的防火墙模块预定义服务协议数量应不小于200个，

并说明所支持的最大协议数和协议增加的方法。

答：满足要求

CheckPoint/Crossbeam利用StatefulInspection专利技

术来保证所有通用Internet服务的安全。它支持超过200

个预定义应用、服务和协议，包括Web应用，即时消息发送、

对等网络应用、VoIP、OracleSQL.RealAudio以及多媒体

服务(如H.323)、SIP、FTP、ICMP、DNS、Netmeeting等。

本次提供的防火墙模块，可以支持的最大协议数量没有限制,

协议增加可以通过用户自定义和购买厂商服务自动升级更新

等方法实现。

(5)所提供的防火墙模块应支持针对Mail,MS-RPC,MS-SQL,P2P

等应用层的安全控制，并说明如何控制以及所支持应用的扩

展数量和方法。

答：满足要求。

CheckPoint/Crossbeam防火墙可以通过应用智能技术对多

种应用进行内容检查，包括Mail,MS-RPC,MS-SQL,P2P等

应用。应用智能技术通过验证协议是否遵循标准，检验协议

是否符合预期用法，阻止应用携带有害数据和控制应用层的

有害操作等四种策略来在合法的流量当中检测非法的行为，

从而确保应用的安全。应用的扩展支持可以通过用户自定义

和购买厂商服务自动升级更新等方法实现。

(6)所提供的防火墙模块应支持对VoIP的保护，支持H.323、SIP、

MGCP、SCCP,并说明如何保护。

答：满足要求。

CheckPoint/Crossbeam防火墙可以提供对VoIP的保护，支

持H.323,SIP,MGCP,SCCPoCheckPoint/Crossbeam防火

墙可以验证VoIP协议是否符合标准，理解并跟踪VoIP的全

部通信过程，并根据需要打开相关端口供通信使用，最后在

通信结束后自动封闭此端口。同时通过控制一些VoIP的通信

行为，对基于VoIP的攻击进行防范。

(7)所提供的防火墙模块支持的安全规则数目应无限制。

答：满足要求。

CheckPoint/Crossbeam防火墙支持的安全规则数量无限制。

(8)所提供的防火墙模块应支持安全策略一致性验证。

答：满足要求。

CheckPoint/Crossbeam防火墙支持规则策略的校验，支持规

则一致性测试。可以检测重复、错误、冲突的规则定义。

(9)所提供的防火墙模块应具有对DoS攻击的防护功能，防火墙

应支持SYN网关功能，并请说明。

答：满足要求。

CheckPoint/Crossbeam防火墙是目前对DOS攻击防范效果最

好的防火墙之一。能够对包括SYNFlood、PINGofDeath攻

击、IPSpoofing攻击等多种DOS攻击有很好的防护。其中对

SYN攻击具有很好的防御功能，提供SYN网关的功能。同时系

统也提供智能的SYN防御功能，当使用此项功能的时候，用

户不需要对SYN攻击防御选项进行特殊的设置，系统会自动

的监测和识别SYN的攻击，并且阻断它们。

(10)所提供的防火墙模块应具有对其他常见网络和应用层攻

击的防护能力，并请说明。

答：满足要求

CheckPoint/Crossbeam防火墙支持网络层到应用层的全检

测，对常见的网络和应用层攻击都具有防护能力。网络层的

攻击防范包括TearDrop,pingofdeath等DOS攻击，ping

大包，IP分段攻击等针对IP和ICMP的攻击，sys攻击，序

号攻击等针对TCP的攻击，等等。应用层攻击防范包括针对

http,ftp,dns,voip,p2p,mail等应用的攻击，等等。以

上网络层和应用层的攻击防护通过防火墙上SmartDefense模

块实现。

(11)所提供的防火墙模块应支持攻击特征库的动态更新，并

请说明更新方式以及是否会中断客户业务。

答：满足要求。

CheckPoint/Crossbeam防火墙内置防攻击模块一

SmartDefense,它的攻击特征库支持在线升级。如用户购买

了CheckPoint的攻击特征库升级服务，管理员可以使用管

理客户端自动连接到CheckPoint网站完成更新。更新会先

存放于集中管理服务器，在未下发策略时不会影响防火墙执

行点，也不会中断客户业务。即使下发策略，由于是针对攻

击作出的防范，对正常业务不会产生影响。

(12)所提供的设备系统应可同时运行多种安全应用，包括

IDS、防病毒等。未来可通过许可证激活防火墙设备上的其他

安全应用。

答：满足要求

CheckPoint/Crossbeam设备除防火墙外可以运行多种安全应

用，包括IDS、IPS、网关防病毒、URL过滤、数据库保护等

模块。所有这些模块已经内置在设备中，未来可以通过许可

证将这些功能激活，便于将于安全应用的扩展。

(13)设备系统应提供内容过滤功能，可以过滤URL地址、Java

Script、ActiveX控件和Ftp控制命令(get,put)>畸形IP

攻击包、ICMP恶意代码包，另外还能设置收件发件人邮件地

址过滤和大邮件过滤策略。

答：满足要求。

CheckPoint/Crossbeam防火墙可以通过其集成的内容安全

能力使用户免受病毒、恶意Java和ActiveXapplet、畸形

IP攻击包、ICMP恶意代码包及不需要的Web内容的攻击。

对于每个通过防火墙安全服务器建立的HTTP、SMTP或FTP

连接，网络管理员可以更详细地来控制对特定资源访问。例

如，访问可以控制到具体的Web页面，URL地址及FTP文件

以及操作(例如，PUT/GET命令)、SMTP的专用标题字段等

等。可对如e-mail附件大小、文件类型等进行检查，还可以

设置收件发件人邮件地址过滤等。

同时防火墙还可通过OPSEC的SDK接口与专门的内容过滤系

统互动，进行更细致的内容检查。

（14）设备应支持NAT功能，包括一对一、多对一的NAT工作

模式。

答：满足要求。

CheckPoint/Crossbeam防火墙支持动态和静态地址翻译

（NAT）功能，并且无数量限制。

CheckPoint/Crossbeam防火墙使用强大的、易于管理的网络

地址翻译（NAT）在Internet上隐藏内部网络地址一避免将

它们泄漏为公众信息。通过集成StatefulInspection技术,

CheckPoint/Crossbeam的NAT实现了业界最安全的地址翻

译，而且它支持范围广泛的Internet服务。根据网络管理

员在建立对象（如主机、网络和网关）时提供的信息，防火

墙自动生成静态（一对一）和动态（多对一）的翻译规则。

（15）设备应支持网络流量监视和CPU负载统计。

答：满足要求。

CheckPoint/CrossbeamX40防火墙系统采用专用的网络操作

系统，提供对系统运行状态和网络流量监控的统计分析功能,

通过管理界面用户可以对：

■通过防火墙的网络流量进行有效的检查和记录

-防火墙设备本身的CPU情况的记录和检查

-通过防火墙的审计工具用户还可以对系统的其他资源如:

内存的使用率等多方面的内容进行审计。

4.2.3设备系统安全管理功能

卖方提供的设备系统应提供以下的安全管理功能：

（1）设备应支持专有管理客户端、WEB及命令行管理方式。

答：满足要求

CheckPoint/CrossbeamX40防火墙系统支持丰富的管理和控

制功能：

a）基于本地串口的命令行管理功能

b）基于网络的Web界面的管理功能。

c）基于专用GUI管理系统的图形化安全管理功能

d）基于通用安全的HTTPS、SSH的管理功能

（2）设备应支持本地管理、远程管理和集中管理。

答：满足要求。

CheckPoint/Crossbeam设备支持本地管理和远程管理方式。

本地管理和远程可以通过WEB界面（通过SSL加密）管理。

同时Crossbeam防火墙还支持SSHvlv2,保证了远程管理的安

全性。通过中央管理服务器Smartcenter可以对防火墙设备

进行集中管理。

（3）要求使用集中管理软件统一管理所有防火墙（包括虚拟系

统），包括策略管理，用户管理，VPN管理，入侵防护管理,

攻击防护代码统一升级等。

答：满足要求。

CheckPoint/Crossbeam防火墙非常适合构建分布式客户/服

务器安全访问应用控制，可以说，防火墙的结构就是以分布

式安全控制的出发点来进行设计的。

CheckPoint/Crossbeam产品是三层体系结构：

GUI：为用户提供图形化的界面，便于配置防火墙的策略和对

象，上面不存储任何数据。在防火墙允许的范围内，可安装

于任何一台PC机上。

ManagementServer（管理服务器）：用于存储在GUI上定义的

策略和对象，完成对所有防火墙（包括虚拟系统）的统一管

理，包括策略管理，用户管理，VPN管理，入侵防护管理，攻

击防护代码统一升级等。当安全策略下发时，管理服务器将

策略编译后推到各个防火墙上。同时管理服务器可用来察看

执行模块的状态信息，并存储执行模块生成的日志。

EnforcementModule（执行模块）：用于数据包的过滤，决定

数据包的通行、阻断、转发。所有的防火墙安全策略可以由

管理服务器进行集中化定制，对每个防火墙可以定义不同的

策略文件。各个模块之间的通信使用SSL进行加密。

为便于管理，我们建议在此次项目中采用集中化管理的原则

布署防火墙产品。即所有防火墙都可在网管中心对其进行集

中化的安全管理，统一配置安全策略，这样带来的优点：

实现了对各业务安全的集中化管理，减小网络整体存在安全

漏洞的可能性，同时顺应了业务集中的趋势，减小了各部门

对安全方面的管理支出。

(4)设备应支持管理员基于角色的管理。

答：满足要求。

CheckPoint/Crossbeam对防火墙的管理员权限可以分为多

个定义，包括可写、只读、用户自定义。在用户自定义中可

以灵活定义用户对防火墙的各个模块的权限，例如：用户只

能修改日志而不能修改策略。

(5)设备应支持管理员使用数字证书作为认证方式以提高安全

性。

答：满足要求。

CheckPoint/Crossbeam设备的管理服务器中内置CA,所有

防火墙功能模块均可通过该证书进行认证。对于管理员，可

以使用基于X.509数字证书，进行登录认证，极大提高了安

全性。

4.2.4设备日志、报警和报表功能

卖方提供的设备系统应提供以下的日志、报警和报表功能：

(1)所提供的防火墙模块应该具有内置日志服务器，可以提供实

时和历史日志

答：满足要求。

CheckPoint/Crossbeam内置日志服务器，可以提供实时和历

史记录。同时可将日志导向其它的日志服务器。

(2)设备应支持丰富的日志域，支持超过60种以上的日志域

答：满足要求

CheckPoint/Crossbeam通过日志查看器Smartviewtracker

模块用来察看日志，可察看的日志字段超过60种以上，并可

以灵活的定义过滤条件。

(3)设备应支持日志的本地记录，防火墙模块应有40G以上的内

置硬盘，并说明是否支持异地或外部记录方式。

答：满足要求

CheckPoint/Crossbeam支持日志的本地记录，X系列产品均

有80G以上的内置硬盘。可以设定防火墙模块在本地记录日

志同时，实时或定期将日志发送到集中管理服务器或异地的

其他日志服务器。可以提供日志输出接口，供第三方接收防

火墙的日志。

(4)设备应支持SYSL0G功能。

答：满足要求

CheckPoint/Crossbeam支持标准的SYSLOG,同时设备上有

单独的日志端口，可将日志导向第三方Log服务器。

(5)设备应支持日志过滤功能。

答：满足要求

通过SmartViewtracker功能模块，可以灵活的进行日志过

滤，可按特定字段进行过滤，也可进行不同字段的组合过滤。

(6)设备应支持管理员日志及对管理员的审计。

答：满足要求

CheckPoint/Crossbeam内置日志服务器除记录历史记录外，

还记录实时连接和管理员的审计日志，管理员对防火墙所做

操作(如修改对象和策略)均被记录。

(7)设备应提供与第三方日志审计工具的接口

答：满足要求。

可以通过OPSEC与第三方审计工具进行互动，提供日志输出接

口LEA(logexportAPI)o

(8)设备应提供实时告警功能，对防火墙本身或受保护网段的非

法攻击支持多种告警方式如SNMP告警、E-mail告警、日志告

警等等。

答：满足要求。

CheckPoint/Crossbeam防火墙系统可以对多种网络事件

进行告警功能，用户可以按照需要对指定网络行为进行警

告设置，当这些事件发生的时候，系统可以通过SNMP,

E-mail,日志等多种方式进行告警。

(9)设备应提供SNMPTrap、E-Mail、Alarm>LOG、自定义等方式

的报警功能支持。

答：满足要求

CheckPoint/Crossbeam防火墙支持多种告警方式如SNMP

告警、EmailL告警、日志告警、用户自定义程序告警等等。

通过用户自定义方式，在X40防火墙上还可实现更加灵活的

报警方式，如寻呼机、QQ等。

(10)设备应提供内置报表工具对日志作统计分析

答：满足要求。

CheckPoint/Crossbeam防火墙的组件EventiaReporter

提供日志分析和统计，并可根据客户定义的时间，内容，生

成数据表格、图形报告。

4.2.5设备可扩展性要求

（1）设备应可通过增加模块的方式提供更多的网络端口，卖方应

详细说明设备可提供的网络端口扩展模块。

答：满足要求。

CheckPoint/Crossbeam设备可通过增加网络模块NPM的方式

增加设备上的网络端口。目前，X40可提供的网络模块包括8

个千兆端口（铜缆、单模光纤、多模光纤可选）及16个百兆

接口的模块。

（2）设备应可通过增加模块的方式提高投标设备的性能，卖方应

详细说明设备可提供的扩展模块的信息。

答：满足要求。

CheckPoint/CrossbeamX40的性能可以随着需求的增加而扩

展，可以通过增加APM模块来提高X40整体设备的处理能力，

新增加的APM模块可自动与原有APM模块工作于自动负载均衡

模式。每块APM模块可提供4Gbps的防火墙吞吐能力、每秒

30,000新建连接数以及50万最大并发连接数。每增加一块APM

模块，其设备的整体性能，包括吞吐量、并发连接数、每秒新

建连接数等，近似于线性增加，这样，通过简单增加APM模块

到现有的X40设备上，就可提升X40设备的处理能力。

而对性能的增加，实施也非常简单。只需要增加一块APM模块,

插入到现有的X40设备中即可，对网络中的其他设备，完全不

需要改变。

(3)设备应可通过增加模块的方式，在投标设备上增加新的安全

功能，卖方应详细说明如何在投标设备上增加新的安全功能。

这些安全功能将包括IDS、IPS、SSLVPN、防病毒URL过滤、

XML应用保护等。

答：满足要求

CheckPoint/Crossbeam设备网络处理、安全应用、管理功能

均以模块方式工作，如果增加新的安全应用，只需要增加APM

模块即可。所有的APM硬件均相同，由控制模块来定义APM

的功能，激活安全应用的License即可，目前支持的主要安

全功能包括：IDS、IPS、SSLVPN、防病毒、URL过滤、XML

应用、数据库保护。

(4)设备增加新的安全应用功能时，必须基本不影响原有设备模

块的性能功能和。卖方应详细说明这一要求的实现方式。

答：满足要求。

CheckPoint/CrossbeamX40上，所有新增加的模块均有独立

的处理能力，将不会影响原有防火墙及虚拟防火墙的性能。

在每个模块上均有独立的中央处理器、内存、总线、操作系

统等。所有APM配置均相同。APM提供高性能安全应用处理。

硬件模块均可进行热插拔。同时可将安全应用定义为不同的

逻辑组，在增加安全应用时，数据流会自动负载均衡到新的

模块上，原有的通信和会话不会丢失。

4.2.6高可用性及高可靠性要求

卖方提供的设备系统应提供高可用性支持，具体要求为：

（1）设备应支持高可用性配置，提供双机热备功能，卖方应详细

说明双机热备的实现方式。

答：满足要求

CheckPoint/CrossbeamX40可以通过4种方式提供防火墙的

高可靠性HA：

a）标准的VRRP协议（RFC2338）

b）动态路由协议

c）四层交换机

d）ClusterXL技术

（2）设备应有专用的高可用性心跳端口。

答：满足要求。

CheckPoint/Crossbeam在CPM（控制模块）上有专用的高可

用性心跳端口，通过该端口可以在多台设备间监测彼此状态,

为最大限度的保证高可靠性，在设备上还可定义多个端口为

心跳端口。

（3）设备应支持具有运营商级的设备高可靠性，包括冗余电源、

冗余风扇、冗余模块、冗余网络接口等。卖方应详细说明所

提供设备自身的其他冗余配置特性。

答：满足要求。

CheckPoint/CrossbeamX40设备提供SBHA单机高可用性

（SingleBoxHighAvailability）功能特性，即在一台X

设备上，所有的系统部件均可提供备份，包括：

/冗余数据交换（多NPM）

,冗余控制管理（双CPM）

/冗余存储

/冗余网络处理器（网络端口-端口备份）

,冗余安全应用处理模块（多个APM）

/模块的N+1备份

/冗余电源（可提供2个独立电源）

（4）设备应支持单机高可用性技术，即在单台设备上，可提供防

火墙等安全应用的高可用性及负载均衡技术。卖方应详细说

明所提供设备单机高可用性技术的实现方式。

答：满足要求。

在X系统中，可安装多个APM模块运行同一安全应用，实现

安全应用的负载均衡。X系统的控制模块CPM实时监控每块

APM的健康状况，包括APM上面运行的应用、CPU负载状况、

内存使用状况等。这些信息被实时的反应在X系统的数据转

发表中。而网络处理模块NPM就是根据这张表中的信息，确

定转发数据到某安全应用的具体哪一块APM上。这样就实现

了安全应用的负载均衡，而并不需要额外的网络资源，也不

需要该安全应用本身支持负载均衡功能或HA功能，也并不消

耗APM的任何资源。可以对防火墙应用进行负载均衡，也可

对防病毒应用进行负载均衡，对IDS/IPS、邮件安全、内网安

全等，都是一样可实现负载均衡。

在X系列上，安全应用处理模块APM模块是完全相同的。每

块APM均可运行不同的安全应用。各种安全引擎已经被预先

装在了X设备的系统中，在系统的控制下，APM在不同时间可

运行不同的安全应用。

这一特性可带来很大的系统灵活性及可靠性。在可靠性方面,

可实现独有的“N+1”备份技术。

见下图示例。

防火崎货战均衡组IDS货战均祈组备份APM

在这张图的典型配置下，我们在X设备中配置了3块APM作

为防火墙，另3块APM作为IDS,均是负载均衡状态，共6块

APM模块。这时，我们可另配置1块APM模块，作为这6块

APM模块的备份模块，而不需要每种应用都配置备份模块。即

“N+1”的备份。

“N+1”备份是这样工作的。

假设IDS负载均衡组中的某APM模块出现故障，这时，首先,

NPM将立即将这块APM处理的任务转发到另2块IDSAPM处理;

然后，CPM将备份APM的IDS功能通过license激活，备份

APM这时就变成了IDS负载均衡组中的一块APM,NPM也开始

转发IDS处理数据流量给这块APMo

“N+1”备份还有一个特性是可设置各安全应用的优先级，当

高优先级的安全应用APM模块出现故障时，系统可拿较低优

先级安全应用的模块备份高优先级的安全应用。我们再接着

上面的例子。假设，在极端状况下，原来故障的IDSAPM还

没有恢复正常，而防火墙负载均衡组的某APM模块也出现故

障。这时，由于IDS安全应用的级别低于防火墙应用（实际

应用中通常也是如此）,系统将拿一块IDS应用组的APM模块,

将其切换为防火墙功能，成为防火墙负载均衡组中的一块

APMo

另外，该特性还可实现在不同的时间APM运行不同的安全应

用。可根据在不同时间数据流量的不同特点灵活的配置各APM

的使用。如，在晚上，当WEB访问流量较多时，而邮件相对

较少，我们这时可配置系统在晚上把某些或某个邮件保护的

APM模块切换成URL过滤模块。这可实现系统很高的灵活性。

4.2.7VPN功能支持

卖方提供的设备应提供VPN功能支持，基本要求包括：

(1)提供的防火墙应具有虚拟专用网(VPN)功能，可以实现网关

到网关和客户端到网关两种方式。应支持IPSECVPN功能。

答：满足要求。

CheckPoint/Crossbeam防火墙集成了访问控制、认证和加密

以确保网络连接的安全性、本地和远程用户的可靠性以及数

据通信的私有性和完整性。

目前可以实现三种协议的VPN,包括IPSec、L2TP、SSL。

其中IPSec支持多种VPN模式，主要包括：

(l)Site-to-site主要用于网络与网络之间进行VPN连接,

常用于与合作公司、第三方伙伴之间的连接。

在site-to-site的VPN当中，又可细分为两种结构：

Starmode(星状结构)：星状结构中所有VPN设备汇聚

于中心VPN设备中，各个VPN设备之间的VPN建立，需要先

与中心的VPN建立通道，由中心VPN设备进行VPN路由。星

状结构常用于总部与各分支机构之间实现VPNo

Meshedmode(网状结构)：网状结构中所有的VPN设备

之间直接相连，互相之间建立起VPN通道，不存在中心VPN

设备。

(2)Client-to-site用于移动用户的接入，用户在机器上安

装了客户端软件后，可通过拔号、ADSL、宽带等方式与公司

之间的防火墙建立起VPN通道。

(2)提供的防火墙支持全网状或星形VPN拓扑，并支持VPN路由

功能

答：满足要求

CheckPoint/Corssbeam防火墙支持全网状或星形VPN拓扑，

并支持VPN路由功能。

(3)提供的防火墙拥有内置CA

答：满足要求

CheckPoint/Crossbeam防火墙内置CA。

(4)设备应支持AES,3DES,DES等加密算法和MD5,SHA1等验证

算法。

答：满足要求。

CheckPoint/Crossbeam设备支持AES,3DES,DES等加密算

法和MD5,SHA1等验证算法

4.2.8兼容性要求

(1)卖方提供的设备应能够与OPSEC组织的第三方安全产品进行

很好的联动，最大限度的提高整个系统的安全性，请详细说

明兼容的主要产品。

答：满足要求

CheckPoint和Crossbeam是OPSEC的主要成员，X40防火墙系

统能够支持所有的OPSEC成员的安全产品，其中包括：入侵检

测，防病毒，内容过滤等多种安全产品的联动。如在IDS/IPS

方面可以和ISS、SourceFire等厂商产品合作；在防病毒方面可

以和趋势科技的产品合作；在邮件过滤上可以同趋势科技和

Aladdin的产品合作；在URL过滤上可以和websense、smartfilter

的产品合作。

(2)卖方应详细说明所提供设备对其他厂商产品(包括网络设备、

主机系统)的互连互通能力。

答：满足要求

支持所有主流的网络设备、主要系统厂家。

4.3环境要求

设备要在下列环境下能够保证长期正常工作:

环境温度：5℃〜35℃

相对湿度：30%〜80%

卖方应说明设备升级前后对环境的要求是否有变化。

答：满足要求。

设备升级前后对环境的要求无变化。

4.4电源要求

设备应能在下列供电变化范围内正常工作：

直流：一40V〜-57V；

交流：〜220V±10%,50Hz±5%o

卖方应说明设备升级前后对电源的要求是否有变化。

本工程提供的供电方式为直流。

答：满足要求。

设备升级前后对电源的要求无变化。本次提供的设备可以根据用户

要求选配直流或交流电源。

5.2配置要求

(1)卖方应按照各附表设备配置要求进行设备配置，给出设备

配置说明(解释各项配置的组成说明和作用)。

答：满足要求。

集中管理服务器配置

产品软件/说明

硬件

CPPWR-SC-U软件集中管理服务器软件

CPFW-FSS-1软件单机防火墙以保护集中管理服务器

PC服务器硬件作为集中管理服务器软件承载平台，建

议使用至强CPU,4G内存，100G以上硬

盘

可管理安全服务设备配置

产品软件/说明

硬件

CPPWR-VSX-10软件虚拟防火墙模块，可以支持10个虚拟防

火墙

CrossbeamX40硬件由以下四个部分组成

X40-DCX40DC机架，双电源.可以支持2个

NPM,10个APM,2个CPMs.

CPM-8100-80GCPM控制处理模块(ControlProcessing

Module)

NPM-8200-8G网络处理模块.带8个千兆接口

APM-8400-1P4-1G应用处理模块.APM-8400.4Gbps防火墙

吞吐量

端点安全服务器配置

产品软件/说明

硬件

CPIS-IAS-1软件客户端集中管理服务器软件，可以提供

多域和层次化管理功能

CPIS-IEPS-1000软件客户端许可，可以提供PC防火墙，PC入

侵防范，PC应用安全，PC间谍软件防范

功能

PC服务器硬件作为客户端集中管理服务器软件承载平

台，建议使用双至强CPU2.OGhz以上，

4G内存，100G以上硬盘

(2)卖方的所有配置方案应保证设备运行所必须提供的电源模

块、主控模块等主要部件的冗余配置并对模块进行单独报价和说

明。

答：满足要求。

(3)卖方可以提出多种配置方案与相应的报价供买方参考，具

体选择由买方确定，卖方应保证各种优惠条件和价格折扣保持不

变。

答：满足要求。

(4)卖方应根据配置要求，结合现有网络设备的配置情况作出

相应位置安排(包括割接过渡状态),并分析对割接是否有影响。

答：满足要求。

因为是旁挂部署，割接时对当前网络无影响。

(5)卖方应保证设备配置的品种、数量准确无误，保证工程如

期顺利进行，如有错漏，由卖方无偿补足。

答：满足要求。

(6)卖方在本工程新增设备保修期外可应买方要求以不高于本

次实际成交价提供备件。

答：满足要求。

(7)若买方最终确定的设备配置内容和数量有所变化，卖方应

保证各种优惠条件和价格折扣保持不变。

答：满足要求。

第二章.总体技术方案建议书

2.1前言

2.1.1背景

随着计算机网络的发展，其开放性，共享性，互连程度扩大,

网络的重要性和对社会的影响也越来越大。城域网作为城市

主要的数据业务承载网络，特别是电子商务(E-Commerce)、

企业数据专线、网络互联、虚拟专用网(VPN)、Internet接

入服务等应用在社会经济生活的地位日益凸现。网络的安全

性直接影响到社会的经济效益。例如，2003年1月份的SQL

杀手蠕虫事件，中国有两万多台数据库服务器受到影响，使

国内主要骨干网全部处于瘫痪或半瘫痪状态；2003年8月份

的冲击波蠕虫，使成千上万的用户计算机变慢，被感染的计

算机反复重启，有的还导致了系统崩溃，受到“冲击波”病

毒感染的计算机反过来又会影响到网络的正常运行。随着网

络安全问题重要性增加，如何保证城域网安全，应对日益增

多的网络攻击、病毒破坏和黑客入侵等问题已成为城域网建

设和运营所关注的重点。

2.1.2方案构成

本方案是针对2006年中国网通河北IP城域网扩建一期工程

可管理安全服务设备项目而提出的网络安全解决方案，当前

阶段集中在CheckPoint/Crossbeam防火墙部署和Check

PointIntegrity端点安全部署的技术方案，可针对系统安全

的访问控制、网络攻击、蠕虫传播等方面提供相应的防范。

我们有理由相信，有了我们构建的优秀网络安全系统，加之

我们为您奉上的全方位的周到服务，您的网络一定会变得安

全而高效，您的事业也一定会因此而取得巨大的成功。

2.2河北网通IP城域网扩建一期工程可管理安全服务设备项

目方案建议

2.2.1城域网安全分析

2.2.1.1网络现状

(1)网络结构

河北省共有11个地市，目前IP骨干网以石家庄和唐山为双核

心，各2台思科公司GSR12816,分别通过2.5GP0S链路连接其他9

个地市的GSR12016和GSR12012上，各地市的思科公司GSR路由器

作为各自IP城域网与IP骨干网的接口，与集团IP网通过4条10G

POS互连。

各市分公司城域网建设在规模和业务发展水平上略有不同，但

从物理结构看，从上到下分为三层：核心层、汇聚层和接入层。网

络构架大体相同，其中：

核心层：大型网络一般由3-4个核心节点、中小型网络一般采

用2-3个核心节点经GE链路以网状或半网状结构组成。

汇聚层网络由宽带接入服务器和汇聚层交换机组成。宽带接入

服务器布放置汇聚层端局，汇聚层交换机覆盖全省所有县局和市内

端局。

核心层主要实现业务量的快速转发，具备较强的路由控制；汇

聚层主要进行大量接入层设备的汇聚收敛;接入层主要以ADSL和小

区以太网为主，扩大业务覆盖范围。

接入层设备以二层或三层方式上连到汇聚层。如果接入层设备

有路由功能，则汇聚层交换机与这些接入层设备之间跑三层，运行

静态路由协议，用户的网关在接入层设备上。如接入层二层交换机

需要接入两个或两个以上的VLAN时，以802.1Q的TRUNK方式上连

汇聚层交换机，用户的网关在汇聚层设备上。IPDSLAM以802.1Q

的TRUNK方式上连汇聚层交换机，一个VLAN用于PPPoE用户VLAN

穿透，另一个VLAN用于和汇聚层交换机直接运行静态路由协议。

（2）网络业务

IP网的业务目前主要可以分为：互联网访问（主要通过XDSL、

光纤+LAN接入）；IPVPN,VLANVPN（主要通过光纤+LAN接

入）；VPDN（主要通过NAS或XDSL接入）;MPLSVPN（主要通过光纤+

LAN、和ADSL接入）；本地VoD服务（主要通过IDC机房的接入交换机）;

本地游戏服务（主要通过IDC机房的接入交换机）；省公司IDC业务;

未来可能承载的业务包括：VoIP语音服务、IP/TV视频服务、3G、

NGN等其它业务。

2.2.1.2城域网安全模型

对于网络运营商而言，城域网包括基础承载网络和业务管理平台。

城域承载网是城域网业务接入、汇聚和交换的物理核心网，它由核

心交换层、汇聚层、综合接入层构成。业务管理平台由业务支撑平

台、网管平台、认证计费平台等组成。

安全模型将城域网分成三个区域：信任域、非信任域和隔离区域。

信任域是运营商的基础网络，通常采用防火墙等设备与电信业务网

隔离，包括网管平台、智能业务平台、认证平台等设备；隔离区域

是信任域和非信任域之间进行数据交互的平台，包括电信运营商提

供的各种业务平台，如Web服务平台、FTP服务器、用户查询平台、

Mail服务器等；非信任域是运营商面对客户的基础网络，它直接提

供用户的接入和业务，同时也是Internet网络的一部分，包括基础

用户接入、数据交换、媒体网关等设备，是运营商不能完全控制的

网络。非信任域的基础网络是信息传输的基础，在城域网中起着至

关重要的作用，作为安全模型中的非信任域，需要重点考虑。

2.2.1.3城域网安全特点

(1)安全威胁

(A)网外黑客对网内服务器，用户和设备的攻击

(B)网内染毒用户，病毒爆发带来的带宽占用，各种DDoS

攻击造成网络全面或局部业务瘫痪

(C)运营商核心信息窃取和篡改

(2)脆弱性

(A)网络规模大，用户数量多，设备多样复杂

(B)用户行为几乎不可控

(C)网络主体信任度低

(3)影响