河北城域网技术规范书草稿样本.doc

资源描述

1、中国网通河北IP城域网扩建一期工程可管理安全服务设备技术规范书-6-12第一章工程技术规范书点对点应答此次所提供全部方案及各项设备和系统(包含软、硬件)符合以下技术标准：（1） ISO27001：信息技术安全技术信息安全管理体系要求；（2） ISO/IEC FDIS 17799:(E):信息技术安全技术信息安全管理代码实践；（3） ISO/IEC 18028-2:(E)：信息技术安全技术IT网络安全；（4） ISO/IEC TR 13335：信息技术 IT安全管理指南；（5）中国通信行业标准YD/T 1163-IP网络安全技术要求安全框架；（6）中国通信行业标准YD/T 1132- 防火

2、墙设备技术要求；（7）中国网络通信集团企业IP网发展计划；（8） IP城域网计划建设指导标准（北方分册）；（9）河北网通互联网网络优化指导意见；（10）中国网通网络技术转型和演进若干意见；（11）网通集团IP网络优化和维护指导意见；（12）河北省分企业数据专业产品供货商及产品立案表；以下根据“中国网通河北IP城域网扩建一期工程可管理安全服务设备技术规范书”章节进行点对点应答。3.5设备基础配置要求3.5.1卖方提供设备应满足下列基础配置要求：（1）设备应为能够满足本技术规范要求完整软、硬件系统，集成性好，便于机架式安装；答：满足要求。本项目提供Check Point/Crossbe

3、am设备为满足本技术规范完整软硬件系统，经过兼容性测试，能够无缝集成，设备为标准机架尺寸，便于机架式安装。（2）设备及接口电气特征应符合国际和国家相关标准。答：满足要求。本项目提供Check Point/Crossbeam设备设备及接口电气特征符合国际和国家相关标准。3.5.2基础性能及配置要求卖方提供单套设备系统应满足下列性能指标要求：l 吞吐量：大于4Gbps答：满足要求。本项目提供Check Point/Crossbeam X40配置最少可提供4Gbps吞吐量。l 最大并发连接数：大于50万答：满足要求。本项目提供Check Point/Crossbeam X40配置最少可提供50万并

4、发连接数。l 每秒新建连接数：大于3万答：满足要求。本项目提供Check Point/Crossbeam X40配置最少可提供3万每秒新建连接数。l 端口数：大于4个千兆光纤答：满足要求。本项目提供Check Point/Crossbeam X40配置可提供8个千兆光纤口。l 设备应提供专用带外管理端口答：满足要求。Check Point/Crossbeam X40提供了2个带外管理端口（10/100M Base-T）l 设备应提供专用日志端口答：满足要求。Check Point/Crossbeam X40提供了1个专用日志端口（10/100/1000M Base-T）l 处理时延：小于0.0

5、8s答：满足要求。Check Point/Crossbeam X40处理时延小于0.08s。3.5.3基础网络功效要求卖方提供单套设备系统应提供以下基础功效：（1）设备应支持静态路由和RIP、RIPII、OSPF等路由协议。答：满足要求。Check Point/Crossbeam X40支持RIP、RIPII及OSPF等路由协议。（2）设备应支持802.1Q VLAN。答：满足要求。Check Point/Crossbeam X40支持802.1Q VLAN。Check Point/Crossbeam X40防火墙全方面支持802.1Q 协议，经过使用Check Point/Crossbe

6、am X40防火墙能够有效对VLAN ID进行识别和支持，而且对不一样VLAN之间访问进行控制。（3）设备应支持对不一样VLAN间数据包阻隔。答：满足要求Check Point/Crossbeam X40防火墙对VLAN含有丰富控制功效，经过对Check Point/Crossbeam X40硬件防火墙设置，用户能够经过防火墙对属于不一样VLAN主机进行有效隔离，而且经过安全策略进行访问控制，保护不一样目标主机和网络安全。（4）设备应支持VLAN Trunk。答：满足要求Check Point/Crossbeam X40防火墙采取专用网络操作系统，支持802.1Q协议，防火墙能够识别VLA

7、N ID,支持VLAN Trunk网络流量经过防火墙。（5）设备应支持虚拟路由模式防火墙、虚拟透明模式防火墙，并支持此两种模式虚拟防火墙共存于同一个虚拟环境中。答：满足要求。Check Point/Crossbeam X40防火墙以以下方法工作在用户网络中：透明模式、路由模式、透明模式和路由模式同时工作。Check Point/Crossbeam X40支持此两种模式虚拟防火墙共存于同一个虚拟环境中。（6）单套系统支持最大虚拟防火墙数量应大于200个答：满足要求。Check Point/Crossbeam X40单台最高可支持250个虚拟防火墙。（7）设备应支持虚拟路由器和虚拟交换机功效

8、。答：满足要求。Check Point/Crossbeam X40支持虚拟路由器和虚拟交换机功效。4.1 通常技术要求4.1.1 硬件(1) 卖方提供全部设备必需是最新开发且最稳定可靠之产品，而且大规模在电信运行商环境应用成熟商用产品，并确保所提供产品数量、质量，尤其是接口兼容性。答：满足要求。Check Point/Crossbeam X40是最新开发而且最稳定可靠产品，已经在全球范围内很多大型电信运行商环境得到了成熟应用，包含美国南方贝尔、英国移动运行商O2、西班牙电信Telefonica、德国电信、美国移动运行商Verizon Wireless、澳大利亚电信Telstra等。在应用中，和

9、多种网络产品全部有很好兼容性。(2) 多种设备应采取功效分担、分布式多处理机结构。关键模块冗余度最少为1+1，易于扩容和维护。答：满足要求。在Check Point/Crossbeam X40设备中，各模块功效是分离，每种模块负责其各自功效，然后整个设备经过机架无源背板全交叉总线及Crossbeam专利实时调度操作系统XOS有机集成。同时，在Check Point/Crossbeam X40中，针对不一样功效需求，提供了不一样设备模块，包含：网络处理模块NPM、安全应用处理模块APM、管理控制模块CPM等。全部安全技术全部经过一个优异机柜式系统结合在一起，从而消除了对外部交换机、负载均衡器、接

10、头和/或端口镜像需要。经过多个安全技术配置流路径工作能够从一个能为用户带来全方面灵活性图形用户界面（GUI）上轻松完成。这种合并是现在业界最简单、安全而又经济安全防护模式。全部相关模块均可配置为11备份，能够灵活依据功效或性能需求扩展各个模块。(3) 卖方提供硬件平台应支持第三方安全设施，应为模块化设计，支持平滑扩展。各模块扩展不影响现有模块业务处理性能和数量。答：满足要求。Check Point/Crossbeam设备为模块化设计，可同时提供多个安全应用。设备上安全应用处理模块APM可独立运行不一样安全应用，包含独用防火墙/VPN、虚拟防火墙/VPN、IDS、防病毒、IPS等。多个安全应用处

11、理模块独立并行运行，并由整个系统所统一监控。各模块扩展不影响现有模块业务处理性能和数量。可增加安全应用包含：a) IDS/IPSb) 虚拟防火墙c) SSL VPNd) 数据库保护：可对网络内部多种数据库进行保护，包含Oracle、Sybase、DB-II、MS-SQL等。能够审计用户对数据库访问，能够加载对数据库访问安全策略，能够告警等e) URL过滤f) XML服务保护g) 防病毒等(4) 主控模块能在不中止通信情况下，可带电进行板卡热插拨操作。全部设备模块插板可带电热插拔，全部设备均采取模块化设计，其中每一模块发生故障时均不影响其它设备和其它模块正常运行。答：满足要求。Check Poi

12、nt/Crossbeam X40是新一代运行商级安全设备， X40系列平台为全冗余架构，无源背板，全交叉总线，双独立进线电源模块，冗余风扇，冗余网络模块，冗余安全应用模块，冗余管理控制模块，甚至细化到每个网络端口均可定义其备份端口，实现了网络端口冗余，整个设备无单一故障点，能够提供高达99.9999%高可靠性。同时X40设备全部模块均可热插拔。每一模块发生故障时均不影响其它设备和其它模块正常运行。(5) 卖方提供设备要选择世界上高质量元器件，生产过程中进行严格质量控制，出厂前要经买方人员严格测试和检验，确保设备长久稳定、可靠地运行答：满足要求。Check Point/Crossbeam设备采取

13、世界上高质量元器件，生产过程中进行严格质量控制，出厂前经过严格测试和检验，能够确保设备长久稳定、可靠地运行。（6）承载软件系统应为专用平台，卖方应说明该平台性能。答：满足要求。Crossbeam为专用安全硬件平台，采取经过加固和优化专用操作系统，能够和Check Point虚拟防火墙无缝集成，为用户提供安全服务。此次提供Check Point/Crossbeam X40最少能够提供4Gbps防火墙数据吞吐率。4.1.2 软件(1) 软件系统卖方软件应为最新、成熟电信级产品，并应和硬件平台实现无缝衔接；答：满足要求。本项目Check Point提供软件为最新、成熟电信级产品，和硬件平台Cros

14、sbeam经过兼容性测试，能够实现无缝衔接。卖方在提议书中应具体列出所提供软件清单、版本和说明。答：满足要求。软件版本说明CPPWR-VSX-10NGX虚拟防火墙模块，能够支持10个虚拟防火墙CPPWR-SC-UNGX集中管理服务器软件CPFW-FSS-1NGX单机防火墙以保护集中管理服务器CPIS-IEPS-1000NGX1000用户端许可，能够提供端点PC防火墙，PC入侵防范，PC应用安全，PC间谍软件防范功效CPIS-IAS-1NGX用户端集中管理服务器软件，能够提供多域和层次化管理功效卖方应说明本工程包含分类项目对现网设备操作系统及相关系统软件有何要求，是否需要使用新版本系统软件，若是

15、，应说明新版软件和原使用软件之间异同和兼容程度答：满足要求。本项目提供Check Point/Crossbeam设备对现网设备操作系统及相关系统软件无要求。(2) 软件模块化结构软件应为模块化设计组成，卖方必需确保任何软件模块维护和更新全部不影响其它软件模块功效，软件含有容错能力。答：满足要求。Check Point软件采取结构化和模块化设计，对任何软件模块维护和更新全部不影响其它软件模块功效。软件中有特定进程监控其它进程，如其它进程出现问题，特定进程会自动对其进行修复。(3) 故障监视和诊疗软件能立即发觉故障并发出告警，能够自动恢复系统，不影响任何已建立业务连接。答：满足要求。软件中有特定进

16、程监控其它进程，如其它进程出现问题，能立即发觉故障并发出告警，特定进程会自动对其进行修复，不影响任何已建立业务连接。(4) 兼容性及升级a. 设备不一样时期软件版本应能向下兼容，软件版本易于升级，且在升级后不影响网路性能和运行。答：满足要求。Check Point确保软件版本向下兼容，软件版本易于升级，且在升级后不影响网络性能和运行。b. 卖方应承诺在供货时提供最新版本软件，但该软件必需是经过测试正式推出，其可靠性、稳定性经过严格验证。答：满足要求。Check Point确保供货时提供最新版本软件，提供软件是经过测试正式推出，其可靠性、稳定性经过严格验证。c. 软件版本升级时，卖方应承诺无偿更

17、新软件版本，并提供对应新版本软件功效说明书及修改说明书。答：满足要求。本项目技术规范要求提供且买方已经购置软件功效，Check Point/Crossbeam承诺无偿软件版本更新，并提供对应新版本软件功效说明书及修改说明书。(5) 卖方应说明现在所使用软件实际运行时间。答：满足要求。本项目中Check Point提供NGX版本软件为5月公布，Check Point将最少在5年内提供对此版本支持，如用户需要，Check Point能够帮助用户过渡到最新版本。4.1.3 安装材料若设备安装需要特定安装材料、端口连接需要特定连接线缆话，卖方应给予指出并给出配置且包含在设备价格中。答：满足要求。4.1

18、.4 备件卖方应依据设备元件质量情况提出备件配置提议。卖方提供设备应是以最少五年使用期设计，卖方要确保不管提供设备是否还生产，在使用期内买方可得到备件。答：满足要求。为确保用户生产网络愈加可靠稳固,我们提议用户可依据情况对关键硬件模块购置一至两套备件.Check Point/Crossbeam此次提供设备使用期大于5年,在使用期内可确保用户得到备件(过保修期后需收费).而且将于设备停产前六个月前通知用户.4.2设备系统关键技术指标4.2.1最大位转发率（Maximum bit forwarding rate）位转发率指：特定负载下每秒种防火墙将许可数据流转发至正确目标接口位数。最大位转发率指

19、在不一样负载下反复测量得出位转发率数值集中最大值，使用最大位转发率时应同时说明和之响应负载。卖方应结合买方IP城域网设备性能及网络架构情况，确定并提出防火墙设备标准规范，并具体列出。答：满足要求。本项目提供Check Point/Crossbeam设备旁挂在汇聚层设备边，依据河北网通城域网现实状况，我们认为4Gbps防火墙设备能够满足需求。Frame Size (Bytes)641282565121024128015181 APM Throughput (Mbps)2924989501,7893,1883,5714,0004.2.2设备功效要求卖方提供设备应提供以下基础安全功效，并就每一项功效

20、具体说明设备支持程度：（1）设备应运行在经固化专用安全操作系统之上，卖方具体说明该操作系统关键安全固化方法。答：满足要求Check Point/Crossbeam全系列防火墙均采取独有运行商级安全操作系统XOS。该操作系统专门进行了优化和加固，不仅提升了运行性能，关键是提升了安全性。通常开放操作系统拥有很多网络服务，远程服务，而且可能存在通常见户不知道漏洞，这对防火墙本身安全是很大威胁。XOS操作系统从设计上做了大量安全加强，确保防火墙本身安全。XOS不带有任何无须要2进制代码和库结构，是一个安全紧凑操作系统；XOS操作系统覆盖了已知多种漏洞，而且不停致力于发觉和覆盖新漏洞。（2）设备内部

21、关键技术应采取状态监测技术。答：满足要求Check Point/Crossbeam X40 防火墙中采取是Check Point取得专利第三代防火墙技术状态监测（Stateful Inspection）。能够提供更安全特征。状态监测是防火墙第三代关键技术，也是最新防火墙关键技术，最初由Check Point发明，并取得美国专利（专利号5,835,726）。状态监测相比于较早包过滤及应用网关方法技术有较大优势，包含更安全，性能更高、扩展性愈加好等。所以，现在，几乎全部防火墙产品均声称自己是状态监测类防火墙，但实际上在实现时有些产品实现不完整。为了提供更强壮安全性，一个防火墙必需跟踪及控制全部通信

22、数据流。和传统包过滤不一样是，状态监测经过分析流入和流出数据流，跟踪数据流状态及上下文，依据会话及应用信息，实时确定针对该数据流安全决议。状态及上下文信息必需包含：数据包头信息（源地址、目标地址、协议、源端口、目标端口、数据包长度）连接状态信息（哪个端口为哪个连接而打开） TCP及IP分片数据（如分片号、序列号）数据包重装，应用类型，上下文确定（如该数据包属于哪个通信会话）防火墙上抵达端口及离开端口第二层信息（如VLAN ID）数据包抵达及离开时间依据安全策略实施对经过防火墙数据流进行控制，许可经过或采取对应方法。防火墙系统安全规则，每一条表项全部包含条件域、动作域和选项域，当有I

23、P包进入时，系统在安全策略中从第一个表项开始查起，假如符合，就实施该表项指示动作，状态监测技术针对协议，抽取连接状态信息，并建立状态连接表项。当没有一条适宜表项时，系统默认动作是拦截。（3）所提供防火墙模块应支持基于IP地址、组、端口、应用类型、时间等创建安全规则,卖方具体说明其支持程度。答：满足要求Check Point/Crossbeam支持基于IP源地址、IP目标地址、用户组、网络组、源端口、目标端口、应用类型、时间、特定防火墙等信息创建安全规则。（4）所提供防火墙模块预定义服务协议数量应大于200个，并说明所支持最大协议数和协议增加方法。答：满足要求Check Point/Cro

24、ssbeam利用Stateful Inspection 专利技术来确保全部通用 Internet 服务安全。它支持超出 200 个预定义应用、服务和协议，包含 Web 应用，即时消息发送、对等网络应用、VoIP、Oracle SQL、RealAudio 和多媒体服务（如 H.323）、SIP、FTP、ICMP、DNS、Netmeeting等。此次提供防火墙模块，能够支持最大协议数量没有限制，协议增加能够经过用户自定义和购置厂商服务自动升级更新等方法实现。（5）所提供防火墙模块应支持针对Mail，MS-RPC，MS-SQL，P2P等应用层安全控制，并说明怎样控制和所支持应用扩展数量和方法。答：

25、满足要求。Check Point/Crossbeam 防火墙能够经过应用智能技术对多个应用进行内容检验，包含Mail，MS-RPC，MS-SQL，P2P等应用。应用智能技术经过验证协议是否遵照标准，检验协议是否符合预期使用方法，阻止应用携带有害数据和控制应用层有害操作等四种策略来在正当流量当中检测非法行为，从而确保应用安全。应用扩展支持能够经过用户自定义和购置厂商服务自动升级更新等方法实现。（6）所提供防火墙模块应支持对VoIP保护，支持H.323、SIP、MGCP、SCCP，并说明怎样保护。答：满足要求。Check Point/Crossbeam防火墙能够提供对VoIP保护，支持H.323

26、，SIP，MGCP，SCCP。Check Point/Crossbeam防火墙能够验证VoIP协议是否符合标准，了解并跟踪VoIP全部通信过程，并依据需要打开相关端口供通信使用，最终在通信结束后自动封闭此端口。同时经过控制部分VoIP通信行为，对基于VoIP攻击进行防范。（7）所提供防火墙模块支持安全规则数目应无限制。答：满足要求。Check Point/Crossbeam防火墙支持安全规则数量无限制。（8）所提供防火墙模块应支持安全策略一致性验证。答：满足要求。Check Point/Crossbeam防火墙支持规则策略校验，支持规则一致性测试。能够检测反复、错误、冲突规则定义。（9）

27、所提供防火墙模块应含有对DoS攻击防护功效，防火墙应支持SYN网关功效，并请说明。答：满足要求。Check Point/Crossbeam防火墙是现在对DOS攻击防范效果最好防火墙之一。能够对包含SYN Flood、PING of Death攻击、IP Spoofing攻击等多个DOS攻击有很好防护。其中对SYN攻击含有很好防御功效，提供SYN网关功效。同时系统也提供智能SYN防御功效，当使用此项功效时候，用户不需要对SYN攻击防御选项进行特殊设置，系统会自动监测和识别SYN攻击，而且阻断它们。（10）所提供防火墙模块应含有对其它常见网络和应用层攻击防护能力，并请说明。答：满足要求Check

28、 Point/Crossbeam 防火墙支持网络层到应用层全检测，对常见网络和应用层攻击全部含有防护能力。网络层攻击防范包含Tear Drop，ping of death等DOS攻击，ping大包，IP分段攻击等针对IP和ICMP攻击，sys攻击，序号攻击等针对TCP攻击，等等。应用层攻击防范包含针对http，ftp，dns，voip，p2p，mail等应用攻击，等等。以上网络层和应用层攻击防护经过防火墙上SmartDefense模块实现。（11）所提供防火墙模块应支持攻击特征库动态更新，并请说明更新方法和是否会中止用户业务。答：满足要求。Check Point/Crossbeam防火墙内置

29、防攻击模块SmartDefense，它攻击特征库支持在线升级。如用户购置了Check Point攻击特征库升级服务，管理员能够使用管理用户端自动连接到Check Point网站完成更新。更新会先存放于集中管理服务器，在未下发策略时不会影响防火墙实施点，也不会中止用户业务。即使下发策略，因为是针对攻击作出防范，对正常业务不会产生影响。（12）所提供设备系统应可同时运行多个安全应用，包含IDS、防病毒等。未来可经过许可证激活防火墙设备上其它安全应用。答：满足要求Check Point/Crossbeam设备除防火墙外能够运行多个安全应用，包含IDS、IPS、网关防病毒、URL过滤、数据库保护等模

30、块。全部这些模块已经内置在设备中，未来能够经过许可证将这些功效激活，便于将于安全应用扩展。（13）设备系统应提供内容过滤功效，能够过滤URL地址、Java Script、Active X控件和Ftp 控制命令(get, put)、畸形IP攻击包、ICMP恶意代码包，另外还能设置收件发件人邮件地址过滤和大邮件过滤策略。答：满足要求。Check Point/Crossbeam 防火墙能够经过其集成内容安全能力使用户免受病毒、恶意 Java 和 ActiveX applet、畸形IP攻击包、ICMP恶意代码包及不需要 Web 内容攻击。对于每个经过防火墙安全服务器建立 HTTP、SMTP 或 FT

31、P 连接，网络管理员能够更具体地来控制对特定资源访问。比如，访问能够控制到具体 Web 页面，URL地址及FTP 文件和操作（比如，PUT/GET 命令）、SMTP 专用标题字段等等。可对如e-mail附件大小、文件类型等进行检验，还能够设置收件发件人邮件地址过滤等。同时防火墙还可经过OPSECSDK接口和专门内容过滤系统互动，进行更细致内容检验。（14）设备应支持NAT功效，包含一对一、多对一NAT工作模式。答：满足要求。Check Point/Crossbeam 防火墙支持动态和静态地址翻译(NAT)功效，而且无数量限制。Check Point/Crossbeam防火墙使用强大、易于管理

32、网络地址翻译（NAT）在 Internet 上隐藏内部网络地址-避免将它们泄漏为公众信息。经过集成 Stateful Inspection 技术，Check Point/Crossbeam NAT 实现了业界最安全地址翻译，而且它支持范围广泛 Internet 服务。依据网络管理员在建立对象（如主机、网络和网关）时提供信息，防火墙自动生成静态(一对一)和动态（多对一）翻译规则。（15）设备应支持网络流量监视和CPU负载统计。答：满足要求。Check Point/Crossbeam X40防火墙系统采取专用网络操作系统，提供对系统运行状态和网络流量监控统计分析功效，经过管理界面用户能够对：经

33、过防火墙网络流量进行有效检验和统计防火墙设备本身CPU情况统计和检验经过防火墙审计工具用户还能够对系统其它资源如：内存使用率等多方面内容进行审计。4.2.3 设备系统安全管理功效卖方提供设备系统应提供以下安全管理功效：（1）设备应支持专有管理用户端、WEB及命令行管理方法。答：满足要求Check Point/Crossbeam X40防火墙系统支持丰富管理和控制功效：a) 基于当地串口命令行管理功效b) 基于网络Web界面管理功效。c) 基于专用GUI管理系统图形化安全管理功效d) 基于通用安全HTTPS、SSH管理功效（2）设备应支持当地管理、远程管理和集中管理。答：满足要求。Che

34、ck Point/Crossbeam设备支持当地管理和远程管理方法。当地管理和远程能够经过WEB界面（经过SSL加密）管理。同时Crossbeam防火墙还支持SSHv1v2，确保了远程管理安全性。经过中央管理服务器SmartCenter能够对防火墙设备进行集中管理。（3）要求使用集中管理软件统一管理全部防火墙（包含虚拟系统），包含策略管理，用户管理，VPN管理，入侵防护管理，攻击防护代码统一升级等。答：满足要求。Check Point/Crossbeam防火墙很适合构建分布式用户/服务器安全访问应用控制，能够说，防火墙结构就是以分布式安全控制出发点来进行设计。Check Point/Cros

35、sbeam产品是三层体系结构：GUI：为用户提供图形化界面，便于配置防火墙策略和对象，上面不存放任何数据。在防火墙许可范围内，可安装于任何一台PC机上。Management Server(管理服务器)：用于存放在GUI上定义策略和对象，完成对全部防火墙（包含虚拟系统）统一管理，包含策略管理，用户管理，VPN管理，入侵防护管理，攻击防护代码统一升级等。当安全策略下发时，管理服务器将策略编译后推到各个防火墙上。同时管理服务器可用来察看实施模块状态信息，并存放实施模块生成日志。Enforcement Module（实施模块）：用于数据包过滤，决定数据包通行、阻断、转发。全部防火墙安全策略能够由管理服

36、务器进行集中化定制，对每个防火墙能够定义不一样策略文件。各个模块之间通信使用SSL 进行加密。为便于管理，我们提议在此次项目中采取集中化管理标准布署防火墙产品。即全部防火墙全部可在网管中心对其进行集中化安全管理，统一配置安全策略，这么带来优点：实现了对各业务安全集中化管理，减小网络整体存在安全漏洞可能性，同时顺应了业务集中趋势，减小了各部门对安全方面管理支出。（4）设备应支持管理员基于角色管理。答：满足要求。Check Point/Crossbeam 对防火墙管理员权限能够分为多个定义，包含可写、只读、用户自定义。在用户自定义中能够灵活定义用户对防火墙各个模块权限，比如：用户只能修改日志而不

37、能修改策略。（5）设备应支持管理员使用数字证书作为认证方法以提升安全性。答：满足要求。Check Point/Crossbeam设备管理服务器中内置CA，全部防火墙功效模块均可经过该证书进行认证。对于管理员，能够使用基于X.509数字证书，进行登录认证，极大提升了安全性。4.2.4设备日志、报警和报表功效卖方提供设备系统应提供以下日志、报警和报表功效：（1）所提供防火墙模块应该含有内置日志服务器，能够提供实时和历史日志答：满足要求。Check Point/Crossbeam内置日志服务器，能够提供实时和历史统计。同时可将日志导向其它日志服务器。（2）设备应支持丰富日志域，支持超出60种以

38、上日志域答：满足要求Check Point/Crossbeam经过日志查看器 Smartview tracker模块用来察看日志，可察看日志字段超出60种以上，并能够灵活定义过滤条件。（3）设备应支持日志当地统计，防火墙模块应有40G以上内置硬盘，并说明是否支持异地或外部统计方法。答：满足要求Check Point/Crossbeam支持日志当地统计，X系列产品全部有80G以上内置硬盘。能够设定防火墙模块在当地统计日志同时，实时或定时将日志发送到集中管理服务器或异地其它日志服务器。能够提供日志输出接口，供第三方接收防火墙日志。（4）设备应支持SYSLOG功效。答：满足要求Check Poi

39、nt/Crossbeam支持标准SYSLOG，同时设备上有单独日志端口，可将日志导向第三方Log服务器。（5）设备应支持日志过滤功效。答：满足要求经过SmartView tracker功效模块，能够灵活进行日志过滤，可按特定字段进行过滤，也可进行不一样字段组合过滤。（6）设备应支持管理员日志及对管理员审计。答：满足要求Check Point/Crossbeam内置日志服务器除统计历史统计外，还统计实时连接和管理员审计日志，管理员对防火墙所做操作（如修改对象和策略）均被统计。（7）设备应提供和第三方日志审计工具接口答：满足要求。能够经过OPSEC和第三方审计工具进行互动，提供日志输出接口L

40、EA（log export API）。（8）设备应提供实时告警功效，对防火墙本身或受保护网段非法攻击支持多个告警方法如SNMP告警、E-mail告警、日志告警等等。答：满足要求。Check Point/Crossbeam防火墙系统能够对多个网络事件进行告警功效，用户能够根据需要对指定网络行为进行警告设置，当这些事件发生时候，系统能够经过SNMP，E-mail,日志等多个方法进行告警。（9）设备应提供SNMP Trap、E-Mail、Alarm、LOG、自定义等方法报警功效支持。答：满足要求Check Point/Crossbeam防火墙支持多个告警方法如SNMP告警、EmailL告警、日志

41、告警、用户自定义程序告警等等。经过用户自定义方法，在X40防火墙上还可实现愈加灵活报警方法，如寻呼机、QQ等。（10）设备应提供内置报表工具对日志作统计分析答：满足要求。Check Point/Crossbeam 防火墙组件Eventia Reporter提供日志分析和统计，并可依据用户定义时间，内容，生成数据表格、图形汇报。4.2.5设备可扩展性要求（1）设备应可经过增加模块方法提供更多网络端口，卖方应具体说明设备可提供网络端口扩展模块。答：满足要求。Check Point/Crossbeam设备可经过增加网络模块NPM方法增加设备上网络端口。现在，X40可提供网络模块包含8个千兆端口（铜

42、缆、单模光纤、多模光纤可选）及16个百兆接口模块。（2）设备应可经过增加模块方法提升投标设备性能，卖方应具体说明设备可提供扩展模块信息。答：满足要求。Check Point/Crossbeam X40性能能够伴随需求增加而扩展，能够经过增加APM模块来提升X40整体设备处理能力，新增加APM模块可自动和原有APM模块工作于自动负载均衡模式。每块APM模块可提供4Gbps防火墙吞吐能力、每秒30,000新建连接数和50万最大并发连接数。每增加一块APM模块，其设备整体性能，包含吞吐量、并发连接数、每秒新建连接数等，近似于线性增加，这么，经过简单增加APM模块到现有X40设备上，就可提升X40设

43、备处理能力。而对性能增加，实施也很简单。只需要增加一块APM模块，插入到现有X40设备中即可，对网络中其它设备，完全不需要改变。（3）设备应可经过增加模块方法，在投标设备上增加新安全功效，卖方应具体说明怎样在投标设备上增加新安全功效。这些安全功效将包含IDS、IPS、SSL VPN、防病毒URL过滤、XML应用保护等。答：满足要求Check Point/Crossbeam设备网络处理、安全应用、管理功效均以模块方法工作，假如增加新安全应用，只需要增加APM模块即可。全部APM硬件均相同，由控制模块来定义APM功效，激活安全应用License即可，现在支持关键安全功效包含：IDS、IPS、SS

44、L VPN、防病毒、URL过滤、XML应用、数据库保护。（4）设备增加新安全应用功效时，必需基础不影响原有设备模块性能功效和。卖方应具体说明这一要求实现方法。答：满足要求。Check Point/Crossbeam X40上，全部新增加模块全部有独立处理能力，将不会影响原有防火墙及虚拟防火墙性能。在每个模块上全部有独立中央处理器、内存、总线、操作系统等。全部APM配置均相同。APM提供高性能安全应用处理。硬件模块均可进行热插拔。同时可将安全应用定义为不一样逻辑组，在增加安全应用时，数据流会自动负载均衡到新模块上，原有通信和会话不会丢失。4.2.6 高可用性及高可靠性要求卖方提供设备系统应提供

45、高可用性支持，具体要求为：（1）设备应支持高可用性配置，提供双机热备功效，卖方应具体说明双机热备实现方法。答：满足要求Check Point/Crossbeam X40能够经过4种方法提供防火墙高可靠性HA：a) 标准VRRP协议（RFC2338）b) 动态路由协议c) 四层交换机d) Cluster XL技术（2）设备应有专用高可用性心跳端口。答：满足要求。Check Point/Crossbeam在CPM（控制模块）上有专用高可用性心跳端口，经过该端口能够在多台设备间监测相互状态，为最大程度确保高可靠性，在设备上还可定义多个端口为心跳端口。（3）设备应支持含有运行商级设备高可靠性，包

46、含冗余电源、冗余风扇、冗余模块、冗余网络接口等。卖方应具体说明所提供设备本身其它冗余配置特征。答：满足要求。Check Point/Crossbeam X40设备提供SBHA单机高可用性（Single Box High Availability）功效特征，即在一台X设备上，全部系统部件均可提供备份，包含：冗余数据交换(多NPM) 冗余控制管理(双CPM) 冗余存放冗余网络处理器（网络端口-端口备份）冗余安全应用处理模块(多个APM) 模块N+1备份冗余电源（可提供2个独立电源）（4）设备应支持单机高可用性技术，即在单台设备上，可提供防火墙等安全应用高可用性及负载均衡技术。卖方应具体说明所提供设备单机高可用性技术实现方法。答：满足要求。在X系统中，可安装多个APM模块运行同一安全应用，实现安全应用负载均衡。X系统控制模块CPM实时监控每块APM健康情况，包含APM上面运行应用、CPU负载情况、内存使用情况等。这些信息被实时反应在X系统数据转发表中。而网络处理模块NPM就是依据这张表中信息，确定转发数据到某安全应用具体哪一块APM上。这么就实现了安全应用负载均衡，而并不需要额外网络资源，也不需要该安全应用本身支持负载均衡功效或HA功效，也并不消耗APM任何资源。能够对防火墙应用进行负载均衡，也

展开阅读全文