河北IP城域網(wǎng)技術(shù)規(guī)范書(shū)草稿V11-final

2006年中國(guó)網(wǎng)通河北IP城域網(wǎng)擴(kuò)建一期工程可管理安全服務(wù)設(shè)備技術(shù)規(guī)范書(shū)2006-第一章工程技術(shù)規(guī)范書(shū)點(diǎn)對(duì)點(diǎn)應(yīng)答本次所提供的所有方案及各項(xiàng)設(shè)備和系統(tǒng)(包括軟、硬件)符合如下技術(shù)標(biāo)準(zhǔn)：ISO27001：2005：信息技術(shù)安全－技術(shù)信息安全－管理體系要求；ISO/IECFDIS17799:2005(E):信息技術(shù)－安全技術(shù)－信息安全管理代碼實(shí)踐；ISO/IEC18028-2:2006(E)：信息技術(shù)－安全技術(shù)－IT網(wǎng)絡(luò)安全；ISO/IECTR13335：信息技術(shù)－IT安全管理指南；中華人民共和國(guó)通信行業(yè)標(biāo)準(zhǔn)YD/T1163-2001IP網(wǎng)絡(luò)安全技術(shù)要求－安全框架；中華人民共和國(guó)通信行業(yè)標(biāo)準(zhǔn)YD/T1132-2001防火墻設(shè)備技術(shù)要求；《中國(guó)網(wǎng)絡(luò)通信集團(tuán)公司IP網(wǎng)2004－2006年發(fā)展規(guī)劃》；IP城域網(wǎng)規(guī)劃建設(shè)指導(dǎo)原則（北方分冊(cè)）；《河北網(wǎng)通互聯(lián)網(wǎng)網(wǎng)絡(luò)優(yōu)化指導(dǎo)意見(jiàn)》；《中國(guó)網(wǎng)通網(wǎng)絡(luò)技術(shù)轉(zhuǎn)型與演進(jìn)的若干意見(jiàn)》；《網(wǎng)通集團(tuán)IP網(wǎng)絡(luò)優(yōu)化和維護(hù)指導(dǎo)意見(jiàn)》；《河北省分公司數(shù)據(jù)專業(yè)產(chǎn)品供貨商及產(chǎn)品備案表》；以下按照“2006年中國(guó)網(wǎng)通河北IP城域網(wǎng)擴(kuò)建一期工程可管理安全服務(wù)設(shè)備技術(shù)規(guī)范書(shū)”章節(jié)進(jìn)行點(diǎn)對(duì)點(diǎn)應(yīng)答。3.5設(shè)備基本配置要求3.5.1賣方提供的設(shè)備應(yīng)滿足下列基本配置要求：設(shè)備應(yīng)為能夠滿足本技術(shù)規(guī)范要求的完整的軟、硬件系統(tǒng)，集成性好，便于機(jī)架式安裝；答：滿足要求。本項(xiàng)目提供的CheckPoint/Crossbeam設(shè)備為滿足本技術(shù)規(guī)范的完整軟硬件系統(tǒng)，經(jīng)過(guò)兼容性測(cè)試，可以無(wú)縫集成，設(shè)備為標(biāo)準(zhǔn)機(jī)架尺寸，便于機(jī)架式安裝。設(shè)備及接口的電氣特性應(yīng)符合國(guó)際和國(guó)家的相關(guān)標(biāo)準(zhǔn)。答：滿足要求。本項(xiàng)目提供的CheckPoint/Crossbeam設(shè)備的設(shè)備及接口電氣特性符合國(guó)際和國(guó)家的相關(guān)標(biāo)準(zhǔn)。3.5.2基本性能及配置要求賣方提供的單套設(shè)備系統(tǒng)應(yīng)滿足下列性能指標(biāo)要求：吞吐量：不小于4Gbps答：滿足要求。本項(xiàng)目提供CheckPoint/CrossbeamX40配置最少可提供4Gbps的吞吐量。最大并發(fā)連接數(shù)：不小于50萬(wàn)答：滿足要求。本項(xiàng)目提供CheckPoint/CrossbeamX40配置最少可提供50萬(wàn)的并發(fā)連接數(shù)。每秒新建連接數(shù)：不小于3萬(wàn)答：滿足要求。本項(xiàng)目提供CheckPoint/CrossbeamX40配置最少可提供3萬(wàn)的每秒新建連接數(shù)。端口數(shù)：不小于4個(gè)千兆光纖答：滿足要求。本項(xiàng)目提供CheckPoint/CrossbeamX40配置可提供8個(gè)千兆光纖口。設(shè)備應(yīng)提供專用帶外管理端口答：滿足要求。CheckPoint/CrossbeamX40提供了2個(gè)帶外管理端口（10/100MBase-T）設(shè)備應(yīng)提供專用日志端口答：滿足要求。CheckPoint/CrossbeamX40提供了1個(gè)專用日志端口（10/100/1000MBase-T）處理時(shí)延：不大于0.08s答：滿足要求。CheckPoint/CrossbeamX40的處理時(shí)延小于0.08s。3.5.3基本網(wǎng)絡(luò)功能要求賣方提供的單套設(shè)備系統(tǒng)應(yīng)提供以下基本的功能：設(shè)備應(yīng)支持靜態(tài)路由和RIP、RIPII、OSPF等路由協(xié)議。答：滿足要求。CheckPoint/CrossbeamX40支持RIP、RIPII及OSPF等路由協(xié)議。設(shè)備應(yīng)支持802.1QVLAN。答：滿足要求。CheckPoint/CrossbeamX40支持802.1QVLAN。CheckPoint/CrossbeamX40防火墻全面支持802.1Q協(xié)議，通過(guò)使用CheckPoint/CrossbeamX40防火墻可以有效的對(duì)VLANID進(jìn)行識(shí)別和支持，并且對(duì)不同VLAN之間的訪問(wèn)進(jìn)行控制。設(shè)備應(yīng)支持對(duì)不同VLAN間數(shù)據(jù)包的阻隔。答：滿足要求CheckPoint/CrossbeamX40防火墻對(duì)VLAN具有豐富的控制功能，通過(guò)對(duì)CheckPoint/CrossbeamX40硬件防火墻的設(shè)置，用戶可以通過(guò)防火墻對(duì)屬于不同VLAN的主機(jī)進(jìn)行有效的隔離，并且通過(guò)安全策略進(jìn)行訪問(wèn)控制，保護(hù)不同目標(biāo)主機(jī)和網(wǎng)絡(luò)的安全。設(shè)備應(yīng)支持VLANTrunk。答：滿足要求CheckPoint/CrossbeamX40防火墻采用專用的網(wǎng)絡(luò)操作系統(tǒng)，支持802.1Q協(xié)議，防火墻能夠識(shí)別VLANID,支持VLANTrunk網(wǎng)絡(luò)流量通過(guò)防火墻。設(shè)備應(yīng)支持虛擬路由模式防火墻、虛擬透明模式防火墻，并支持此兩種模式的虛擬防火墻共存于同一個(gè)虛擬環(huán)境中。答：滿足要求。CheckPoint/CrossbeamX40防火墻以以下方式工作在用戶的網(wǎng)絡(luò)中：透明模式、路由模式、透明模式與路由模式同時(shí)工作。CheckPoint/CrossbeamX40支持此兩種模式的虛擬防火墻共存于同一個(gè)虛擬環(huán)境中。單套系統(tǒng)支持的最大虛擬防火墻數(shù)量應(yīng)不小于200個(gè)答：滿足要求。CheckPoint/CrossbeamX40單臺(tái)最高可支持250個(gè)虛擬防火墻。設(shè)備應(yīng)支持虛擬路由器和虛擬交換機(jī)功能。答：滿足要求。CheckPoint/CrossbeamX40支持虛擬路由器和虛擬交換機(jī)功能。4.1一般技術(shù)要求4.1.1硬件(1)賣方提供的所有設(shè)備必須是最新開(kāi)發(fā)且最穩(wěn)定可靠之產(chǎn)品，并且大規(guī)模在電信運(yùn)營(yíng)商環(huán)境應(yīng)用的成熟商用產(chǎn)品，并保證所提供產(chǎn)品的數(shù)量、質(zhì)量，特別是接口的兼容性。答：滿足要求。CheckPoint/CrossbeamX40是最新開(kāi)發(fā)并且最穩(wěn)定可靠的產(chǎn)品，已經(jīng)在全球范圍內(nèi)的許多大型電信運(yùn)營(yíng)商環(huán)境得到了成熟應(yīng)用，包括美國(guó)南方貝爾、英國(guó)移動(dòng)運(yùn)營(yíng)商O2、西班牙電信Telefonica、德國(guó)電信、美國(guó)移動(dòng)運(yùn)營(yíng)商VerizonWireless、澳大利亞電信Telstra等。在應(yīng)用中，與各種網(wǎng)絡(luò)產(chǎn)品均有很好的兼容性。(2)各種設(shè)備應(yīng)采用功能分擔(dān)、分布式多處理機(jī)結(jié)構(gòu)。主要模塊冗余度至少為1+1，易于擴(kuò)容和維護(hù)。答：滿足要求。在CheckPoint/CrossbeamX40設(shè)備中，各模塊的功能是分離的，每種模塊負(fù)責(zé)其各自的功能，然后整個(gè)設(shè)備通過(guò)機(jī)架無(wú)源背板全交叉總線及Crossbeam專利的實(shí)時(shí)調(diào)度操作系統(tǒng)XOS有機(jī)的集成。同時(shí)，在CheckPoint/CrossbeamX40中，針對(duì)不同的功能需求，提供了不同的設(shè)備模塊，包括：網(wǎng)絡(luò)處理模塊NPM、安全應(yīng)用處理模塊APM、管理控制模塊CPM等。所有安全技術(shù)都通過(guò)一種先進(jìn)的機(jī)柜式系統(tǒng)結(jié)合在一起，從而消除了對(duì)外部交換機(jī)、負(fù)載均衡器、接頭和/或端口鏡像的需要。通過(guò)多種安全技術(shù)配置流路徑的工作可以從一個(gè)能為用戶帶來(lái)全面靈活性的圖形用戶界面（GUI）上輕松完成。這種合并是目前業(yè)界最簡(jiǎn)單、安全而又經(jīng)濟(jì)的安全防護(hù)模式。所有相關(guān)模塊均可配置為1＋1的備份，可以靈活的根據(jù)功能或性能的需求擴(kuò)展各個(gè)模塊。(3)賣方提供的硬件平臺(tái)應(yīng)支持第三方安全設(shè)施，應(yīng)為模塊化設(shè)計(jì)，支持平滑的擴(kuò)展。各模塊的擴(kuò)展不影響現(xiàn)有模塊的業(yè)務(wù)處理性能和數(shù)量。答：滿足要求。CheckPoint/Crossbeam設(shè)備為模塊化設(shè)計(jì)，可同時(shí)提供多種安全應(yīng)用。設(shè)備上的安全應(yīng)用處理模塊APM可獨(dú)立運(yùn)行不同的安全應(yīng)用，包括獨(dú)用防火墻/VPN、虛擬防火墻/VPN、IDS、防病毒、IPS等。多個(gè)安全應(yīng)用處理模塊獨(dú)立并行運(yùn)行，并由整個(gè)系統(tǒng)所統(tǒng)一監(jiān)控。各模塊的擴(kuò)展不影響現(xiàn)有模塊的業(yè)務(wù)處理性能和數(shù)量?？稍黾拥陌踩珣?yīng)用包括：IDS/IPS虛擬防火墻SSLVPN數(shù)據(jù)庫(kù)保護(hù)：可對(duì)網(wǎng)絡(luò)內(nèi)部的各種數(shù)據(jù)庫(kù)進(jìn)行保護(hù)，包括Oracle、Sybase、DB-II、MS-SQL等?？梢詫徲?jì)用戶對(duì)數(shù)據(jù)庫(kù)的訪問(wèn)，可以加載對(duì)數(shù)據(jù)庫(kù)訪問(wèn)的安全策略，可以告警等URL過(guò)濾XML服務(wù)保護(hù)防病毒等(4)主控模塊能在不中斷通信的情況下，可帶電進(jìn)行板卡的熱插撥操作。所有設(shè)備的模塊插板可帶電熱插拔，所有設(shè)備均采用模塊化設(shè)計(jì)，其中每一模塊發(fā)生故障時(shí)均不影響其他設(shè)備和其他模塊的正常運(yùn)行。答：滿足要求。CheckPoint/CrossbeamX40是新一代的運(yùn)營(yíng)商級(jí)的安全設(shè)備，X40系列平臺(tái)為全冗余架構(gòu)，無(wú)源背板，全交叉總線，雙獨(dú)立進(jìn)線的電源模塊，冗余風(fēng)扇，冗余網(wǎng)絡(luò)模塊，冗余安全應(yīng)用模塊，冗余管理控制模塊，甚至細(xì)化到每個(gè)網(wǎng)絡(luò)端口均可定義其備份端口，實(shí)現(xiàn)了網(wǎng)絡(luò)端口的冗余，整個(gè)設(shè)備無(wú)單一故障點(diǎn)，能夠提供高達(dá)99.9999%的高可靠性。同時(shí)X40設(shè)備所有的模塊均可熱插拔。每一模塊發(fā)生故障時(shí)均不影響其他設(shè)備和其他模塊的正常運(yùn)行。(5)賣方提供的設(shè)備要選用世界上高質(zhì)量的元器件，生產(chǎn)過(guò)程中進(jìn)行嚴(yán)格質(zhì)量控制，出廠前要經(jīng)買方人員嚴(yán)格測(cè)試和檢查，確保設(shè)備長(zhǎng)期穩(wěn)定、可靠地運(yùn)行答：滿足要求。CheckPoint/Crossbeam設(shè)備采用世界上高質(zhì)量的元器件，生產(chǎn)過(guò)程中進(jìn)行嚴(yán)格質(zhì)量控制，出廠前經(jīng)過(guò)嚴(yán)格測(cè)試和檢查，可以保證設(shè)備長(zhǎng)期穩(wěn)定、可靠地運(yùn)行。承載軟件系統(tǒng)的應(yīng)為專用平臺(tái)，賣方應(yīng)說(shuō)明該平臺(tái)的性能。答：滿足要求。Crossbeam為專用安全硬件平臺(tái)，采用經(jīng)過(guò)加固和優(yōu)化的專用操作系統(tǒng)，可以與CheckPoint虛擬防火墻無(wú)縫集成，為用戶提供安全服務(wù)。本次提供的CheckPoint/CrossbeamX40至少可以提供4Gbps的防火墻數(shù)據(jù)吞吐率。4.1.2軟件(1)軟件系統(tǒng)賣方的軟件應(yīng)為最新、成熟的電信級(jí)產(chǎn)品，并應(yīng)與硬件平臺(tái)實(shí)現(xiàn)無(wú)縫銜接；答：滿足要求。本項(xiàng)目CheckPoint提供的軟件為最新、成熟的電信級(jí)產(chǎn)品，和硬件平臺(tái)Crossbeam經(jīng)過(guò)兼容性測(cè)試，可以實(shí)現(xiàn)無(wú)縫銜接。賣方在建議書(shū)中應(yīng)詳細(xì)列出所提供的軟件清單、版本和說(shuō)明。答：滿足要求。軟件版本說(shuō)明CPPWR-VSX-10NGX虛擬防火墻模塊，可以支持10個(gè)虛擬防火墻CPPWR-SC-UNGX集中管理服務(wù)器軟件CPFW-FSS-1NGX單機(jī)防火墻以保護(hù)集中管理服務(wù)器CPIS-IEPS-1000NGX1000客戶端許可，可以提供端點(diǎn)PC防火墻，PC入侵防范，PC應(yīng)用安全，PC間諜軟件防范功能CPIS-IAS-1NGX客戶端集中管理服務(wù)器軟件，可以提供多域和層次化管理功能賣方應(yīng)說(shuō)明本工程涉及的分類項(xiàng)目對(duì)現(xiàn)網(wǎng)設(shè)備的操作系統(tǒng)及相關(guān)系統(tǒng)軟件有何要求，是否需要使用新版本系統(tǒng)軟件，若是，應(yīng)說(shuō)明新版軟件和原使用軟件之間的異同和兼容程度答：滿足要求。本項(xiàng)目提供的CheckPoint/Crossbeam設(shè)備對(duì)現(xiàn)網(wǎng)設(shè)備的操作系統(tǒng)及相關(guān)系統(tǒng)軟件無(wú)要求。(2)軟件模塊化結(jié)構(gòu)軟件應(yīng)為模塊化設(shè)計(jì)組成，賣方必須保證任何軟件模塊的維護(hù)和更新都不影響其它軟件模塊的功能，軟件具有容錯(cuò)能力。答：滿足要求。CheckPoint軟件采用結(jié)構(gòu)化和模塊化設(shè)計(jì)，對(duì)任何軟件模塊的維護(hù)和更新都不影響其他軟件模塊的功能。軟件中有特定進(jìn)程監(jiān)控其他進(jìn)程，如其他進(jìn)程出現(xiàn)問(wèn)題，特定進(jìn)程會(huì)自動(dòng)對(duì)其進(jìn)行修復(fù)。(3)故障監(jiān)視和診斷軟件能及時(shí)發(fā)現(xiàn)故障并發(fā)出告警，能夠自動(dòng)恢復(fù)系統(tǒng)，不影響任何已建立的業(yè)務(wù)連接。答：滿足要求。軟件中有特定進(jìn)程監(jiān)控其他進(jìn)程，如其他進(jìn)程出現(xiàn)問(wèn)題，能及時(shí)發(fā)現(xiàn)故障并發(fā)出告警，特定進(jìn)程會(huì)自動(dòng)對(duì)其進(jìn)行修復(fù)，不影響任何已建立的業(yè)務(wù)連接。(4)兼容性及升級(jí)a.設(shè)備不同時(shí)期軟件版本應(yīng)能向下兼容，軟件版本易于升級(jí)，且在升級(jí)后不影響網(wǎng)路的性能與運(yùn)行。答：滿足要求。CheckPoint保證軟件版本的向下兼容，軟件版本易于升級(jí)，且在升級(jí)后不影響網(wǎng)絡(luò)的性能與運(yùn)行。b.賣方應(yīng)承諾在供貨時(shí)提供最新版本的軟件，但該軟件必須是經(jīng)過(guò)測(cè)試正式推出的，其可靠性、穩(wěn)定性經(jīng)過(guò)嚴(yán)格驗(yàn)證的。答：滿足要求。CheckPoint保證供貨時(shí)提供最新版本的軟件，提供的軟件是經(jīng)過(guò)測(cè)試正式推出的，其可靠性、穩(wěn)定性經(jīng)過(guò)嚴(yán)格驗(yàn)證的。c.軟件版本升級(jí)時(shí)，賣方應(yīng)承諾免費(fèi)更新軟件版本，并提供相應(yīng)的新版本軟件功能說(shuō)明書(shū)及修改說(shuō)明書(shū)。答：滿足要求。本項(xiàng)目技術(shù)規(guī)范要求提供的且買方已經(jīng)購(gòu)買的軟件功能，CheckPoint/Crossbeam承諾免費(fèi)軟件版本更新，并提供相應(yīng)的新版本軟件功能說(shuō)明書(shū)及修改說(shuō)明書(shū)。(5)賣方應(yīng)說(shuō)明目前所使用軟件的實(shí)際運(yùn)行時(shí)間。答：滿足要求。本項(xiàng)目中CheckPoint提供的NGX版本軟件為2005年5月發(fā)布，CheckPoint將至少在5年內(nèi)提供對(duì)此版本的支持，如用戶需要，CheckPoint可以幫助用戶過(guò)渡到最新版本。4.1.3安裝材料若設(shè)備安裝需要特定的安裝材料、端口連接需要特定的連接線纜的話，賣方應(yīng)予以指出并給出配置且包含在設(shè)備價(jià)格中。答：滿足要求。4.1.4備件賣方應(yīng)根據(jù)設(shè)備元件的質(zhì)量情況提出備件配置的建議。賣方提供的設(shè)備應(yīng)是以至少五年使用期設(shè)計(jì)的，賣方要保證不論提供的設(shè)備是否還生產(chǎn)，在使用期內(nèi)買方可得到備件。答：滿足要求。為保證用戶生產(chǎn)網(wǎng)絡(luò)更加可靠穩(wěn)固,我們建議用戶可根據(jù)情況對(duì)關(guān)鍵硬件模塊購(gòu)買一至兩套備件.CheckPoint/Crossbeam本次提供設(shè)備使用期大于5年,在使用期內(nèi)可保證用戶得到備件(過(guò)保修期后需收費(fèi)).并且將于設(shè)備停產(chǎn)前半年前通知用戶.4.2設(shè)備系統(tǒng)主要技術(shù)指標(biāo)4.2.1最大位轉(zhuǎn)發(fā)率（Maximumbitforwardingrate）位轉(zhuǎn)發(fā)率指：特定負(fù)載下每秒種防火墻將允許的數(shù)據(jù)流轉(zhuǎn)發(fā)至正確目的接口的位數(shù)。最大位轉(zhuǎn)發(fā)率指在不同的負(fù)載下反復(fù)測(cè)量得出的位轉(zhuǎn)發(fā)率數(shù)值集中的最大值，使用最大位轉(zhuǎn)發(fā)率時(shí)應(yīng)同時(shí)說(shuō)明與之響應(yīng)的負(fù)載。賣方應(yīng)結(jié)合買方IP城域網(wǎng)設(shè)備性能及網(wǎng)絡(luò)架構(gòu)狀況，確定并提出防火墻的設(shè)備的標(biāo)準(zhǔn)規(guī)范，并詳細(xì)列出。答：滿足要求。本項(xiàng)目提供的CheckPoint/Crossbeam設(shè)備旁掛在匯聚層設(shè)備邊，根據(jù)河北網(wǎng)通城域網(wǎng)現(xiàn)狀，我們認(rèn)為4Gbps的防火墻設(shè)備可以滿足需求。FrameSize(Bytes)641282565121024128015181APMThroughput(Mbps)2924989501,7893,1883,5714,0004.2.2設(shè)備功能要求賣方提供的設(shè)備應(yīng)提供以下的基本安全功能，并就每一項(xiàng)功能詳細(xì)說(shuō)明設(shè)備支持的程度：設(shè)備應(yīng)運(yùn)行在經(jīng)固化的專用安全操作系統(tǒng)之上，賣方詳細(xì)說(shuō)明該操作系統(tǒng)的主要安全固化措施。答：滿足要求CheckPoint/Crossbeam全系列的防火墻均采用獨(dú)有的運(yùn)營(yíng)商級(jí)安全操作系統(tǒng)XOS。該操作系統(tǒng)專門進(jìn)行了優(yōu)化和加固，不但提高了運(yùn)行的性能，關(guān)鍵是提高了安全性。一般的開(kāi)放操作系統(tǒng)擁有許多的網(wǎng)絡(luò)服務(wù)，遠(yuǎn)程服務(wù)，而且可能存在一般用戶不知道的漏洞，這對(duì)防火墻自身的安全是很大的威脅。XOS操作系統(tǒng)從設(shè)計(jì)上做了大量的安全加強(qiáng)，保證防火墻自身的安全。XOS不帶有任何不必要的2進(jìn)制代碼和庫(kù)結(jié)構(gòu)，是一個(gè)安全緊湊的操作系統(tǒng)；XOS操作系統(tǒng)覆蓋了已知的各種漏洞，并且不斷致力于發(fā)現(xiàn)和覆蓋新的漏洞。設(shè)備內(nèi)部核心技術(shù)應(yīng)采用狀態(tài)監(jiān)測(cè)技術(shù)。答：滿足要求CheckPoint/CrossbeamX40防火墻中采用的是CheckPoint獲得專利的第三代防火墻技術(shù)狀態(tài)監(jiān)測(cè)（StatefulInspection）。能夠提供更安全的特性。狀態(tài)監(jiān)測(cè)是防火墻的第三代核心技術(shù)，也是最新的防火墻核心技術(shù)，最初由CheckPoint發(fā)明，并獲得美國(guó)專利（專利號(hào)5,835,726）。狀態(tài)監(jiān)測(cè)相比于較早的包過(guò)濾及應(yīng)用網(wǎng)關(guān)方式的技術(shù)有較大的優(yōu)勢(shì)，包括更安全，性能更高、擴(kuò)展性更好等。因此，目前，幾乎所有的防火墻產(chǎn)品均聲稱自己是狀態(tài)監(jiān)測(cè)類的防火墻，但實(shí)際上在實(shí)現(xiàn)時(shí)有些產(chǎn)品的實(shí)現(xiàn)不完整。為了提供更強(qiáng)壯的安全性，一個(gè)防火墻必須跟蹤及控制所有通信的數(shù)據(jù)流。與傳統(tǒng)的包過(guò)濾不同的是，狀態(tài)監(jiān)測(cè)通過(guò)分析流入和流出的數(shù)據(jù)流，跟蹤數(shù)據(jù)流的狀態(tài)及上下文，根據(jù)會(huì)話及應(yīng)用的信息，實(shí)時(shí)確定針對(duì)該數(shù)據(jù)流的安全決策。狀態(tài)及上下文信息必須包括：數(shù)據(jù)包頭信息（源地址、目的地址、協(xié)議、源端口、目的端口、數(shù)據(jù)包長(zhǎng)度）連接狀態(tài)信息（哪個(gè)端口為哪個(gè)連接而打開(kāi)）TCP及IP分片數(shù)據(jù)（如分片號(hào)、序列號(hào)）數(shù)據(jù)包重裝，應(yīng)用類型，上下文確認(rèn)（如該數(shù)據(jù)包屬于哪個(gè)通信會(huì)話）防火墻上的到達(dá)端口及離開(kāi)端口第二層信息（如VLANID）數(shù)據(jù)包到達(dá)及離開(kāi)的時(shí)間根據(jù)安全策略實(shí)施對(duì)通過(guò)防火墻的數(shù)據(jù)流進(jìn)行控制，允許通過(guò)或采取相應(yīng)措施。防火墻系統(tǒng)的安全規(guī)則，每一條表項(xiàng)都包括條件域、動(dòng)作域和選項(xiàng)域，當(dāng)有IP包進(jìn)入時(shí)，系統(tǒng)在安全策略中從第一個(gè)表項(xiàng)開(kāi)始查起，如果符合，就執(zhí)行該表項(xiàng)指示的動(dòng)作，狀態(tài)監(jiān)測(cè)技術(shù)針對(duì)協(xié)議，抽取連接的狀態(tài)信息，并建立狀態(tài)連接表項(xiàng)。當(dāng)沒(méi)有一條合適的表項(xiàng)時(shí)，系統(tǒng)的默認(rèn)動(dòng)作是攔截。所提供的防火墻模塊應(yīng)支持基于IP地址、組、端口、應(yīng)用類型、時(shí)間等創(chuàng)建安全規(guī)則,賣方詳細(xì)說(shuō)明其支持的程度。答：滿足要求CheckPoint/Crossbeam支持基于IP源地址、IP目標(biāo)地址、用戶組、網(wǎng)絡(luò)組、源端口、目標(biāo)端口、應(yīng)用類型、時(shí)間、特定防火墻等信息創(chuàng)建安全規(guī)則。所提供的防火墻模塊預(yù)定義服務(wù)協(xié)議數(shù)量應(yīng)不小于200個(gè)，并說(shuō)明所支持的最大協(xié)議數(shù)和協(xié)議增加的方法。答：滿足要求CheckPoint/Crossbeam利用StatefulInspection專利技術(shù)來(lái)保證所有通用Internet服務(wù)的安全。它支持超過(guò)200個(gè)預(yù)定義應(yīng)用、服務(wù)和協(xié)議，包括Web應(yīng)用，即時(shí)消息發(fā)送、對(duì)等網(wǎng)絡(luò)應(yīng)用、VoIP、OracleSQL、RealAudio以及多媒體服務(wù)（如H.323）、SIP、FTP、ICMP、DNS、Netmeeting等。本次提供的防火墻模塊，可以支持的最大協(xié)議數(shù)量沒(méi)有限制，協(xié)議增加可以通過(guò)用戶自定義和購(gòu)買廠商服務(wù)自動(dòng)升級(jí)更新等方法實(shí)現(xiàn)。所提供的防火墻模塊應(yīng)支持針對(duì)Mail，MS-RPC，MS-SQL，P2P等應(yīng)用層的安全控制，并說(shuō)明如何控制以及所支持應(yīng)用的擴(kuò)展數(shù)量和方法。答：滿足要求。CheckPoint/Crossbeam防火墻可以通過(guò)應(yīng)用智能技術(shù)對(duì)多種應(yīng)用進(jìn)行內(nèi)容檢查，包括Mail，MS-RPC，MS-SQL，P2P等應(yīng)用。應(yīng)用智能技術(shù)通過(guò)驗(yàn)證協(xié)議是否遵循標(biāo)準(zhǔn)，檢驗(yàn)協(xié)議是否符合預(yù)期用法，阻止應(yīng)用攜帶有害數(shù)據(jù)和控制應(yīng)用層的有害操作等四種策略來(lái)在合法的流量當(dāng)中檢測(cè)非法的行為，從而確保應(yīng)用的安全。應(yīng)用的擴(kuò)展支持可以通過(guò)用戶自定義和購(gòu)買廠商服務(wù)自動(dòng)升級(jí)更新等方法實(shí)現(xiàn)。所提供的防火墻模塊應(yīng)支持對(duì)VoIP的保護(hù)，支持H.323、SIP、MGCP、SCCP，并說(shuō)明如何保護(hù)。答：滿足要求。CheckPoint/Crossbeam防火墻可以提供對(duì)VoIP的保護(hù)，支持H.323，SIP，MGCP，SCCP。CheckPoint/Crossbeam防火墻可以驗(yàn)證VoIP協(xié)議是否符合標(biāo)準(zhǔn)，理解并跟蹤VoIP的全部通信過(guò)程，并根據(jù)需要打開(kāi)相關(guān)端口供通信使用，最后在通信結(jié)束后自動(dòng)封閉此端口。同時(shí)通過(guò)控制一些VoIP的通信行為，對(duì)基于VoIP的攻擊進(jìn)行防范。所提供的防火墻模塊支持的安全規(guī)則數(shù)目應(yīng)無(wú)限制。答：滿足要求。CheckPoint/Crossbeam防火墻支持的安全規(guī)則數(shù)量無(wú)限制。所提供的防火墻模塊應(yīng)支持安全策略一致性驗(yàn)證。答：滿足要求。CheckPoint/Crossbeam防火墻支持規(guī)則策略的校驗(yàn)，支持規(guī)則一致性測(cè)試?？梢詸z測(cè)重復(fù)、錯(cuò)誤、沖突的規(guī)則定義。所提供的防火墻模塊應(yīng)具有對(duì)DoS攻擊的防護(hù)功能，防火墻應(yīng)支持SYN網(wǎng)關(guān)功能，并請(qǐng)說(shuō)明。答：滿足要求。CheckPoint/Crossbeam防火墻是目前對(duì)DOS攻擊防范效果最好的防火墻之一。能夠?qū)Π⊿YNFlood、PINGofDeath攻擊、IPSpoofing攻擊等多種DOS攻擊有很好的防護(hù)。其中對(duì)SYN攻擊具有很好的防御功能，提供SYN網(wǎng)關(guān)的功能。同時(shí)系統(tǒng)也提供智能的SYN防御功能，當(dāng)使用此項(xiàng)功能的時(shí)候，用戶不需要對(duì)SYN攻擊防御選項(xiàng)進(jìn)行特殊的設(shè)置，系統(tǒng)會(huì)自動(dòng)的監(jiān)測(cè)和識(shí)別SYN的攻擊，并且阻斷它們。所提供的防火墻模塊應(yīng)具有對(duì)其他常見(jiàn)網(wǎng)絡(luò)和應(yīng)用層攻擊的防護(hù)能力，并請(qǐng)說(shuō)明。答：滿足要求CheckPoint/Crossbeam防火墻支持網(wǎng)絡(luò)層到應(yīng)用層的全檢測(cè)，對(duì)常見(jiàn)的網(wǎng)絡(luò)和應(yīng)用層攻擊都具有防護(hù)能力。網(wǎng)絡(luò)層的攻擊防范包括TearDrop，pingofdeath等DOS攻擊，ping大包，IP分段攻擊等針對(duì)IP和ICMP的攻擊，sys攻擊，序號(hào)攻擊等針對(duì)TCP的攻擊，等等。應(yīng)用層攻擊防范包括針對(duì)http，ftp，dns，voip，p2p，mail等應(yīng)用的攻擊，等等。以上網(wǎng)絡(luò)層和應(yīng)用層的攻擊防護(hù)通過(guò)防火墻上SmartDefense模塊實(shí)現(xiàn)。所提供的防火墻模塊應(yīng)支持攻擊特征庫(kù)的動(dòng)態(tài)更新，并請(qǐng)說(shuō)明更新方式以及是否會(huì)中斷客戶業(yè)務(wù)。答：滿足要求。CheckPoint/Crossbeam防火墻內(nèi)置防攻擊模塊—SmartDefense，它的攻擊特征庫(kù)支持在線升級(jí)。如用戶購(gòu)買了CheckPoint的攻擊特征庫(kù)升級(jí)服務(wù)，管理員可以使用管理客戶端自動(dòng)連接到CheckPoint網(wǎng)站完成更新。更新會(huì)先存放于集中管理服務(wù)器，在未下發(fā)策略時(shí)不會(huì)影響防火墻執(zhí)行點(diǎn)，也不會(huì)中斷客戶業(yè)務(wù)。即使下發(fā)策略，由于是針對(duì)攻擊作出的防范，對(duì)正常業(yè)務(wù)不會(huì)產(chǎn)生影響。所提供的設(shè)備系統(tǒng)應(yīng)可同時(shí)運(yùn)行多種安全應(yīng)用，包括IDS、防病毒等。未來(lái)可通過(guò)許可證激活防火墻設(shè)備上的其他安全應(yīng)用。答：滿足要求CheckPoint/Crossbeam設(shè)備除防火墻外可以運(yùn)行多種安全應(yīng)用，包括IDS、IPS、網(wǎng)關(guān)防病毒、URL過(guò)濾、數(shù)據(jù)庫(kù)保護(hù)等模塊。所有這些模塊已經(jīng)內(nèi)置在設(shè)備中，未來(lái)可以通過(guò)許可證將這些功能激活，便于將于安全應(yīng)用的擴(kuò)展。設(shè)備系統(tǒng)應(yīng)提供內(nèi)容過(guò)濾功能，可以過(guò)濾URL地址、JavaScript、ActiveX控件和Ftp控制命令(get,put)、畸形IP攻擊包、ICMP惡意代碼包，另外還能設(shè)置收件發(fā)件人郵件地址過(guò)濾和大郵件過(guò)濾策略。答：滿足要求。CheckPoint/Crossbeam防火墻可以通過(guò)其集成的內(nèi)容安全能力使用戶免受病毒、惡意Java和ActiveXapplet、畸形IP攻擊包、ICMP惡意代碼包及不需要的Web內(nèi)容的攻擊。對(duì)于每個(gè)通過(guò)防火墻安全服務(wù)器建立的HTTP、SMTP或FTP連接，網(wǎng)絡(luò)管理員可以更詳細(xì)地來(lái)控制對(duì)特定資源訪問(wèn)。例如，訪問(wèn)可以控制到具體的Web頁(yè)面，URL地址及FTP文件以及操作（例如，PUT/GET命令）、SMTP的專用標(biāo)題字段等等。可對(duì)如e-mail附件大小、文件類型等進(jìn)行檢查，還可以設(shè)置收件發(fā)件人郵件地址過(guò)濾等。同時(shí)防火墻還可通過(guò)OPSEC的SDK接口與專門的內(nèi)容過(guò)濾系統(tǒng)互動(dòng)，進(jìn)行更細(xì)致的內(nèi)容檢查。設(shè)備應(yīng)支持NAT功能，包括一對(duì)一、多對(duì)一的NAT工作模式。答：滿足要求。CheckPoint/Crossbeam防火墻支持動(dòng)態(tài)和靜態(tài)地址翻譯(NAT)功能，并且無(wú)數(shù)量限制。CheckPoint/Crossbeam防火墻使用強(qiáng)大的、易于管理的網(wǎng)絡(luò)地址翻譯（NAT）在Internet上隱藏內(nèi)部網(wǎng)絡(luò)地址--避免將它們泄漏為公眾信息。通過(guò)集成StatefulInspection技術(shù)，CheckPoint/Crossbeam的NAT實(shí)現(xiàn)了業(yè)界最安全的地址翻譯，而且它支持范圍廣泛的Internet服務(wù)。根據(jù)網(wǎng)絡(luò)管理員在建立對(duì)象（如主機(jī)、網(wǎng)絡(luò)和網(wǎng)關(guān)）時(shí)提供的信息，防火墻自動(dòng)生成靜態(tài)(一對(duì)一)和動(dòng)態(tài)（多對(duì)一）的翻譯規(guī)則。設(shè)備應(yīng)支持網(wǎng)絡(luò)流量監(jiān)視和CPU負(fù)載統(tǒng)計(jì)。 答：滿足要求。CheckPoint/CrossbeamX40防火墻系統(tǒng)采用專用的網(wǎng)絡(luò)操作系統(tǒng)，提供對(duì)系統(tǒng)運(yùn)行狀態(tài)和網(wǎng)絡(luò)流量監(jiān)控的統(tǒng)計(jì)分析功能，通過(guò)管理界面用戶可以對(duì)：通過(guò)防火墻的網(wǎng)絡(luò)流量進(jìn)行有效的檢查和記錄防火墻設(shè)備本身的CPU情況的記錄和檢查通過(guò)防火墻的審計(jì)工具用戶還可以對(duì)系統(tǒng)的其他資源如：內(nèi)存的使用率等多方面的內(nèi)容進(jìn)行審計(jì)。4.2.3設(shè)備系統(tǒng)安全管理功能賣方提供的設(shè)備系統(tǒng)應(yīng)提供以下的安全管理功能：設(shè)備應(yīng)支持專有管理客戶端、WEB及命令行管理方式。答：滿足要求CheckPoint/CrossbeamX40防火墻系統(tǒng)支持豐富的管理和控制功能：基于本地串口的命令行管理功能基于網(wǎng)絡(luò)的Web界面的管理功能?；趯Ｓ肎UI管理系統(tǒng)的圖形化安全管理功能基于通用安全的HTTPS、SSH的管理功能設(shè)備應(yīng)支持本地管理、遠(yuǎn)程管理和集中管理。答：滿足要求。CheckPoint/Crossbeam設(shè)備支持本地管理和遠(yuǎn)程管理方式。本地管理和遠(yuǎn)程可以通過(guò)WEB界面（通過(guò)SSL加密）管理。同時(shí)Crossbeam防火墻還支持SSHv1v2，保證了遠(yuǎn)程管理的安全性。通過(guò)中央管理服務(wù)器SmartCenter可以對(duì)防火墻設(shè)備進(jìn)行集中管理。要求使用集中管理軟件統(tǒng)一管理所有防火墻（包括虛擬系統(tǒng)），包括策略管理，用戶管理，VPN管理，入侵防護(hù)管理，攻擊防護(hù)代碼統(tǒng)一升級(jí)等。答：滿足要求。CheckPoint/Crossbeam防火墻非常適合構(gòu)建分布式客戶/服務(wù)器安全訪問(wèn)應(yīng)用控制，可以說(shuō)，防火墻的結(jié)構(gòu)就是以分布式安全控制的出發(fā)點(diǎn)來(lái)進(jìn)行設(shè)計(jì)的。CheckPoint/Crossbeam產(chǎn)品是三層體系結(jié)構(gòu)：GUI：為用戶提供圖形化的界面，便于配置防火墻的策略和對(duì)象，上面不存儲(chǔ)任何數(shù)據(jù)。在防火墻允許的范圍內(nèi)，可安裝于任何一臺(tái)PC機(jī)上。ManagementServer(管理服務(wù)器)：用于存儲(chǔ)在GUI上定義的策略和對(duì)象，完成對(duì)所有防火墻（包括虛擬系統(tǒng)）的統(tǒng)一管理，包括策略管理，用戶管理，VPN管理，入侵防護(hù)管理，攻擊防護(hù)代碼統(tǒng)一升級(jí)等。當(dāng)安全策略下發(fā)時(shí)，管理服務(wù)器將策略編譯后推到各個(gè)防火墻上。同時(shí)管理服務(wù)器可用來(lái)察看執(zhí)行模塊的狀態(tài)信息，并存儲(chǔ)執(zhí)行模塊生成的日志。EnforcementModule（執(zhí)行模塊）：用于數(shù)據(jù)包的過(guò)濾，決定數(shù)據(jù)包的通行、阻斷、轉(zhuǎn)發(fā)。所有的防火墻安全策略可以由管理服務(wù)器進(jìn)行集中化定制，對(duì)每個(gè)防火墻可以定義不同的策略文件。各個(gè)模塊之間的通信使用SSL進(jìn)行加密。為便于管理，我們建議在此次項(xiàng)目中采用集中化管理的原則布署防火墻產(chǎn)品。即所有防火墻都可在網(wǎng)管中心對(duì)其進(jìn)行集中化的安全管理，統(tǒng)一配置安全策略，這樣帶來(lái)的優(yōu)點(diǎn)：實(shí)現(xiàn)了對(duì)各業(yè)務(wù)安全的集中化管理，減小網(wǎng)絡(luò)整體存在安全漏洞的可能性，同時(shí)順應(yīng)了業(yè)務(wù)集中的趨勢(shì)，減小了各部門對(duì)安全方面的管理支出。設(shè)備應(yīng)支持管理員基于角色的管理。答：滿足要求。CheckPoint/Crossbeam對(duì)防火墻的管理員權(quán)限可以分為多個(gè)定義，包括可寫、只讀、用戶自定義。在用戶自定義中可以靈活定義用戶對(duì)防火墻的各個(gè)模塊的權(quán)限，例如：用戶只能修改日志而不能修改策略。設(shè)備應(yīng)支持管理員使用數(shù)字證書(shū)作為認(rèn)證方式以提高安全性。答：滿足要求。CheckPoint/Crossbeam設(shè)備的管理服務(wù)器中內(nèi)置CA，所有防火墻功能模塊均可通過(guò)該證書(shū)進(jìn)行認(rèn)證。對(duì)于管理員，可以使用基于X.509數(shù)字證書(shū)，進(jìn)行登錄認(rèn)證，極大提高了安全性。4.2.4設(shè)備日志、報(bào)警和報(bào)表功能賣方提供的設(shè)備系統(tǒng)應(yīng)提供以下的日志、報(bào)警和報(bào)表功能：所提供的防火墻模塊應(yīng)該具有內(nèi)置日志服務(wù)器，可以提供實(shí)時(shí)和歷史日志答：滿足要求。CheckPoint/Crossbeam內(nèi)置日志服務(wù)器，可以提供實(shí)時(shí)和歷史記錄。同時(shí)可將日志導(dǎo)向其它的日志服務(wù)器。設(shè)備應(yīng)支持豐富的日志域，支持超過(guò)60種以上的日志域答：滿足要求CheckPoint/Crossbeam通過(guò)日志查看器Smartviewtracker模塊用來(lái)察看日志，可察看的日志字段超過(guò)60種以上，并可以靈活的定義過(guò)濾條件。設(shè)備應(yīng)支持日志的本地記錄，防火墻模塊應(yīng)有40G以上的內(nèi)置硬盤，并說(shuō)明是否支持異地或外部記錄方式。答：滿足要求CheckPoint/Crossbeam支持日志的本地記錄，X系列產(chǎn)品均有80G以上的內(nèi)置硬盤?？梢栽O(shè)定防火墻模塊在本地記錄日志同時(shí)，實(shí)時(shí)或定期將日志發(fā)送到集中管理服務(wù)器或異地的其他日志服務(wù)器?？梢蕴峁┤罩据敵鼋涌?，供第三方接收防火墻的日志。設(shè)備應(yīng)支持SYSLOG功能。答：滿足要求CheckPoint/Crossbeam支持標(biāo)準(zhǔn)的SYSLOG，同時(shí)設(shè)備上有單獨(dú)的日志端口，可將日志導(dǎo)向第三方Log服務(wù)器。設(shè)備應(yīng)支持日志過(guò)濾功能。答：滿足要求通過(guò)SmartViewtracker功能模塊，可以靈活的進(jìn)行日志過(guò)濾，可按特定字段進(jìn)行過(guò)濾，也可進(jìn)行不同字段的組合過(guò)濾。設(shè)備應(yīng)支持管理員日志及對(duì)管理員的審計(jì)。答：滿足要求CheckPoint/Crossbeam內(nèi)置日志服務(wù)器除記錄歷史記錄外，還記錄實(shí)時(shí)連接和管理員的審計(jì)日志，管理員對(duì)防火墻所做操作（如修改對(duì)象和策略）均被記錄。設(shè)備應(yīng)提供與第三方日志審計(jì)工具的接口答：滿足要求?？梢酝ㄟ^(guò)OPSEC與第三方審計(jì)工具進(jìn)行互動(dòng)，提供日志輸出接口LEA（logexportAPI）。設(shè)備應(yīng)提供實(shí)時(shí)告警功能，對(duì)防火墻本身或受保護(hù)網(wǎng)段的非法攻擊支持多種告警方式如SNMP告警、E-mail告警、日志告警等等。答：滿足要求。CheckPoint/Crossbeam防火墻系統(tǒng)可以對(duì)多種網(wǎng)絡(luò)事件進(jìn)行告警功能，用戶可以按照需要對(duì)指定網(wǎng)絡(luò)行為進(jìn)行警告設(shè)置，當(dāng)這些事件發(fā)生的時(shí)候，系統(tǒng)可以通過(guò)SNMP，E-mail,日志等多種方式進(jìn)行告警。設(shè)備應(yīng)提供SNMPTrap、E-Mail、Alarm、LOG、自定義等方式的報(bào)警功能支持。答：滿足要求CheckPoint/Crossbeam防火墻支持多種告警方式如SNMP告警、EmailL告警、日志告警、用戶自定義程序告警等等。通過(guò)用戶自定義方式，在X40防火墻上還可實(shí)現(xiàn)更加靈活的報(bào)警方式，如尋呼機(jī)、QQ等。設(shè)備應(yīng)提供內(nèi)置報(bào)表工具對(duì)日志作統(tǒng)計(jì)分析答：滿足要求。CheckPoint/Crossbeam防火墻的組件EventiaReporter提供日志分析和統(tǒng)計(jì)，并可根據(jù)客戶定義的時(shí)間，內(nèi)容，生成數(shù)據(jù)表格、圖形報(bào)告。4.2.5設(shè)備可擴(kuò)展性要求（1）設(shè)備應(yīng)可通過(guò)增加模塊的方式提供更多的網(wǎng)絡(luò)端口，賣方應(yīng)詳細(xì)說(shuō)明設(shè)備可提供的網(wǎng)絡(luò)端口擴(kuò)展模塊。答：滿足要求。CheckPoint/Crossbeam設(shè)備可通過(guò)增加網(wǎng)絡(luò)模塊NPM的方式增加設(shè)備上的網(wǎng)絡(luò)端口。目前，X40可提供的網(wǎng)絡(luò)模塊包括8個(gè)千兆端口（銅纜、單模光纖、多模光纖可選）及16個(gè)百兆接口的模塊。設(shè)備應(yīng)可通過(guò)增加模塊的方式提高投標(biāo)設(shè)備的性能，賣方應(yīng)詳細(xì)說(shuō)明設(shè)備可提供的擴(kuò)展模塊的信息。答：滿足要求。CheckPoint/CrossbeamX40的性能可以隨著需求的增加而擴(kuò)展，可以通過(guò)增加APM模塊來(lái)提高X40整體設(shè)備的處理能力，新增加的APM模塊可自動(dòng)與原有APM模塊工作于自動(dòng)負(fù)載均衡模式。每塊APM模塊可提供4Gbps的防火墻吞吐能力、每秒30,000新建連接數(shù)以及50萬(wàn)最大并發(fā)連接數(shù)。每增加一塊APM模塊，其設(shè)備的整體性能，包括吞吐量、并發(fā)連接數(shù)、每秒新建連接數(shù)等，近似于線性增加，這樣，通過(guò)簡(jiǎn)單增加APM模塊到現(xiàn)有的X40設(shè)備上，就可提升X40設(shè)備的處理能力。而對(duì)性能的增加，實(shí)施也非常簡(jiǎn)單。只需要增加一塊APM模塊，插入到現(xiàn)有的X40設(shè)備中即可，對(duì)網(wǎng)絡(luò)中的其他設(shè)備，完全不需要改變。設(shè)備應(yīng)可通過(guò)增加模塊的方式，在投標(biāo)設(shè)備上增加新的安全功能，賣方應(yīng)詳細(xì)說(shuō)明如何在投標(biāo)設(shè)備上增加新的安全功能。這些安全功能將包括IDS、IPS、SSLVPN、防病毒URL過(guò)濾、XML應(yīng)用保護(hù)等。答：滿足要求CheckPoint/Crossbeam設(shè)備網(wǎng)絡(luò)處理、安全應(yīng)用、管理功能均以模塊方式工作，如果增加新的安全應(yīng)用，只需要增加APM模塊即可。所有的APM硬件均相同，由控制模塊來(lái)定義APM的功能，激活安全應(yīng)用的License即可，目前支持的主要安全功能包括：IDS、IPS、SSLVPN、防病毒、URL過(guò)濾、XML應(yīng)用、數(shù)據(jù)庫(kù)保護(hù)。設(shè)備增加新的安全應(yīng)用功能時(shí)，必須基本不影響原有設(shè)備模塊的性能功能和。賣方應(yīng)詳細(xì)說(shuō)明這一要求的實(shí)現(xiàn)方式。答：滿足要求。CheckPoint/CrossbeamX40上，所有新增加的模塊均有獨(dú)立的處理能力，將不會(huì)影響原有防火墻及虛擬防火墻的性能。在每個(gè)模塊上均有獨(dú)立的中央處理器、內(nèi)存、總線、操作系統(tǒng)等。所有APM配置均相同。APM提供高性能安全應(yīng)用處理。硬件模塊均可進(jìn)行熱插拔。同時(shí)可將安全應(yīng)用定義為不同的邏輯組，在增加安全應(yīng)用時(shí)，數(shù)據(jù)流會(huì)自動(dòng)負(fù)載均衡到新的模塊上，原有的通信和會(huì)話不會(huì)丟失。4.2.6高可用性及高可靠性要求賣方提供的設(shè)備系統(tǒng)應(yīng)提供高可用性支持，具體要求為：設(shè)備應(yīng)支持高可用性配置，提供雙機(jī)熱備功能，賣方應(yīng)詳細(xì)說(shuō)明雙機(jī)熱備的實(shí)現(xiàn)方式。答：滿足要求CheckPoint/CrossbeamX40可以通過(guò)4種方式提供防火墻的高可靠性HA：標(biāo)準(zhǔn)的VRRP協(xié)議（RFC2338）動(dòng)態(tài)路由協(xié)議四層交換機(jī)ClusterXL技術(shù)設(shè)備應(yīng)有專用的高可用性心跳端口。答：滿足要求。CheckPoint/Crossbeam在CPM（控制模塊）上有專用的高可用性心跳端口，通過(guò)該端口可以在多臺(tái)設(shè)備間監(jiān)測(cè)彼此狀態(tài)，為最大限度的保證高可靠性，在設(shè)備上還可定義多個(gè)端口為心跳端口。設(shè)備應(yīng)支持具有運(yùn)營(yíng)商級(jí)的設(shè)備高可靠性，包括冗余電源、冗余風(fēng)扇、冗余模塊、冗余網(wǎng)絡(luò)接口等。賣方應(yīng)詳細(xì)說(shuō)明所提供設(shè)備自身的其他冗余配置特性。答：滿足要求。CheckPoint/CrossbeamX40設(shè)備提供SBHA單機(jī)高可用性（SingleBoxHighAvailability）功能特性，即在一臺(tái)X設(shè)備上，所有的系統(tǒng)部件均可提供備份，包括：冗余數(shù)據(jù)交換(多NPM)冗余控制管理(雙CPM)冗余存儲(chǔ)冗余網(wǎng)絡(luò)處理器（網(wǎng)絡(luò)端口-端口備份）冗余安全應(yīng)用處理模塊(多個(gè)APM)模塊的N+1備份冗余電源（可提供2個(gè)獨(dú)立電源）設(shè)備應(yīng)支持單機(jī)高可用性技術(shù)，即在單臺(tái)設(shè)備上，可提供防火墻等安全應(yīng)用的高可用性及負(fù)載均衡技術(shù)。賣方應(yīng)詳細(xì)說(shuō)明所提供設(shè)備單機(jī)高可用性技術(shù)的實(shí)現(xiàn)方式。答：滿足要求。在X系統(tǒng)中，可安裝多個(gè)APM模塊運(yùn)行同一安全應(yīng)用，實(shí)現(xiàn)安全應(yīng)用的負(fù)載均衡。X系統(tǒng)的控制模塊CPM實(shí)時(shí)監(jiān)控每塊APM的健康狀況，包括APM上面運(yùn)行的應(yīng)用、CPU負(fù)載狀況、內(nèi)存使用狀況等。這些信息被實(shí)時(shí)的反應(yīng)在X系統(tǒng)的數(shù)據(jù)轉(zhuǎn)發(fā)表中。而網(wǎng)絡(luò)處理模塊NPM就是根據(jù)這張表中的信息，確定轉(zhuǎn)發(fā)數(shù)據(jù)到某安全應(yīng)用的具體哪一塊APM上。這樣就實(shí)現(xiàn)了安全應(yīng)用的負(fù)載均衡，而并不需要額外的網(wǎng)絡(luò)資源，也不需要該安全應(yīng)用本身支持負(fù)載均衡功能或HA功能，也并不消耗APM的任何資源?？梢詫?duì)防火墻應(yīng)用進(jìn)行負(fù)載均衡，也可對(duì)防病毒應(yīng)用進(jìn)行負(fù)載均衡，對(duì)IDS/IPS、郵件安全、內(nèi)網(wǎng)安全等，都是一樣可實(shí)現(xiàn)負(fù)載均衡。在X系列上，安全應(yīng)用處理模塊APM模塊是完全相同的。每塊APM均可運(yùn)行不同的安全應(yīng)用。各種安全引擎已經(jīng)被預(yù)先裝在了X設(shè)備的系統(tǒng)中，在系統(tǒng)的控制下，APM在不同時(shí)間可運(yùn)行不同的安全應(yīng)用。這一特性可帶來(lái)很大的系統(tǒng)靈活性及可靠性。在可靠性方面，可實(shí)現(xiàn)獨(dú)有的“N+1”備份技術(shù)。見(jiàn)下圖示例。在這張圖的典型配置下，我們?cè)赬設(shè)備中配置了3塊APM作為防火墻，另3塊APM作為IDS，均是負(fù)載均衡狀態(tài)，共6塊APM模塊。這時(shí)，我們可另配置1塊APM模塊，作為這6塊APM模塊的備份模塊，而不需要每種應(yīng)用都配置備份模塊。即“N+1”的備份?！癗+1”假設(shè)IDS負(fù)載均衡組中的某APM模塊出現(xiàn)故障，這時(shí)，首先，NPM將立即將這塊APM處理的任務(wù)轉(zhuǎn)發(fā)到另2塊IDSAPM處理；然后，CPM將備份APM的IDS功能通過(guò)license激活，備份APM這時(shí)就變成了IDS負(fù)載均衡組中的一塊APM，NPM也開(kāi)始轉(zhuǎn)發(fā)IDS處理數(shù)據(jù)流量給這塊APM。“N+1”另外，該特性還可實(shí)現(xiàn)在不同的時(shí)間APM運(yùn)行不同的安全應(yīng)用?？筛鶕?jù)在不同時(shí)間數(shù)據(jù)流量的不同特點(diǎn)靈活的配置各APM的使用。如，在晚上，當(dāng)WEB訪問(wèn)流量較多時(shí)，而郵件相對(duì)較少，我們這時(shí)可配置系統(tǒng)在晚上把某些或某個(gè)郵件保護(hù)的APM模塊切換成URL過(guò)濾模塊。這可實(shí)現(xiàn)系統(tǒng)很高的靈活性。4.2.7VPN功能支持賣方提供的設(shè)備應(yīng)提供VPN功能支持，基本要求包括：提供的防火墻應(yīng)具有虛擬專用網(wǎng)（VPN）功能，可以實(shí)現(xiàn)網(wǎng)關(guān)到網(wǎng)關(guān)和客戶端到網(wǎng)關(guān)兩種方式。應(yīng)支持IPSECVPN功能。答：滿足要求。CheckPoint/Crossbeam防火墻集成了訪問(wèn)控制、認(rèn)證和加密以確保網(wǎng)絡(luò)連接的安全性、本地和遠(yuǎn)程用戶的可靠性以及數(shù)據(jù)通信的私有性和完整性。目前可以實(shí)現(xiàn)三種協(xié)議的VPN，包括IPSec、L2TP、SSL。其中IPSec支持多種VPN模式，主要包括：(1)Site-to-site主要用于網(wǎng)絡(luò)與網(wǎng)絡(luò)之間進(jìn)行VPN連接，常用于與合作公司、第三方伙伴之間的連接。在site-to-site的VPN當(dāng)中，又可細(xì)分為兩種結(jié)構(gòu)：Starmode(星狀結(jié)構(gòu))：星狀結(jié)構(gòu)中所有VPN設(shè)備匯聚于中心VPN設(shè)備中，各個(gè)VPN設(shè)備之間的VPN建立，需要先與中心的VPN建立通道，由中心VPN設(shè)備進(jìn)行VPN路由。星狀結(jié)構(gòu)常用于總部與各分支機(jī)構(gòu)之間實(shí)現(xiàn)VPN。Meshedmode(網(wǎng)狀結(jié)構(gòu))：網(wǎng)狀結(jié)構(gòu)中所有的VPN設(shè)備之間直接相連，互相之間建立起VPN通道，不存在中心VPN設(shè)備。(2)Client-to-site用于移動(dòng)用戶的接入，用戶在機(jī)器上安裝了客戶端軟件后，可通過(guò)拔號(hào)、ADSL、寬帶等方式與公司之間的防火墻建立起VPN通道。提供的防火墻支持全網(wǎng)狀或星形VPN拓?fù)洌⒅С諺PN路由功能答：滿足要求CheckPoint/Corssbeam防火墻支持全網(wǎng)狀或星形VPN拓?fù)?，并支持VPN路由功能。提供的防火墻擁有內(nèi)置CA答：滿足要求CheckPoint/Crossbeam防火墻內(nèi)置CA。設(shè)備應(yīng)支持AES,3DES,DES等加密算法和MD5，SHA1等驗(yàn)證算法。答：滿足要求。CheckPoint/Crossbeam設(shè)備支持AES,3DES,DES等加密算法和MD5，SHA1等驗(yàn)證算法4.2.8兼容性要求賣方提供的設(shè)備應(yīng)能夠與OPSEC組織的第三方安全產(chǎn)品進(jìn)行很好的聯(lián)動(dòng)，最大限度的提高整個(gè)系統(tǒng)的安全性，請(qǐng)?jiān)敿?xì)說(shuō)明兼容的主要產(chǎn)品。答：滿足要求CheckPoint和Crossbeam是OPSEC的主要成員，X40防火墻系統(tǒng)能夠支持所有的OPSEC成員的安全產(chǎn)品，其中包括：入侵檢測(cè)，防病毒，內(nèi)容過(guò)濾等多種安全產(chǎn)品的聯(lián)動(dòng)。如在IDS/IPS方面可以和ISS、SourceFire等廠商產(chǎn)品合作；在防病毒方面可以和趨勢(shì)科技的產(chǎn)品合作；在郵件過(guò)濾上可以同趨勢(shì)科技和Aladdin的產(chǎn)品合作；在URL過(guò)濾上可以和websense、smartfilter的產(chǎn)品合作。賣方應(yīng)詳細(xì)說(shuō)明所提供設(shè)備對(duì)其他廠商產(chǎn)品（包括網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)）的互連互通能力。答：滿足要求支持所有主流的網(wǎng)絡(luò)設(shè)備、主要系統(tǒng)廠家。4.3環(huán)境要求設(shè)備要在下列環(huán)境下能夠保證長(zhǎng)期正常工作：環(huán)境溫度：5℃～相對(duì)濕度：30％～80％賣方應(yīng)說(shuō)明設(shè)備升級(jí)前后對(duì)環(huán)境的要求是否有變化。答：滿足要求。設(shè)備升級(jí)前后對(duì)環(huán)境的要求無(wú)變化。4.4電源要求設(shè)備應(yīng)能在下列供電變化范圍內(nèi)正常工作：直流：－40V～－57V；交流：～220V10％，50Hz5％。賣方應(yīng)說(shuō)明設(shè)備升級(jí)前后對(duì)電源的要求是否有變化。本工程提供的供電方式為直流。答：滿足要求。設(shè)備升級(jí)前后對(duì)電源的要求無(wú)變化。本次提供的設(shè)備可以根據(jù)用戶要求選配直流或交流電源。5.2配置要求賣方應(yīng)按照各附表設(shè)備配置要求進(jìn)行設(shè)備配置，給出設(shè)備配置說(shuō)明(解釋各項(xiàng)配置的組成說(shuō)明和作用)。答：滿足要求。集中管理服務(wù)器配置產(chǎn)品軟件/硬件說(shuō)明CPPWR-SC-U軟件集中管理服務(wù)器軟件CPFW-FSS-1軟件單機(jī)防火墻以保護(hù)集中管理服務(wù)器PC服務(wù)器硬件作為集中管理服務(wù)器軟件承載平臺(tái)，建議使用至強(qiáng)CPU，4G內(nèi)存，100G以上硬盤可管理安全服務(wù)設(shè)備配置產(chǎn)品軟件/硬件說(shuō)明CPPWR-VSX-10軟件虛擬防火墻模塊，可以支持10個(gè)虛擬防火墻CrossbeamX40硬件由以下四個(gè)部分組成X40-DCX40DC機(jī)架,雙電源.可以支持2個(gè)NPM,10個(gè)APM,2個(gè)CPMs.CPM-8100-80GCPM控制處理模塊(ControlProcessingModule)NPM-8200-8G網(wǎng)絡(luò)處理模塊.帶8個(gè)千兆接口APM-8400-1P4-1G應(yīng)用處理模塊.APM-8400.4Gbps防火墻吞吐量端點(diǎn)安全服務(wù)器配置產(chǎn)品軟件/硬件說(shuō)明CPIS-IAS-1軟件客戶端集中管理服務(wù)器軟件，可以提供多域和層次化管理功能CPIS-IEPS-1000軟件客戶端許可，可以提供PC防火墻，PC入侵防范，PC應(yīng)用安全，PC間諜軟件防范功能PC服務(wù)器硬件作為客戶端集中管理服務(wù)器軟件承載平臺(tái)，建議使用雙至強(qiáng)CPU2.0Ghz以上，4G內(nèi)存，100G以上硬盤賣方的所有配置方案應(yīng)保證設(shè)備運(yùn)行所必須提供的電源模塊、主控模塊等主要部件的冗余配置并對(duì)模塊進(jìn)行單獨(dú)報(bào)價(jià)和說(shuō)明。答：滿足要求。賣方可以提出多種配置方案與相應(yīng)的報(bào)價(jià)供買方參考，具體選擇由買方確定，賣方應(yīng)保證各種優(yōu)惠條件和價(jià)格折扣保持不變。答：滿足要求。賣方應(yīng)根據(jù)配置要求，結(jié)合現(xiàn)有網(wǎng)絡(luò)設(shè)備的配置情況作出相應(yīng)位置安排(包括割接過(guò)渡狀態(tài))，并分析對(duì)割接是否有影響。答：滿足要求。因?yàn)槭桥話觳渴?，割接時(shí)對(duì)當(dāng)前網(wǎng)絡(luò)無(wú)影響。賣方應(yīng)保證設(shè)備配置的品種、數(shù)量準(zhǔn)確無(wú)誤，保證工程如期順利進(jìn)行，如有錯(cuò)漏，由賣方無(wú)償補(bǔ)足。答：滿足要求。賣方在本工程新增設(shè)備保修期外可應(yīng)買方要求以不高于本次實(shí)際成交價(jià)提供備件。答：滿足要求。若買方最終確定的設(shè)備配置內(nèi)容和數(shù)量有所變化，賣方應(yīng)保證各種優(yōu)惠條件和價(jià)格折扣保持不變。答：滿足要求。第二章.總體技術(shù)方案建議書(shū)2.1前言2.1.1背景隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，其開(kāi)放性，共享性，互連程度擴(kuò)大，網(wǎng)絡(luò)的重要性和對(duì)社會(huì)的影響也越來(lái)越大。城域網(wǎng)作為城市主要的數(shù)據(jù)業(yè)務(wù)承載網(wǎng)絡(luò)，特別是電子商務(wù)（E-Commerce）、企業(yè)數(shù)據(jù)專線、網(wǎng)絡(luò)互聯(lián)、虛擬專用網(wǎng)（VPN）、Internet接入服務(wù)等應(yīng)用在社會(huì)經(jīng)濟(jì)生活的地位日益凸現(xiàn)。網(wǎng)絡(luò)的安全性直接影響到社會(huì)的經(jīng)濟(jì)效益。例如，2003年1月份的SQL殺手蠕蟲(chóng)事件，中國(guó)有兩萬(wàn)多臺(tái)數(shù)據(jù)庫(kù)服務(wù)器受到影響，使國(guó)內(nèi)主要骨干網(wǎng)全部處于癱瘓或半癱瘓狀態(tài)；2003年8月份的沖擊波蠕蟲(chóng)，使成千上萬(wàn)的用戶計(jì)算機(jī)變慢，被感染的計(jì)算機(jī)反復(fù)重啟，有的還導(dǎo)致了系統(tǒng)崩潰，受到“沖擊波”病毒感染的計(jì)算機(jī)反過(guò)來(lái)又會(huì)影響到網(wǎng)絡(luò)的正常運(yùn)行。隨著網(wǎng)絡(luò)安全問(wèn)題重要性增加，如何保證城域網(wǎng)安全，應(yīng)對(duì)日益增多的網(wǎng)絡(luò)攻擊、病毒破壞和黑客入侵等問(wèn)題已成為城域網(wǎng)建設(shè)和運(yùn)營(yíng)所關(guān)注的重點(diǎn)。方案構(gòu)成本方案是針對(duì)2006年中國(guó)網(wǎng)通河北IP城域網(wǎng)擴(kuò)建一期工程可管理安全服務(wù)設(shè)備項(xiàng)目而提出的網(wǎng)絡(luò)安全解決方案，當(dāng)前階段集中在CheckPoint/Crossbeam防火墻部署和CheckPointIntegrity端點(diǎn)安全部署的技術(shù)方案，可針對(duì)系統(tǒng)安全的訪問(wèn)控制、網(wǎng)絡(luò)攻擊、蠕蟲(chóng)傳播等方面提供相應(yīng)的防范。我們有理由相信，有了我們構(gòu)建的優(yōu)秀網(wǎng)絡(luò)安全系統(tǒng)，加之我們?yōu)槟钌系娜轿坏闹艿椒?wù)，您的網(wǎng)絡(luò)一定會(huì)變得安全而高效，您的事業(yè)也一定會(huì)因此而取得巨大的成功。2.2河北網(wǎng)通IP城域網(wǎng)擴(kuò)建一期工程可管理安全服務(wù)設(shè)備項(xiàng)目方案建議2.2.1城域網(wǎng)安全分析2.2.1（1）網(wǎng)絡(luò)結(jié)構(gòu)河北省共有11個(gè)地市,目前IP骨干網(wǎng)以石家莊和唐山為雙核心，各2臺(tái)思科公司GSR12816，分別通過(guò)2.5GPOS鏈路連接其他9個(gè)地市的GSR12016和GSR12012上，各地市的思科公司GSR路由器作為各自IP城域網(wǎng)與IP骨干網(wǎng)的接口，與集團(tuán)IP網(wǎng)通過(guò)4條10GPOS互連。各市分公司城域網(wǎng)建設(shè)在規(guī)模和業(yè)務(wù)發(fā)展水平上略有不同，但從物理結(jié)構(gòu)看，從上到下分為三層：核心層、匯聚層和接入層。網(wǎng)絡(luò)構(gòu)架大體相同，其中：核心層：大型網(wǎng)絡(luò)一般由3-4個(gè)核心節(jié)點(diǎn)、中小型網(wǎng)絡(luò)一般采用2-3個(gè)核心節(jié)點(diǎn)經(jīng)GE鏈路以網(wǎng)狀或半網(wǎng)狀結(jié)構(gòu)組成。匯聚層網(wǎng)絡(luò)由寬帶接入服務(wù)器和匯聚層交換機(jī)組成。寬帶接入服務(wù)器布放置匯聚層端局，匯聚層交換機(jī)覆蓋全省所有縣局和市內(nèi)端局。核心層主要實(shí)現(xiàn)業(yè)務(wù)量的快速轉(zhuǎn)發(fā)，具備較強(qiáng)的路由控制；匯聚層主要進(jìn)行大量接入層設(shè)備的匯聚收斂；接入層主要以ADSL和小區(qū)以太網(wǎng)為主，擴(kuò)大業(yè)務(wù)覆蓋范圍。接入層設(shè)備以二層或三層方式上連到匯聚層。如果接入層設(shè)備有路由功能，則匯聚層交換機(jī)與這些接入層設(shè)備之間跑三層，運(yùn)行靜態(tài)路由協(xié)議，用戶的網(wǎng)關(guān)在接入層設(shè)備上。如接入層二層交換機(jī)需要接入兩個(gè)或兩個(gè)以上的VLAN時(shí)，以802.1Q的TRUNK方式上連匯聚層交換機(jī)，用戶的網(wǎng)關(guān)在匯聚層設(shè)備上。IPDSLAM以802.1Q的TRUNK方式上連匯聚層交換機(jī)，一個(gè)VLAN用于PPPoE用戶VLAN穿透，另一個(gè)VLAN用于和匯聚層交換機(jī)直接運(yùn)行靜態(tài)路由協(xié)議。（2）網(wǎng)絡(luò)業(yè)務(wù)IP網(wǎng)的業(yè)務(wù)目前主要可以分為：互聯(lián)網(wǎng)訪問(wèn)(主要通過(guò)XDSL、光纖＋LAN接入);IPVPN，VLANVPN(主要通過(guò)光纖＋LAN接入);VPDN(主要通過(guò)NAS或XDSL接入);MPLSVPN(主要通過(guò)光纖＋LAN、和ADSL接入);本地VoD服務(wù)(主要通過(guò)IDC機(jī)房的接入交換機(jī));本地游戲服務(wù)(主要通過(guò)IDC機(jī)房的接入交換機(jī));省公司IDC業(yè)務(wù);未來(lái)可能承載的業(yè)務(wù)包括：VoIP語(yǔ)音服務(wù)、IP/TV視頻服務(wù)、3G、NGN等其它業(yè)務(wù)。2.2.1對(duì)于網(wǎng)絡(luò)運(yùn)營(yíng)商而言，城域網(wǎng)包括基礎(chǔ)承載網(wǎng)絡(luò)和業(yè)務(wù)管理平臺(tái)。城域承載網(wǎng)是城域網(wǎng)業(yè)務(wù)接入、匯聚和交換的物理核心網(wǎng)，它由核心交換層、匯聚層、綜合接入層構(gòu)成。業(yè)務(wù)管理平臺(tái)由業(yè)務(wù)支撐平臺(tái)、網(wǎng)管平臺(tái)、認(rèn)證計(jì)費(fèi)平臺(tái)等組成。安全模型將城域網(wǎng)分成三個(gè)區(qū)域：信任域、非信任域和隔離區(qū)域。信任域是運(yùn)營(yíng)商的基礎(chǔ)網(wǎng)絡(luò)，通常采用防火墻等設(shè)備與電信業(yè)務(wù)網(wǎng)隔離，包括網(wǎng)管平臺(tái)、智能業(yè)務(wù)平臺(tái)、認(rèn)證平臺(tái)等設(shè)備；隔離區(qū)域是信任域和非信任域之間進(jìn)行數(shù)據(jù)交互的平臺(tái)，包括電信運(yùn)營(yíng)商提供的各種業(yè)務(wù)平臺(tái)，如Web服務(wù)平臺(tái)、FTP服務(wù)器、用戶查詢平臺(tái)、Mail服務(wù)器等；非信任域是運(yùn)營(yíng)商面對(duì)客戶的基礎(chǔ)網(wǎng)絡(luò)，它直接提供用戶的接入和業(yè)務(wù)，同時(shí)也是Internet網(wǎng)絡(luò)的一部分，包括基礎(chǔ)用戶接入、數(shù)據(jù)交換、媒體網(wǎng)關(guān)等設(shè)備，是運(yùn)營(yíng)商不能完全控制的網(wǎng)絡(luò)。非信任域的基礎(chǔ)網(wǎng)絡(luò)是信息傳輸?shù)幕A(chǔ)，在城域網(wǎng)中起著至關(guān)重要的作用，作為安全模型中的非信任域，需要重點(diǎn)考慮。（1）安全威脅（A）網(wǎng)外黑客對(duì)網(wǎng)內(nèi)服務(wù)器，用戶和設(shè)備的攻擊（B）網(wǎng)內(nèi)染毒用戶，病毒爆發(fā)帶來(lái)的帶寬占用，各種DDoS攻擊造成網(wǎng)絡(luò)全面或局部業(yè)務(wù)癱瘓（C）運(yùn)營(yíng)商核心信息竊取和篡改（2）脆弱性（A）網(wǎng)絡(luò)規(guī)模大，用戶數(shù)量多，設(shè)備多樣復(fù)雜（B）用戶行為幾乎不可控（C）網(wǎng)絡(luò)主體信任度低（3）影響（A）城域網(wǎng)運(yùn)營(yíng)業(yè)務(wù)，影響大（B）所有城域網(wǎng)用戶群，影響面廣2.2.2本期實(shí)現(xiàn)對(duì)河北網(wǎng)通IP城域網(wǎng)面向客戶的可管理安全服務(wù)的支撐，其主要對(duì)象是大、中客戶和有安全需求的終端客戶。應(yīng)實(shí)現(xiàn)基本的基于應(yīng)用的狀態(tài)檢測(cè)過(guò)濾等功能。并基于此構(gòu)建IP網(wǎng)安全策略，為以后拓展為面向公眾的系統(tǒng)化的安全平臺(tái)奠定基礎(chǔ)。應(yīng)實(shí)現(xiàn)IP網(wǎng)絡(luò)框架中智能業(yè)務(wù)網(wǎng)絡(luò)要求的安全功能。應(yīng)是電信運(yùn)營(yíng)級(jí)的可管理安全平臺(tái)系統(tǒng)。2.2.3鑒于安全系統(tǒng)的重要作用，網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)必須既適應(yīng)當(dāng)前應(yīng)用，又面向未來(lái)信息化發(fā)展的需求。在設(shè)計(jì)網(wǎng)絡(luò)技術(shù)方案時(shí)，遵循以下設(shè)計(jì)原則：實(shí)用性和先進(jìn)性：采用當(dāng)前最先進(jìn)的計(jì)算機(jī)、通信、網(wǎng)絡(luò)和安全技術(shù)，切實(shí)保證系統(tǒng)結(jié)構(gòu)和性能的先進(jìn)性、技術(shù)的領(lǐng)先性，采用成熟的技術(shù)滿足當(dāng)前的業(yè)務(wù)需求，兼顧其他相關(guān)的業(yè)務(wù)需求，并具有良好的發(fā)展?jié)摿?，以適應(yīng)未來(lái)業(yè)務(wù)的發(fā)展和技術(shù)升級(jí)的需要。安全可靠性：為保證將來(lái)的業(yè)務(wù)應(yīng)用，系統(tǒng)必須具有高可靠性。在采用硬件備份、冗余等可靠性技術(shù)的基礎(chǔ)上，采用相關(guān)的軟件技術(shù)提供較強(qiáng)的管理機(jī)制、控制手段、事故監(jiān)控和網(wǎng)絡(luò)安全保密等技術(shù)措施提高網(wǎng)絡(luò)系統(tǒng)的安全可靠性。靈活性與可擴(kuò)展性：安全系統(tǒng)是一個(gè)不斷發(fā)展的系統(tǒng)，所以必須具有良好的擴(kuò)展性。該系統(tǒng)應(yīng)與原有系統(tǒng)有機(jī)結(jié)合，并進(jìn)一步成為系統(tǒng)改造、擴(kuò)展的有效基礎(chǔ)，能夠根據(jù)將來(lái)信息化建設(shè)不斷深入發(fā)展的需要，擴(kuò)大網(wǎng)絡(luò)容量和提高網(wǎng)絡(luò)各層次節(jié)點(diǎn)的功能，提供技術(shù)升級(jí)、設(shè)備更新的靈活性。開(kāi)放性/互連性：具備與多種協(xié)議計(jì)算機(jī)通信網(wǎng)絡(luò)互連互通的特性，確保網(wǎng)絡(luò)系統(tǒng)基礎(chǔ)設(shè)施的作用可以充分發(fā)揮。在結(jié)構(gòu)上真正實(shí)現(xiàn)開(kāi)放，基于國(guó)際開(kāi)放式標(biāo)準(zhǔn)，堅(jiān)持全國(guó)統(tǒng)一規(guī)范的原則，從而為未來(lái)的業(yè)務(wù)發(fā)展奠定基礎(chǔ)。經(jīng)濟(jì)性/投資保護(hù)：應(yīng)以較高的性能價(jià)格比構(gòu)建安全系統(tǒng)，使資金的產(chǎn)出投入比達(dá)到最大值。能以較低的成本、較少的人員投入來(lái)維持系統(tǒng)運(yùn)轉(zhuǎn)，提供高效能與高效益。盡可能保留并延長(zhǎng)已有系統(tǒng)的投資，充分利用以往在資金與技術(shù)方面的投入?？晒芾硇裕河捎谙到y(tǒng)本身具有一定復(fù)雜性，隨著業(yè)務(wù)的不斷發(fā)展，安全管理的任務(wù)必定會(huì)日益繁重。所以在網(wǎng)絡(luò)的設(shè)計(jì)中，必須建立一個(gè)全面的網(wǎng)絡(luò)安全管理解決方案。安全設(shè)備必須采用智能化，可管理的設(shè)備，同時(shí)采用先進(jìn)的管理軟件，實(shí)現(xiàn)先進(jìn)的分布式管理。最終能夠監(jiān)控、監(jiān)測(cè)整個(gè)網(wǎng)絡(luò)的運(yùn)行狀況，合理分配網(wǎng)絡(luò)資源、動(dòng)態(tài)配置網(wǎng)絡(luò)負(fù)載、迅速確定網(wǎng)絡(luò)故障等。易用性:系統(tǒng)在使用上應(yīng)盡量簡(jiǎn)便。2.2.4本方案選擇CheckPoint/Crossbeam產(chǎn)品，因?yàn)椋嚎梢蕴峁┒说蕉说陌踩鉀Q方案，提供靈活的體系結(jié)構(gòu)支持最新的安全技術(shù)全球市場(chǎng)的領(lǐng)導(dǎo)者：36%防火墻市場(chǎng)分額(FrostandSullivan，2004年4月)提供一整套的安全解決方案，并把他們納入到統(tǒng)一安全架構(gòu)中安全機(jī)制的開(kāi)放框架—“開(kāi)放安全平臺(tái)”有全球300多家合作伙伴，緊密的集成達(dá)到互操作核心技術(shù)采用真正的狀態(tài)監(jiān)測(cè)技術(shù)提供業(yè)界最優(yōu)異的集中管理功能，中央基于策略的管理簡(jiǎn)單易用。日志和審計(jì)功能強(qiáng)大而簡(jiǎn)便易用冗余電源、熱插拔接口卡提供電信級(jí)的高可靠性、高穩(wěn)定性通過(guò)專利的X-Stream提供業(yè)界一流的高可靠性和靈活性使用XOS安全路由操作系統(tǒng)，是目前業(yè)界安全漏洞最少的操作系統(tǒng)之一，并專門為安全應(yīng)用設(shè)計(jì)優(yōu)化業(yè)界領(lǐng)先的防火墻性能，并支持硬件VPN加速?gòu)V泛的接口模塊選擇、良好的可擴(kuò)展性操作系統(tǒng)專門為IP路由和轉(zhuǎn)發(fā)進(jìn)行優(yōu)化，具備強(qiáng)大的路由能力，支持豐富的路由功能和協(xié)議運(yùn)營(yíng)級(jí)的可靠性，在單臺(tái)設(shè)備中即可達(dá)到99.9999%的可靠性2.2.5可管理安全服務(wù)設(shè)備部署根據(jù)本期工程的建設(shè)目標(biāo)，我們?cè)O(shè)計(jì)的安全方案重點(diǎn)在于安全機(jī)制的建立和差異化業(yè)務(wù)的提供。通過(guò)部署安全產(chǎn)品，在城域網(wǎng)中建立安全機(jī)制，增加業(yè)務(wù)感知的能力，提供在必要時(shí)的控制手段。我們從兩個(gè)方面進(jìn)行考慮。一方面，運(yùn)營(yíng)商80%的收入來(lái)自于20%的重要客戶。如何保障重要客戶的安全，為其提供更好的服務(wù)，從而使重要客戶放心的將重要應(yīng)用通過(guò)城域網(wǎng)承載，進(jìn)而增加運(yùn)營(yíng)商的收入，這是一個(gè)對(duì)運(yùn)營(yíng)商來(lái)說(shuō)非常重要的問(wèn)題。另一方面，最終用戶不可控，這是城域網(wǎng)所面對(duì)的一個(gè)挑戰(zhàn)。只有確保了終端用戶的安全，才能在很大程度上緩解城域網(wǎng)的安全威脅。所實(shí)施的安全方案應(yīng)具有投入合理，易于管理，可以同時(shí)結(jié)合多種安全防護(hù)手段等特點(diǎn)。在重要客戶接入的匯聚層設(shè)備上并聯(lián)可以提供虛擬防火墻功能的CheckPoint/Crossbeam安全設(shè)備。選擇部署防火墻，因?yàn)榉阑饓κ蔷W(wǎng)絡(luò)安全架構(gòu)的基礎(chǔ)。在ISO/IEC18028-2網(wǎng)絡(luò)安全架構(gòu)的描述中，提出了10種安全控制手段，其中訪問(wèn)控制被列在第一位，由此可以看到訪問(wèn)控制的重要性。而防火墻恰好是進(jìn)行訪問(wèn)控制的工具。防火墻就好比是家中的入戶門，盡管可以有其他的安全手段，如窗戶上加裝防護(hù)欄，安裝攝像頭等，但如果沒(méi)有入戶門，任何人均可隨意出入，那么其他控制手段形同虛設(shè)。在網(wǎng)絡(luò)中也是如此，可以部署防病毒，IDS，但如果沒(méi)有防火墻，資源可以被任意訪問(wèn)，資產(chǎn)仍是無(wú)法得到保護(hù)。所以此次先部署防火墻，今后在此基礎(chǔ)上，可以部署其他安全控制手段。防火墻可以部署在用戶端也可以部署在服務(wù)供應(yīng)商一側(cè)。如部署在用戶端，設(shè)備數(shù)量會(huì)很多，投入巨大，且由于設(shè)備分散，管理起來(lái)也不方便。部署在服務(wù)供應(yīng)商一側(cè)，管理方便。由于本次推薦的設(shè)備支持虛擬防火墻技術(shù)，可以在一個(gè)硬件平臺(tái)上虛擬出多個(gè)防火墻，每個(gè)虛擬防火墻可以為一個(gè)或多個(gè)用戶提供安全服務(wù)。這樣可以節(jié)約設(shè)備成本，并盡可能多的為匯聚到此點(diǎn)的重要接入用戶提供服務(wù)。在技術(shù)實(shí)現(xiàn)上，首先由匯聚層設(shè)備根據(jù)源地址區(qū)分客戶是否需要安全保護(hù)，無(wú)需保護(hù)的客戶直接到核心層，需要保護(hù)的客戶轉(zhuǎn)發(fā)到可以提供虛擬防火墻功能的安全設(shè)備，與某一個(gè)虛擬防火墻關(guān)聯(lián)，由防火墻提供安全保護(hù)。防火墻不僅要能對(duì)重要客戶數(shù)據(jù)的網(wǎng)絡(luò)層和傳輸層進(jìn)行保護(hù)，更重要的是可以在應(yīng)用層為用戶提供安全屏障，防范最新的攻擊，從而減少存在于城域網(wǎng)的安全威脅，使用戶可以安心在城域網(wǎng)上開(kāi)展業(yè)務(wù)。由于在一個(gè)點(diǎn)可以為很多用戶提供安全保護(hù)，運(yùn)營(yíng)商在這里還可以提供其他一些安全增值服務(wù)，例如URL過(guò)濾，針對(duì)特定用戶的防病毒，報(bào)表統(tǒng)計(jì)等。因?yàn)樵诔怯蚓W(wǎng)范圍內(nèi)這樣的點(diǎn)可能很多，采用的安全產(chǎn)品一定要具有中央管理功能，包括集中策略管理，集中日志分析，集中報(bào)表生成，集中攻擊代碼升級(jí)等，這樣才能最大限度的減少管理員的工作量，從而提高可靠性。(1)網(wǎng)絡(luò)拓?fù)洌?）非重要客戶訪問(wèn)互聯(lián)網(wǎng)流程步驟1：客戶A數(shù)據(jù)包通過(guò)接入層設(shè)備到達(dá)匯聚層設(shè)備A步驟2：匯聚層設(shè)備A進(jìn)行策略路由選擇，判斷客戶A為非重要客戶，數(shù)據(jù)包不會(huì)被送到并聯(lián)的安全設(shè)備，按照原來(lái)工作方式處理步驟3：匯聚層設(shè)備A將客戶A數(shù)據(jù)包送往核心層設(shè)備A返回?cái)?shù)據(jù)按照原來(lái)工作方式處理針對(duì)此類客戶的處理與未連接安全設(shè)備之前一致，安全設(shè)備對(duì)此類用戶不起作用。（3）選擇安全服務(wù)的重要客戶訪問(wèn)互聯(lián)網(wǎng)流程步驟1：客戶B數(shù)據(jù)包通過(guò)接入層設(shè)備到達(dá)匯聚層設(shè)備A步驟2：匯聚層設(shè)備A進(jìn)行策略路由選擇，判斷客戶B為重要客戶步驟3：匯聚層設(shè)備A將客戶B的數(shù)據(jù)包送往安全設(shè)備步驟4：安全設(shè)備將數(shù)據(jù)包送往對(duì)應(yīng)的虛擬防火墻進(jìn)行訪問(wèn)控制，攻擊防護(hù)步驟5：安全設(shè)備將數(shù)據(jù)包送回匯聚層設(shè)備A（安全設(shè)備路由下一跳為核心層設(shè)備A）步驟6：匯聚層設(shè)備A將數(shù)據(jù)包通過(guò)物理鏈路發(fā)送到核心層設(shè)備A客戶B返回?cái)?shù)據(jù)包需要在核心層設(shè)備A上添加靜態(tài)路由，指向安全設(shè)備如安全設(shè)備出現(xiàn)故障，旁路安全設(shè)備只需在匯聚層設(shè)備A上去除策略路由，在核心層設(shè)備A上去除指向安全設(shè)備的靜態(tài)路由。針對(duì)此類用戶可以通過(guò)安全設(shè)備提供安全增值服務(wù)，包括訪問(wèn)控制，入侵檢測(cè)和防范，日志分析，報(bào)表，防病毒，URL過(guò)濾等。某些使用MPLS的客戶需要訪問(wèn)互聯(lián)網(wǎng)，傳統(tǒng)的方式是在每一個(gè)客戶的網(wǎng)絡(luò)出口放置防火墻，這樣做防火墻數(shù)量會(huì)很多，投入大，由于地點(diǎn)分散，安全管理的復(fù)雜度增大。建議可以在某一個(gè)PE上并聯(lián)可以提供虛擬防火墻功能的安全設(shè)備。需要支持虛擬防火墻技術(shù)，主要可以節(jié)約設(shè)備成本，并盡可能多的為用戶提供服務(wù)。在技術(shù)實(shí)現(xiàn)上，需要此種服務(wù)的客戶通過(guò)MPLS與連接有安全設(shè)備的PE相連。連接有安全設(shè)備的PE將MPLS包解除標(biāo)簽，還原的數(shù)據(jù)包被送到可以提供虛擬防火墻功能的安全設(shè)備（相當(dāng)于CE），與某一個(gè)虛擬防火墻關(guān)聯(lián)，由防火墻提供安全保護(hù)。防火墻不僅要能對(duì)重要客戶數(shù)據(jù)的網(wǎng)絡(luò)層和傳輸層進(jìn)行保護(hù)，更重要的是可以在應(yīng)用層對(duì)用戶提供安全屏障，防范最新的安全威脅。由于在一個(gè)點(diǎn)可以為很多用戶提供安全保護(hù)，運(yùn)營(yíng)商在這里還可以提供其他一些安全服務(wù)，例如URL過(guò)濾，針對(duì)特定用戶的防病毒，報(bào)表統(tǒng)計(jì)等。采用的安全產(chǎn)品一定要具有中央管理功能，包括集中策略管理，集中日志分析，集中報(bào)表生成，集中攻擊代碼升級(jí)等，這樣才能最大限度的減少管理員的工作量，從而提高可靠性。（1）MPLS客戶內(nèi)部訪問(wèn)步驟1：客戶A的場(chǎng)點(diǎn)1要訪問(wèn)場(chǎng)點(diǎn)2，通過(guò)CE-1連接到PE-1步驟2：數(shù)據(jù)通過(guò)MPLS隧道從PE-1到達(dá)PE-2步驟3：通過(guò)CE-2到達(dá)場(chǎng)點(diǎn)2此種應(yīng)用與安全設(shè)備無(wú)關(guān)（2）MPLS用戶需要訪問(wèn)互聯(lián)網(wǎng)步驟1：客戶A從場(chǎng)點(diǎn)1訪問(wèn)互聯(lián)網(wǎng)，首先到達(dá)PE-1步驟2：數(shù)據(jù)包通過(guò)MPLS隧道從PE-1到達(dá)連接有安全設(shè)備的PE-2步驟3：PE-2將MPLS包解除標(biāo)簽步驟4：PE-2將還原的包送給安全設(shè)備（相當(dāng)于CE）步驟5：安全設(shè)備將數(shù)據(jù)包關(guān)聯(lián)到相關(guān)虛擬防火墻步驟6：虛擬防火墻將數(shù)據(jù)包作地址轉(zhuǎn)換送到核心層設(shè)備訪問(wèn)互聯(lián)網(wǎng)，本圖中通過(guò)匯聚層設(shè)備PE-2上聯(lián)步驟7：匯聚層設(shè)備PE-2將數(shù)據(jù)包送到核心層設(shè)備返回?cái)?shù)據(jù)包需要在核心層設(shè)備A上添加靜態(tài)路由，指向安全設(shè)備方案三為終端用戶提供管理安全服務(wù)最終用戶不可控，這是城域網(wǎng)所面對(duì)的一個(gè)挑戰(zhàn)。只有確保了終端用戶的安全，才能在很大程度上緩解城域網(wǎng)的安全威脅。在此提供一個(gè)方案建議，運(yùn)營(yíng)商可以為愿意享有安全服務(wù)的最終用戶提供端點(diǎn)安全產(chǎn)品的下載，一旦用戶下載了端點(diǎn)安全產(chǎn)品，可以享受到端點(diǎn)的安全保護(hù)，包括訪問(wèn)控制，應(yīng)用控制，間諜軟件防護(hù)等安全保護(hù)。安全策略由運(yùn)營(yíng)商制定，安全升級(jí)由運(yùn)營(yíng)商提供。用戶得到了安全保護(hù)，運(yùn)營(yíng)商獲得了收入，控制了終端，凈化了網(wǎng)絡(luò)流量，同時(shí)可以吸引更多的用戶使用網(wǎng)絡(luò)。端點(diǎn)安全產(chǎn)品部署步驟1：用戶從運(yùn)營(yíng)商購(gòu)買服務(wù)并下載客戶端軟件步驟2：用戶連接到運(yùn)營(yíng)商網(wǎng)絡(luò)，通過(guò)認(rèn)證步驟3：運(yùn)營(yíng)商認(rèn)證服務(wù)器識(shí)別用戶，如用戶為購(gòu)買安全服務(wù)用戶，則通過(guò)接入設(shè)備分配特定IP地址步驟4：端點(diǎn)安全中央管理服務(wù)器針對(duì)特定用戶的IP部屬安全策略，提供安全防護(hù)，攻擊防護(hù)，間諜軟件防護(hù)，保護(hù)客戶端此種部署，可以保護(hù)客戶端安全，同時(shí)可以在必要時(shí)對(duì)客戶端的某些應(yīng)用進(jìn)行限制，從而保護(hù)運(yùn)營(yíng)商網(wǎng)絡(luò)。2.2.6運(yùn)營(yíng)商管理著大量設(shè)備，如果沒(méi)有統(tǒng)一集中的安全管理，就無(wú)法及時(shí)了解網(wǎng)絡(luò)的運(yùn)行狀況，并及時(shí)應(yīng)對(duì)突發(fā)事件。本方案推薦的CheckPoint/Crossbeam產(chǎn)品具有統(tǒng)一集中安全管理能力，采用三層管理構(gòu)架，最下面是安全的執(zhí)行點(diǎn)（設(shè)備），中間是管理服務(wù)器，最上面是管理客戶端。管理員可以通過(guò)管理客戶端在管理服務(wù)器上制定安全策略，統(tǒng)一下發(fā)到各個(gè)執(zhí)行點(diǎn)，從而確保了各個(gè)執(zhí)行點(diǎn)的安全策略的一致性，同時(shí)此種方式也可以避免單點(diǎn)管理帶給管理員的管理負(fù)擔(dān)。CheckPoint所追求的就是簡(jiǎn)單的安全管理，為此它推出了集中化的管理界面，遠(yuǎn)程許可證管理工具，一鍵VPN技術(shù)等等，所有這些都是為了簡(jiǎn)化操作，降低誤操作幾率，節(jié)省人力和物力。同時(shí)此種集中管理方式對(duì)于安全的應(yīng)變能力更強(qiáng)。例如管理員同時(shí)管理10臺(tái)防火墻，如果已經(jīng)知道某些蠕蟲(chóng)將入侵網(wǎng)絡(luò)，在CheckPoint管理體系中，只需制訂一條安全策略，然后同時(shí)下發(fā)給10臺(tái)防火墻就可以了；而在單點(diǎn)管理的管理體系中，必須一臺(tái)一臺(tái)的修改策略，可能在改到第五臺(tái)時(shí)，第六臺(tái)以后的防火墻已經(jīng)被突破了，從而造成用戶的損失。CheckPoint可以提供統(tǒng)一安全架構(gòu)，因此CheckPoint的端點(diǎn)安全服務(wù)器也可以通過(guò)防火墻的集中管理服務(wù)器來(lái)管理。2.2.7（1）資金投入小防火墻可以部署在用戶端也可以部署在服務(wù)供應(yīng)商一側(cè)。如部署在用戶端，設(shè)備數(shù)量會(huì)很多，投入巨大，且由于設(shè)備分散，管理起來(lái)也不方便。部署在服務(wù)供應(yīng)商一側(cè)，管理方便。由于本次推薦的設(shè)備支持虛擬防火墻技術(shù)，可以在一個(gè)硬件平臺(tái)上虛擬出多個(gè)防火墻，每個(gè)虛擬防火墻可以為一個(gè)或多個(gè)用戶提供安全服務(wù)。這樣可以節(jié)約設(shè)備成本，并盡可能多的為匯聚到此點(diǎn)的重要接入用戶提供服務(wù)。（2）安全性高本次推薦的CheckPoint防火墻是全球市場(chǎng)占有率最高的防火墻產(chǎn)品，它采用了很多擁有專利的安全技術(shù)，可以最大限度的保護(hù)網(wǎng)絡(luò)資源。狀態(tài)監(jiān)測(cè)技術(shù)從技術(shù)發(fā)展的角度來(lái)講，防火墻歷經(jīng)了三代。第一代為包過(guò)濾防火墻，優(yōu)點(diǎn)是速度快，價(jià)格便宜，因?yàn)槁酚善魍ㄟ^(guò)訪問(wèn)控制列表即可實(shí)現(xiàn)相關(guān)功能；缺點(diǎn)是只能檢查到網(wǎng)絡(luò)層以下，沒(méi)有應(yīng)用層的感知，安全性較差。第二代防火墻為應(yīng)用級(jí)網(wǎng)關(guān)，優(yōu)點(diǎn)是安全性好，對(duì)數(shù)據(jù)包要拆開(kāi)七層進(jìn)行檢查；缺點(diǎn)是性能差和擴(kuò)展性差。第三代防火墻為采用狀態(tài)監(jiān)測(cè)技術(shù)的防火墻，它對(duì)數(shù)據(jù)報(bào)的檢查，不僅基于當(dāng)前連接，還要考慮以前的連接以及得自于應(yīng)用的信息，根據(jù)上下文關(guān)系，來(lái)做出綜合判斷，從而保證安全性。狀態(tài)監(jiān)測(cè)模塊位于協(xié)議堆棧的底層，操作系統(tǒng)的內(nèi)核之中，因而伸縮性強(qiáng)，而且速度快。在當(dāng)今市場(chǎng)上，超過(guò)90%的防火墻聲稱自己采用了狀態(tài)監(jiān)測(cè)技術(shù)，由此可見(jiàn)，此項(xiàng)技術(shù)為最主流的防火墻技術(shù)。狀態(tài)監(jiān)測(cè)技術(shù)是CheckPoint發(fā)明的，至今仍持有此項(xiàng)技術(shù)的專利。應(yīng)用智能技術(shù)大部分防火墻提供了有效的訪問(wèn)控制，但是仍有許多還不能支持應(yīng)用級(jí)的攻擊檢測(cè)和阻隔。認(rèn)識(shí)到這個(gè)事實(shí)后，電腦黑客們現(xiàn)在將他們的目標(biāo)直指應(yīng)用程序。今天，互聯(lián)網(wǎng)環(huán)境中的一些最嚴(yán)重的威脅來(lái)自于那些利用已知應(yīng)用程序缺陷的攻擊。黑客們最感興趣的是像HTTP（TCP端口80）和HTTPS（TCP端口443）這樣的服務(wù)，通常這些服務(wù)在許多網(wǎng)絡(luò)中是開(kāi)放的。訪問(wèn)控制裝置不能輕易檢測(cè)到面向這些服務(wù)的惡意使用。通過(guò)直接面向應(yīng)用程序，黑客們?cè)噲D獲得至少以下一種惡意目標(biāo)，包括：?拒絕對(duì)合法用戶的服務(wù)（DoS攻擊）?獲得對(duì)服務(wù)器或客戶端的管理訪問(wèn)權(quán)?獲得對(duì)后端信息數(shù)據(jù)庫(kù)的訪問(wèn)權(quán)?安裝特洛伊木馬軟件，可繞過(guò)安全保護(hù)并能夠?qū)?yīng)用程序進(jìn)行訪問(wèn)?在服務(wù)器上安裝運(yùn)行于“sniffer（網(wǎng)絡(luò)探針）”模式的軟件，并獲取用戶名和密碼由于基于應(yīng)用的攻擊本身很復(fù)雜，有效的防衛(wèi)必須也同樣復(fù)雜和智能。為了解決基于應(yīng)用攻擊日益增強(qiáng)的威脅，企業(yè)防火墻必須包含高級(jí)別的多層安全防護(hù)。這種多層安全網(wǎng)關(guān)應(yīng)該防止網(wǎng)絡(luò)及應(yīng)用攻擊，同時(shí)提供對(duì)IT資源強(qiáng)大的訪問(wèn)控制。CheckPointApplicationIntelligence?（應(yīng)用智能）是一組高級(jí)功能，能夠檢測(cè)和阻止應(yīng)用級(jí)攻擊（3）集中安全管理本方案推薦的CheckPoint/Crossbeam產(chǎn)品具有統(tǒng)一集中安全管理能力，采用三層管理構(gòu)架，最下面是安全的執(zhí)行點(diǎn)（設(shè)備），中間是管理服務(wù)器，最上面是管理客戶端。管理員可以通過(guò)管理客戶端在管理服務(wù)器上制定安全策略，統(tǒng)一下發(fā)到各個(gè)執(zhí)行點(diǎn)，從而確保了各個(gè)執(zhí)行點(diǎn)的安全策略的一致性，此種方式也可以避免單點(diǎn)管理帶給管理員的管理負(fù)擔(dān)。同時(shí)此種集中管理方式可以對(duì)安全事件作出快速響應(yīng)，加強(qiáng)運(yùn)營(yíng)商對(duì)網(wǎng)絡(luò)安全的控制能力。由于CheckPoint可以提供統(tǒng)一安全架構(gòu)，因此CheckPoint的端點(diǎn)安全服務(wù)器也可以通過(guò)防火墻的集中管理服務(wù)器來(lái)管理。（4）高可靠性和高可用性CheckPoint/Crossbeam提供的是新一代的運(yùn)營(yíng)商級(jí)的安全設(shè)備，X系列平臺(tái)為全冗余架構(gòu)，無(wú)源背板，全交叉總線，最多4個(gè)獨(dú)立進(jìn)線的電源模塊，冗余風(fēng)扇，冗余網(wǎng)絡(luò)模塊，冗余安全應(yīng)用模塊，冗余管理控制模塊，甚至細(xì)化到每個(gè)網(wǎng)絡(luò)端口均可定義其備份端口，實(shí)現(xiàn)了網(wǎng)絡(luò)端口的冗余，整個(gè)設(shè)備無(wú)單一故障點(diǎn)，能夠提供高達(dá)99.9999%的高可靠性。同時(shí)X系列設(shè)備所有的模塊均可熱插拔。X系列設(shè)備除了可提供傳統(tǒng)的雙機(jī)熱備功能外，還提供獨(dú)有的“單機(jī)高可用性”技術(shù)，即在單臺(tái)X設(shè)備上，可提供極高的可用性，整個(gè)設(shè)備無(wú)單一故障點(diǎn)，包括電源、風(fēng)扇、所有模塊、網(wǎng)絡(luò)端口、內(nèi)部操作系統(tǒng)、內(nèi)部應(yīng)用系統(tǒng)等，均有備份，可用做到6個(gè)9的高可用（5）可以提供多種安全增值服務(wù)在CheckPoint/CrossbeamX系列設(shè)備上，可同時(shí)運(yùn)行多種安全應(yīng)用，包括：防火墻：虛擬防火墻：IDS/IPS數(shù)據(jù)庫(kù)保護(hù)：其他還有防病毒、URL過(guò)濾等。未來(lái)新出現(xiàn)的安全需求，也可簡(jiǎn)單的通過(guò)增加模塊實(shí)現(xiàn)。此種設(shè)計(jì)非常便于服務(wù)供應(yīng)商根據(jù)用戶需求不斷增加新業(yè)務(wù)，從而增加收入。（6）良好的適應(yīng)性和擴(kuò)展性本次推薦的方案中將CheckPoint/Crossbeam設(shè)備旁掛在匯聚層設(shè)備邊上，無(wú)須改變?cè)瓉?lái)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)。對(duì)于需要進(jìn)行安全檢查和保護(hù)的流量，只需在匯聚層設(shè)備上添加策略路由，在核心層設(shè)備上添加回程靜態(tài)路由。如需屏蔽安全設(shè)備，無(wú)須改變網(wǎng)絡(luò)連線，只須去除匯聚層設(shè)備的策略路由和核心層設(shè)備上的回程靜態(tài)路由即可。方案同樣擁有良好的擴(kuò)展性。安全應(yīng)用的擴(kuò)展：安全應(yīng)用可隨著需求的產(chǎn)生而靈活擴(kuò)展。如初始配置，X系列設(shè)備可只配置防火墻功能，當(dāng)未來(lái)有需求時(shí)，可根據(jù)需求靈活的增加IDS、IPS、數(shù)據(jù)庫(kù)保護(hù)、XML應(yīng)用保護(hù)等安全功能。而對(duì)安全應(yīng)用功能的增加僅需要在原有設(shè)備上增加一個(gè)模塊即可，對(duì)原有的網(wǎng)絡(luò)結(jié)構(gòu)沒(méi)有任何改動(dòng)，非常方便。性能的擴(kuò)展：隨著用戶網(wǎng)絡(luò)的發(fā)展，當(dāng)某應(yīng)用的性能不能夠滿足新的需求時(shí)，可簡(jiǎn)單的增加一個(gè)模塊即可，X系列設(shè)備可自動(dòng)實(shí)現(xiàn)新增加的模塊與原有模塊工作于負(fù)載均衡模式，同樣對(duì)原有的網(wǎng)絡(luò)結(jié)構(gòu)沒(méi)有任何改動(dòng)，非常方便。端口擴(kuò)展：X系列的端口數(shù)也可隨著應(yīng)用需求的增長(zhǎng)而增長(zhǎng)。每增加一塊網(wǎng)絡(luò)模塊，即可增加8個(gè)千兆或16個(gè)百兆端口。千兆端口的接口類型可以為RJ-45、多模光纖或單模光纖。（7）全面的安全防護(hù)本次提供的方案既考慮了大中客戶，也考慮了端點(diǎn)，提供組合的安全保障，為城域網(wǎng)提供了有效的安全控制手段。2.2.8（1）CheckPointVSX虛擬防火墻產(chǎn)品介紹VPN-1VSX是一種高速、多策略虛擬安全解決方案?；诮?jīng)過(guò)實(shí)踐證明的安全解決方案，VSX可以為復(fù)雜基礎(chǔ)架構(gòu)中的多個(gè)網(wǎng)絡(luò)提供綜合全面的保護(hù)，幫助它們安全的連接到互聯(lián)網(wǎng)和DMZ等共享的資源，并且實(shí)現(xiàn)了在提供集中管理的同時(shí)允許它們之間進(jìn)行安全互動(dòng)。VSX網(wǎng)關(guān)利用一臺(tái)硬件設(shè)備就可以幫助各單位創(chuàng)建一個(gè)包括路由器、交換機(jī)和VPN-1網(wǎng)關(guān)的復(fù)雜、虛擬的網(wǎng)絡(luò)。這種解決方案替換和改造負(fù)責(zé)安全保護(hù)和聯(lián)網(wǎng)的物理設(shè)備，減少了為整個(gè)網(wǎng)絡(luò)提供安全保障所需的硬件投入。目前，只有VSX提供的平臺(tái)才實(shí)現(xiàn)了高可擴(kuò)展性、虛擬化網(wǎng)絡(luò)，以及可以被輕松部署和管理的安全服務(wù)?？蓴U(kuò)展的虛擬架構(gòu)VSX由多個(gè)虛擬安全系統(tǒng)組成，其中每個(gè)系統(tǒng)都是市場(chǎng)領(lǐng)先的VPN-1網(wǎng)關(guān)的完整