中國網(wǎng)通河北IP城域網(wǎng)擴建一期工程可管理安全服務設備技術規(guī)范書-

第一章工程技術規(guī)范書點對點應答此次所提供全部方案及各項設備和系統(tǒng)(包含軟、硬件)符合以下技術標準：ISO27001：：信息技術安全－技術信息安全－管理體系要求；ISO/IECFDIS17799:(E):信息技術－安全技術－信息安全管理代碼實踐；ISO/IEC18028-2:(E)：信息技術－安全技術－IT網(wǎng)絡安全；ISO/IECTR13335：信息技術－IT安全管理指南；中國通信行業(yè)標準YD/T1163-IP網(wǎng)絡安全技術要求－安全框架；中國通信行業(yè)標準YD/T1132-防火墻設備技術要求；《中國網(wǎng)絡通信集團企業(yè)IP網(wǎng)－發(fā)展計劃》；IP城域網(wǎng)計劃建設指導標準（北方分冊）；《河北網(wǎng)通互聯(lián)網(wǎng)網(wǎng)絡優(yōu)化指導意見》；《中國網(wǎng)通網(wǎng)絡技術轉(zhuǎn)型和演進若干意見》；《網(wǎng)通集團IP網(wǎng)絡優(yōu)化和維護指導意見》；《河北省分企業(yè)數(shù)據(jù)專業(yè)產(chǎn)品供貨商及產(chǎn)品立案表》；以下根據(jù)“中國網(wǎng)通河北IP城域網(wǎng)擴建一期工程可管理安全服務設備技術規(guī)范書”章節(jié)進行點對點應答。3.5設備基礎配置要求3.5.1賣方提供設備應滿足下列基礎配置要求：設備應為能夠滿足本技術規(guī)范要求完整軟、硬件系統(tǒng)，集成性好，便于機架式安裝；答：滿足要求。本項目提供CheckPoint/Crossbeam設備為滿足本技術規(guī)范完整軟硬件系統(tǒng)，經(jīng)過兼容性測試，能夠無縫集成，設備為標準機架尺寸，便于機架式安裝。設備及接口電氣特征應符合國際和國家相關標準。答：滿足要求。本項目提供CheckPoint/Crossbeam設備設備及接口電氣特征符合國際和國家相關標準。3.5.2基礎性能及配置要求賣方提供單套設備系統(tǒng)應滿足下列性能指標要求：吞吐量：大于4Gbps答：滿足要求。本項目提供CheckPoint/CrossbeamX40配置最少可提供4Gbps吞吐量。最大并發(fā)連接數(shù)：大于50萬答：滿足要求。本項目提供CheckPoint/CrossbeamX40配置最少可提供50萬并發(fā)連接數(shù)。每秒新建連接數(shù)：大于3萬答：滿足要求。本項目提供CheckPoint/CrossbeamX40配置最少可提供3萬每秒新建連接數(shù)。端口數(shù)：大于4個千兆光纖答：滿足要求。本項目提供CheckPoint/CrossbeamX40配置可提供8個千兆光纖口。設備應提供專用帶外管理端口答：滿足要求。CheckPoint/CrossbeamX40提供了2個帶外管理端口（10/100MBase-T）設備應提供專用日志端口答：滿足要求。CheckPoint/CrossbeamX40提供了1個專用日志端口（10/100/1000MBase-T）處理時延：小于0.08s答：滿足要求。CheckPoint/CrossbeamX40處理時延小于0.08s。3.5.3基礎網(wǎng)絡功效要求賣方提供單套設備系統(tǒng)應提供以下基礎功效：設備應支持靜態(tài)路由和RIP、RIPII、OSPF等路由協(xié)議。答：滿足要求。CheckPoint/CrossbeamX40支持RIP、RIPII及OSPF等路由協(xié)議。設備應支持802.1QVLAN。答：滿足要求。CheckPoint/CrossbeamX40支持802.1QVLAN。CheckPoint/CrossbeamX40防火墻全方面支持802.1Q協(xié)議，經(jīng)過使用CheckPoint/CrossbeamX40防火墻能夠有效對VLANID進行識別和支持，而且對不一樣VLAN之間訪問進行控制。設備應支持對不一樣VLAN間數(shù)據(jù)包阻隔。答：滿足要求CheckPoint/CrossbeamX40防火墻對VLAN含有豐富控制功效，經(jīng)過對CheckPoint/CrossbeamX40硬件防火墻設置，用戶能夠經(jīng)過防火墻對屬于不一樣VLAN主機進行有效隔離，而且經(jīng)過安全策略進行訪問控制，保護不一樣目標主機和網(wǎng)絡安全。設備應支持VLANTrunk。答：滿足要求CheckPoint/CrossbeamX40防火墻采取專用網(wǎng)絡操作系統(tǒng)，支持802.1Q協(xié)議，防火墻能夠識別VLANID,支持VLANTrunk網(wǎng)絡流量經(jīng)過防火墻。設備應支持虛擬路由模式防火墻、虛擬透明模式防火墻，并支持此兩種模式虛擬防火墻共存于同一個虛擬環(huán)境中。答：滿足要求。CheckPoint/CrossbeamX40防火墻以以下方法工作在用戶網(wǎng)絡中：透明模式、路由模式、透明模式和路由模式同時工作。CheckPoint/CrossbeamX40支持此兩種模式虛擬防火墻共存于同一個虛擬環(huán)境中。單套系統(tǒng)支持最大虛擬防火墻數(shù)量應大于200個答：滿足要求。CheckPoint/CrossbeamX40單臺最高可支持250個虛擬防火墻。設備應支持虛擬路由器和虛擬交換機功效。答：滿足要求。CheckPoint/CrossbeamX40支持虛擬路由器和虛擬交換機功效。4.1通常技術要求4.1.1硬件(1)賣方提供全部設備必需是最新開發(fā)且最穩(wěn)定可靠之產(chǎn)品，而且大規(guī)模在電信運行商環(huán)境應用成熟商用產(chǎn)品，并確保所提供產(chǎn)品數(shù)量、質(zhì)量，尤其是接口兼容性。答：滿足要求。CheckPoint/CrossbeamX40是最新開發(fā)而且最穩(wěn)定可靠產(chǎn)品，已經(jīng)在全球范圍內(nèi)很多大型電信運行商環(huán)境得到了成熟應用，包含美國南方貝爾、英國移動運行商O2、西班牙電信Telefonica、德國電信、美國移動運行商VerizonWireless、澳大利亞電信Telstra等。在應用中，和多種網(wǎng)絡產(chǎn)品全部有很好兼容性。(2)多種設備應采取功效分擔、分布式多處理機結構。關鍵模塊冗余度最少為1+1，易于擴容和維護。答：滿足要求。在CheckPoint/CrossbeamX40設備中，各模塊功效是分離，每種模塊負責其各自功效，然后整個設備經(jīng)過機架無源背板全交叉總線及Crossbeam專利實時調(diào)度操作系統(tǒng)XOS有機集成。同時，在CheckPoint/CrossbeamX40中，針對不一樣功效需求，提供了不一樣設備模塊，包含：網(wǎng)絡處理模塊NPM、安全應用處理模塊APM、管理控制模塊CPM等。全部安全技術全部經(jīng)過一個優(yōu)異機柜式系統(tǒng)結合在一起，從而消除了對外部交換機、負載均衡器、接頭和/或端口鏡像需要。經(jīng)過多個安全技術配置流路徑工作能夠從一個能為用戶帶來全方面靈活性圖形用戶界面（GUI）上輕松完成。這種合并是現(xiàn)在業(yè)界最簡單、安全而又經(jīng)濟安全防護模式。全部相關模塊均可配置為1＋1備份，能夠靈活依據(jù)功效或性能需求擴展各個模塊。(3)賣方提供硬件平臺應支持第三方安全設施，應為模塊化設計，支持平滑擴展。各模塊擴展不影響現(xiàn)有模塊業(yè)務處理性能和數(shù)量。答：滿足要求。CheckPoint/Crossbeam設備為模塊化設計，可同時提供多個安全應用。設備上安全應用處理模塊APM可獨立運行不一樣安全應用，包含獨用防火墻/VPN、虛擬防火墻/VPN、IDS、防病毒、IPS等。多個安全應用處理模塊獨立并行運行，并由整個系統(tǒng)所統(tǒng)一監(jiān)控。各模塊擴展不影響現(xiàn)有模塊業(yè)務處理性能和數(shù)量?？稍黾影踩珣冒篒DS/IPS虛擬防火墻SSLVPN數(shù)據(jù)庫保護：可對網(wǎng)絡內(nèi)部多種數(shù)據(jù)庫進行保護，包含Oracle、Sybase、DB-II、MS-SQL等。能夠?qū)徲嬘脩魧?shù)據(jù)庫訪問，能夠加載對數(shù)據(jù)庫訪問安全策略，能夠告警等URL過濾XML服務保護防病毒等(4)主控模塊能在不中止通信情況下，可帶電進行板卡熱插撥操作。全部設備模塊插板可帶電熱插拔，全部設備均采取模塊化設計，其中每一模塊發(fā)生故障時均不影響其它設備和其它模塊正常運行。答：滿足要求。CheckPoint/CrossbeamX40是新一代運行商級安全設備，X40系列平臺為全冗余架構，無源背板，全交叉總線，雙獨立進線電源模塊，冗余風扇，冗余網(wǎng)絡模塊，冗余安全應用模塊，冗余管理控制模塊，甚至細化到每個網(wǎng)絡端口均可定義其備份端口，實現(xiàn)了網(wǎng)絡端口冗余，整個設備無單一故障點，能夠提供高達99.9999%高可靠性。同時X40設備全部模塊均可熱插拔。每一模塊發(fā)生故障時均不影響其它設備和其它模塊正常運行。(5)賣方提供設備要選擇世界上高質(zhì)量元器件，生產(chǎn)過程中進行嚴格質(zhì)量控制，出廠前要經(jīng)買方人員嚴格測試和檢驗，確保設備長久穩(wěn)定、可靠地運行答：滿足要求。CheckPoint/Crossbeam設備采取世界上高質(zhì)量元器件，生產(chǎn)過程中進行嚴格質(zhì)量控制，出廠前經(jīng)過嚴格測試和檢驗，能夠確保設備長久穩(wěn)定、可靠地運行。承載軟件系統(tǒng)應為專用平臺，賣方應說明該平臺性能。答：滿足要求。Crossbeam為專用安全硬件平臺，采取經(jīng)過加固和優(yōu)化專用操作系統(tǒng)，能夠和CheckPoint虛擬防火墻無縫集成，為用戶提供安全服務。此次提供CheckPoint/CrossbeamX40最少能夠提供4Gbps防火墻數(shù)據(jù)吞吐率。4.1.2軟件(1)軟件系統(tǒng)賣方軟件應為最新、成熟電信級產(chǎn)品，并應和硬件平臺實現(xiàn)無縫銜接；答：滿足要求。本項目CheckPoint提供軟件為最新、成熟電信級產(chǎn)品，和硬件平臺Crossbeam經(jīng)過兼容性測試，能夠?qū)崿F(xiàn)無縫銜接。賣方在提議書中應具體列出所提供軟件清單、版本和說明。答：滿足要求。軟件版本說明CPPWR-VSX-10NGX虛擬防火墻模塊，能夠支持10個虛擬防火墻CPPWR-SC-UNGX集中管理服務器軟件CPFW-FSS-1NGX單機防火墻以保護集中管理服務器CPIS-IEPS-1000NGX1000用戶端許可，能夠提供端點PC防火墻，PC入侵防范，PC應用安全，PC間諜軟件防范功效CPIS-IAS-1NGX用戶端集中管理服務器軟件，能夠提供多域和層次化管理功效賣方應說明本工程包含分類項目對現(xiàn)網(wǎng)設備操作系統(tǒng)及相關系統(tǒng)軟件有何要求，是否需要使用新版本系統(tǒng)軟件，若是，應說明新版軟件和原使用軟件之間異同和兼容程度答：滿足要求。本項目提供CheckPoint/Crossbeam設備對現(xiàn)網(wǎng)設備操作系統(tǒng)及相關系統(tǒng)軟件無要求。(2)軟件模塊化結構軟件應為模塊化設計組成，賣方必需確保任何軟件模塊維護和更新全部不影響其它軟件模塊功效，軟件含有容錯能力。答：滿足要求。CheckPoint軟件采取結構化和模塊化設計，對任何軟件模塊維護和更新全部不影響其它軟件模塊功效。軟件中有特定進程監(jiān)控其它進程，如其它進程出現(xiàn)問題，特定進程會自動對其進行修復。(3)故障監(jiān)視和診療軟件能立即發(fā)覺故障并發(fā)出告警，能夠自動恢復系統(tǒng)，不影響任何已建立業(yè)務連接。答：滿足要求。軟件中有特定進程監(jiān)控其它進程，如其它進程出現(xiàn)問題，能立即發(fā)覺故障并發(fā)出告警，特定進程會自動對其進行修復，不影響任何已建立業(yè)務連接。(4)兼容性及升級a.設備不一樣時期軟件版本應能向下兼容，軟件版本易于升級，且在升級后不影響網(wǎng)路性能和運行。答：滿足要求。CheckPoint確保軟件版本向下兼容，軟件版本易于升級，且在升級后不影響網(wǎng)絡性能和運行。b.賣方應承諾在供貨時提供最新版本軟件，但該軟件必需是經(jīng)過測試正式推出，其可靠性、穩(wěn)定性經(jīng)過嚴格驗證。答：滿足要求。CheckPoint確保供貨時提供最新版本軟件，提供軟件是經(jīng)過測試正式推出，其可靠性、穩(wěn)定性經(jīng)過嚴格驗證。c.軟件版本升級時，賣方應承諾無償更新軟件版本，并提供對應新版本軟件功效說明書及修改說明書。答：滿足要求。本項目技術規(guī)范要求提供且買方已經(jīng)購置軟件功效，CheckPoint/Crossbeam承諾無償軟件版本更新，并提供對應新版本軟件功效說明書及修改說明書。(5)賣方應說明現(xiàn)在所使用軟件實際運行時間。答：滿足要求。本項目中CheckPoint提供NGX版本軟件為5月公布，CheckPoint將最少在5年內(nèi)提供對此版本支持，如用戶需要，CheckPoint能夠幫助用戶過渡到最新版本。4.1.3安裝材料若設備安裝需要特定安裝材料、端口連接需要特定連接線纜話，賣方應給予指出并給出配置且包含在設備價格中。答：滿足要求。4.1.4備件賣方應依據(jù)設備元件質(zhì)量情況提出備件配置提議。賣方提供設備應是以最少五年使用期設計，賣方要確保不管提供設備是否還生產(chǎn)，在使用期內(nèi)買方可得到備件。答：滿足要求。為確保用戶生產(chǎn)網(wǎng)絡愈加可靠穩(wěn)固,我們提議用戶可依據(jù)情況對關鍵硬件模塊購置一至兩套備件.CheckPoint/Crossbeam此次提供設備使用期大于5年,在使用期內(nèi)可確保用戶得到備件(過保修期后需收費).而且將于設備停產(chǎn)前六個月前通知用戶.4.2設備系統(tǒng)關鍵技術指標4.2.1最大位轉(zhuǎn)發(fā)率（Maximumbitforwardingrate）位轉(zhuǎn)發(fā)率指：特定負載下每秒種防火墻將許可數(shù)據(jù)流轉(zhuǎn)發(fā)至正確目標接口位數(shù)。最大位轉(zhuǎn)發(fā)率指在不一樣負載下反復測量得出位轉(zhuǎn)發(fā)率數(shù)值集中最大值，使用最大位轉(zhuǎn)發(fā)率時應同時說明和之響應負載。賣方應結合買方IP城域網(wǎng)設備性能及網(wǎng)絡架構情況，確定并提出防火墻設備標準規(guī)范，并具體列出。答：滿足要求。本項目提供CheckPoint/Crossbeam設備旁掛在匯聚層設備邊，依據(jù)河北網(wǎng)通城域網(wǎng)現(xiàn)實狀況，我們認為4Gbps防火墻設備能夠滿足需求。FrameSize(Bytes)641282565121024128015181APMThroughput(Mbps)2924989501,7893,1883,5714,0004.2.2設備功效要求賣方提供設備應提供以下基礎安全功效，并就每一項功效具體說明設備支持程度：設備應運行在經(jīng)固化專用安全操作系統(tǒng)之上，賣方具體說明該操作系統(tǒng)關鍵安全固化方法。答：滿足要求CheckPoint/Crossbeam全系列防火墻均采取獨有運行商級安全操作系統(tǒng)XOS。該操作系統(tǒng)專門進行了優(yōu)化和加固，不僅提升了運行性能，關鍵是提升了安全性。通常開放操作系統(tǒng)擁有很多網(wǎng)絡服務，遠程服務，而且可能存在通常見戶不知道漏洞，這對防火墻本身安全是很大威脅。XOS操作系統(tǒng)從設計上做了大量安全加強，確保防火墻本身安全。XOS不帶有任何無須要2進制代碼和庫結構，是一個安全緊湊操作系統(tǒng)；XOS操作系統(tǒng)覆蓋了已知多種漏洞，而且不停致力于發(fā)覺和覆蓋新漏洞。設備內(nèi)部關鍵技術應采取狀態(tài)監(jiān)測技術。答：滿足要求CheckPoint/CrossbeamX40防火墻中采取是CheckPoint取得專利第三代防火墻技術狀態(tài)監(jiān)測（StatefulInspection）。能夠提供更安全特征。狀態(tài)監(jiān)測是防火墻第三代關鍵技術，也是最新防火墻關鍵技術，最初由CheckPoint發(fā)明，并取得美國專利（專利號5,835,726）。狀態(tài)監(jiān)測相比于較早包過濾及應用網(wǎng)關方法技術有較大優(yōu)勢，包含更安全，性能更高、擴展性愈加好等。所以，現(xiàn)在，幾乎全部防火墻產(chǎn)品均聲稱自己是狀態(tài)監(jiān)測類防火墻，但實際上在實現(xiàn)時有些產(chǎn)品實現(xiàn)不完整。為了提供更強壯安全性，一個防火墻必需跟蹤及控制全部通信數(shù)據(jù)流。和傳統(tǒng)包過濾不一樣是，狀態(tài)監(jiān)測經(jīng)過分析流入和流出數(shù)據(jù)流，跟蹤數(shù)據(jù)流狀態(tài)及上下文，依據(jù)會話及應用信息，實時確定針對該數(shù)據(jù)流安全決議。狀態(tài)及上下文信息必需包含：數(shù)據(jù)包頭信息（源地址、目標地址、協(xié)議、源端口、目標端口、數(shù)據(jù)包長度）連接狀態(tài)信息（哪個端口為哪個連接而打開）TCP及IP分片數(shù)據(jù)（如分片號、序列號）數(shù)據(jù)包重裝，應用類型，上下文確定（如該數(shù)據(jù)包屬于哪個通信會話）防火墻上抵達端口及離開端口第二層信息（如VLANID）數(shù)據(jù)包抵達及離開時間依據(jù)安全策略實施對經(jīng)過防火墻數(shù)據(jù)流進行控制，許可經(jīng)過或采取對應方法。防火墻系統(tǒng)安全規(guī)則，每一條表項全部包含條件域、動作域和選項域，當有IP包進入時，系統(tǒng)在安全策略中從第一個表項開始查起，假如符合，就實施該表項指示動作，狀態(tài)監(jiān)測技術針對協(xié)議，抽取連接狀態(tài)信息，并建立狀態(tài)連接表項。當沒有一條適宜表項時，系統(tǒng)默認動作是攔截。所提供防火墻模塊應支持基于IP地址、組、端口、應用類型、時間等創(chuàng)建安全規(guī)則,賣方具體說明其支持程度。答：滿足要求CheckPoint/Crossbeam支持基于IP源地址、IP目標地址、用戶組、網(wǎng)絡組、源端口、目標端口、應用類型、時間、特定防火墻等信息創(chuàng)建安全規(guī)則。所提供防火墻模塊預定義服務協(xié)議數(shù)量應大于200個，并說明所支持最大協(xié)議數(shù)和協(xié)議增加方法。答：滿足要求CheckPoint/Crossbeam利用StatefulInspection專利技術來確保全部通用Internet服務安全。它支持超出200個預定義應用、服務和協(xié)議，包含Web應用，即時消息發(fā)送、對等網(wǎng)絡應用、VoIP、OracleSQL、RealAudio和多媒體服務（如H.323）、SIP、FTP、ICMP、DNS、Netmeeting等。此次提供防火墻模塊，能夠支持最大協(xié)議數(shù)量沒有限制，協(xié)議增加能夠經(jīng)過用戶自定義和購置廠商服務自動升級更新等方法實現(xiàn)。所提供防火墻模塊應支持針對Mail，MS-RPC，MS-SQL，P2P等應用層安全控制，并說明怎樣控制和所支持應用擴展數(shù)量和方法。答：滿足要求。CheckPoint/Crossbeam防火墻能夠經(jīng)過應用智能技術對多個應用進行內(nèi)容檢驗，包含Mail，MS-RPC，MS-SQL，P2P等應用。應用智能技術經(jīng)過驗證協(xié)議是否遵照標準，檢驗協(xié)議是否符合預期使用方法，阻止應用攜帶有害數(shù)據(jù)和控制應用層有害操作等四種策略來在正當流量當中檢測非法行為，從而確保應用安全。應用擴展支持能夠經(jīng)過用戶自定義和購置廠商服務自動升級更新等方法實現(xiàn)。所提供防火墻模塊應支持對VoIP保護，支持H.323、SIP、MGCP、SCCP，并說明怎樣保護。答：滿足要求。CheckPoint/Crossbeam防火墻能夠提供對VoIP保護，支持H.323，SIP，MGCP，SCCP。CheckPoint/Crossbeam防火墻能夠驗證VoIP協(xié)議是否符合標準，了解并跟蹤VoIP全部通信過程，并依據(jù)需要打開相關端口供通信使用，最終在通信結束后自動封閉此端口。同時經(jīng)過控制部分VoIP通信行為，對基于VoIP攻擊進行防范。所提供防火墻模塊支持安全規(guī)則數(shù)目應無限制。答：滿足要求。CheckPoint/Crossbeam防火墻支持安全規(guī)則數(shù)量無限制。所提供防火墻模塊應支持安全策略一致性驗證。答：滿足要求。CheckPoint/Crossbeam防火墻支持規(guī)則策略校驗，支持規(guī)則一致性測試。能夠檢測反復、錯誤、沖突規(guī)則定義。所提供防火墻模塊應含有對DoS攻擊防護功效，防火墻應支持SYN網(wǎng)關功效，并請說明。答：滿足要求。CheckPoint/Crossbeam防火墻是現(xiàn)在對DOS攻擊防范效果最好防火墻之一。能夠?qū)Π琒YNFlood、PINGofDeath攻擊、IPSpoofing攻擊等多個DOS攻擊有很好防護。其中對SYN攻擊含有很好防御功效，提供SYN網(wǎng)關功效。同時系統(tǒng)也提供智能SYN防御功效，當使用此項功效時候，用戶不需要對SYN攻擊防御選項進行特殊設置，系統(tǒng)會自動監(jiān)測和識別SYN攻擊，而且阻斷它們。所提供防火墻模塊應含有對其它常見網(wǎng)絡和應用層攻擊防護能力，并請說明。答：滿足要求CheckPoint/Crossbeam防火墻支持網(wǎng)絡層到應用層全檢測，對常見網(wǎng)絡和應用層攻擊全部含有防護能力。網(wǎng)絡層攻擊防范包含TearDrop，pingofdeath等DOS攻擊，ping大包，IP分段攻擊等針對IP和ICMP攻擊，sys攻擊，序號攻擊等針對TCP攻擊，等等。應用層攻擊防范包含針對http，ftp，dns，voip，p2p，mail等應用攻擊，等等。以上網(wǎng)絡層和應用層攻擊防護經(jīng)過防火墻上SmartDefense模塊實現(xiàn)。所提供防火墻模塊應支持攻擊特征庫動態(tài)更新，并請說明更新方法和是否會中止用戶業(yè)務。答：滿足要求。CheckPoint/Crossbeam防火墻內(nèi)置防攻擊模塊—SmartDefense，它攻擊特征庫支持在線升級。如用戶購置了CheckPoint攻擊特征庫升級服務，管理員能夠使用管理用戶端自動連接到CheckPoint網(wǎng)站完成更新。更新會先存放于集中管理服務器，在未下發(fā)策略時不會影響防火墻實施點，也不會中止用戶業(yè)務。即使下發(fā)策略，因為是針對攻擊作出防范，對正常業(yè)務不會產(chǎn)生影響。所提供設備系統(tǒng)應可同時運行多個安全應用，包含IDS、防病毒等。未來可經(jīng)過許可證激活防火墻設備上其它安全應用。答：滿足要求CheckPoint/Crossbeam設備除防火墻外能夠運行多個安全應用，包含IDS、IPS、網(wǎng)關防病毒、URL過濾、數(shù)據(jù)庫保護等模塊。全部這些模塊已經(jīng)內(nèi)置在設備中，未來能夠經(jīng)過許可證將這些功效激活，便于將于安全應用擴展。設備系統(tǒng)應提供內(nèi)容過濾功效，能夠過濾URL地址、JavaScript、ActiveX控件和Ftp控制命令(get,put)、畸形IP攻擊包、ICMP惡意代碼包，另外還能設置收件發(fā)件人郵件地址過濾和大郵件過濾策略。答：滿足要求。CheckPoint/Crossbeam防火墻能夠經(jīng)過其集成內(nèi)容安全能力使用戶免受病毒、惡意Java和ActiveXapplet、畸形IP攻擊包、ICMP惡意代碼包及不需要Web內(nèi)容攻擊。對于每個經(jīng)過防火墻安全服務器建立HTTP、SMTP或FTP連接，網(wǎng)絡管理員能夠更具體地來控制對特定資源訪問。比如，訪問能夠控制到具體Web頁面，URL地址及FTP文件和操作（比如，PUT/GET命令）、SMTP專用標題字段等等。可對如e-mail附件大小、文件類型等進行檢驗，還能夠設置收件發(fā)件人郵件地址過濾等。同時防火墻還可經(jīng)過OPSECSDK接口和專門內(nèi)容過濾系統(tǒng)互動，進行更細致內(nèi)容檢驗。設備應支持NAT功效，包含一對一、多對一NAT工作模式。答：滿足要求。CheckPoint/Crossbeam防火墻支持動態(tài)和靜態(tài)地址翻譯(NAT)功效，而且無數(shù)量限制。CheckPoint/Crossbeam防火墻使用強大、易于管理網(wǎng)絡地址翻譯（NAT）在Internet上隱藏內(nèi)部網(wǎng)絡地址--避免將它們泄漏為公眾信息。經(jīng)過集成StatefulInspection技術，CheckPoint/CrossbeamNAT實現(xiàn)了業(yè)界最安全地址翻譯，而且它支持范圍廣泛Internet服務。依據(jù)網(wǎng)絡管理員在建立對象（如主機、網(wǎng)絡和網(wǎng)關）時提供信息，防火墻自動生成靜態(tài)(一對一)和動態(tài)（多對一）翻譯規(guī)則。設備應支持網(wǎng)絡流量監(jiān)視和CPU負載統(tǒng)計。 答：滿足要求。CheckPoint/CrossbeamX40防火墻系統(tǒng)采取專用網(wǎng)絡操作系統(tǒng)，提供對系統(tǒng)運行狀態(tài)和網(wǎng)絡流量監(jiān)控統(tǒng)計分析功效，經(jīng)過管理界面用戶能夠?qū)Γ航?jīng)過防火墻網(wǎng)絡流量進行有效檢驗和統(tǒng)計防火墻設備本身CPU情況統(tǒng)計和檢驗經(jīng)過防火墻審計工具用戶還能夠?qū)ο到y(tǒng)其它資源如：內(nèi)存使用率等多方面內(nèi)容進行審計。4.2.3設備系統(tǒng)安全管理功效賣方提供設備系統(tǒng)應提供以下安全管理功效：設備應支持專有管理用戶端、WEB及命令行管理方法。答：滿足要求CheckPoint/CrossbeamX40防火墻系統(tǒng)支持豐富管理和控制功效：基于當?shù)卮诿钚泄芾砉πЩ诰W(wǎng)絡Web界面管理功效?；趯Ｓ肎UI管理系統(tǒng)圖形化安全管理功效基于通用安全HTTPS、SSH管理功效設備應支持當?shù)毓芾?、遠程管理和集中管理。答：滿足要求。CheckPoint/Crossbeam設備支持當?shù)毓芾砗瓦h程管理方法。當?shù)毓芾砗瓦h程能夠經(jīng)過WEB界面（經(jīng)過SSL加密）管理。同時Crossbeam防火墻還支持SSHv1v2，確保了遠程管理安全性。經(jīng)過中央管理服務器SmartCenter能夠?qū)Ψ阑饓υO備進行集中管理。要求使用集中管理軟件統(tǒng)一管理全部防火墻（包含虛擬系統(tǒng)），包含策略管理，用戶管理，VPN管理，入侵防護管理，攻擊防護代碼統(tǒng)一升級等。答：滿足要求。CheckPoint/Crossbeam防火墻很適合構建分布式用戶/服務器安全訪問應用控制，能夠說，防火墻結構就是以分布式安全控制出發(fā)點來進行設計。CheckPoint/Crossbeam產(chǎn)品是三層體系結構：GUI：為用戶提供圖形化界面，便于配置防火墻策略和對象，上面不存放任何數(shù)據(jù)。在防火墻許可范圍內(nèi)，可安裝于任何一臺PC機上。ManagementServer(管理服務器)：用于存放在GUI上定義策略和對象，完成對全部防火墻（包含虛擬系統(tǒng)）統(tǒng)一管理，包含策略管理，用戶管理，VPN管理，入侵防護管理，攻擊防護代碼統(tǒng)一升級等。當安全策略下發(fā)時，管理服務器將策略編譯后推到各個防火墻上。同時管理服務器可用來察看實施模塊狀態(tài)信息，并存放實施模塊生成日志。EnforcementModule（實施模塊）：用于數(shù)據(jù)包過濾，決定數(shù)據(jù)包通行、阻斷、轉(zhuǎn)發(fā)。全部防火墻安全策略能夠由管理服務器進行集中化定制，對每個防火墻能夠定義不一樣策略文件。各個模塊之間通信使用SSL進行加密。為便于管理，我們提議在此次項目中采取集中化管理標準布署防火墻產(chǎn)品。即全部防火墻全部可在網(wǎng)管中心對其進行集中化安全管理，統(tǒng)一配置安全策略，這么帶來優(yōu)點：實現(xiàn)了對各業(yè)務安全集中化管理，減小網(wǎng)絡整體存在安全漏洞可能性，同時順應了業(yè)務集中趨勢，減小了各部門對安全方面管理支出。設備應支持管理員基于角色管理。答：滿足要求。CheckPoint/Crossbeam對防火墻管理員權限能夠分為多個定義，包含可寫、只讀、用戶自定義。在用戶自定義中能夠靈活定義用戶對防火墻各個模塊權限，比如：用戶只能修改日志而不能修改策略。設備應支持管理員使用數(shù)字證書作為認證方法以提升安全性。答：滿足要求。CheckPoint/Crossbeam設備管理服務器中內(nèi)置CA，全部防火墻功效模塊均可經(jīng)過該證書進行認證。對于管理員，能夠使用基于X.509數(shù)字證書，進行登錄認證，極大提升了安全性。4.2.4設備日志、報警和報表功效賣方提供設備系統(tǒng)應提供以下日志、報警和報表功效：所提供防火墻模塊應該含有內(nèi)置日志服務器，能夠提供實時和歷史日志答：滿足要求。CheckPoint/Crossbeam內(nèi)置日志服務器，能夠提供實時和歷史統(tǒng)計。同時可將日志導向其它日志服務器。設備應支持豐富日志域，支持超出60種以上日志域答：滿足要求CheckPoint/Crossbeam經(jīng)過日志查看器Smartviewtracker模塊用來察看日志，可察看日志字段超出60種以上，并能夠靈活定義過濾條件。設備應支持日志當?shù)亟y(tǒng)計，防火墻模塊應有40G以上內(nèi)置硬盤，并說明是否支持異地或外部統(tǒng)計方法。答：滿足要求CheckPoint/Crossbeam支持日志當?shù)亟y(tǒng)計，X系列產(chǎn)品全部有80G以上內(nèi)置硬盤。能夠設定防火墻模塊在當?shù)亟y(tǒng)計日志同時，實時或定時將日志發(fā)送到集中管理服務器或異地其它日志服務器。能夠提供日志輸出接口，供第三方接收防火墻日志。設備應支持SYSLOG功效。答：滿足要求CheckPoint/Crossbeam支持標準SYSLOG，同時設備上有單獨日志端口，可將日志導向第三方Log服務器。設備應支持日志過濾功效。答：滿足要求經(jīng)過SmartViewtracker功效模塊，能夠靈活進行日志過濾，可按特定字段進行過濾，也可進行不一樣字段組合過濾。設備應支持管理員日志及對管理員審計。答：滿足要求CheckPoint/Crossbeam內(nèi)置日志服務器除統(tǒng)計歷史統(tǒng)計外，還統(tǒng)計實時連接和管理員審計日志，管理員對防火墻所做操作（如修改對象和策略）均被統(tǒng)計。設備應提供和第三方日志審計工具接口答：滿足要求。能夠經(jīng)過OPSEC和第三方審計工具進行互動，提供日志輸出接口LEA（logexportAPI）。設備應提供實時告警功效，對防火墻本身或受保護網(wǎng)段非法攻擊支持多個告警方法如SNMP告警、E-mail告警、日志告警等等。答：滿足要求。CheckPoint/Crossbeam防火墻系統(tǒng)能夠?qū)Χ鄠€網(wǎng)絡事件進行告警功效，用戶能夠根據(jù)需要對指定網(wǎng)絡行為進行警告設置，當這些事件發(fā)生時候，系統(tǒng)能夠經(jīng)過SNMP，E-mail,日志等多個方法進行告警。設備應提供SNMPTrap、E-Mail、Alarm、LOG、自定義等方法報警功效支持。答：滿足要求CheckPoint/Crossbeam防火墻支持多個告警方法如SNMP告警、EmailL告警、日志告警、用戶自定義程序告警等等。經(jīng)過用戶自定義方法，在X40防火墻上還可實現(xiàn)愈加靈活報警方法，如尋呼機、QQ等。設備應提供內(nèi)置報表工具對日志作統(tǒng)計分析答：滿足要求。CheckPoint/Crossbeam防火墻組件EventiaReporter提供日志分析和統(tǒng)計，并可依據(jù)用戶定義時間，內(nèi)容，生成數(shù)據(jù)表格、圖形匯報。4.2.5設備可擴展性要求（1）設備應可經(jīng)過增加模塊方法提供更多網(wǎng)絡端口，賣方應具體說明設備可提供網(wǎng)絡端口擴展模塊。答：滿足要求。CheckPoint/Crossbeam設備可經(jīng)過增加網(wǎng)絡模塊NPM方法增加設備上網(wǎng)絡端口?，F(xiàn)在，X40可提供網(wǎng)絡模塊包含8個千兆端口（銅纜、單模光纖、多模光纖可選）及16個百兆接口模塊。設備應可經(jīng)過增加模塊方法提升投標設備性能，賣方應具體說明設備可提供擴展模塊信息。答：滿足要求。CheckPoint/CrossbeamX40性能能夠伴隨需求增加而擴展，能夠經(jīng)過增加APM模塊來提升X40整體設備處理能力，新增加APM模塊可自動和原有APM模塊工作于自動負載均衡模式。每塊APM模塊可提供4Gbps防火墻吞吐能力、每秒30,000新建連接數(shù)和50萬最大并發(fā)連接數(shù)。每增加一塊APM模塊，其設備整體性能，包含吞吐量、并發(fā)連接數(shù)、每秒新建連接數(shù)等，近似于線性增加，這么，經(jīng)過簡單增加APM模塊到現(xiàn)有X40設備上，就可提升X40設備處理能力。而對性能增加，實施也很簡單。只需要增加一塊APM模塊，插入到現(xiàn)有X40設備中即可，對網(wǎng)絡中其它設備，完全不需要改變。設備應可經(jīng)過增加模塊方法，在投標設備上增加新安全功效，賣方應具體說明怎樣在投標設備上增加新安全功效。這些安全功效將包含IDS、IPS、SSLVPN、防病毒URL過濾、XML應用保護等。答：滿足要求CheckPoint/Crossbeam設備網(wǎng)絡處理、安全應用、管理功效均以模塊方法工作，假如增加新安全應用，只需要增加APM模塊即可。全部APM硬件均相同，由控制模塊來定義APM功效，激活安全應用License即可，現(xiàn)在支持關鍵安全功效包含：IDS、IPS、SSLVPN、防病毒、URL過濾、XML應用、數(shù)據(jù)庫保護。設備增加新安全應用功效時，必需基礎不影響原有設備模塊性能功效和。賣方應具體說明這一要求實現(xiàn)方法。答：滿足要求。CheckPoint/CrossbeamX40上，全部新增加模塊全部有獨立處理能力，將不會影響原有防火墻及虛擬防火墻性能。在每個模塊上全部有獨立中央處理器、內(nèi)存、總線、操作系統(tǒng)等。全部APM配置均相同。APM提供高性能安全應用處理。硬件模塊均可進行熱插拔。同時可將安全應用定義為不一樣邏輯組，在增加安全應用時，數(shù)據(jù)流會自動負載均衡到新模塊上，原有通信和會話不會丟失。4.2.6高可用性及高可靠性要求賣方提供設備系統(tǒng)應提供高可用性支持，具體要求為：設備應支持高可用性配置，提供雙機熱備功效，賣方應具體說明雙機熱備實現(xiàn)方法。答：滿足要求CheckPoint/CrossbeamX40能夠經(jīng)過4種方法提供防火墻高可靠性HA：標準VRRP協(xié)議（RFC2338）動態(tài)路由協(xié)議四層交換機ClusterXL技術設備應有專用高可用性心跳端口。答：滿足要求。CheckPoint/Crossbeam在CPM（控制模塊）上有專用高可用性心跳端口，經(jīng)過該端口能夠在多臺設備間監(jiān)測相互狀態(tài)，為最大程度確保高可靠性，在設備上還可定義多個端口為心跳端口。設備應支持含有運行商級設備高可靠性，包含冗余電源、冗余風扇、冗余模塊、冗余網(wǎng)絡接口等。賣方應具體說明所提供設備本身其它冗余配置特征。答：滿足要求。CheckPoint/CrossbeamX40設備提供SBHA單機高可用性（SingleBoxHighAvailability）功效特征，即在一臺X設備上，全部系統(tǒng)部件均可提供備份，包含：冗余數(shù)據(jù)交換(多NPM)冗余控制管理(雙CPM)冗余存放冗余網(wǎng)絡處理器（網(wǎng)絡端口-端口備份）冗余安全應用處理模塊(多個APM)模塊N+1備份冗余電源（可提供2個獨立電源）設備應支持單機高可用性技術，即在單臺設備上，可提供防火墻等安全應用高可用性及負載均衡技術。賣方應具體說明所提供設備單機高可用性技術實現(xiàn)方法。答：滿足要求。在X系統(tǒng)中，可安裝多個APM模塊運行同一安全應用，實現(xiàn)安全應用負載均衡。X系統(tǒng)控制模塊CPM實時監(jiān)控每塊APM健康情況，包含APM上面運行應用、CPU負載情況、內(nèi)存使用情況等。這些信息被實時反應在X系統(tǒng)數(shù)據(jù)轉(zhuǎn)發(fā)表中。而網(wǎng)絡處理模塊NPM就是依據(jù)這張表中信息，確定轉(zhuǎn)發(fā)數(shù)據(jù)到某安全應用具體哪一塊APM上。這么就實現(xiàn)了安全應用負載均衡，而并不需要額外網(wǎng)絡資源，也不需要該安全應用本身支持負載均衡功效或HA功效，也并不消耗APM任何資源。能夠?qū)Ψ阑饓眠M行負載均衡，也可對防病毒應用進行負載均衡，對IDS/IPS、郵件安全、內(nèi)網(wǎng)安全等，全部是一樣可實現(xiàn)負載均衡。在X系列上，安全應用處理模塊APM模塊是完全相同。每塊APM均可運行不一樣安全應用。多種安全引擎已經(jīng)被預先裝在了X設備系統(tǒng)中，在系統(tǒng)控制下，APM在不一樣時間可運行不一樣安全應用。這一特征可帶來很大系統(tǒng)靈活性及可靠性。在可靠性方面，可實現(xiàn)獨有“N+1”備份技術。見下圖示例。在這張圖經(jīng)典配置下，我們在X設備中配置了3塊APM作為防火墻，另3塊APM作為IDS，均是負載均衡狀態(tài)，共6塊APM模塊。這時，我們可另配置1塊APM模塊，作為這6塊APM模塊備份模塊，而不需要每種應用全部配置備份模塊。即“N+1”備份?！癗+1”假設IDS負載均衡組中某APM模塊出現(xiàn)故障，這時，首先，NPM將立即將這塊APM處理任務轉(zhuǎn)發(fā)到另2塊IDSAPM處理；然后，CPM將備份APMIDS功效經(jīng)過license激活，備份APM這時就變成了IDS負載均衡組中一塊APM，NPM也開始轉(zhuǎn)發(fā)IDS處理數(shù)據(jù)流量給這塊APM?！癗+1”另外，該特征還可實現(xiàn)在不一樣時間APM運行不一樣安全應用。可依據(jù)在不一樣時間數(shù)據(jù)流量不一樣特點靈活配置各APM使用。如，在晚上，當WEB訪問流量較多時，而郵件相對較少，我們這時可配置系統(tǒng)在晚上把一些或某個郵件保護APM模塊切換成URL過濾模塊。這可實現(xiàn)系統(tǒng)很高靈活性。4.2.7VPN功效支持賣方提供設備應提供VPN功效支持，基礎要求包含：提供防火墻應含有虛擬專用網(wǎng)（VPN）功效，能夠?qū)崿F(xiàn)網(wǎng)關到網(wǎng)關和用戶端到網(wǎng)關兩種方法。應支持IPSECVPN功效。答：滿足要求。CheckPoint/Crossbeam防火墻集成了訪問控制、認證和加密以確保網(wǎng)絡連接安全性、當?shù)睾瓦h程用戶可靠性和數(shù)據(jù)通信私有性和完整性?，F(xiàn)在能夠?qū)崿F(xiàn)三種協(xié)議VPN，包含IPSec、L2TP、SSL。其中IPSec支持多個VPN模式，關鍵包含：(1)Site-to-site關鍵用于網(wǎng)絡和網(wǎng)絡之間進行VPN連接，常見于和合作企業(yè)、第三方伙伴之間連接。在site-to-siteVPN當中，又可細分為兩種結構：Starmode(星狀結構)：星狀結構中全部VPN設備匯聚于中心VPN設備中，各個VPN設備之間VPN建立，需要先和中心VPN建立通道，由中心VPN設備進行VPN路由。星狀結構常見于總部和各分支機構之間實現(xiàn)VPN。Meshedmode(網(wǎng)狀結構)：網(wǎng)狀結構中全部VPN設備之間直接相連，相互之間建立起VPN通道，不存在中心VPN設備。(2)Client-to-site用于移動用戶接入，用戶在機器上安裝了用戶端軟件后，可經(jīng)過拔號、ADSL、寬帶等方法和企業(yè)之間防火墻建立起VPN通道。提供防火墻支持全網(wǎng)狀或星形VPN拓撲，并支持VPN路由功效答：滿足要求CheckPoint/Corssbeam防火墻支持全網(wǎng)狀或星形VPN拓撲，并支持VPN路由功效。提供防火墻擁有內(nèi)置CA答：滿足要求CheckPoint/Crossbeam防火墻內(nèi)置CA。設備應支持AES,3DES,DES等加密算法和MD5，SHA1等驗證算法。答：滿足要求。CheckPoint/Crossbeam設備支持AES,3DES,DES等加密算法和MD5，SHA1等驗證算法4.2.8兼容性要求賣方提供設備應能夠和OPSEC組織第三方安全產(chǎn)品進行很好聯(lián)動，最大程度提升整個系統(tǒng)安全性，請具體說明兼容關鍵產(chǎn)品。答：滿足要求CheckPoint和Crossbeam是OPSEC關鍵組員，X40防火墻系統(tǒng)能夠支持全部OPSEC組員安全產(chǎn)品，其中包含：入侵檢測，防病毒，內(nèi)容過濾等多個安全產(chǎn)品聯(lián)動。如在IDS/IPS方面能夠和ISS、SourceFire等廠商產(chǎn)品合作；在防病毒方面能夠和趨勢科技產(chǎn)品合作；在郵件過濾上能夠同趨勢科技和Aladdin產(chǎn)品合作；在URL過濾上能夠和websense、smartfilter產(chǎn)品合作。賣方應具體說明所提供設備對其它廠商產(chǎn)品（包含網(wǎng)絡設備、主機系統(tǒng)）互連互通能力。答：滿足要求支持全部主流網(wǎng)絡設備、關鍵系統(tǒng)廠家。4.3環(huán)境要求設備要在下列環(huán)境下能夠確保長久正常工作：環(huán)境溫度：5℃～相對濕度：30％～80％賣方應說明設備升級前后對環(huán)境要求是否有改變。答：滿足要求。設備升級前后對環(huán)境要求無改變。4.4電源要求設備應能在下列供電改變范圍內(nèi)正常工作：直流：－40V～－57V；交流：～220V10％，50Hz5％。賣方應說明設備升級前后對電源要求是否有改變。本工程提供供電方法為直流。答：滿足要求。設備升級前后對電源要求無改變。此次提供設備能夠依據(jù)用戶要求選配直流或交流電源。5.2配置要求賣方應根據(jù)各附表設備配置要求進行設備配置，給出設備配置說明(解釋各項配置組成說明和作用)。答：滿足要求。集中管理服務器配置產(chǎn)品軟件/硬件說明CPPWR-SC-U軟件集中管理服務器軟件CPFW-FSS-1軟件單機防火墻以保護集中管理服務器PC服務器硬件作為集中管理服務器軟件承載平臺，提議使用至強CPU，4G內(nèi)存，100G以上硬盤可管理安全服務設備配置產(chǎn)品軟件/硬件說明CPPWR-VSX-10軟件虛擬防火墻模塊，能夠支持10個虛擬防火墻CrossbeamX40硬件由以下四個部分組成X40-DCX40DC機架,雙電源.能夠支持2個NPM,10個APM,2個CPMs.CPM-8100-80GCPM控制處理模塊(ControlProcessingModule)NPM-8200-8G網(wǎng)絡處理模塊.帶8個千兆接口APM-8400-1P4-1G應用處理模塊.APM-8400.4Gbps防火墻吞吐量端點安全服務器配置產(chǎn)品軟件/硬件說明CPIS-IAS-1軟件用戶端集中管理服務器軟件，能夠提供多域和層次化管理功效CPIS-IEPS-1000軟件用戶端許可，能夠提供PC防火墻，PC入侵防范，PC應用安全，PC間諜軟件防范功效PC服務器硬件作為用戶端集中管理服務器軟件承載平臺，提議使用雙至強CPU2.0Ghz以上，4G內(nèi)存，100G以上硬盤賣方全部配置方案應確保設備運行所必需提供電源模塊、主控模塊等關鍵部件冗余配置并對模塊進行單獨報價和說明。答：滿足要求。賣方能夠提出多個配置方案和對應報價供買方參考，具體選擇由買方確定，賣方應確保多種優(yōu)惠條件和價格折扣保持不變。答：滿足要求。賣方應依據(jù)配置要求，結合現(xiàn)有網(wǎng)絡設備配置情況作出對應位置安排(包含割接過渡狀態(tài))，并分析對割接是否有影響。答：滿足要求。因為是旁掛布署，割接時對目前網(wǎng)絡無影響。賣方應確保設備配置品種、數(shù)量正確無誤，確保工程準期順利進行，如有錯漏，由賣方無償補足。答：滿足要求。賣方在本工程新增設備保修期外可應買方要求以不高于此次實際成交價提供備件。答：滿足要求。若買方最終確定設備配置內(nèi)容和數(shù)量有所改變，賣方應確保多種優(yōu)惠條件和價格折扣保持不變。答：滿足要求。第二章.總體技術方案提議書2.1序言2.1.1背景伴隨計算機網(wǎng)絡發(fā)展，其開放性，共享性，互連程度擴大，網(wǎng)絡關鍵性和對社會影響也越來越大。城域網(wǎng)作為城市關鍵數(shù)據(jù)業(yè)務承載網(wǎng)絡，尤其是電子商務（E-Commerce）、企業(yè)數(shù)據(jù)專線、網(wǎng)絡互聯(lián)、虛擬專用網(wǎng)（VPN）、Internet接入服務等應用在社會經(jīng)濟生活地位日益凸現(xiàn)。網(wǎng)絡安全性直接影響到社會經(jīng)濟效益。比如，1月份SQL殺手蠕蟲事件，中國有兩萬多臺數(shù)據(jù)庫服務器受到影響，使中國關鍵骨干網(wǎng)全部處于癱瘓或半癱瘓狀態(tài)；8月份沖擊波蠕蟲，使成千上萬用戶計算機變慢，被感染計算機反復重啟，有還造成了系統(tǒng)瓦解，受到“沖擊波”病毒感染計算機反過來又會影響到網(wǎng)絡正常運行。伴隨網(wǎng)絡安全問題關鍵性增加，怎樣確保城域網(wǎng)安全，應對日益增多網(wǎng)絡攻擊、病毒破壞和黑客入侵等問題已成為城域網(wǎng)建設和運行所關注關鍵。方案組成本方案是針對中國網(wǎng)通河北IP城域網(wǎng)擴建一期工程可管理安全服務設備項目而提出網(wǎng)絡安全處理方案，目前階段集中在CheckPoint/Crossbeam防火墻布署和CheckPointIntegrity端點安全布署技術方案，可針對系統(tǒng)安全訪問控制、網(wǎng)絡攻擊、蠕蟲傳輸?shù)确矫嫣峁婪丁Ｎ覀冇欣碛上嘈?，有了我們構建?yōu)異網(wǎng)絡安全系統(tǒng)，加之我們?yōu)槟钌先轿恢艿椒眨W(wǎng)絡一定會變得安全而高效，您事業(yè)也一定會所以而取得巨大成功。2.2河北網(wǎng)通IP城域網(wǎng)擴建一期工程可管理安全服務設備項目方案提議2.2.1城域網(wǎng)安全分析2.2.1（1）網(wǎng)絡結構河北省共有11個地市,現(xiàn)在IP骨干網(wǎng)以石家莊和唐山為雙關鍵，各2臺思科企業(yè)GSR12816，分別經(jīng)過2.5GPOS鏈路連接其它9個地市GSR1和GSR1上，各地市思科企業(yè)GSR路由器作為各自IP城域網(wǎng)和IP骨干網(wǎng)接口，和集團IP網(wǎng)經(jīng)過4條10GPOS互連。各市分企業(yè)城域網(wǎng)建設在規(guī)模和業(yè)務發(fā)展水平上略有不一樣，但從物理結構看，從上到下分為三層：關鍵層、匯聚層和接入層。網(wǎng)絡構架大致相同，其中：關鍵層：大型網(wǎng)絡通常由3-4個關鍵節(jié)點、中小型網(wǎng)絡通常采取2-3個關鍵節(jié)點經(jīng)GE鏈路以網(wǎng)狀或半網(wǎng)狀結構組成。匯聚層網(wǎng)絡由寬帶接入服務器和匯聚層交換機組成。寬帶接入服務器布放置匯聚層端局，匯聚層交換機覆蓋全省全部縣局和市內(nèi)端局。關鍵層關鍵實現(xiàn)業(yè)務量快速轉(zhuǎn)發(fā)，含有較強路由控制；匯聚層關鍵進行大量接入層設備匯聚收斂；接入層關鍵以ADSL和小區(qū)以太網(wǎng)為主，擴大業(yè)務覆蓋范圍。接入層設備以二層或三層方法上連到匯聚層。假如接入層設備有路由功效，則匯聚層交換機和這些接入層設備之間跑三層，運行靜態(tài)路由協(xié)議，用戶網(wǎng)關在接入層設備上。如接入層二層交換機需要接入兩個或兩個以上VLAN時，以802.1QTRUNK方法上連匯聚層交換機，用戶網(wǎng)關在匯聚層設備上。IPDSLAM以802.1QTRUNK方法上連匯聚層交換機，一個VLAN用于PPPoE用戶VLAN穿透，另一個VLAN用于和匯聚層交換機直接運行靜態(tài)路由協(xié)議。（2）網(wǎng)絡業(yè)務IP網(wǎng)業(yè)務現(xiàn)在關鍵能夠分為：互聯(lián)網(wǎng)訪問(關鍵經(jīng)過XDSL、光纖＋LAN接入);IPVPN，VLANVPN(關鍵經(jīng)過光纖＋LAN接入);VPDN(關鍵經(jīng)過NAS或XDSL接入);MPLSVPN(關鍵經(jīng)過光纖＋LAN、和ADSL接入);當?shù)豓oD服務(關鍵經(jīng)過IDC機房接入交換機);當?shù)赜螒蚍?關鍵經(jīng)過IDC機房接入交換機);省企業(yè)IDC業(yè)務;未來可能承載業(yè)務包含：VoIP語音服務、IP/TV視頻服務、3G、NGN等其它業(yè)務。2.2.1對于網(wǎng)絡運行商而言，城域網(wǎng)包含基礎承載網(wǎng)絡和業(yè)務管理平臺。城域承載網(wǎng)是城域網(wǎng)業(yè)務接入、匯聚和交換物理關鍵網(wǎng)，它由關鍵交換層、匯聚層、綜合接入層組成。業(yè)務管理平臺由業(yè)務支撐平臺、網(wǎng)管平臺、認證計費平臺等組成。

安全模型將城域網(wǎng)分成三個區(qū)域：信任域、非信任域和隔離區(qū)域。信任域是運行商基礎網(wǎng)絡，通常采取防火墻等設備和電信業(yè)務網(wǎng)隔離，包含網(wǎng)管平臺、智能業(yè)務平臺、認證平臺等設備；隔離區(qū)域是信任域和非信任域之間進行數(shù)據(jù)交互平臺，包含電信運行商提供多種業(yè)務平臺，如Web服務平臺、FTP服務器、用戶查詢平臺、Mail服務器等；非信任域是運行商面對用戶基礎網(wǎng)絡，它直接提供用戶接入和業(yè)務，同時也是Internet網(wǎng)絡一部分，包含基礎用戶接入、數(shù)據(jù)交換、媒體網(wǎng)關等設備，是運行商不能完全控制網(wǎng)絡。非信任域基礎網(wǎng)絡是信息傳輸基礎，在城域網(wǎng)中起著至關關鍵作用，作為安全模型中非信任域，需要關鍵考慮。（1）安全威脅（A）網(wǎng)外黑客對網(wǎng)內(nèi)服務器，用戶和設備攻擊（B）網(wǎng)內(nèi)染毒用戶，病毒爆發(fā)帶來帶寬占用，多種DDoS攻擊造成網(wǎng)絡全方面或局部業(yè)務癱瘓（C）運行商關鍵信息竊取和篡改（2）脆弱性（A）網(wǎng)絡規(guī)模大，用戶數(shù)量多，設備多樣復雜（B）用戶行為幾乎不可控（C）網(wǎng)絡主體信任度低

（3）影響（A）城域網(wǎng)運行業(yè)務，影響大（B）全部城域網(wǎng)用戶群，影響面廣2.2.2本期實現(xiàn)對河北網(wǎng)通IP城域網(wǎng)面向用戶可管理安全服務支撐，其關鍵對象是大、中用戶和有安全需求終端用戶。應實現(xiàn)基礎基于應用狀態(tài)檢測過濾等功效。并基于此構建IP網(wǎng)安全策略，為以后拓展為面向公眾系統(tǒng)化安全平臺奠定基礎。應實現(xiàn)IP網(wǎng)絡框架中智能業(yè)務網(wǎng)絡要求安全功效。應是電信運行級可管理安全平臺系統(tǒng)。2.2.3鑒于安全系統(tǒng)關鍵作用，網(wǎng)絡系統(tǒng)設計必需既適應該前應用，又面向未來信息化發(fā)展需求。在設計網(wǎng)絡技術方案時，遵照以下設計標準：實用性和優(yōu)異性：采取目前最優(yōu)異計算機、通信、網(wǎng)絡和安全技術，切實確保系統(tǒng)結構和性能優(yōu)異性、技術領先性，采取成熟技術滿足目前業(yè)務需求，兼顧其它相關業(yè)務需求，并含有良好發(fā)展?jié)摿?，以適應未來業(yè)務發(fā)展和技術升級需要。安全可靠性：為確保未來業(yè)務應用，系統(tǒng)必需含有高可靠性。在采取硬件備份、冗余等可靠性技術基礎上，采取相關軟件技術提供較強管理機制、控制手段、事故監(jiān)控和網(wǎng)絡安全保密等技術方法提升網(wǎng)絡系統(tǒng)安全可靠性。靈活性和可擴展性：安全系統(tǒng)是一個不停發(fā)展系統(tǒng)，所以必需含有良好擴展性。該系統(tǒng)應和原有系統(tǒng)有機結合，并深入成為系統(tǒng)改造、擴展有效基礎，能夠依據(jù)未來信息化建設不停深入發(fā)展需要，擴大網(wǎng)絡容量和提升網(wǎng)絡各層次節(jié)點功效，提供技術升級、設備更新靈活性。開放性/互連性：含有和多個協(xié)議計算機通信網(wǎng)絡互連互通特征，確保網(wǎng)絡系統(tǒng)基礎設施作用能夠充足發(fā)揮。在結構上真正實現(xiàn)開放，基于國際開放式標準，堅持全國統(tǒng)一規(guī)范標準，從而為未來業(yè)務發(fā)展奠定基礎。經(jīng)濟性/投資保護：應以較高性能價格比構建安全系統(tǒng)，使資金產(chǎn)出投入比達成最大值。能以較低成本、較少人員投入來維持系統(tǒng)運轉(zhuǎn)，提供高效能和高效益。盡可能保留并延長已經(jīng)有系統(tǒng)投資，充足利用以往在資金和技術方面投入?？晒芾硇裕阂驗橄到y(tǒng)本身含有一定復雜性，伴隨業(yè)務不停發(fā)展，安全管理任務肯定會日益繁重。所以在網(wǎng)絡設計中，必需建立一個全方面網(wǎng)絡安全管了處理方案。安全設備必需采取智能化，可管理設備，同時采取優(yōu)異管理軟件，實現(xiàn)優(yōu)異分布式管理。最終能夠監(jiān)控、監(jiān)測整個網(wǎng)絡運行情況，合理分配網(wǎng)絡資源、動態(tài)配置網(wǎng)絡負載、快速確定網(wǎng)絡故障等。易用性:系統(tǒng)在使用上應盡可能簡便。2.2.4本方案選擇CheckPoint/Crossbeam產(chǎn)品，因為：能夠提供端到端安全處理方案，提供靈活體系結構支持最新安全技術全球市場領導者：36%防火墻市場分額(FrostandSullivan，年4月)提供一整套安全處理方案，并把她們納入到統(tǒng)一安全架構中安全機制開放框架—“開放安全平臺”有全球300多家合作伙伴，緊密集成達成互操作關鍵技術采取真正狀態(tài)監(jiān)測技術提供業(yè)界最優(yōu)異集中管理功效，中央基于策略管理簡單易用。日志和審計功效強大而簡便易用冗余電源、熱插拔接口卡提供電信級高可靠性、高穩(wěn)定性經(jīng)過專利X-Stream提供業(yè)界一流高可靠性和靈活性使用XOS安全路由操作系統(tǒng)，是現(xiàn)在業(yè)界安全漏洞最少操作系統(tǒng)之一，并專門為安全應用設計優(yōu)化業(yè)界領先防火墻性能，并支持硬件VPN加速廣泛接口模塊選擇、良好可擴展性操作系統(tǒng)專門為IP路由和轉(zhuǎn)發(fā)進行優(yōu)化，含有強大路由能力，支持豐富路由功效和協(xié)議運行級可靠性，在單臺設備中即可達成99.9999%可靠性2.2.5可管理安全服務設備布署依據(jù)本期工程建設目標，我們設計安全方案關鍵在于安全機制建立和差異化業(yè)務提供。經(jīng)過布署安全產(chǎn)品，在城域網(wǎng)中建立安全機制，增加業(yè)務感知能力，提供在必需時控制手段。我們從兩個方面進行考慮。首先，運行商80%收入來自于20%關鍵用戶。怎樣保障關鍵用戶安全，為其提供愈加好服務，從而使關鍵用戶放心將關鍵應用經(jīng)過城域網(wǎng)承載，進而增加運行商收入，這是一個對運行商來說很關鍵問題。其次，最終用戶不可控，這是城域網(wǎng)所面正確一個挑戰(zhàn)。只有確保了終端用戶安全，才能在很大程度上緩解城域網(wǎng)安全威脅。所實施安全方案應含有投入合理，易于管理，能夠同時結合多個安全防護手段等特點。方案一：為關鍵用戶提供管理安全服務

在關鍵用戶接入?yún)R聚層設備上并聯(lián)能夠提供虛擬防火墻功效CheckPoint/Crossbeam安全設備。

選擇布署防火墻，因為防火墻是網(wǎng)絡安全架構基礎。在ISO/IEC18028-2網(wǎng)絡安全架構描述中，提出了10種安全控制手段，其中訪問控制被列在第一位，由此能夠看到訪問控制關鍵性。而防火墻恰好是進行訪問控制工具。防火墻就好比是家中入戶門，盡管能夠有其它安全手段，如窗戶上加裝防護欄，安裝攝像頭等，但假如沒有入戶門，任何人均可隨意出入，那么其它控制手段形同虛設。在網(wǎng)絡中也是如此，能夠布署防病毒，IDS，但假如沒有防火墻，資源能夠被任意訪問，資產(chǎn)仍是無法得到保護。所以此次先布署防火墻，以后在此基礎上，能夠布署其它安全控制手段。防火墻能夠布署在用戶端也能夠布署在服務供給商一側(cè)。如布署在用戶端，設備數(shù)量會很多，投入巨大，且因為設備分散，管理起來也不方便。布署在服務供給商一側(cè)，管理方便。因為此次推薦設備支持虛擬防火墻技術，能夠在一個硬件平臺上虛擬出多個防火墻，每個虛擬防火墻能夠為一個或多個用戶提供安全服務。這么能夠節(jié)省設備成本，并盡可能多為匯聚到此點關鍵接入用戶提供服務。

在技術實現(xiàn)上，首先由匯聚層設備依據(jù)源地址區(qū)分用戶是否需要安全保護，無需保護用戶直接到關鍵層，需要保護用戶轉(zhuǎn)發(fā)到能夠提供虛擬防火墻功效安全設備，和某一個虛擬防火墻關聯(lián)，由防火墻提供安全保護。防火墻不僅要能對關鍵用戶數(shù)據(jù)網(wǎng)絡層和傳輸層進行保護，更關鍵是能夠在應用層為用戶提供安全屏障，防范最新攻擊，從而降低存在于城域網(wǎng)安全威脅，使用戶能夠安心在城域網(wǎng)上開展業(yè)務。因為在一個點能夠為很多用戶提供安全保護，運行商在這里還能夠提供其它部分安全增值服務，比如URL過濾，針對特定用戶防病毒，報表統(tǒng)計等。因為在城域網(wǎng)范圍內(nèi)這么點可能很多，采取安全產(chǎn)品一定要含有中央管理功效，包含集中策略管理，集中日志分析，集中報表生成，集中攻擊代碼升級等，這么才能最大程度降低管理員工作量，從而提升可靠性。

(1)網(wǎng)絡拓撲

（2）非關鍵用戶訪問互聯(lián)網(wǎng)步驟

步驟1：用戶A數(shù)據(jù)包經(jīng)過接入層設備抵達匯聚層設備A

步驟2：匯聚層設備A進行策略路由選擇，判定用戶A為非關鍵用戶，數(shù)據(jù)包不會被送到并聯(lián)安全設備，根據(jù)原來工作方法處理

步驟3：匯聚層設備A將用戶A數(shù)據(jù)包送往關鍵層設備A

返回數(shù)據(jù)根據(jù)原來工作方法處理

針對這類用戶處理和未連接安全設備之前一致，安全設備對這類用戶不起作用。

（3）選擇安全服務關鍵用戶訪問互聯(lián)網(wǎng)步驟

步驟1：用戶B數(shù)據(jù)包經(jīng)過接入層設備抵達匯聚層設備A

步驟2：匯聚層設備A進行策略路由選擇，判定用戶B為關鍵用戶

步驟3：匯聚層設備A將用戶B數(shù)據(jù)包送往安全設備

步驟4：安全設備將數(shù)據(jù)包送往對應虛擬防火墻進行訪問控制，攻擊防護

步驟5：安全設備將數(shù)據(jù)包送回匯聚層設備A（安全設備路由下一跳為關鍵層設備A）

步驟6：匯聚層設備A將數(shù)據(jù)包經(jīng)過物理鏈路發(fā)送到關鍵層設備A

用戶B返回數(shù)據(jù)包需要在關鍵層設備A上添加靜態(tài)路由，指向安全設備

如安全設備出現(xiàn)故障，旁路安全設備只需在匯聚層設備A上去除策略路由，在關鍵層設備A上去除指向安全設備靜態(tài)路由。

針對這類用戶能夠經(jīng)過安全設備提供安全增值服務，包含訪問控制，入侵檢測和防范，日志分析，報表，防病毒，URL過濾等。一些使用MPLS用戶需要訪問互聯(lián)網(wǎng)，傳統(tǒng)方法是在每一個用戶網(wǎng)絡出口放置防火墻，這么做防火墻數(shù)量會很多，投入大，因為地點分散，安全管理復雜度增大。提議能夠在某一個PE上并聯(lián)能夠提供虛擬防火墻功效安全設備。需要支持虛擬防火墻技術，關鍵能夠節(jié)省設備成本，并盡可能多為用戶提供服務。在技術實現(xiàn)上，需要此種服務用戶經(jīng)過MPLS和連接有安全設備PE相連。連接有安全設備PE將MPLS包解除標簽，還原數(shù)據(jù)包被送到能夠提供虛擬防火墻功效安全設備（相當于CE），和某一個虛擬防火墻關聯(lián)，由防火墻提供安全保護。防火墻不僅要能對關鍵用戶數(shù)據(jù)網(wǎng)絡層和傳輸層進行保護，更關鍵是能夠在應用層對用戶提供安全屏障，防范最新安全威脅。因為在一個點能夠為很多用戶提供安全保護，運行商在這里還能夠提供其它部分安全服務，比如URL過濾，針對特定用戶防病毒，報表統(tǒng)計等。采取安全產(chǎn)品一定要含有中央管理功效，包含集中策略管理，集中日志分析，集中報表生成，集中攻擊代碼升級等，這么才能最大程度降低管理員工作量，從而提升可靠性。

（1）MPLS用戶內(nèi)部訪問

步驟1：用戶A場點1要訪問場點2，經(jīng)過CE-1連接到PE-1

步驟2：數(shù)據(jù)經(jīng)過MPLS隧道從PE-1抵達PE-2

步驟3：經(jīng)過CE-2抵達場點2

此種應用和安全設備無關

（2）MPLS用戶需要訪問互聯(lián)網(wǎng)

步驟1：用戶A從場點1訪問互聯(lián)網(wǎng)，首先抵達PE-1

步驟2：數(shù)據(jù)包經(jīng)過MPLS隧道從PE-1抵達連接有安全設備PE-2

步驟3：PE-2將MPLS包解除標簽

步驟4：PE-2將還原包送給安全設備（相當于CE）

步驟5：安全設備將數(shù)據(jù)包關聯(lián)到相關虛擬防火墻

步驟6：虛擬防火墻將數(shù)據(jù)包作地址轉(zhuǎn)換送到關鍵層設備訪問互聯(lián)網(wǎng)，本圖中經(jīng)過匯聚層設備PE-2上聯(lián)

步驟7：匯聚層設備PE-2將數(shù)據(jù)包送到關鍵層設備

返回數(shù)據(jù)包需要在關鍵層設備A上添加靜態(tài)路由，指向安全設備

方案三為終端用戶提供管理安全服務最終用戶不可控，這是城域網(wǎng)所面正確一個挑戰(zhàn)。只有確保了終端用戶安全，才能在很大程度上緩解城域網(wǎng)安全威脅。在此提供一個方案提議，運行商能夠為愿意享受安全服務最終用戶提供端點安全產(chǎn)品下載，一旦用戶下載了端點安全產(chǎn)品，能夠享受到端點安全保護，包含訪問控制，應用控制，間諜軟件防護等安全保護。安全策略由運行商制訂，安全升級由運行商提供。用戶得到了安全保護，運行商取得了收入，控制了終端，凈化了網(wǎng)絡流量，同時能夠吸引更多用戶使用網(wǎng)絡。端點安全產(chǎn)品布署

步驟1：用戶從運行商購置服務并下載用戶端軟件

步驟2：用戶連接到運行商網(wǎng)絡，經(jīng)過認證

步驟3：運行商認證服務器識別用戶，如用戶為購置安全服務用戶，則經(jīng)過接入設備分配特定IP地址

步驟4：端點安全中央管理服務器針對特定用戶IP部屬安全策略，提供安全防護，攻擊防護，間諜軟件防護，保護用戶端

此種布署，能夠保護用戶端安全，同時能夠在必需時對用戶端一些應用進行限制，從而保護運行商網(wǎng)絡。2.2.6運行商管理著大量設備，假如沒有統(tǒng)一集中安全管理，就無法立即了解網(wǎng)絡運行情況，并立即應對突發(fā)事件。本方案推薦CheckPoint/Crossbeam產(chǎn)品含有統(tǒng)一集中安全管理能力，采取三層管理構架，最下面是安全實施點（設備），中間是管理服務器，最上面是管理用戶端。管理員能夠經(jīng)過管理用戶端在管理服務器上制訂安全策略，統(tǒng)一下發(fā)到各個實施點，從而確保了各個實施點安全策略一致性，同時此種方法也能夠避免單點管理帶給管理員管理負擔。CheckPoint所追求就是簡單安全管理，為此它推出了集中化管理界面，遠程許可證管理工具，一鍵VPN技術等等，全部這些全部是為了簡化操作，降低誤操作幾率，節(jié)省人力和物力。同時此種集中管理方法對于安全應變能力更強。比如管理員同時管理10臺防火墻，假如已經(jīng)知道一些蠕蟲將入侵網(wǎng)絡，在CheckPoint管理體系中，只需制訂一條安全策略，然后同時下發(fā)給10臺防火墻就能夠了；而在單點管理管理體系中，必需一臺一臺修改策略，可能在改到第五臺時，第六臺以后防火墻已經(jīng)被突破了，從而造成用戶損失。CheckPoint能夠提供統(tǒng)一安全架構，所以CheckPoint端點安全服務器也能夠經(jīng)過防火墻集中管理服務器來管理。2.2.7（1）資金投入小

防火墻能夠布署在用戶端也能夠布署在服務供給商一側(cè)。如布署在用戶端，設備數(shù)量會很多，投入巨大，且因為設備分散，管理起來也不方便。布署在服務供給商一側(cè)，管理方便。因為此次推薦設備支持虛擬防火墻技術，能夠在一個硬件平臺上虛擬出多個防火墻，每個虛擬防火墻能夠為一個或多個用戶提供安全服務。這么能夠節(jié)省設備成本，并盡可能多為匯聚到此點關鍵接入用戶提供服務。（2）安全性高

此次推薦CheckPoint防火墻是全球市場擁有率最高防火墻產(chǎn)品，它采取了很多擁有專利安全技術，能夠最大程度保護網(wǎng)絡資源。

狀態(tài)監(jiān)測技術

從技術發(fā)展角度來講，防火墻歷經(jīng)了三代。第一代為包過濾防火墻，優(yōu)點是速度快，價格廉價，因為路由器經(jīng)過訪問控制列表即可實現(xiàn)相關功效；缺點是只能檢驗到網(wǎng)絡層以下，沒有應用層感知，安全性較差。第二代防火墻為應用級網(wǎng)關，優(yōu)點是安全性好，對數(shù)據(jù)包要拆開七層進行檢驗；缺點是性能差和擴展性差。第三代防火墻為采取狀態(tài)監(jiān)測技術防火墻，它對數(shù)據(jù)報檢驗，不僅基于目前連接，還要考慮以前連接和得自于應用信息，依據(jù)上下文關系，來做出綜合判定，從而確保安全性。狀態(tài)監(jiān)測模塊在協(xié)議堆棧底層，操作系統(tǒng)內(nèi)核之中，所以伸縮性強，而且速度快。在當今市場上，超出90%防火墻聲稱自己采取了狀態(tài)監(jiān)測技術，由此可見，此項技術為最主流防火墻技術。狀態(tài)監(jiān)測技術是CheckPoint發(fā)明，至今仍持有此項技術專利。

應用智能技術

大部分防火墻提供了有效訪問控制，不過仍有很多還不能支持應用級攻擊檢測和阻隔。認識到這個事實后，電腦黑客們現(xiàn)在將她們目標直指應用程序。今天，互聯(lián)網(wǎng)環(huán)境中部分最嚴重威脅來自于那些利用已知應用程序缺點攻擊。黑客們最感愛好是像HTTP（TCP端口80）和HTTPS（TCP端口443）這么服務，通常這些服務在很多網(wǎng)絡中是開放。訪問控制裝置不能輕易檢測到面向這些服務惡意使用。經(jīng)過直接面向應用程序，黑客們試圖取得最少以下一個惡意目標，包含：

?拒絕對正當用戶服務（DoS攻擊）

?取得對服務器或用戶端管理訪問權

?取得對后端信息數(shù)據(jù)庫訪問權

?安裝特洛伊木馬軟件，可繞過安全保護并能夠?qū)贸绦蜻M行訪問

?在服務器上安裝運行于“sniffer（網(wǎng)絡探針）”模式軟件，并獲取用戶名和密碼

因為基于應用攻擊本身很復雜，有效防衛(wèi)必需也一樣復雜和智能。為了處理基于應用攻擊日益增強威脅，企業(yè)防火墻必需包含高等級多層安全防護。這種多層安全網(wǎng)關應該預防網(wǎng)絡及應用攻擊，同時提供對IT資源強大訪問控制。CheckPointApplicationIntelligence?（應用智能）是一組高級功效，能夠檢測和阻止應用級攻擊

（3）集中安全管理

本方案推薦CheckPoint/Crossbeam產(chǎn)品含有統(tǒng)一集中安全管理能力，采取三層管理構架，最下面是安全實施點（設備），中間是管理服務器，最上面是管理用戶端。管理員能夠經(jīng)過管理用戶端在管理服務器上制訂安全策略，統(tǒng)一下發(fā)到各個實施點，從而確保了各個實施點安全策略一致性，此種方法也能夠避免單點管理帶給管理員管理負擔。同時此種集中管理方法能夠?qū)Π踩录鞒隹焖夙憫?，加強運行商對網(wǎng)絡安全控制能力。因為CheckPoint能夠提供統(tǒng)一安全架構，所以CheckPoint端點安全服務器也能夠經(jīng)過防火墻集中管理服務器來管理。

（4）高可靠性和高可用性CheckPoint/Crossbeam提供是新一代運行商級安全設備，X系列平臺為全冗余架構，無源背板，全交叉總線，最多4個獨立進線電源模塊，冗余風扇，冗余網(wǎng)絡模塊，冗余安全應用模塊，冗余管理控制模塊，甚至細化到每個網(wǎng)絡端口均可定義其備份端口，實現(xiàn)了網(wǎng)絡端口冗余，整個設備無單一故障點，能夠提供高達99.9999%高可靠性。同時X系列設備全部模塊均可熱插拔。X系列設備除了可提供傳統(tǒng)雙機熱備功效外，還提供獨有“單機高可用性”技術，即在單臺X設備上，可提供極高可用性，整個設備無單一故障點，包含電源、風扇、全部模塊、網(wǎng)絡端口、內(nèi)部操作系統(tǒng)、內(nèi)部應用系統(tǒng)等，全部有備份，可用做到6個9高可用（5）能夠提供多個安全增值服務在CheckPoint/CrossbeamX系列設備上，可同時運行多個安全應用，包含：防火墻：虛擬防火墻：IDS/IPS數(shù)據(jù)庫保護：其它還有防病毒、URL過濾等。未來新出現(xiàn)安全需求，也可簡單經(jīng)過增加模塊實現(xiàn)。此種設計很便于服務供給商依據(jù)用戶需求不停增加新業(yè)務，從而增加收入。（6）良好適應性和擴展性此次推薦方案中將CheckPoint/Crossbeam設備旁掛在匯聚層設備邊上，無須改變原來網(wǎng)絡拓撲結構。對于需要進行安全檢驗和保護流量，只需在匯聚層設備上添加策略路由，在關鍵層設備上添加回程靜態(tài)路由。如需屏蔽安全設備，無須改變網(wǎng)絡連線，只須去除匯聚層設備策略路由和關鍵層設備上回程靜態(tài)路由即可。方案一樣擁有良好擴展性。安全應用擴展：安全應用可伴隨需求產(chǎn)生而靈活擴展。如初始配置，X系列設備可只配置防火墻功效，當未來有需求時，可依據(jù)需求靈活增加IDS、IPS、數(shù)據(jù)庫保護、XML應用保護等安全功效。而對安全應用功效增加僅需要在原有設備上增加一個模塊即可，對原有網(wǎng)絡結構沒有任何改動，很方便。性能擴展：伴隨用戶網(wǎng)絡發(fā)展，當某應用性能不能夠滿足新需求時，可簡單增加一個模塊即可，X系列設備可自動實現(xiàn)新增加模塊和原有模塊工作于負載均衡模式，一樣對原有網(wǎng)絡結構沒有任何改動，很方便。端口擴展：X系列端口數(shù)也可伴隨應用需求增加而增加。每增加一塊網(wǎng)絡模塊，即可增加8個千兆或16個百兆端口。千兆端口接口類型能夠為RJ-45、多模光纖或單模光纖。（7）全方面安全防護此次提供方案既考慮了大中用戶，也考慮了端點，提供組合安全保障，為城域網(wǎng)提供了有效安全控制手段。2.2.8（1）CheckPointVSX虛擬防火墻產(chǎn)品介紹VPN-1VSX是一個高速、多策略虛擬安全處理方案?；诮?jīng)過實踐證實安全處理方案，VSX能夠為復雜基礎架構中多個網(wǎng)絡提供綜合全方面保護，幫助它們安全連接到互聯(lián)網(wǎng)和DMZ等共享資源，而且實現(xiàn)了在提供集中管理同時許可它們之間進行安全互動。VSX網(wǎng)關利用一臺硬件設備就能夠幫助各單位創(chuàng)建一個包含路由器、交換機和VPN-1網(wǎng)關復雜、虛擬網(wǎng)絡。這種處理方案替換和改造負責安全保護和聯(lián)網(wǎng)物理設備，降低了為整個網(wǎng)絡提供安全保障所需硬件投入?，F(xiàn)在，只有VSX提供平臺才實現(xiàn)了高可擴展性、虛擬化網(wǎng)絡，和能夠被輕松布署和管理安全服務。

可擴展虛擬架構VSX由多個虛擬安全系統(tǒng)組成，其中每個系統(tǒng)全部是市場領先VPN-1網(wǎng)關完整虛擬版。多個虛擬系統(tǒng)能夠和網(wǎng)關上單個物理接口相連，但同時又保持和其它虛擬系統(tǒng)完全獨立，確保絕對安全和私有網(wǎng)絡環(huán)境。單個VSX安裝能夠支持多達250個虛擬系統(tǒng)布署，提供含有高擴展性虛擬平臺，并實現(xiàn)不停增加硬件投資最小化。

虛擬網(wǎng)絡連接VSX支持創(chuàng)建虛擬網(wǎng)絡多種組件，包含路由器、交換機、網(wǎng)線，實現(xiàn)對安裝和配置虛擬網(wǎng)絡環(huán)境全方面控制。經(jīng)過接入虛擬網(wǎng)絡環(huán)境，管理員能夠虛擬實施其熟悉物理拓撲和設計。除此以外，VSX還能夠支持以路由器模式或網(wǎng)橋模式來運行虛擬系統(tǒng)。以網(wǎng)橋模式來布署虛擬系統(tǒng)能夠幫助管理員為網(wǎng)絡無縫添加新虛擬系統(tǒng)，而不需要重新配置網(wǎng)絡設置和拓撲。

線速安全為了支持數(shù)以千計應用程序和用戶，高速寬帶網(wǎng)絡需要高性能網(wǎng)關。為了以線速提供世界級安全保護，VSX能夠經(jīng)過CheckPoint企業(yè)SecureXL實施技術布署到多個運行商級平臺，從而確保提供安全、數(shù)倍于千兆級輸出。

連續(xù)安全保護CheckPoint企業(yè)ClusterXL?技術幫助您經(jīng)過對VSX配置實現(xiàn)連續(xù)安全保護。同在物理系統(tǒng)上實現(xiàn)集群一樣，VSX集群連接和同時兩個或更多VSX網(wǎng)關，這么，假如有一個網(wǎng)關出問題了，另外一個能夠立即接替它網(wǎng)絡和安全保護工作。VSX提供無縫連接容錯處理和從一個集群組員到另一個組員路由。它還包含在動態(tài)路由環(huán)境中進行良好VSX網(wǎng)關容錯處理，從而盡可能降低網(wǎng)絡故障。經(jīng)過網(wǎng)橋模式，單個虛擬系統(tǒng)能夠故障切換到集群中另外一個網(wǎng)關中對應虛擬系統(tǒng)。這種高可用性和靈活性促進了在應用層和網(wǎng)絡層實現(xiàn)覆蓋整個網(wǎng)絡不間斷和安全商業(yè)運行。

無和倫比安全保護VSX為一系列網(wǎng)絡需求提供安全保護，內(nèi)置功效可直接支持200多個預定義應用程序、服務和協(xié)議，同時還支持即時消息發(fā)送