河北IP城域網(wǎng)技術規(guī)范書草稿V11-final

2006年中國網(wǎng)通河北IP城域網(wǎng)擴建一期工程可管理安全服務設備技術規(guī)范書2006-第一章工程技術規(guī)范書點對點應答本次所提供的所有方案及各項設備和系統(tǒng)(包括軟、硬件)符合如下技術標準：ISO27001：2005：信息技術安全－技術信息安全－管理體系要求；ISO/IECFDIS17799:2005(E):信息技術－安全技術－信息安全管理代碼實踐；ISO/IEC18028-2:2006(E)：信息技術－安全技術－IT網(wǎng)絡安全；ISO/IECTR13335：信息技術－IT安全管理指南；中華人民共和國通信行業(yè)標準YD/T1163-2001IP網(wǎng)絡安全技術要求－安全框架；中華人民共和國通信行業(yè)標準YD/T1132-2001防火墻設備技術要求；《中國網(wǎng)絡通信集團公司IP網(wǎng)2004－2006年發(fā)展規(guī)劃》；IP城域網(wǎng)規(guī)劃建設指導原則（北方分冊）；《河北網(wǎng)通互聯(lián)網(wǎng)網(wǎng)絡優(yōu)化指導意見》；《中國網(wǎng)通網(wǎng)絡技術轉型與演進的若干意見》；《網(wǎng)通集團IP網(wǎng)絡優(yōu)化和維護指導意見》；《河北省分公司數(shù)據(jù)專業(yè)產品供貨商及產品備案表》；以下按照“2006年中國網(wǎng)通河北IP城域網(wǎng)擴建一期工程可管理安全服務設備技術規(guī)范書”章節(jié)進行點對點應答。3.5設備基本配置要求3.5.1賣方提供的設備應滿足下列基本配置要求：設備應為能夠滿足本技術規(guī)范要求的完整的軟、硬件系統(tǒng)，集成性好，便于機架式安裝；答：滿足要求。本項目提供的CheckPoint/Crossbeam設備為滿足本技術規(guī)范的完整軟硬件系統(tǒng)，經(jīng)過兼容性測試，可以無縫集成，設備為標準機架尺寸，便于機架式安裝。設備及接口的電氣特性應符合國際和國家的相關標準。答：滿足要求。本項目提供的CheckPoint/Crossbeam設備的設備及接口電氣特性符合國際和國家的相關標準。3.5.2基本性能及配置要求賣方提供的單套設備系統(tǒng)應滿足下列性能指標要求：吞吐量：不小于4Gbps答：滿足要求。本項目提供CheckPoint/CrossbeamX40配置最少可提供4Gbps的吞吐量。最大并發(fā)連接數(shù)：不小于50萬答：滿足要求。本項目提供CheckPoint/CrossbeamX40配置最少可提供50萬的并發(fā)連接數(shù)。每秒新建連接數(shù)：不小于3萬答：滿足要求。本項目提供CheckPoint/CrossbeamX40配置最少可提供3萬的每秒新建連接數(shù)。端口數(shù)：不小于4個千兆光纖答：滿足要求。本項目提供CheckPoint/CrossbeamX40配置可提供8個千兆光纖口。設備應提供專用帶外管理端口答：滿足要求。CheckPoint/CrossbeamX40提供了2個帶外管理端口（10/100MBase-T）設備應提供專用日志端口答：滿足要求。CheckPoint/CrossbeamX40提供了1個專用日志端口（10/100/1000MBase-T）處理時延：不大于0.08s答：滿足要求。CheckPoint/CrossbeamX40的處理時延小于0.08s。3.5.3基本網(wǎng)絡功能要求賣方提供的單套設備系統(tǒng)應提供以下基本的功能：設備應支持靜態(tài)路由和RIP、RIPII、OSPF等路由協(xié)議。答：滿足要求。CheckPoint/CrossbeamX40支持RIP、RIPII及OSPF等路由協(xié)議。設備應支持802.1QVLAN。答：滿足要求。CheckPoint/CrossbeamX40支持802.1QVLAN。CheckPoint/CrossbeamX40防火墻全面支持802.1Q協(xié)議，通過使用CheckPoint/CrossbeamX40防火墻可以有效的對VLANID進行識別和支持，并且對不同VLAN之間的訪問進行控制。設備應支持對不同VLAN間數(shù)據(jù)包的阻隔。答：滿足要求CheckPoint/CrossbeamX40防火墻對VLAN具有豐富的控制功能，通過對CheckPoint/CrossbeamX40硬件防火墻的設置，用戶可以通過防火墻對屬于不同VLAN的主機進行有效的隔離，并且通過安全策略進行訪問控制，保護不同目標主機和網(wǎng)絡的安全。設備應支持VLANTrunk。答：滿足要求CheckPoint/CrossbeamX40防火墻采用專用的網(wǎng)絡操作系統(tǒng)，支持802.1Q協(xié)議，防火墻能夠識別VLANID,支持VLANTrunk網(wǎng)絡流量通過防火墻。設備應支持虛擬路由模式防火墻、虛擬透明模式防火墻，并支持此兩種模式的虛擬防火墻共存于同一個虛擬環(huán)境中。答：滿足要求。CheckPoint/CrossbeamX40防火墻以以下方式工作在用戶的網(wǎng)絡中：透明模式、路由模式、透明模式與路由模式同時工作。CheckPoint/CrossbeamX40支持此兩種模式的虛擬防火墻共存于同一個虛擬環(huán)境中。單套系統(tǒng)支持的最大虛擬防火墻數(shù)量應不小于200個答：滿足要求。CheckPoint/CrossbeamX40單臺最高可支持250個虛擬防火墻。設備應支持虛擬路由器和虛擬交換機功能。答：滿足要求。CheckPoint/CrossbeamX40支持虛擬路由器和虛擬交換機功能。4.1一般技術要求4.1.1硬件(1)賣方提供的所有設備必須是最新開發(fā)且最穩(wěn)定可靠之產品，并且大規(guī)模在電信運營商環(huán)境應用的成熟商用產品，并保證所提供產品的數(shù)量、質量，特別是接口的兼容性。答：滿足要求。CheckPoint/CrossbeamX40是最新開發(fā)并且最穩(wěn)定可靠的產品，已經(jīng)在全球范圍內的許多大型電信運營商環(huán)境得到了成熟應用，包括美國南方貝爾、英國移動運營商O2、西班牙電信Telefonica、德國電信、美國移動運營商VerizonWireless、澳大利亞電信Telstra等。在應用中，與各種網(wǎng)絡產品均有很好的兼容性。(2)各種設備應采用功能分擔、分布式多處理機結構。主要模塊冗余度至少為1+1，易于擴容和維護。答：滿足要求。在CheckPoint/CrossbeamX40設備中，各模塊的功能是分離的，每種模塊負責其各自的功能，然后整個設備通過機架無源背板全交叉總線及Crossbeam專利的實時調度操作系統(tǒng)XOS有機的集成。同時，在CheckPoint/CrossbeamX40中，針對不同的功能需求，提供了不同的設備模塊，包括：網(wǎng)絡處理模塊NPM、安全應用處理模塊APM、管理控制模塊CPM等。所有安全技術都通過一種先進的機柜式系統(tǒng)結合在一起，從而消除了對外部交換機、負載均衡器、接頭和/或端口鏡像的需要。通過多種安全技術配置流路徑的工作可以從一個能為用戶帶來全面靈活性的圖形用戶界面（GUI）上輕松完成。這種合并是目前業(yè)界最簡單、安全而又經(jīng)濟的安全防護模式。所有相關模塊均可配置為1＋1的備份，可以靈活的根據(jù)功能或性能的需求擴展各個模塊。(3)賣方提供的硬件平臺應支持第三方安全設施，應為模塊化設計，支持平滑的擴展。各模塊的擴展不影響現(xiàn)有模塊的業(yè)務處理性能和數(shù)量。答：滿足要求。CheckPoint/Crossbeam設備為模塊化設計，可同時提供多種安全應用。設備上的安全應用處理模塊APM可獨立運行不同的安全應用，包括獨用防火墻/VPN、虛擬防火墻/VPN、IDS、防病毒、IPS等。多個安全應用處理模塊獨立并行運行，并由整個系統(tǒng)所統(tǒng)一監(jiān)控。各模塊的擴展不影響現(xiàn)有模塊的業(yè)務處理性能和數(shù)量?？稍黾拥陌踩珣冒ǎ篒DS/IPS虛擬防火墻SSLVPN數(shù)據(jù)庫保護：可對網(wǎng)絡內部的各種數(shù)據(jù)庫進行保護，包括Oracle、Sybase、DB-II、MS-SQL等?？梢詫徲嬘脩魧?shù)據(jù)庫的訪問，可以加載對數(shù)據(jù)庫訪問的安全策略，可以告警等URL過濾XML服務保護防病毒等(4)主控模塊能在不中斷通信的情況下，可帶電進行板卡的熱插撥操作。所有設備的模塊插板可帶電熱插拔，所有設備均采用模塊化設計，其中每一模塊發(fā)生故障時均不影響其他設備和其他模塊的正常運行。答：滿足要求。CheckPoint/CrossbeamX40是新一代的運營商級的安全設備，X40系列平臺為全冗余架構，無源背板，全交叉總線，雙獨立進線的電源模塊，冗余風扇，冗余網(wǎng)絡模塊，冗余安全應用模塊，冗余管理控制模塊，甚至細化到每個網(wǎng)絡端口均可定義其備份端口，實現(xiàn)了網(wǎng)絡端口的冗余，整個設備無單一故障點，能夠提供高達99.9999%的高可靠性。同時X40設備所有的模塊均可熱插拔。每一模塊發(fā)生故障時均不影響其他設備和其他模塊的正常運行。(5)賣方提供的設備要選用世界上高質量的元器件，生產過程中進行嚴格質量控制，出廠前要經(jīng)買方人員嚴格測試和檢查，確保設備長期穩(wěn)定、可靠地運行答：滿足要求。CheckPoint/Crossbeam設備采用世界上高質量的元器件，生產過程中進行嚴格質量控制，出廠前經(jīng)過嚴格測試和檢查，可以保證設備長期穩(wěn)定、可靠地運行。承載軟件系統(tǒng)的應為專用平臺，賣方應說明該平臺的性能。答：滿足要求。Crossbeam為專用安全硬件平臺，采用經(jīng)過加固和優(yōu)化的專用操作系統(tǒng)，可以與CheckPoint虛擬防火墻無縫集成，為用戶提供安全服務。本次提供的CheckPoint/CrossbeamX40至少可以提供4Gbps的防火墻數(shù)據(jù)吞吐率。4.1.2軟件(1)軟件系統(tǒng)賣方的軟件應為最新、成熟的電信級產品，并應與硬件平臺實現(xiàn)無縫銜接；答：滿足要求。本項目CheckPoint提供的軟件為最新、成熟的電信級產品，和硬件平臺Crossbeam經(jīng)過兼容性測試，可以實現(xiàn)無縫銜接。賣方在建議書中應詳細列出所提供的軟件清單、版本和說明。答：滿足要求。軟件版本說明CPPWR-VSX-10NGX虛擬防火墻模塊，可以支持10個虛擬防火墻CPPWR-SC-UNGX集中管理服務器軟件CPFW-FSS-1NGX單機防火墻以保護集中管理服務器CPIS-IEPS-1000NGX1000客戶端許可，可以提供端點PC防火墻，PC入侵防范，PC應用安全，PC間諜軟件防范功能CPIS-IAS-1NGX客戶端集中管理服務器軟件，可以提供多域和層次化管理功能賣方應說明本工程涉及的分類項目對現(xiàn)網(wǎng)設備的操作系統(tǒng)及相關系統(tǒng)軟件有何要求，是否需要使用新版本系統(tǒng)軟件，若是，應說明新版軟件和原使用軟件之間的異同和兼容程度答：滿足要求。本項目提供的CheckPoint/Crossbeam設備對現(xiàn)網(wǎng)設備的操作系統(tǒng)及相關系統(tǒng)軟件無要求。(2)軟件模塊化結構軟件應為模塊化設計組成，賣方必須保證任何軟件模塊的維護和更新都不影響其它軟件模塊的功能，軟件具有容錯能力。答：滿足要求。CheckPoint軟件采用結構化和模塊化設計，對任何軟件模塊的維護和更新都不影響其他軟件模塊的功能。軟件中有特定進程監(jiān)控其他進程，如其他進程出現(xiàn)問題，特定進程會自動對其進行修復。(3)故障監(jiān)視和診斷軟件能及時發(fā)現(xiàn)故障并發(fā)出告警，能夠自動恢復系統(tǒng)，不影響任何已建立的業(yè)務連接。答：滿足要求。軟件中有特定進程監(jiān)控其他進程，如其他進程出現(xiàn)問題，能及時發(fā)現(xiàn)故障并發(fā)出告警，特定進程會自動對其進行修復，不影響任何已建立的業(yè)務連接。(4)兼容性及升級a.設備不同時期軟件版本應能向下兼容，軟件版本易于升級，且在升級后不影響網(wǎng)路的性能與運行。答：滿足要求。CheckPoint保證軟件版本的向下兼容，軟件版本易于升級，且在升級后不影響網(wǎng)絡的性能與運行。b.賣方應承諾在供貨時提供最新版本的軟件，但該軟件必須是經(jīng)過測試正式推出的，其可靠性、穩(wěn)定性經(jīng)過嚴格驗證的。答：滿足要求。CheckPoint保證供貨時提供最新版本的軟件，提供的軟件是經(jīng)過測試正式推出的，其可靠性、穩(wěn)定性經(jīng)過嚴格驗證的。c.軟件版本升級時，賣方應承諾免費更新軟件版本，并提供相應的新版本軟件功能說明書及修改說明書。答：滿足要求。本項目技術規(guī)范要求提供的且買方已經(jīng)購買的軟件功能，CheckPoint/Crossbeam承諾免費軟件版本更新，并提供相應的新版本軟件功能說明書及修改說明書。(5)賣方應說明目前所使用軟件的實際運行時間。答：滿足要求。本項目中CheckPoint提供的NGX版本軟件為2005年5月發(fā)布，CheckPoint將至少在5年內提供對此版本的支持，如用戶需要，CheckPoint可以幫助用戶過渡到最新版本。4.1.3安裝材料若設備安裝需要特定的安裝材料、端口連接需要特定的連接線纜的話，賣方應予以指出并給出配置且包含在設備價格中。答：滿足要求。4.1.4備件賣方應根據(jù)設備元件的質量情況提出備件配置的建議。賣方提供的設備應是以至少五年使用期設計的，賣方要保證不論提供的設備是否還生產，在使用期內買方可得到備件。答：滿足要求。為保證用戶生產網(wǎng)絡更加可靠穩(wěn)固,我們建議用戶可根據(jù)情況對關鍵硬件模塊購買一至兩套備件.CheckPoint/Crossbeam本次提供設備使用期大于5年,在使用期內可保證用戶得到備件(過保修期后需收費).并且將于設備停產前半年前通知用戶.4.2設備系統(tǒng)主要技術指標4.2.1最大位轉發(fā)率（Maximumbitforwardingrate）位轉發(fā)率指：特定負載下每秒種防火墻將允許的數(shù)據(jù)流轉發(fā)至正確目的接口的位數(shù)。最大位轉發(fā)率指在不同的負載下反復測量得出的位轉發(fā)率數(shù)值集中的最大值，使用最大位轉發(fā)率時應同時說明與之響應的負載。賣方應結合買方IP城域網(wǎng)設備性能及網(wǎng)絡架構狀況，確定并提出防火墻的設備的標準規(guī)范，并詳細列出。答：滿足要求。本項目提供的CheckPoint/Crossbeam設備旁掛在匯聚層設備邊，根據(jù)河北網(wǎng)通城域網(wǎng)現(xiàn)狀，我們認為4Gbps的防火墻設備可以滿足需求。FrameSize(Bytes)641282565121024128015181APMThroughput(Mbps)2924989501,7893,1883,5714,0004.2.2設備功能要求賣方提供的設備應提供以下的基本安全功能，并就每一項功能詳細說明設備支持的程度：設備應運行在經(jīng)固化的專用安全操作系統(tǒng)之上，賣方詳細說明該操作系統(tǒng)的主要安全固化措施。答：滿足要求CheckPoint/Crossbeam全系列的防火墻均采用獨有的運營商級安全操作系統(tǒng)XOS。該操作系統(tǒng)專門進行了優(yōu)化和加固，不但提高了運行的性能，關鍵是提高了安全性。一般的開放操作系統(tǒng)擁有許多的網(wǎng)絡服務，遠程服務，而且可能存在一般用戶不知道的漏洞，這對防火墻自身的安全是很大的威脅。XOS操作系統(tǒng)從設計上做了大量的安全加強，保證防火墻自身的安全。XOS不帶有任何不必要的2進制代碼和庫結構，是一個安全緊湊的操作系統(tǒng)；XOS操作系統(tǒng)覆蓋了已知的各種漏洞，并且不斷致力于發(fā)現(xiàn)和覆蓋新的漏洞。設備內部核心技術應采用狀態(tài)監(jiān)測技術。答：滿足要求CheckPoint/CrossbeamX40防火墻中采用的是CheckPoint獲得專利的第三代防火墻技術狀態(tài)監(jiān)測（StatefulInspection）。能夠提供更安全的特性。狀態(tài)監(jiān)測是防火墻的第三代核心技術，也是最新的防火墻核心技術，最初由CheckPoint發(fā)明，并獲得美國專利（專利號5,835,726）。狀態(tài)監(jiān)測相比于較早的包過濾及應用網(wǎng)關方式的技術有較大的優(yōu)勢，包括更安全，性能更高、擴展性更好等。因此，目前，幾乎所有的防火墻產品均聲稱自己是狀態(tài)監(jiān)測類的防火墻，但實際上在實現(xiàn)時有些產品的實現(xiàn)不完整。為了提供更強壯的安全性，一個防火墻必須跟蹤及控制所有通信的數(shù)據(jù)流。與傳統(tǒng)的包過濾不同的是，狀態(tài)監(jiān)測通過分析流入和流出的數(shù)據(jù)流，跟蹤數(shù)據(jù)流的狀態(tài)及上下文，根據(jù)會話及應用的信息，實時確定針對該數(shù)據(jù)流的安全決策。狀態(tài)及上下文信息必須包括：數(shù)據(jù)包頭信息（源地址、目的地址、協(xié)議、源端口、目的端口、數(shù)據(jù)包長度）連接狀態(tài)信息（哪個端口為哪個連接而打開）TCP及IP分片數(shù)據(jù)（如分片號、序列號）數(shù)據(jù)包重裝，應用類型，上下文確認（如該數(shù)據(jù)包屬于哪個通信會話）防火墻上的到達端口及離開端口第二層信息（如VLANID）數(shù)據(jù)包到達及離開的時間根據(jù)安全策略實施對通過防火墻的數(shù)據(jù)流進行控制，允許通過或采取相應措施。防火墻系統(tǒng)的安全規(guī)則，每一條表項都包括條件域、動作域和選項域，當有IP包進入時，系統(tǒng)在安全策略中從第一個表項開始查起，如果符合，就執(zhí)行該表項指示的動作，狀態(tài)監(jiān)測技術針對協(xié)議，抽取連接的狀態(tài)信息，并建立狀態(tài)連接表項。當沒有一條合適的表項時，系統(tǒng)的默認動作是攔截。所提供的防火墻模塊應支持基于IP地址、組、端口、應用類型、時間等創(chuàng)建安全規(guī)則,賣方詳細說明其支持的程度。答：滿足要求CheckPoint/Crossbeam支持基于IP源地址、IP目標地址、用戶組、網(wǎng)絡組、源端口、目標端口、應用類型、時間、特定防火墻等信息創(chuàng)建安全規(guī)則。所提供的防火墻模塊預定義服務協(xié)議數(shù)量應不小于200個，并說明所支持的最大協(xié)議數(shù)和協(xié)議增加的方法。答：滿足要求CheckPoint/Crossbeam利用StatefulInspection專利技術來保證所有通用Internet服務的安全。它支持超過200個預定義應用、服務和協(xié)議，包括Web應用，即時消息發(fā)送、對等網(wǎng)絡應用、VoIP、OracleSQL、RealAudio以及多媒體服務（如H.323）、SIP、FTP、ICMP、DNS、Netmeeting等。本次提供的防火墻模塊，可以支持的最大協(xié)議數(shù)量沒有限制，協(xié)議增加可以通過用戶自定義和購買廠商服務自動升級更新等方法實現(xiàn)。所提供的防火墻模塊應支持針對Mail，MS-RPC，MS-SQL，P2P等應用層的安全控制，并說明如何控制以及所支持應用的擴展數(shù)量和方法。答：滿足要求。CheckPoint/Crossbeam防火墻可以通過應用智能技術對多種應用進行內容檢查，包括Mail，MS-RPC，MS-SQL，P2P等應用。應用智能技術通過驗證協(xié)議是否遵循標準，檢驗協(xié)議是否符合預期用法，阻止應用攜帶有害數(shù)據(jù)和控制應用層的有害操作等四種策略來在合法的流量當中檢測非法的行為，從而確保應用的安全。應用的擴展支持可以通過用戶自定義和購買廠商服務自動升級更新等方法實現(xiàn)。所提供的防火墻模塊應支持對VoIP的保護，支持H.323、SIP、MGCP、SCCP，并說明如何保護。答：滿足要求。CheckPoint/Crossbeam防火墻可以提供對VoIP的保護，支持H.323，SIP，MGCP，SCCP。CheckPoint/Crossbeam防火墻可以驗證VoIP協(xié)議是否符合標準，理解并跟蹤VoIP的全部通信過程，并根據(jù)需要打開相關端口供通信使用，最后在通信結束后自動封閉此端口。同時通過控制一些VoIP的通信行為，對基于VoIP的攻擊進行防范。所提供的防火墻模塊支持的安全規(guī)則數(shù)目應無限制。答：滿足要求。CheckPoint/Crossbeam防火墻支持的安全規(guī)則數(shù)量無限制。所提供的防火墻模塊應支持安全策略一致性驗證。答：滿足要求。CheckPoint/Crossbeam防火墻支持規(guī)則策略的校驗，支持規(guī)則一致性測試。可以檢測重復、錯誤、沖突的規(guī)則定義。所提供的防火墻模塊應具有對DoS攻擊的防護功能，防火墻應支持SYN網(wǎng)關功能，并請說明。答：滿足要求。CheckPoint/Crossbeam防火墻是目前對DOS攻擊防范效果最好的防火墻之一。能夠對包括SYNFlood、PINGofDeath攻擊、IPSpoofing攻擊等多種DOS攻擊有很好的防護。其中對SYN攻擊具有很好的防御功能，提供SYN網(wǎng)關的功能。同時系統(tǒng)也提供智能的SYN防御功能，當使用此項功能的時候，用戶不需要對SYN攻擊防御選項進行特殊的設置，系統(tǒng)會自動的監(jiān)測和識別SYN的攻擊，并且阻斷它們。所提供的防火墻模塊應具有對其他常見網(wǎng)絡和應用層攻擊的防護能力，并請說明。答：滿足要求CheckPoint/Crossbeam防火墻支持網(wǎng)絡層到應用層的全檢測，對常見的網(wǎng)絡和應用層攻擊都具有防護能力。網(wǎng)絡層的攻擊防范包括TearDrop，pingofdeath等DOS攻擊，ping大包，IP分段攻擊等針對IP和ICMP的攻擊，sys攻擊，序號攻擊等針對TCP的攻擊，等等。應用層攻擊防范包括針對http，ftp，dns，voip，p2p，mail等應用的攻擊，等等。以上網(wǎng)絡層和應用層的攻擊防護通過防火墻上SmartDefense模塊實現(xiàn)。所提供的防火墻模塊應支持攻擊特征庫的動態(tài)更新，并請說明更新方式以及是否會中斷客戶業(yè)務。答：滿足要求。CheckPoint/Crossbeam防火墻內置防攻擊模塊—SmartDefense，它的攻擊特征庫支持在線升級。如用戶購買了CheckPoint的攻擊特征庫升級服務，管理員可以使用管理客戶端自動連接到CheckPoint網(wǎng)站完成更新。更新會先存放于集中管理服務器，在未下發(fā)策略時不會影響防火墻執(zhí)行點，也不會中斷客戶業(yè)務。即使下發(fā)策略，由于是針對攻擊作出的防范，對正常業(yè)務不會產生影響。所提供的設備系統(tǒng)應可同時運行多種安全應用，包括IDS、防病毒等。未來可通過許可證激活防火墻設備上的其他安全應用。答：滿足要求CheckPoint/Crossbeam設備除防火墻外可以運行多種安全應用，包括IDS、IPS、網(wǎng)關防病毒、URL過濾、數(shù)據(jù)庫保護等模塊。所有這些模塊已經(jīng)內置在設備中，未來可以通過許可證將這些功能激活，便于將于安全應用的擴展。設備系統(tǒng)應提供內容過濾功能，可以過濾URL地址、JavaScript、ActiveX控件和Ftp控制命令(get,put)、畸形IP攻擊包、ICMP惡意代碼包，另外還能設置收件發(fā)件人郵件地址過濾和大郵件過濾策略。答：滿足要求。CheckPoint/Crossbeam防火墻可以通過其集成的內容安全能力使用戶免受病毒、惡意Java和ActiveXapplet、畸形IP攻擊包、ICMP惡意代碼包及不需要的Web內容的攻擊。對于每個通過防火墻安全服務器建立的HTTP、SMTP或FTP連接，網(wǎng)絡管理員可以更詳細地來控制對特定資源訪問。例如，訪問可以控制到具體的Web頁面，URL地址及FTP文件以及操作（例如，PUT/GET命令）、SMTP的專用標題字段等等?？蓪θ鏴-mail附件大小、文件類型等進行檢查，還可以設置收件發(fā)件人郵件地址過濾等。同時防火墻還可通過OPSEC的SDK接口與專門的內容過濾系統(tǒng)互動，進行更細致的內容檢查。設備應支持NAT功能，包括一對一、多對一的NAT工作模式。答：滿足要求。CheckPoint/Crossbeam防火墻支持動態(tài)和靜態(tài)地址翻譯(NAT)功能，并且無數(shù)量限制。CheckPoint/Crossbeam防火墻使用強大的、易于管理的網(wǎng)絡地址翻譯（NAT）在Internet上隱藏內部網(wǎng)絡地址--避免將它們泄漏為公眾信息。通過集成StatefulInspection技術，CheckPoint/Crossbeam的NAT實現(xiàn)了業(yè)界最安全的地址翻譯，而且它支持范圍廣泛的Internet服務。根據(jù)網(wǎng)絡管理員在建立對象（如主機、網(wǎng)絡和網(wǎng)關）時提供的信息，防火墻自動生成靜態(tài)(一對一)和動態(tài)（多對一）的翻譯規(guī)則。設備應支持網(wǎng)絡流量監(jiān)視和CPU負載統(tǒng)計。 答：滿足要求。CheckPoint/CrossbeamX40防火墻系統(tǒng)采用專用的網(wǎng)絡操作系統(tǒng)，提供對系統(tǒng)運行狀態(tài)和網(wǎng)絡流量監(jiān)控的統(tǒng)計分析功能，通過管理界面用戶可以對：通過防火墻的網(wǎng)絡流量進行有效的檢查和記錄防火墻設備本身的CPU情況的記錄和檢查通過防火墻的審計工具用戶還可以對系統(tǒng)的其他資源如：內存的使用率等多方面的內容進行審計。4.2.3設備系統(tǒng)安全管理功能賣方提供的設備系統(tǒng)應提供以下的安全管理功能：設備應支持專有管理客戶端、WEB及命令行管理方式。答：滿足要求CheckPoint/CrossbeamX40防火墻系統(tǒng)支持豐富的管理和控制功能：基于本地串口的命令行管理功能基于網(wǎng)絡的Web界面的管理功能?；趯Ｓ肎UI管理系統(tǒng)的圖形化安全管理功能基于通用安全的HTTPS、SSH的管理功能設備應支持本地管理、遠程管理和集中管理。答：滿足要求。CheckPoint/Crossbeam設備支持本地管理和遠程管理方式。本地管理和遠程可以通過WEB界面（通過SSL加密）管理。同時Crossbeam防火墻還支持SSHv1v2，保證了遠程管理的安全性。通過中央管理服務器SmartCenter可以對防火墻設備進行集中管理。要求使用集中管理軟件統(tǒng)一管理所有防火墻（包括虛擬系統(tǒng)），包括策略管理，用戶管理，VPN管理，入侵防護管理，攻擊防護代碼統(tǒng)一升級等。答：滿足要求。CheckPoint/Crossbeam防火墻非常適合構建分布式客戶/服務器安全訪問應用控制，可以說，防火墻的結構就是以分布式安全控制的出發(fā)點來進行設計的。CheckPoint/Crossbeam產品是三層體系結構：GUI：為用戶提供圖形化的界面，便于配置防火墻的策略和對象，上面不存儲任何數(shù)據(jù)。在防火墻允許的范圍內，可安裝于任何一臺PC機上。ManagementServer(管理服務器)：用于存儲在GUI上定義的策略和對象，完成對所有防火墻（包括虛擬系統(tǒng)）的統(tǒng)一管理，包括策略管理，用戶管理，VPN管理，入侵防護管理，攻擊防護代碼統(tǒng)一升級等。當安全策略下發(fā)時，管理服務器將策略編譯后推到各個防火墻上。同時管理服務器可用來察看執(zhí)行模塊的狀態(tài)信息，并存儲執(zhí)行模塊生成的日志。EnforcementModule（執(zhí)行模塊）：用于數(shù)據(jù)包的過濾，決定數(shù)據(jù)包的通行、阻斷、轉發(fā)。所有的防火墻安全策略可以由管理服務器進行集中化定制，對每個防火墻可以定義不同的策略文件。各個模塊之間的通信使用SSL進行加密。為便于管理，我們建議在此次項目中采用集中化管理的原則布署防火墻產品。即所有防火墻都可在網(wǎng)管中心對其進行集中化的安全管理，統(tǒng)一配置安全策略，這樣帶來的優(yōu)點：實現(xiàn)了對各業(yè)務安全的集中化管理，減小網(wǎng)絡整體存在安全漏洞的可能性，同時順應了業(yè)務集中的趨勢，減小了各部門對安全方面的管理支出。設備應支持管理員基于角色的管理。答：滿足要求。CheckPoint/Crossbeam對防火墻的管理員權限可以分為多個定義，包括可寫、只讀、用戶自定義。在用戶自定義中可以靈活定義用戶對防火墻的各個模塊的權限，例如：用戶只能修改日志而不能修改策略。設備應支持管理員使用數(shù)字證書作為認證方式以提高安全性。答：滿足要求。CheckPoint/Crossbeam設備的管理服務器中內置CA，所有防火墻功能模塊均可通過該證書進行認證。對于管理員，可以使用基于X.509數(shù)字證書，進行登錄認證，極大提高了安全性。4.2.4設備日志、報警和報表功能賣方提供的設備系統(tǒng)應提供以下的日志、報警和報表功能：所提供的防火墻模塊應該具有內置日志服務器，可以提供實時和歷史日志答：滿足要求。CheckPoint/Crossbeam內置日志服務器，可以提供實時和歷史記錄。同時可將日志導向其它的日志服務器。設備應支持豐富的日志域，支持超過60種以上的日志域答：滿足要求CheckPoint/Crossbeam通過日志查看器Smartviewtracker模塊用來察看日志，可察看的日志字段超過60種以上，并可以靈活的定義過濾條件。設備應支持日志的本地記錄，防火墻模塊應有40G以上的內置硬盤，并說明是否支持異地或外部記錄方式。答：滿足要求CheckPoint/Crossbeam支持日志的本地記錄，X系列產品均有80G以上的內置硬盤。可以設定防火墻模塊在本地記錄日志同時，實時或定期將日志發(fā)送到集中管理服務器或異地的其他日志服務器?？梢蕴峁┤罩据敵鼋涌冢┑谌浇邮辗阑饓Φ娜罩?。設備應支持SYSLOG功能。答：滿足要求CheckPoint/Crossbeam支持標準的SYSLOG，同時設備上有單獨的日志端口，可將日志導向第三方Log服務器。設備應支持日志過濾功能。答：滿足要求通過SmartViewtracker功能模塊，可以靈活的進行日志過濾，可按特定字段進行過濾，也可進行不同字段的組合過濾。設備應支持管理員日志及對管理員的審計。答：滿足要求CheckPoint/Crossbeam內置日志服務器除記錄歷史記錄外，還記錄實時連接和管理員的審計日志，管理員對防火墻所做操作（如修改對象和策略）均被記錄。設備應提供與第三方日志審計工具的接口答：滿足要求?？梢酝ㄟ^OPSEC與第三方審計工具進行互動，提供日志輸出接口LEA（logexportAPI）。設備應提供實時告警功能，對防火墻本身或受保護網(wǎng)段的非法攻擊支持多種告警方式如SNMP告警、E-mail告警、日志告警等等。答：滿足要求。CheckPoint/Crossbeam防火墻系統(tǒng)可以對多種網(wǎng)絡事件進行告警功能，用戶可以按照需要對指定網(wǎng)絡行為進行警告設置，當這些事件發(fā)生的時候，系統(tǒng)可以通過SNMP，E-mail,日志等多種方式進行告警。設備應提供SNMPTrap、E-Mail、Alarm、LOG、自定義等方式的報警功能支持。答：滿足要求CheckPoint/Crossbeam防火墻支持多種告警方式如SNMP告警、EmailL告警、日志告警、用戶自定義程序告警等等。通過用戶自定義方式，在X40防火墻上還可實現(xiàn)更加靈活的報警方式，如尋呼機、QQ等。設備應提供內置報表工具對日志作統(tǒng)計分析答：滿足要求。CheckPoint/Crossbeam防火墻的組件EventiaReporter提供日志分析和統(tǒng)計，并可根據(jù)客戶定義的時間，內容，生成數(shù)據(jù)表格、圖形報告。4.2.5設備可擴展性要求（1）設備應可通過增加模塊的方式提供更多的網(wǎng)絡端口，賣方應詳細說明設備可提供的網(wǎng)絡端口擴展模塊。答：滿足要求。CheckPoint/Crossbeam設備可通過增加網(wǎng)絡模塊NPM的方式增加設備上的網(wǎng)絡端口。目前，X40可提供的網(wǎng)絡模塊包括8個千兆端口（銅纜、單模光纖、多模光纖可選）及16個百兆接口的模塊。設備應可通過增加模塊的方式提高投標設備的性能，賣方應詳細說明設備可提供的擴展模塊的信息。答：滿足要求。CheckPoint/CrossbeamX40的性能可以隨著需求的增加而擴展，可以通過增加APM模塊來提高X40整體設備的處理能力，新增加的APM模塊可自動與原有APM模塊工作于自動負載均衡模式。每塊APM模塊可提供4Gbps的防火墻吞吐能力、每秒30,000新建連接數(shù)以及50萬最大并發(fā)連接數(shù)。每增加一塊APM模塊，其設備的整體性能，包括吞吐量、并發(fā)連接數(shù)、每秒新建連接數(shù)等，近似于線性增加，這樣，通過簡單增加APM模塊到現(xiàn)有的X40設備上，就可提升X40設備的處理能力。而對性能的增加，實施也非常簡單。只需要增加一塊APM模塊，插入到現(xiàn)有的X40設備中即可，對網(wǎng)絡中的其他設備，完全不需要改變。設備應可通過增加模塊的方式，在投標設備上增加新的安全功能，賣方應詳細說明如何在投標設備上增加新的安全功能。這些安全功能將包括IDS、IPS、SSLVPN、防病毒URL過濾、XML應用保護等。答：滿足要求CheckPoint/Crossbeam設備網(wǎng)絡處理、安全應用、管理功能均以模塊方式工作，如果增加新的安全應用，只需要增加APM模塊即可。所有的APM硬件均相同，由控制模塊來定義APM的功能，激活安全應用的License即可，目前支持的主要安全功能包括：IDS、IPS、SSLVPN、防病毒、URL過濾、XML應用、數(shù)據(jù)庫保護。設備增加新的安全應用功能時，必須基本不影響原有設備模塊的性能功能和。賣方應詳細說明這一要求的實現(xiàn)方式。答：滿足要求。CheckPoint/CrossbeamX40上，所有新增加的模塊均有獨立的處理能力，將不會影響原有防火墻及虛擬防火墻的性能。在每個模塊上均有獨立的中央處理器、內存、總線、操作系統(tǒng)等。所有APM配置均相同。APM提供高性能安全應用處理。硬件模塊均可進行熱插拔。同時可將安全應用定義為不同的邏輯組，在增加安全應用時，數(shù)據(jù)流會自動負載均衡到新的模塊上，原有的通信和會話不會丟失。4.2.6高可用性及高可靠性要求賣方提供的設備系統(tǒng)應提供高可用性支持，具體要求為：設備應支持高可用性配置，提供雙機熱備功能，賣方應詳細說明雙機熱備的實現(xiàn)方式。答：滿足要求CheckPoint/CrossbeamX40可以通過4種方式提供防火墻的高可靠性HA：標準的VRRP協(xié)議（RFC2338）動態(tài)路由協(xié)議四層交換機ClusterXL技術設備應有專用的高可用性心跳端口。答：滿足要求。CheckPoint/Crossbeam在CPM（控制模塊）上有專用的高可用性心跳端口，通過該端口可以在多臺設備間監(jiān)測彼此狀態(tài)，為最大限度的保證高可靠性，在設備上還可定義多個端口為心跳端口。設備應支持具有運營商級的設備高可靠性，包括冗余電源、冗余風扇、冗余模塊、冗余網(wǎng)絡接口等。賣方應詳細說明所提供設備自身的其他冗余配置特性。答：滿足要求。CheckPoint/CrossbeamX40設備提供SBHA單機高可用性（SingleBoxHighAvailability）功能特性，即在一臺X設備上，所有的系統(tǒng)部件均可提供備份，包括：冗余數(shù)據(jù)交換(多NPM)冗余控制管理(雙CPM)冗余存儲冗余網(wǎng)絡處理器（網(wǎng)絡端口-端口備份）冗余安全應用處理模塊(多個APM)模塊的N+1備份冗余電源（可提供2個獨立電源）設備應支持單機高可用性技術，即在單臺設備上，可提供防火墻等安全應用的高可用性及負載均衡技術。賣方應詳細說明所提供設備單機高可用性技術的實現(xiàn)方式。答：滿足要求。在X系統(tǒng)中，可安裝多個APM模塊運行同一安全應用，實現(xiàn)安全應用的負載均衡。X系統(tǒng)的控制模塊CPM實時監(jiān)控每塊APM的健康狀況，包括APM上面運行的應用、CPU負載狀況、內存使用狀況等。這些信息被實時的反應在X系統(tǒng)的數(shù)據(jù)轉發(fā)表中。而網(wǎng)絡處理模塊NPM就是根據(jù)這張表中的信息，確定轉發(fā)數(shù)據(jù)到某安全應用的具體哪一塊APM上。這樣就實現(xiàn)了安全應用的負載均衡，而并不需要額外的網(wǎng)絡資源，也不需要該安全應用本身支持負載均衡功能或HA功能，也并不消耗APM的任何資源?？梢詫Ψ阑饓眠M行負載均衡，也可對防病毒應用進行負載均衡，對IDS/IPS、郵件安全、內網(wǎng)安全等，都是一樣可實現(xiàn)負載均衡。在X系列上，安全應用處理模塊APM模塊是完全相同的。每塊APM均可運行不同的安全應用。各種安全引擎已經(jīng)被預先裝在了X設備的系統(tǒng)中，在系統(tǒng)的控制下，APM在不同時間可運行不同的安全應用。這一特性可帶來很大的系統(tǒng)靈活性及可靠性。在可靠性方面，可實現(xiàn)獨有的“N+1”備份技術。見下圖示例。在這張圖的典型配置下，我們在X設備中配置了3塊APM作為防火墻，另3塊APM作為IDS，均是負載均衡狀態(tài)，共6塊APM模塊。這時，我們可另配置1塊APM模塊，作為這6塊APM模塊的備份模塊，而不需要每種應用都配置備份模塊。即“N+1”的備份?！癗+1”假設IDS負載均衡組中的某APM模塊出現(xiàn)故障，這時，首先，NPM將立即將這塊APM處理的任務轉發(fā)到另2塊IDSAPM處理；然后，CPM將備份APM的IDS功能通過license激活，備份APM這時就變成了IDS負載均衡組中的一塊APM，NPM也開始轉發(fā)IDS處理數(shù)據(jù)流量給這塊APM?！癗+1”另外，該特性還可實現(xiàn)在不同的時間APM運行不同的安全應用?？筛鶕?jù)在不同時間數(shù)據(jù)流量的不同特點靈活的配置各APM的使用。如，在晚上，當WEB訪問流量較多時，而郵件相對較少，我們這時可配置系統(tǒng)在晚上把某些或某個郵件保護的APM模塊切換成URL過濾模塊。這可實現(xiàn)系統(tǒng)很高的靈活性。4.2.7VPN功能支持賣方提供的設備應提供VPN功能支持，基本要求包括：提供的防火墻應具有虛擬專用網(wǎng)（VPN）功能，可以實現(xiàn)網(wǎng)關到網(wǎng)關和客戶端到網(wǎng)關兩種方式。應支持IPSECVPN功能。答：滿足要求。CheckPoint/Crossbeam防火墻集成了訪問控制、認證和加密以確保網(wǎng)絡連接的安全性、本地和遠程用戶的可靠性以及數(shù)據(jù)通信的私有性和完整性。目前可以實現(xiàn)三種協(xié)議的VPN，包括IPSec、L2TP、SSL。其中IPSec支持多種VPN模式，主要包括：(1)Site-to-site主要用于網(wǎng)絡與網(wǎng)絡之間進行VPN連接，常用于與合作公司、第三方伙伴之間的連接。在site-to-site的VPN當中，又可細分為兩種結構：Starmode(星狀結構)：星狀結構中所有VPN設備匯聚于中心VPN設備中，各個VPN設備之間的VPN建立，需要先與中心的VPN建立通道，由中心VPN設備進行VPN路由。星狀結構常用于總部與各分支機構之間實現(xiàn)VPN。Meshedmode(網(wǎng)狀結構)：網(wǎng)狀結構中所有的VPN設備之間直接相連，互相之間建立起VPN通道，不存在中心VPN設備。(2)Client-to-site用于移動用戶的接入，用戶在機器上安裝了客戶端軟件后，可通過拔號、ADSL、寬帶等方式與公司之間的防火墻建立起VPN通道。提供的防火墻支持全網(wǎng)狀或星形VPN拓撲，并支持VPN路由功能答：滿足要求CheckPoint/Corssbeam防火墻支持全網(wǎng)狀或星形VPN拓撲，并支持VPN路由功能。提供的防火墻擁有內置CA答：滿足要求CheckPoint/Crossbeam防火墻內置CA。設備應支持AES,3DES,DES等加密算法和MD5，SHA1等驗證算法。答：滿足要求。CheckPoint/Crossbeam設備支持AES,3DES,DES等加密算法和MD5，SHA1等驗證算法4.2.8兼容性要求賣方提供的設備應能夠與OPSEC組織的第三方安全產品進行很好的聯(lián)動，最大限度的提高整個系統(tǒng)的安全性，請詳細說明兼容的主要產品。答：滿足要求CheckPoint和Crossbeam是OPSEC的主要成員，X40防火墻系統(tǒng)能夠支持所有的OPSEC成員的安全產品，其中包括：入侵檢測，防病毒，內容過濾等多種安全產品的聯(lián)動。如在IDS/IPS方面可以和ISS、SourceFire等廠商產品合作；在防病毒方面可以和趨勢科技的產品合作；在郵件過濾上可以同趨勢科技和Aladdin的產品合作；在URL過濾上可以和websense、smartfilter的產品合作。賣方應詳細說明所提供設備對其他廠商產品（包括網(wǎng)絡設備、主機系統(tǒng)）的互連互通能力。答：滿足要求支持所有主流的網(wǎng)絡設備、主要系統(tǒng)廠家。4.3環(huán)境要求設備要在下列環(huán)境下能夠保證長期正常工作：環(huán)境溫度：5℃～相對濕度：30％～80％賣方應說明設備升級前后對環(huán)境的要求是否有變化。答：滿足要求。設備升級前后對環(huán)境的要求無變化。4.4電源要求設備應能在下列供電變化范圍內正常工作：直流：－40V～－57V；交流：～220V10％，50Hz5％。賣方應說明設備升級前后對電源的要求是否有變化。本工程提供的供電方式為直流。答：滿足要求。設備升級前后對電源的要求無變化。本次提供的設備可以根據(jù)用戶要求選配直流或交流電源。5.2配置要求賣方應按照各附表設備配置要求進行設備配置，給出設備配置說明(解釋各項配置的組成說明和作用)。答：滿足要求。集中管理服務器配置產品軟件/硬件說明CPPWR-SC-U軟件集中管理服務器軟件CPFW-FSS-1軟件單機防火墻以保護集中管理服務器PC服務器硬件作為集中管理服務器軟件承載平臺，建議使用至強CPU，4G內存，100G以上硬盤可管理安全服務設備配置產品軟件/硬件說明CPPWR-VSX-10軟件虛擬防火墻模塊，可以支持10個虛擬防火墻CrossbeamX40硬件由以下四個部分組成X40-DCX40DC機架,雙電源.可以支持2個NPM,10個APM,2個CPMs.CPM-8100-80GCPM控制處理模塊(ControlProcessingModule)NPM-8200-8G網(wǎng)絡處理模塊.帶8個千兆接口APM-8400-1P4-1G應用處理模塊.APM-8400.4Gbps防火墻吞吐量端點安全服務器配置產品軟件/硬件說明CPIS-IAS-1軟件客戶端集中管理服務器軟件，可以提供多域和層次化管理功能CPIS-IEPS-1000軟件客戶端許可，可以提供PC防火墻，PC入侵防范，PC應用安全，PC間諜軟件防范功能PC服務器硬件作為客戶端集中管理服務器軟件承載平臺，建議使用雙至強CPU2.0Ghz以上，4G內存，100G以上硬盤賣方的所有配置方案應保證設備運行所必須提供的電源模塊、主控模塊等主要部件的冗余配置并對模塊進行單獨報價和說明。答：滿足要求。賣方可以提出多種配置方案與相應的報價供買方參考，具體選擇由買方確定，賣方應保證各種優(yōu)惠條件和價格折扣保持不變。答：滿足要求。賣方應根據(jù)配置要求，結合現(xiàn)有網(wǎng)絡設備的配置情況作出相應位置安排(包括割接過渡狀態(tài))，并分析對割接是否有影響。答：滿足要求。因為是旁掛部署，割接時對當前網(wǎng)絡無影響。賣方應保證設備配置的品種、數(shù)量準確無誤，保證工程如期順利進行，如有錯漏，由賣方無償補足。答：滿足要求。賣方在本工程新增設備保修期外可應買方要求以不高于本次實際成交價提供備件。答：滿足要求。若買方最終確定的設備配置內容和數(shù)量有所變化，賣方應保證各種優(yōu)惠條件和價格折扣保持不變。答：滿足要求。第二章.總體技術方案建議書2.1前言2.1.1背景隨著計算機網(wǎng)絡的發(fā)展，其開放性，共享性，互連程度擴大，網(wǎng)絡的重要性和對社會的影響也越來越大。城域網(wǎng)作為城市主要的數(shù)據(jù)業(yè)務承載網(wǎng)絡，特別是電子商務（E-Commerce）、企業(yè)數(shù)據(jù)專線、網(wǎng)絡互聯(lián)、虛擬專用網(wǎng)（VPN）、Internet接入服務等應用在社會經(jīng)濟生活的地位日益凸現(xiàn)。網(wǎng)絡的安全性直接影響到社會的經(jīng)濟效益。例如，2003年1月份的SQL殺手蠕蟲事件，中國有兩萬多臺數(shù)據(jù)庫服務器受到影響，使國內主要骨干網(wǎng)全部處于癱瘓或半癱瘓狀態(tài)；2003年8月份的沖擊波蠕蟲，使成千上萬的用戶計算機變慢，被感染的計算機反復重啟，有的還導致了系統(tǒng)崩潰，受到“沖擊波”病毒感染的計算機反過來又會影響到網(wǎng)絡的正常運行。隨著網(wǎng)絡安全問題重要性增加，如何保證城域網(wǎng)安全，應對日益增多的網(wǎng)絡攻擊、病毒破壞和黑客入侵等問題已成為城域網(wǎng)建設和運營所關注的重點。方案構成本方案是針對2006年中國網(wǎng)通河北IP城域網(wǎng)擴建一期工程可管理安全服務設備項目而提出的網(wǎng)絡安全解決方案，當前階段集中在CheckPoint/Crossbeam防火墻部署和CheckPointIntegrity端點安全部署的技術方案，可針對系統(tǒng)安全的訪問控制、網(wǎng)絡攻擊、蠕蟲傳播等方面提供相應的防范。我們有理由相信，有了我們構建的優(yōu)秀網(wǎng)絡安全系統(tǒng)，加之我們?yōu)槟钌系娜轿坏闹艿椒?，您的網(wǎng)絡一定會變得安全而高效，您的事業(yè)也一定會因此而取得巨大的成功。2.2河北網(wǎng)通IP城域網(wǎng)擴建一期工程可管理安全服務設備項目方案建議2.2.1城域網(wǎng)安全分析2.2.1（1）網(wǎng)絡結構河北省共有11個地市,目前IP骨干網(wǎng)以石家莊和唐山為雙核心，各2臺思科公司GSR12816，分別通過2.5GPOS鏈路連接其他9個地市的GSR12016和GSR12012上，各地市的思科公司GSR路由器作為各自IP城域網(wǎng)與IP骨干網(wǎng)的接口，與集團IP網(wǎng)通過4條10GPOS互連。各市分公司城域網(wǎng)建設在規(guī)模和業(yè)務發(fā)展水平上略有不同，但從物理結構看，從上到下分為三層：核心層、匯聚層和接入層。網(wǎng)絡構架大體相同，其中：核心層：大型網(wǎng)絡一般由3-4個核心節(jié)點、中小型網(wǎng)絡一般采用2-3個核心節(jié)點經(jīng)GE鏈路以網(wǎng)狀或半網(wǎng)狀結構組成。匯聚層網(wǎng)絡由寬帶接入服務器和匯聚層交換機組成。寬帶接入服務器布放置匯聚層端局，匯聚層交換機覆蓋全省所有縣局和市內端局。核心層主要實現(xiàn)業(yè)務量的快速轉發(fā)，具備較強的路由控制；匯聚層主要進行大量接入層設備的匯聚收斂；接入層主要以ADSL和小區(qū)以太網(wǎng)為主，擴大業(yè)務覆蓋范圍。接入層設備以二層或三層方式上連到匯聚層。如果接入層設備有路由功能，則匯聚層交換機與這些接入層設備之間跑三層，運行靜態(tài)路由協(xié)議，用戶的網(wǎng)關在接入層設備上。如接入層二層交換機需要接入兩個或兩個以上的VLAN時，以802.1Q的TRUNK方式上連匯聚層交換機，用戶的網(wǎng)關在匯聚層設備上。IPDSLAM以802.1Q的TRUNK方式上連匯聚層交換機，一個VLAN用于PPPoE用戶VLAN穿透，另一個VLAN用于和匯聚層交換機直接運行靜態(tài)路由協(xié)議。（2）網(wǎng)絡業(yè)務IP網(wǎng)的業(yè)務目前主要可以分為：互聯(lián)網(wǎng)訪問(主要通過XDSL、光纖＋LAN接入);IPVPN，VLANVPN(主要通過光纖＋LAN接入);VPDN(主要通過NAS或XDSL接入);MPLSVPN(主要通過光纖＋LAN、和ADSL接入);本地VoD服務(主要通過IDC機房的接入交換機);本地游戲服務(主要通過IDC機房的接入交換機);省公司IDC業(yè)務;未來可能承載的業(yè)務包括：VoIP語音服務、IP/TV視頻服務、3G、NGN等其它業(yè)務。2.2.1對于網(wǎng)絡運營商而言，城域網(wǎng)包括基礎承載網(wǎng)絡和業(yè)務管理平臺。城域承載網(wǎng)是城域網(wǎng)業(yè)務接入、匯聚和交換的物理核心網(wǎng)，它由核心交換層、匯聚層、綜合接入層構成。業(yè)務管理平臺由業(yè)務支撐平臺、網(wǎng)管平臺、認證計費平臺等組成。安全模型將城域網(wǎng)分成三個區(qū)域：信任域、非信任域和隔離區(qū)域。信任域是運營商的基礎網(wǎng)絡，通常采用防火墻等設備與電信業(yè)務網(wǎng)隔離，包括網(wǎng)管平臺、智能業(yè)務平臺、認證平臺等設備；隔離區(qū)域是信任域和非信任域之間進行數(shù)據(jù)交互的平臺，包括電信運營商提供的各種業(yè)務平臺，如Web服務平臺、FTP服務器、用戶查詢平臺、Mail服務器等；非信任域是運營商面對客戶的基礎網(wǎng)絡，它直接提供用戶的接入和業(yè)務，同時也是Internet網(wǎng)絡的一部分，包括基礎用戶接入、數(shù)據(jù)交換、媒體網(wǎng)關等設備，是運營商不能完全控制的網(wǎng)絡。非信任域的基礎網(wǎng)絡是信息傳輸?shù)幕A，在城域網(wǎng)中起著至關重要的作用，作為安全模型中的非信任域，需要重點考慮。（1）安全威脅（A）網(wǎng)外黑客對網(wǎng)內服務器，用戶和設備的攻擊（B）網(wǎng)內染毒用戶，病毒爆發(fā)帶來的帶寬占用，各種DDoS攻擊造成網(wǎng)絡全面或局部業(yè)務癱瘓（C）運營商核心信息竊取和篡改（2）脆弱性（A）網(wǎng)絡規(guī)模大，用戶數(shù)量多，設備多樣復雜（B）用戶行為幾乎不可控（C）網(wǎng)絡主體信任度低（3）影響（A）城域網(wǎng)運營業(yè)務，影響大（B）所有城域網(wǎng)用戶群，影響面廣2.2.2本期實現(xiàn)對河北網(wǎng)通IP城域網(wǎng)面向客戶的可管理安全服務的支撐，其主要對象是大、中客戶和有安全需求的終端客戶。應實現(xiàn)基本的基于應用的狀態(tài)檢測過濾等功能。并基于此構建IP網(wǎng)安全策略，為以后拓展為面向公眾的系統(tǒng)化的安全平臺奠定基礎。應實現(xiàn)IP網(wǎng)絡框架中智能業(yè)務網(wǎng)絡要求的安全功能。應是電信運營級的可管理安全平臺系統(tǒng)。2.2.3鑒于安全系統(tǒng)的重要作用，網(wǎng)絡系統(tǒng)設計必須既適應當前應用，又面向未來信息化發(fā)展的需求。在設計網(wǎng)絡技術方案時，遵循以下設計原則：實用性和先進性：采用當前最先進的計算機、通信、網(wǎng)絡和安全技術，切實保證系統(tǒng)結構和性能的先進性、技術的領先性，采用成熟的技術滿足當前的業(yè)務需求，兼顧其他相關的業(yè)務需求，并具有良好的發(fā)展?jié)摿?，以適應未來業(yè)務的發(fā)展和技術升級的需要。安全可靠性：為保證將來的業(yè)務應用，系統(tǒng)必須具有高可靠性。在采用硬件備份、冗余等可靠性技術的基礎上，采用相關的軟件技術提供較強的管理機制、控制手段、事故監(jiān)控和網(wǎng)絡安全保密等技術措施提高網(wǎng)絡系統(tǒng)的安全可靠性。靈活性與可擴展性：安全系統(tǒng)是一個不斷發(fā)展的系統(tǒng)，所以必須具有良好的擴展性。該系統(tǒng)應與原有系統(tǒng)有機結合，并進一步成為系統(tǒng)改造、擴展的有效基礎，能夠根據(jù)將來信息化建設不斷深入發(fā)展的需要，擴大網(wǎng)絡容量和提高網(wǎng)絡各層次節(jié)點的功能，提供技術升級、設備更新的靈活性。開放性/互連性：具備與多種協(xié)議計算機通信網(wǎng)絡互連互通的特性，確保網(wǎng)絡系統(tǒng)基礎設施的作用可以充分發(fā)揮。在結構上真正實現(xiàn)開放，基于國際開放式標準，堅持全國統(tǒng)一規(guī)范的原則，從而為未來的業(yè)務發(fā)展奠定基礎。經(jīng)濟性/投資保護：應以較高的性能價格比構建安全系統(tǒng)，使資金的產出投入比達到最大值。能以較低的成本、較少的人員投入來維持系統(tǒng)運轉，提供高效能與高效益。盡可能保留并延長已有系統(tǒng)的投資，充分利用以往在資金與技術方面的投入?？晒芾硇裕河捎谙到y(tǒng)本身具有一定復雜性，隨著業(yè)務的不斷發(fā)展，安全管理的任務必定會日益繁重。所以在網(wǎng)絡的設計中，必須建立一個全面的網(wǎng)絡安全管理解決方案。安全設備必須采用智能化，可管理的設備，同時采用先進的管理軟件，實現(xiàn)先進的分布式管理。最終能夠監(jiān)控、監(jiān)測整個網(wǎng)絡的運行狀況，合理分配網(wǎng)絡資源、動態(tài)配置網(wǎng)絡負載、迅速確定網(wǎng)絡故障等。易用性:系統(tǒng)在使用上應盡量簡便。2.2.4本方案選擇CheckPoint/Crossbeam產品，因為：可以提供端到端的安全解決方案，提供靈活的體系結構支持最新的安全技術全球市場的領導者：36%防火墻市場分額(FrostandSullivan，2004年4月)提供一整套的安全解決方案，并把他們納入到統(tǒng)一安全架構中安全機制的開放框架—“開放安全平臺”有全球300多家合作伙伴，緊密的集成達到互操作核心技術采用真正的狀態(tài)監(jiān)測技術提供業(yè)界最優(yōu)異的集中管理功能，中央基于策略的管理簡單易用。日志和審計功能強大而簡便易用冗余電源、熱插拔接口卡提供電信級的高可靠性、高穩(wěn)定性通過專利的X-Stream提供業(yè)界一流的高可靠性和靈活性使用XOS安全路由操作系統(tǒng)，是目前業(yè)界安全漏洞最少的操作系統(tǒng)之一，并專門為安全應用設計優(yōu)化業(yè)界領先的防火墻性能，并支持硬件VPN加速廣泛的接口模塊選擇、良好的可擴展性操作系統(tǒng)專門為IP路由和轉發(fā)進行優(yōu)化，具備強大的路由能力，支持豐富的路由功能和協(xié)議運營級的可靠性，在單臺設備中即可達到99.9999%的可靠性2.2.5可管理安全服務設備部署根據(jù)本期工程的建設目標，我們設計的安全方案重點在于安全機制的建立和差異化業(yè)務的提供。通過部署安全產品，在城域網(wǎng)中建立安全機制，增加業(yè)務感知的能力，提供在必要時的控制手段。我們從兩個方面進行考慮。一方面，運營商80%的收入來自于20%的重要客戶。如何保障重要客戶的安全，為其提供更好的服務，從而使重要客戶放心的將重要應用通過城域網(wǎng)承載，進而增加運營商的收入，這是一個對運營商來說非常重要的問題。另一方面，最終用戶不可控，這是城域網(wǎng)所面對的一個挑戰(zhàn)。只有確保了終端用戶的安全，才能在很大程度上緩解城域網(wǎng)的安全威脅。所實施的安全方案應具有投入合理，易于管理，可以同時結合多種安全防護手段等特點。在重要客戶接入的匯聚層設備上并聯(lián)可以提供虛擬防火墻功能的CheckPoint/Crossbeam安全設備。選擇部署防火墻，因為防火墻是網(wǎng)絡安全架構的基礎。在ISO/IEC18028-2網(wǎng)絡安全架構的描述中，提出了10種安全控制手段，其中訪問控制被列在第一位，由此可以看到訪問控制的重要性。而防火墻恰好是進行訪問控制的工具。防火墻就好比是家中的入戶門，盡管可以有其他的安全手段，如窗戶上加裝防護欄，安裝攝像頭等，但如果沒有入戶門，任何人均可隨意出入，那么其他控制手段形同虛設。在網(wǎng)絡中也是如此，可以部署防病毒，IDS，但如果沒有防火墻，資源可以被任意訪問，資產仍是無法得到保護。所以此次先部署防火墻，今后在此基礎上，可以部署其他安全控制手段。防火墻可以部署在用戶端也可以部署在服務供應商一側。如部署在用戶端，設備數(shù)量會很多，投入巨大，且由于設備分散，管理起來也不方便。部署在服務供應商一側，管理方便。由于本次推薦的設備支持虛擬防火墻技術，可以在一個硬件平臺上虛擬出多個防火墻，每個虛擬防火墻可以為一個或多個用戶提供安全服務。這樣可以節(jié)約設備成本，并盡可能多的為匯聚到此點的重要接入用戶提供服務。在技術實現(xiàn)上，首先由匯聚層設備根據(jù)源地址區(qū)分客戶是否需要安全保護，無需保護的客戶直接到核心層，需要保護的客戶轉發(fā)到可以提供虛擬防火墻功能的安全設備，與某一個虛擬防火墻關聯(lián)，由防火墻提供安全保護。防火墻不僅要能對重要客戶數(shù)據(jù)的網(wǎng)絡層和傳輸層進行保護，更重要的是可以在應用層為用戶提供安全屏障，防范最新的攻擊，從而減少存在于城域網(wǎng)的安全威脅，使用戶可以安心在城域網(wǎng)上開展業(yè)務。由于在一個點可以為很多用戶提供安全保護，運營商在這里還可以提供其他一些安全增值服務，例如URL過濾，針對特定用戶的防病毒，報表統(tǒng)計等。因為在城域網(wǎng)范圍內這樣的點可能很多，采用的安全產品一定要具有中央管理功能，包括集中策略管理，集中日志分析，集中報表生成，集中攻擊代碼升級等，這樣才能最大限度的減少管理員的工作量，從而提高可靠性。(1)網(wǎng)絡拓撲（2）非重要客戶訪問互聯(lián)網(wǎng)流程步驟1：客戶A數(shù)據(jù)包通過接入層設備到達匯聚層設備A步驟2：匯聚層設備A進行策略路由選擇，判斷客戶A為非重要客戶，數(shù)據(jù)包不會被送到并聯(lián)的安全設備，按照原來工作方式處理步驟3：匯聚層設備A將客戶A數(shù)據(jù)包送往核心層設備A返回數(shù)據(jù)按照原來工作方式處理針對此類客戶的處理與未連接安全設備之前一致，安全設備對此類用戶不起作用。（3）選擇安全服務的重要客戶訪問互聯(lián)網(wǎng)流程步驟1：客戶B數(shù)據(jù)包通過接入層設備到達匯聚層設備A步驟2：匯聚層設備A進行策略路由選擇，判斷客戶B為重要客戶步驟3：匯聚層設備A將客戶B的數(shù)據(jù)包送往安全設備步驟4：安全設備將數(shù)據(jù)包送往對應的虛擬防火墻進行訪問控制，攻擊防護步驟5：安全設備將數(shù)據(jù)包送回匯聚層設備A（安全設備路由下一跳為核心層設備A）步驟6：匯聚層設備A將數(shù)據(jù)包通過物理鏈路發(fā)送到核心層設備A客戶B返回數(shù)據(jù)包需要在核心層設備A上添加靜態(tài)路由，指向安全設備如安全設備出現(xiàn)故障，旁路安全設備只需在匯聚層設備A上去除策略路由，在核心層設備A上去除指向安全設備的靜態(tài)路由。針對此類用戶可以通過安全設備提供安全增值服務，包括訪問控制，入侵檢測和防范，日志分析，報表，防病毒，URL過濾等。某些使用MPLS的客戶需要訪問互聯(lián)網(wǎng)，傳統(tǒng)的方式是在每一個客戶的網(wǎng)絡出口放置防火墻，這樣做防火墻數(shù)量會很多，投入大，由于地點分散，安全管理的復雜度增大。建議可以在某一個PE上并聯(lián)可以提供虛擬防火墻功能的安全設備。需要支持虛擬防火墻技術，主要可以節(jié)約設備成本，并盡可能多的為用戶提供服務。在技術實現(xiàn)上，需要此種服務的客戶通過MPLS與連接有安全設備的PE相連。連接有安全設備的PE將MPLS包解除標簽，還原的數(shù)據(jù)包被送到可以提供虛擬防火墻功能的安全設備（相當于CE），與某一個虛擬防火墻關聯(lián)，由防火墻提供安全保護。防火墻不僅要能對重要客戶數(shù)據(jù)的網(wǎng)絡層和傳輸層進行保護，更重要的是可以在應用層對用戶提供安全屏障，防范最新的安全威脅。由于在一個點可以為很多用戶提供安全保護，運營商在這里還可以提供其他一些安全服務，例如URL過濾，針對特定用戶的防病毒，報表統(tǒng)計等。采用的安全產品一定要具有中央管理功能，包括集中策略管理，集中日志分析，集中報表生成，集中攻擊代碼升級等，這樣才能最大限度的減少管理員的工作量，從而提高可靠性。（1）MPLS客戶內部訪問步驟1：客戶A的場點1要訪問場點2，通過CE-1連接到PE-1步驟2：數(shù)據(jù)通過MPLS隧道從PE-1到達PE-2步驟3：通過CE-2到達場點2此種應用與安全設備無關（2）MPLS用戶需要訪問互聯(lián)網(wǎng)步驟1：客戶A從場點1訪問互聯(lián)網(wǎng)，首先到達PE-1步驟2：數(shù)據(jù)包通過MPLS隧道從PE-1到達連接有安全設備的PE-2步驟3：PE-2將MPLS包解除標簽步驟4：PE-2將還原的包送給安全設備（相當于CE）步驟5：安全設備將數(shù)據(jù)包關聯(lián)到相關虛擬防火墻步驟6：虛擬防火墻將數(shù)據(jù)包作地址轉換送到核心層設備訪問互聯(lián)網(wǎng)，本圖中通過匯聚層設備PE-2上聯(lián)步驟7：匯聚層設備PE-2將數(shù)據(jù)包送到核心層設備返回數(shù)據(jù)包需要在核心層設備A上添加靜態(tài)路由，指向安全設備方案三為終端用戶提供管理安全服務最終用戶不可控，這是城域網(wǎng)所面對的一個挑戰(zhàn)。只有確保了終端用戶的安全，才能在很大程度上緩解城域網(wǎng)的安全威脅。在此提供一個方案建議，運營商可以為愿意享有安全服務的最終用戶提供端點安全產品的下載，一旦用戶下載了端點安全產品，可以享受到端點的安全保護，包括訪問控制，應用控制，間諜軟件防護等安全保護。安全策略由運營商制定，安全升級由運營商提供。用戶得到了安全保護，運營商獲得了收入，控制了終端，凈化了網(wǎng)絡流量，同時可以吸引更多的用戶使用網(wǎng)絡。端點安全產品部署步驟1：用戶從運營商購買服務并下載客戶端軟件步驟2：用戶連接到運營商網(wǎng)絡，通過認證步驟3：運營商認證服務器識別用戶，如用戶為購買安全服務用戶，則通過接入設備分配特定IP地址步驟4：端點安全中央管理服務器針對特定用戶的IP部屬安全策略，提供安全防護，攻擊防護，間諜軟件防護，保護客戶端此種部署，可以保護客戶端安全，同時可以在必要時對客戶端的某些應用進行限制，從而保護運營商網(wǎng)絡。2.2.6運營商管理著大量設備，如果沒有統(tǒng)一集中的安全管理，就無法及時了解網(wǎng)絡的運行狀況，并及時應對突發(fā)事件。本方案推薦的CheckPoint/Crossbeam產品具有統(tǒng)一集中安全管理能力，采用三層管理構架，最下面是安全的執(zhí)行點（設備），中間是管理服務器，最上面是管理客戶端。管理員可以通過管理客戶端在管理服務器上制定安全策略，統(tǒng)一下發(fā)到各個執(zhí)行點，從而確保了各個執(zhí)行點的安全策略的一致性，同時此種方式也可以避免單點管理帶給管理員的管理負擔。CheckPoint所追求的就是簡單的安全管理，為此它推出了集中化的管理界面，遠程許可證管理工具，一鍵VPN技術等等，所有這些都是為了簡化操作，降低誤操作幾率，節(jié)省人力和物力。同時此種集中管理方式對于安全的應變能力更強。例如管理員同時管理10臺防火墻，如果已經(jīng)知道某些蠕蟲將入侵網(wǎng)絡，在CheckPoint管理體系中，只需制訂一條安全策略，然后同時下發(fā)給10臺防火墻就可以了；而在單點管理的管理體系中，必須一臺一臺的修改策略，可能在改到第五臺時，第六臺以后的防火墻已經(jīng)被突破了，從而造成用戶的損失。CheckPoint可以提供統(tǒng)一安全架構，因此CheckPoint的端點安全服務器也可以通過防火墻的集中管理服務器來管理。2.2.7（1）資金投入小防火墻可以部署在用戶端也可以部署在服務供應商一側。如部署在用戶端，設備數(shù)量會很多，投入巨大，且由于設備分散，管理起來也不方便。部署在服務供應商一側，管理方便。由于本次推薦的設備支持虛擬防火墻技術，可以在一個硬件平臺上虛擬出多個防火墻，每個虛擬防火墻可以為一個或多個用戶提供安全服務。這樣可以節(jié)約設備成本，并盡可能多的為匯聚到此點的重要接入用戶提供服務。（2）安全性高本次推薦的CheckPoint防火墻是全球市場占有率最高的防火墻產品，它采用了很多擁有專利的安全技術，可以最大限度的保護網(wǎng)絡資源。狀態(tài)監(jiān)測技術從技術發(fā)展的角度來講，防火墻歷經(jīng)了三代。第一代為包過濾防火墻，優(yōu)點是速度快，價格便宜，因為路由器通過訪問控制列表即可實現(xiàn)相關功能；缺點是只能檢查到網(wǎng)絡層以下，沒有應用層的感知，安全性較差。第二代防火墻為應用級網(wǎng)關，優(yōu)點是安全性好，對數(shù)據(jù)包要拆開七層進行檢查；缺點是性能差和擴展性差。第三代防火墻為采用狀態(tài)監(jiān)測技術的防火墻，它對數(shù)據(jù)報的檢查，不僅基于當前連接，還要考慮以前的連接以及得自于應用的信息，根據(jù)上下文關系，來做出綜合判斷，從而保證安全性。狀態(tài)監(jiān)測模塊位于協(xié)議堆棧的底層，操作系統(tǒng)的內核之中，因而伸縮性強，而且速度快。在當今市場上，超過90%的防火墻聲稱自己采用了狀態(tài)監(jiān)測技術，由此可見，此項技術為最主流的防火墻技術。狀態(tài)監(jiān)測技術是CheckPoint發(fā)明的，至今仍持有此項技術的專利。應用智能技術大部分防火墻提供了有效的訪問控制，但是仍有許多還不能支持應用級的攻擊檢測和阻隔。認識到這個事實后，電腦黑客們現(xiàn)在將他們的目標直指應用程序。今天，互聯(lián)網(wǎng)環(huán)境中的一些最嚴重的威脅來自于那些利用已知應用程序缺陷的攻擊。黑客們最感興趣的是像HTTP（TCP端口80）和HTTPS（TCP端口443）這樣的服務，通常這些服務在許多網(wǎng)絡中是開放的。訪問控制裝置不能輕易檢測到面向這些服務的惡意使用。通過直接面向應用程序，黑客們試圖獲得至少以下一種惡意目標，包括：?拒絕對合法用戶的服務（DoS攻擊）?獲得對服務器或客戶端的管理訪問權?獲得對后端信息數(shù)據(jù)庫的訪問權?安裝特洛伊木馬軟件，可繞過安全保護并能夠對應用程序進行訪問?在服務器上安裝運行于“sniffer（網(wǎng)絡探針）”模式的軟件，并獲取用戶名和密碼由于基于應用的攻擊本身很復雜，有效的防衛(wèi)必須也同樣復雜和智能。為了解決基于應用攻擊日益增強的威脅，企業(yè)防火墻必須包含高級別的多層安全防護。這種多層安全網(wǎng)關應該防止網(wǎng)絡及應用攻擊，同時提供對IT資源強大的訪問控制。CheckPointApplicationIntelligence?（應用智能）是一組高級功能，能夠檢測和阻止應用級攻擊（3）集中安全管理本方案推薦的CheckPoint/Crossbeam產品具有統(tǒng)一集中安全管理能力，采用三層管理構架，最下面是安全的執(zhí)行點（設備），中間是管理服務器，最上面是管理客戶端。管理員可以通過管理客戶端在管理服務器上制定安全策略，統(tǒng)一下發(fā)到各個執(zhí)行點，從而確保了各個執(zhí)行點的安全策略的一致性，此種方式也可以避免單點管理帶給管理員的管理負擔。同時此種集中管理方式可以對安全事件作出快速響應，加強運營商對網(wǎng)絡安全的控制能力。由于CheckPoint可以提供統(tǒng)一安全架構，因此CheckPoint的端點安全服務器也可以通過防火墻的集中管理服務器來管理。（4）高可靠性和高可用性CheckPoint/Crossbeam提供的是新一代的運營商級的安全設備，X系列平臺為全冗余架構，無源背板，全交叉總線，最多4個獨立進線的電源模塊，冗余風扇，冗余網(wǎng)絡模塊，冗余安全應用模塊，冗余管理控制模塊，甚至細化到每個網(wǎng)絡端口均可定義其備份端口，實現(xiàn)了網(wǎng)絡端口的冗余，整個設備無單一故障點，能夠提供高達99.9999%的高可靠性。同時X系列設備所有的模塊均可熱插拔。X系列設備除了可提供傳統(tǒng)的雙機熱備功能外，還提供獨有的“單機高可用性”技術，即在單臺X設備上，可提供極高的可用性，整個設備無單一故障點，包括電源、風扇、所有模塊、網(wǎng)絡端口、內部操作系統(tǒng)、內部應用系統(tǒng)等，均有備份，可用做到6個9的高可用（5）可以提供多種安全增值服務在CheckPoint/CrossbeamX系列設備上，可同時運行多種安全應用，包括：防火墻：虛擬防火墻：IDS/IPS數(shù)據(jù)庫保護：其他還有防病毒、URL過濾等。未來新出現(xiàn)的安全需求，也可簡單的通過增加模塊實現(xiàn)。此種設計非常便于服務供應商根據(jù)用戶需求不斷增加新業(yè)務，從而增加收入。（6）良好的適應性和擴展性本次推薦的方案中將CheckPoint/Crossbeam設備旁掛在匯聚層設備邊上，無須改變原來網(wǎng)絡的拓撲結構。對于需要進行安全檢查和保護的流量，只需在匯聚層設備上添加策略路由，在核心層設備上添加回程靜態(tài)路由。如需屏蔽安全設備，無須改變網(wǎng)絡連線，只須去除匯聚層設備的策略路由和核心層設備上的回程靜態(tài)路由即可。方案同樣擁有良好的擴展性。安全應用的擴展：安全應用可隨著需求的產生而靈活擴展。如初始配置，X系列設備可只配置防火墻功能，當未來有需求時，可根據(jù)需求靈活的增加IDS、IPS、數(shù)據(jù)庫保護、XML應用保護等安全功能。而對安全應用功能的增加僅需要在原有設備上增加一個模塊即可，對原有的網(wǎng)絡結構沒有任何改動，非常方便。性能的擴展：隨著用戶網(wǎng)絡的發(fā)展，當某應用的性能不能夠滿足新的需求時，可簡單的增加一個模塊即可，X系列設備可自動實現(xiàn)新增加的模塊與原有模塊工作于負載均衡模式，同樣對原有的網(wǎng)絡結構沒有任何改動，非常方便。端口擴展：X系列的端口數(shù)也可隨著應用需求的增長而增長。每增加一塊網(wǎng)絡模塊，即可增加8個千兆或16個百兆端口。千兆端口的接口類型可以為RJ-45、多模光纖或單模光纖。（7）全面的安全防護本次提供的方案既考慮了大中客戶，也考慮了端點，提供組合的安全保障，為城域網(wǎng)提供了有效的安全控制手段。2.2.8（1）CheckPointVSX虛擬防火墻產品介紹VPN-1VSX是一種高速、多策略虛擬安全解決方案?；诮?jīng)過實踐證明的安全解決方案，VSX可以為復雜基礎架構中的多個網(wǎng)絡提供綜合全面的保護，幫助它們安全的連接到互聯(lián)網(wǎng)和DMZ等共享的資源，并且實現(xiàn)了在提供集中管理的同時允許它們之間進行安全互動。VSX網(wǎng)關利用一臺硬件設備就可以幫助各單位創(chuàng)建一個包括路由器、交換機和VPN-1網(wǎng)關的復雜、虛擬的網(wǎng)絡。這種解決方案替換和改造負責安全保護和聯(lián)網(wǎng)的物理設備，減少了為整個網(wǎng)絡提供安全保障所需的硬件投入。目前，只有VSX提供的平臺才實現(xiàn)了高可擴展性、虛擬化網(wǎng)絡，以及可以被輕松部署和管理的安全服務。可擴展的虛擬架構VSX由多個虛擬安全系統(tǒng)組成，其中每個系統(tǒng)都是市場領先的VPN-1網(wǎng)關的完整