《河北IP城域网技术规范书草稿V11_final.docx》由会员分享,可在线阅读,更多相关《河北IP城域网技术规范书草稿V11_final.docx(169页珍藏版)》请在三一办公上搜索。
1、2006年中国网通河北IP城域网扩建一期工程可管理安全服务设备技术规范书2006-6-12第一章 工程技术规范书点对点应答本次所提供的所有方案及各项设备和系统(包括软、硬件)符合如下技术标准:(1) ISO27001:2005:信息技术安全技术信息安全管理体系要求;(2) ISO/IEC FDIS 17799:2005(E):信息技术安全技术信息安全管理代码实践;(3) ISO/IEC 18028-2:2006(E):信息技术安全技术IT网络安全;(4) ISO/IEC TR 13335:信息技术 IT安全管理指南;(5) 中华人民共和国通信行业标准YD/T 1163-2001IP网络安全技术
2、要求安全框架;(6) 中华人民共和国通信行业标准YD/T 1132-2001 防火墙设备技术要求;(7) 中国网络通信集团公司IP网20042006年发展规划;(8) IP城域网规划建设指导原则(北方分册);(9) 河北网通互联网网络优化指导意见;(10) 中国网通网络技术转型与演进的若干意见;(11) 网通集团IP网络优化和维护指导意见;(12) 河北省分公司数据专业产品供货商及产品备案表;以下按照“2006年中国网通河北IP城域网扩建一期工程可管理安全服务设备技术规范书”章节进行点对点应答。3.5设备基本配置要求3.5.1卖方提供的设备应满足下列基本配置要求:(1) 设备应为能够满足本技术
3、规范要求的完整的软、硬件系统,集成性好,便于机架式安装;答:满足要求。本项目提供的Check Point/Crossbeam设备为满足本技术规范的完整软硬件系统,经过兼容性测试,可以无缝集成,设备为标准机架尺寸,便于机架式安装。(2) 设备及接口的电气特性应符合国际和国家的相关标准。答:满足要求。本项目提供的Check Point/Crossbeam设备的设备及接口电气特性符合国际和国家的相关标准。3.5.2基本性能及配置要求卖方提供的单套设备系统应满足下列性能指标要求:l 吞吐量:不小于4Gbps答:满足要求。本项目提供Check Point/Crossbeam X40配置最少可提供4Gbp
4、s的吞吐量。l 最大并发连接数:不小于50万答:满足要求。本项目提供Check Point/Crossbeam X40配置最少可提供50万的并发连接数。l 每秒新建连接数:不小于3万答:满足要求。本项目提供Check Point/Crossbeam X40配置最少可提供3万的每秒新建连接数。l 端口数:不小于4个千兆光纤答:满足要求。本项目提供Check Point/Crossbeam X40配置可提供8个千兆光纤口。l 设备应提供专用带外管理端口答:满足要求。Check Point/Crossbeam X40提供了2个带外管理端口(10/100M Base-T)l 设备应提供专用日志端口答:
5、满足要求。Check Point/Crossbeam X40提供了1个专用日志端口(10/100/1000M Base-T)l 处理时延:不大于0.08s答:满足要求。Check Point/Crossbeam X40的处理时延小于0.08s。3.5.3基本网络功能要求卖方提供的单套设备系统应提供以下基本的功能:(1) 设备应支持静态路由和RIP、RIPII、OSPF等路由协议。答:满足要求。Check Point/Crossbeam X40支持RIP、RIPII及OSPF等路由协议。(2) 设备应支持802.1Q VLAN。答:满足要求。Check Point/Crossbeam X40支持
6、802.1Q VLAN。Check Point/Crossbeam X40防火墙全面支持802.1Q 协议,通过使用Check Point/Crossbeam X40防火墙可以有效的对VLAN ID进行识别和支持,并且对不同VLAN之间的访问进行控制。(3) 设备应支持对不同VLAN间数据包的阻隔。答:满足要求Check Point/Crossbeam X40防火墙对VLAN具有丰富的控制功能,通过对Check Point/Crossbeam X40硬件防火墙的设置,用户可以通过防火墙对属于不同VLAN的主机进行有效的隔离,并且通过安全策略进行访问控制,保护不同目标主机和网络的安全。(4) 设
7、备应支持VLAN Trunk。答:满足要求Check Point/Crossbeam X40防火墙采用专用的网络操作系统,支持802.1Q协议,防火墙能够识别VLAN ID,支持VLAN Trunk网络流量通过防火墙。(5) 设备应支持虚拟路由模式防火墙、虚拟透明模式防火墙,并支持此两种模式的虚拟防火墙共存于同一个虚拟环境中。答:满足要求。Check Point/Crossbeam X40防火墙以以下方式工作在用户的网络中:透明模式、路由模式、透明模式与路由模式同时工作。Check Point/Crossbeam X40支持此两种模式的虚拟防火墙共存于同一个虚拟环境中。(6) 单套系统支持的最
8、大虚拟防火墙数量应不小于200个答:满足要求。Check Point/Crossbeam X40单台最高可支持250个虚拟防火墙。(7) 设备应支持虚拟路由器和虚拟交换机功能。答:满足要求。Check Point/Crossbeam X40支持虚拟路由器和虚拟交换机功能。4.1 一般技术要求4.1.1 硬件(1) 卖方提供的所有设备必须是最新开发且最稳定可靠之产品,并且大规模在电信运营商环境应用的成熟商用产品,并保证所提供产品的数量、质量,特别是接口的兼容性。答:满足要求。Check Point/Crossbeam X40是最新开发并且最稳定可靠的产品,已经在全球范围内的许多大型电信运营商环境
9、得到了成熟应用,包括美国南方贝尔、英国移动运营商O2、西班牙电信Telefonica、德国电信、美国移动运营商Verizon Wireless、澳大利亚电信Telstra等。在应用中,与各种网络产品均有很好的兼容性。(2) 各种设备应采用功能分担、分布式多处理机结构。主要模块冗余度至少为1+1,易于扩容和维护。答:满足要求。在Check Point/Crossbeam X40设备中,各模块的功能是分离的,每种模块负责其各自的功能,然后整个设备通过机架无源背板全交叉总线及Crossbeam专利的实时调度操作系统XOS有机的集成。同时,在Check Point/Crossbeam X40中,针对不
10、同的功能需求,提供了不同的设备模块,包括:网络处理模块NPM、安全应用处理模块APM、管理控制模块CPM等。所有安全技术都通过一种先进的机柜式系统结合在一起,从而消除了对外部交换机、负载均衡器、接头和/或端口镜像的需要。通过多种安全技术配置流路径的工作可以从一个能为用户带来全面灵活性的图形用户界面(GUI)上轻松完成。这种合并是目前业界最简单、安全而又经济的安全防护模式。所有相关模块均可配置为11的备份,可以灵活的根据功能或性能的需求扩展各个模块。(3) 卖方提供的硬件平台应支持第三方安全设施,应为模块化设计,支持平滑的扩展。各模块的扩展不影响现有模块的业务处理性能和数量。答:满足要求。Che
11、ck Point/Crossbeam设备为模块化设计,可同时提供多种安全应用。设备上的安全应用处理模块APM可独立运行不同的安全应用,包括独用防火墙/VPN、虚拟防火墙/VPN、IDS、防病毒、IPS等。多个安全应用处理模块独立并行运行,并由整个系统所统一监控。各模块的扩展不影响现有模块的业务处理性能和数量。可增加的安全应用包括:a) IDS/IPSb) 虚拟防火墙c) SSL VPNd) 数据库保护:可对网络内部的各种数据库进行保护,包括Oracle、Sybase、DB-II、MS-SQL等。可以审计用户对数据库的访问,可以加载对数据库访问的安全策略,可以告警等e) URL过滤f) XML服
12、务保护g) 防病毒等(4) 主控模块能在不中断通信的情况下,可带电进行板卡的热插拨操作。所有设备的模块插板可带电热插拔,所有设备均采用模块化设计,其中每一模块发生故障时均不影响其他设备和其他模块的正常运行。答:满足要求。Check Point/Crossbeam X40是新一代的运营商级的安全设备, X40系列平台为全冗余架构,无源背板,全交叉总线,双独立进线的电源模块,冗余风扇,冗余网络模块,冗余安全应用模块,冗余管理控制模块,甚至细化到每个网络端口均可定义其备份端口,实现了网络端口的冗余,整个设备无单一故障点,能够提供高达99.9999%的高可靠性。同时X40设备所有的模块均可热插拔。每一
13、模块发生故障时均不影响其他设备和其他模块的正常运行。(5) 卖方提供的设备要选用世界上高质量的元器件,生产过程中进行严格质量控制,出厂前要经买方人员严格测试和检查,确保设备长期稳定、可靠地运行答:满足要求。Check Point/Crossbeam设备采用世界上高质量的元器件,生产过程中进行严格质量控制,出厂前经过严格测试和检查,可以保证设备长期稳定、可靠地运行。(6) 承载软件系统的应为专用平台,卖方应说明该平台的性能。答:满足要求。Crossbeam为专用安全硬件平台,采用经过加固和优化的专用操作系统,可以与Check Point虚拟防火墙无缝集成,为用户提供安全服务。本次提供的Check
14、 Point/Crossbeam X40至少可以提供4Gbps的防火墙数据吞吐率。4.1.2 软件(1) 软件系统卖方的软件应为最新、成熟的电信级产品,并应与硬件平台实现无缝衔接;答:满足要求。本项目Check Point提供的软件为最新、成熟的电信级产品,和硬件平台Crossbeam经过兼容性测试,可以实现无缝衔接。卖方在建议书中应详细列出所提供的软件清单、版本和说明。答:满足要求。软件版本说明CPPWR-VSX-10NGX虚拟防火墙模块,可以支持10个虚拟防火墙CPPWR-SC-UNGX集中管理服务器软件CPFW-FSS-1NGX单机防火墙以保护集中管理服务器CPIS-IEPS-1000N
15、GX1000客户端许可,可以提供端点PC防火墙,PC入侵防范,PC应用安全,PC间谍软件防范功能CPIS-IAS-1NGX客户端集中管理服务器软件,可以提供多域和层次化管理功能卖方应说明本工程涉及的分类项目对现网设备的操作系统及相关系统软件有何要求,是否需要使用新版本系统软件,若是,应说明新版软件和原使用软件之间的异同和兼容程度答:满足要求。本项目提供的Check Point/Crossbeam设备对现网设备的操作系统及相关系统软件无要求。(2) 软件模块化结构软件应为模块化设计组成,卖方必须保证任何软件模块的维护和更新都不影响其它软件模块的功能,软件具有容错能力。答:满足要求。Check P
16、oint软件采用结构化和模块化设计,对任何软件模块的维护和更新都不影响其他软件模块的功能。软件中有特定进程监控其他进程,如其他进程出现问题,特定进程会自动对其进行修复。(3) 故障监视和诊断软件能及时发现故障并发出告警,能够自动恢复系统,不影响任何已建立的业务连接。答:满足要求。软件中有特定进程监控其他进程,如其他进程出现问题,能及时发现故障并发出告警,特定进程会自动对其进行修复,不影响任何已建立的业务连接。(4) 兼容性及升级a. 设备不同时期软件版本应能向下兼容,软件版本易于升级,且在升级后不影响网路的性能与运行。答:满足要求。Check Point保证软件版本的向下兼容,软件版本易于升级
17、,且在升级后不影响网络的性能与运行。b. 卖方应承诺在供货时提供最新版本的软件,但该软件必须是经过测试正式推出的,其可靠性、稳定性经过严格验证的。答:满足要求。Check Point保证供货时提供最新版本的软件,提供的软件是经过测试正式推出的,其可靠性、稳定性经过严格验证的。c. 软件版本升级时,卖方应承诺免费更新软件版本,并提供相应的新版本软件功能说明书及修改说明书。答:满足要求。本项目技术规范要求提供的且买方已经购买的软件功能,Check Point/Crossbeam承诺免费软件版本更新,并提供相应的新版本软件功能说明书及修改说明书。(5) 卖方应说明目前所使用软件的实际运行时间。答:满
18、足要求。本项目中Check Point提供的NGX版本软件为2005年5月发布,Check Point将至少在5年内提供对此版本的支持,如用户需要,Check Point可以帮助用户过渡到最新版本。4.1.3 安装材料若设备安装需要特定的安装材料、端口连接需要特定的连接线缆的话,卖方应予以指出并给出配置且包含在设备价格中。答:满足要求。4.1.4 备件卖方应根据设备元件的质量情况提出备件配置的建议。卖方提供的设备应是以至少五年使用期设计的,卖方要保证不论提供的设备是否还生产,在使用期内买方可得到备件。答:满足要求。为保证用户生产网络更加可靠稳固,我们建议用户可根据情况对关键硬件模块购买一至两套
19、备件.Check Point/Crossbeam本次提供设备使用期大于5年,在使用期内可保证用户得到备件(过保修期后需收费).并且将于设备停产前半年前通知用户.4.2设备系统主要技术指标4.2.1最大位转发率(Maximum bit forwarding rate) 位转发率指:特定负载下每秒种防火墙将允许的数据流转发至正确目的接口的位数。最大位转发率指在不同的负载下反复测量得出的位转发率数值集中的最大值,使用最大位转发率时应同时说明与之响应的负载。卖方应结合买方IP城域网设备性能及网络架构状况,确定并提出防火墙的设备的标准规范,并详细列出。答:满足要求。本项目提供的Check Point/C
20、rossbeam设备旁挂在汇聚层设备边,根据河北网通城域网现状,我们认为4Gbps的防火墙设备可以满足需求。Frame Size (Bytes)641282565121024128015181 APM Throughput (Mbps)2924989501,7893,1883,5714,0004.2.2设备功能要求卖方提供的设备应提供以下的基本安全功能,并就每一项功能详细说明设备支持的程度:(1) 设备应运行在经固化的专用安全操作系统之上,卖方详细说明该操作系统的主要安全固化措施。答:满足要求Check Point/Crossbeam全系列的防火墙均采用独有的运营商级安全操作系统XOS。该操作
21、系统专门进行了优化和加固,不但提高了运行的性能,关键是提高了安全性。一般的开放操作系统拥有许多的网络服务,远程服务,而且可能存在一般用户不知道的漏洞,这对防火墙自身的安全是很大的威胁。XOS操作系统从设计上做了大量的安全加强,保证防火墙自身的安全。XOS不带有任何不必要的2进制代码和库结构,是一个安全紧凑的操作系统;XOS操作系统覆盖了已知的各种漏洞,并且不断致力于发现和覆盖新的漏洞。(2) 设备内部核心技术应采用状态监测技术。答:满足要求Check Point/Crossbeam X40 防火墙中采用的是Check Point获得专利的第三代防火墙技术状态监测(Stateful Inspec
22、tion)。能够提供更安全的特性。状态监测是防火墙的第三代核心技术,也是最新的防火墙核心技术,最初由Check Point发明,并获得美国专利(专利号5,835,726)。状态监测相比于较早的包过滤及应用网关方式的技术有较大的优势,包括更安全,性能更高、扩展性更好等。因此,目前,几乎所有的防火墙产品均声称自己是状态监测类的防火墙,但实际上在实现时有些产品的实现不完整。为了提供更强壮的安全性,一个防火墙必须跟踪及控制所有通信的数据流。与传统的包过滤不同的是,状态监测通过分析流入和流出的数据流,跟踪数据流的状态及上下文,根据会话及应用的信息,实时确定针对该数据流的安全决策。状态及上下文信息必须包括
23、: 数据包头信息(源地址、目的地址、协议、源端口、目的端口、数据包长度) 连接状态信息(哪个端口为哪个连接而打开) TCP及IP分片数据(如分片号、序列号) 数据包重装,应用类型,上下文确认(如该数据包属于哪个通信会话) 防火墙上的到达端口及离开端口 第二层信息(如VLAN ID) 数据包到达及离开的时间根据安全策略实施对通过防火墙的数据流进行控制,允许通过或采取相应措施。防火墙系统的安全规则,每一条表项都包括条件域、动作域和选项域,当有IP包进入时,系统在安全策略中从第一个表项开始查起,如果符合,就执行该表项指示的动作,状态监测技术针对协议,抽取连接的状态信息,并建立状态连接表项。当没有一条
24、合适的表项时,系统的默认动作是拦截。(3) 所提供的防火墙模块应支持基于IP地址、组、端口、应用类型、时间等创建安全规则,卖方详细说明其支持的程度。答:满足要求Check Point/Crossbeam支持基于IP源地址、IP目标地址、用户组、网络组、源端口、目标端口、应用类型、时间、 特定防火墙等信息创建安全规则。(4) 所提供的防火墙模块预定义服务协议数量应不小于200个,并说明所支持的最大协议数和协议增加的方法。答:满足要求Check Point/Crossbeam利用Stateful Inspection 专利技术来保证所有通用 Internet 服务的安全。它支持超过 200 个预定
25、义应用、服务和协议,包括 Web 应用,即时消息发送、对等网络应用、VoIP、Oracle SQL、RealAudio 以及多媒体服务(如 H.323)、SIP、FTP、ICMP、DNS、Netmeeting等。本次提供的防火墙模块,可以支持的最大协议数量没有限制,协议增加可以通过用户自定义和购买厂商服务自动升级更新等方法实现。(5) 所提供的防火墙模块应支持针对Mail,MS-RPC,MS-SQL,P2P等应用层的安全控制,并说明如何控制以及所支持应用的扩展数量和方法。答:满足要求。Check Point/Crossbeam 防火墙可以通过应用智能技术对多种应用进行内容检查,包括Mail,M
26、S-RPC,MS-SQL,P2P等应用。应用智能技术通过验证协议是否遵循标准,检验协议是否符合预期用法,阻止应用携带有害数据和控制应用层的有害操作等四种策略来在合法的流量当中检测非法的行为,从而确保应用的安全。应用的扩展支持可以通过用户自定义和购买厂商服务自动升级更新等方法实现。(6) 所提供的防火墙模块应支持对VoIP的保护,支持H.323、SIP、MGCP、SCCP,并说明如何保护。答:满足要求。Check Point/Crossbeam防火墙可以提供对VoIP的保护,支持H.323,SIP,MGCP,SCCP。Check Point/Crossbeam防火墙可以验证VoIP协议是否符合标
27、准,理解并跟踪VoIP的全部通信过程,并根据需要打开相关端口供通信使用,最后在通信结束后自动封闭此端口。同时通过控制一些VoIP的通信行为,对基于VoIP的攻击进行防范。(7) 所提供的防火墙模块支持的安全规则数目应无限制。答:满足要求。Check Point/Crossbeam防火墙支持的安全规则数量无限制。(8) 所提供的防火墙模块应支持安全策略一致性验证。答:满足要求。Check Point/Crossbeam防火墙支持规则策略的校验,支持规则一致性测试。可以检测重复、错误、冲突的规则定义。(9) 所提供的防火墙模块应具有对DoS攻击的防护功能,防火墙应支持SYN网关功能,并请说明。答:
28、满足要求。Check Point/Crossbeam防火墙是目前对DOS攻击防范效果最好的防火墙之一。能够对包括SYN Flood、PING of Death攻击、IP Spoofing攻击等多种DOS攻击有很好的防护。其中对SYN攻击具有很好的防御功能,提供SYN网关的功能。同时系统也提供智能的SYN防御功能,当使用此项功能的时候,用户不需要对SYN攻击防御选项进行特殊的设置,系统会自动的监测和识别SYN的攻击,并且阻断它们。(10) 所提供的防火墙模块应具有对其他常见网络和应用层攻击的防护能力,并请说明。答:满足要求Check Point/Crossbeam 防火墙支持网络层到应用层的全检
29、测,对常见的网络和应用层攻击都具有防护能力。网络层的攻击防范包括Tear Drop,ping of death等DOS攻击,ping大包,IP分段攻击等针对IP和ICMP的攻击,sys攻击,序号攻击等针对TCP的攻击,等等。应用层攻击防范包括针对http,ftp,dns,voip,p2p,mail等应用的攻击,等等。以上网络层和应用层的攻击防护通过防火墙上SmartDefense模块实现。(11) 所提供的防火墙模块应支持攻击特征库的动态更新,并请说明更新方式以及是否会中断客户业务。答:满足要求。Check Point/Crossbeam防火墙内置防攻击模块SmartDefense,它的攻击特
30、征库支持在线升级。如用户购买了Check Point的攻击特征库升级服务,管理员可以使用管理客户端自动连接到Check Point网站完成更新。更新会先存放于集中管理服务器,在未下发策略时不会影响防火墙执行点,也不会中断客户业务。即使下发策略,由于是针对攻击作出的防范,对正常业务不会产生影响。(12) 所提供的设备系统应可同时运行多种安全应用,包括IDS、防病毒等。未来可通过许可证激活防火墙设备上的其他安全应用。答:满足要求Check Point/Crossbeam设备除防火墙外可以运行多种安全应用,包括IDS、IPS、网关防病毒、URL过滤、数据库保护等模块。所有这些模块已经内置在设备中,未
31、来可以通过许可证将这些功能激活,便于将于安全应用的扩展。(13) 设备系统应提供内容过滤功能,可以过滤URL地址、Java Script、Active X控件和Ftp 控制命令(get, put)、畸形IP攻击包、ICMP恶意代码包,另外还能设置收件发件人邮件地址过滤和大邮件过滤策略。答:满足要求。Check Point/Crossbeam 防火墙可以通过其集成的内容安全能力使用户免受病毒、恶意 Java 和 ActiveX applet、畸形IP攻击包、ICMP恶意代码包及不需要的 Web 内容的攻击。对于每个通过防火墙安全服务器建立的 HTTP、SMTP 或 FTP 连接,网络管理员可以更
32、详细地来控制对特定资源访问。例如,访问可以控制到具体的 Web 页面,URL地址及FTP 文件以及操作(例如,PUT/GET 命令)、SMTP 的专用标题字段等等。可对如e-mail附件大小、文件类型等进行检查,还可以设置收件发件人邮件地址过滤等。同时防火墙还可通过OPSEC的SDK接口与专门的内容过滤系统互动,进行更细致的内容检查。(14) 设备应支持NAT功能,包括一对一、多对一的NAT工作模式。答:满足要求。Check Point/Crossbeam 防火墙支持动态和静态地址翻译(NAT)功能,并且无数量限制。Check Point/Crossbeam防火墙使用强大的、易于管理的网络地址
33、翻译(NAT)在 Internet 上隐藏内部网络地址-避免将它们泄漏为公众信息。通过集成 Stateful Inspection 技术,Check Point/Crossbeam的 NAT 实现了业界最安全的地址翻译,而且它支持范围广泛的 Internet 服务。根据网络管理员在建立对象(如主机、网络和网关)时提供的信息,防火墙自动生成静态(一对一)和动态(多对一)的翻译规则。(15) 设备应支持网络流量监视和CPU负载统计。答:满足要求。Check Point/Crossbeam X40防火墙系统采用专用的网络操作系统,提供对系统运行状态和网络流量监控的统计分析功能,通过管理界面用户可以对
34、: 通过防火墙的网络流量进行有效的检查和记录 防火墙设备本身的CPU情况的记录和检查 通过防火墙的审计工具用户还可以对系统的其他资源如:内存的使用率等多方面的内容进行审计。4.2.3 设备系统安全管理功能卖方提供的设备系统应提供以下的安全管理功能:(1) 设备应支持专有管理客户端、WEB及命令行管理方式。答:满足要求Check Point/Crossbeam X40防火墙系统支持丰富的管理和控制功能:a) 基于本地串口的命令行管理功能b) 基于网络的Web界面的管理功能。c) 基于专用GUI管理系统的图形化安全管理功能d) 基于通用安全的HTTPS、SSH的管理功能(2) 设备应支持本地管理、
35、远程管理和集中管理。答:满足要求。Check Point/Crossbeam设备支持本地管理和远程管理方式。本地管理和远程可以通过WEB界面(通过SSL加密)管理。同时Crossbeam防火墙还支持SSHv1v2,保证了远程管理的安全性。通过中央管理服务器SmartCenter可以对防火墙设备进行集中管理。(3) 要求使用集中管理软件统一管理所有防火墙(包括虚拟系统),包括策略管理,用户管理,VPN管理,入侵防护管理,攻击防护代码统一升级等。答:满足要求。Check Point/Crossbeam防火墙非常适合构建分布式客户/服务器安全访问应用控制,可以说,防火墙的结构就是以分布式安全控制的出
36、发点来进行设计的。Check Point/Crossbeam产品是三层体系结构:GUI:为用户提供图形化的界面,便于配置防火墙的策略和对象,上面不存储任何数据。在防火墙允许的范围内,可安装于任何一台PC机上。Management Server(管理服务器):用于存储在GUI上定义的策略和对象,完成对所有防火墙(包括虚拟系统)的统一管理,包括策略管理,用户管理,VPN管理,入侵防护管理,攻击防护代码统一升级等。当安全策略下发时,管理服务器将策略编译后推到各个防火墙上。同时管理服务器可用来察看执行模块的状态信息,并存储执行模块生成的日志。Enforcement Module(执行模块):用于数据包
37、的过滤,决定数据包的通行、阻断、转发。所有的防火墙安全策略可以由管理服务器进行集中化定制,对每个防火墙可以定义不同的策略文件。各个模块之间的通信使用SSL 进行加密。为便于管理,我们建议在此次项目中采用集中化管理的原则布署防火墙产品。即所有防火墙都可在网管中心对其进行集中化的安全管理,统一配置安全策略,这样带来的优点:实现了对各业务安全的集中化管理,减小网络整体存在安全漏洞的可能性,同时顺应了业务集中的趋势,减小了各部门对安全方面的管理支出。(4) 设备应支持管理员基于角色的管理。答:满足要求。Check Point/Crossbeam 对防火墙的管理员权限可以分为多个定义,包括可写、只读、用
38、户自定义。在用户自定义中可以灵活定义用户对防火墙的各个模块的权限,例如:用户只能修改日志而不能修改策略。(5) 设备应支持管理员使用数字证书作为认证方式以提高安全性。答:满足要求。Check Point/Crossbeam设备的管理服务器中内置CA,所有防火墙功能模块均可通过该证书进行认证。对于管理员,可以使用基于X.509数字证书,进行登录认证,极大提高了安全性。4.2.4设备日志、报警和报表功能卖方提供的设备系统应提供以下的日志、报警和报表功能:(1) 所提供的防火墙模块应该具有内置日志服务器,可以提供实时和历史日志答:满足要求。Check Point/Crossbeam内置日志服务器,可
39、以提供实时和历史记录。同时可将日志导向其它的日志服务器。(2) 设备应支持丰富的日志域,支持超过60种以上的日志域答:满足要求Check Point/Crossbeam通过日志查看器 Smartview tracker模块用来察看日志,可察看的日志字段超过60种以上,并可以灵活的定义过滤条件。(3) 设备应支持日志的本地记录,防火墙模块应有40G以上的内置硬盘,并说明是否支持异地或外部记录方式。答:满足要求Check Point/Crossbeam支持日志的本地记录,X系列产品均有80G以上的内置硬盘。可以设定防火墙模块在本地记录日志同时,实时或定期将日志发送到集中管理服务器或异地的其他日志服
40、务器。可以提供日志输出接口,供第三方接收防火墙的日志。(4) 设备应支持SYSLOG功能。答:满足要求Check Point/Crossbeam支持标准的SYSLOG,同时设备上有单独的日志端口,可将日志导向第三方Log服务器。(5) 设备应支持日志过滤功能。答:满足要求通过SmartView tracker功能模块,可以灵活的进行日志过滤,可按特定字段进行过滤,也可进行不同字段的组合过滤。(6) 设备应支持管理员日志及对管理员的审计。答:满足要求Check Point/Crossbeam内置日志服务器除记录历史记录外,还记录实时连接和管理员的审计日志,管理员对防火墙所做操作(如修改对象和策略
41、)均被记录。(7) 设备应提供与第三方日志审计工具的接口答:满足要求。可以通过OPSEC与第三方审计工具进行互动,提供日志输出接口LEA(log export API)。(8) 设备应提供实时告警功能,对防火墙本身或受保护网段的非法攻击支持多种告警方式如SNMP告警、E-mail告警、日志告警等等。答:满足要求。Check Point/Crossbeam防火墙系统可以对多种网络事件进行告警功能,用户可以按照需要对指定网络行为进行警告设置,当这些事件发生的时候,系统可以通过SNMP,E-mail,日志等多种方式进行告警。(9) 设备应提供SNMP Trap、E-Mail、Alarm、LOG、自定
42、义等方式的报警功能支持。答:满足要求Check Point/Crossbeam防火墙支持多种告警方式如SNMP告警、EmailL告警、日志告警、用户自定义程序告警等等。通过用户自定义方式,在X40防火墙上还可实现更加灵活的报警方式,如寻呼机、QQ等。(10) 设备应提供内置报表工具对日志作统计分析答:满足要求。Check Point/Crossbeam 防火墙的组件Eventia Reporter提供日志分析和统计,并可根据客户定义的时间,内容,生成数据表格、图形报告。4.2.5设备可扩展性要求(1)设备应可通过增加模块的方式提供更多的网络端口,卖方应详细说明设备可提供的网络端口扩展模块。答:
43、满足要求。Check Point/Crossbeam设备可通过增加网络模块NPM的方式增加设备上的网络端口。目前,X40可提供的网络模块包括8个千兆端口(铜缆、单模光纤、多模光纤可选)及16个百兆接口的模块。(2) 设备应可通过增加模块的方式提高投标设备的性能,卖方应详细说明设备可提供的扩展模块的信息。答:满足要求。Check Point/Crossbeam X40的性能可以随着需求的增加而扩展,可以通过增加APM模块来提高X40整体设备的处理能力,新增加的APM模块可自动与原有APM模块工作于自动负载均衡模式。每块APM模块可提供4Gbps的防火墙吞吐能力、每秒30,000新建连接数以及50
44、万最大并发连接数。每增加一块APM模块,其设备的整体性能,包括吞吐量、并发连接数、每秒新建连接数等,近似于线性增加,这样,通过简单增加APM模块到现有的X40设备上,就可提升X40设备的处理能力。而对性能的增加,实施也非常简单。只需要增加一块APM模块,插入到现有的X40设备中即可,对网络中的其他设备,完全不需要改变。(3) 设备应可通过增加模块的方式,在投标设备上增加新的安全功能,卖方应详细说明如何在投标设备上增加新的安全功能。这些安全功能将包括IDS、IPS、SSL VPN、防病毒URL过滤、XML应用保护等。答:满足要求Check Point/Crossbeam设备网络处理、安全应用、管
45、理功能均以模块方式工作,如果增加新的安全应用,只需要增加APM模块即可。所有的APM硬件均相同,由控制模块来定义APM的功能,激活安全应用的License即可,目前支持的主要安全功能包括:IDS、IPS、SSL VPN、防病毒、URL过滤、XML应用、数据库保护。(4) 设备增加新的安全应用功能时,必须基本不影响原有设备模块的性能功能和。卖方应详细说明这一要求的实现方式。答:满足要求。Check Point/Crossbeam X40上,所有新增加的模块均有独立的处理能力,将不会影响原有防火墙及虚拟防火墙的性能。在每个模块上均有独立的中央处理器、内存、总线、操作系统等。所有APM配置均相同。A
46、PM提供高性能安全应用处理。硬件模块均可进行热插拔。同时可将安全应用定义为不同的逻辑组,在增加安全应用时,数据流会自动负载均衡到新的模块上,原有的通信和会话不会丢失。4.2.6 高可用性及高可靠性要求卖方提供的设备系统应提供高可用性支持,具体要求为:(1) 设备应支持高可用性配置,提供双机热备功能,卖方应详细说明双机热备的实现方式。答:满足要求Check Point/Crossbeam X40可以通过4种方式提供防火墙的高可靠性HA:a) 标准的VRRP协议(RFC2338)b) 动态路由协议c) 四层交换机d) Cluster XL技术(2) 设备应有专用的高可用性心跳端口。答:满足要求。Check Point/Crossbeam在CPM(控制模块)上有专用的高可用性心跳端口,通过该端口可以在多台设备间监测彼此状态,为最大限度的保证高可靠性,在设备上还可定义多个端口为心跳端口。(3) 设备应支持具有运营商级的设备高可靠性,包括冗余电源、冗余风扇、冗余模块、冗余网络接口等。卖方应详细说明所提供设备自身的其他冗余配置特性。答:满足要求。Check Point/Crossbeam X40设备提供SBHA单机高可用性(Single Box High Availability)功能特性,即在一台X设备上,所有的系统部件均可提供备份,包括: 冗余数据交换(多N
