河北IP城域网技术规范书草稿V11_final

12006年中国网通河北IP城域网扩建一期工程可管理安全服务设备技术规范书2006-6-122第一章工程技术规范书点对点应答本次所提供的所有方案及各项设备和系统(包括软、硬件)符合如下技术标准：（1）ISO27001：2005：信息技术安全－技术信息安全－管理体系要求；（2）ISO/IECFDIS17799:2005(E):信息技术－安全技术－信息安全管理代码实践；（3）ISO/IEC18028-2:2006(E)：信息技术－安全技术－IT网络安全；（4）ISO/IECTR13335：信息技术－IT安全管理指南；（5）中华人民共和国通信行业标准YD/T1163-2001IP网络安全技术要求－安全框架；（6）中华人民共和国通信行业标准YD/T1132-2001防火墙设备技术要求；（7）《中国网络通信集团公司IP网2004－2006年发展规划》；（8）IP城域网规划建设指导原则（北方分册）；（9）《河北网通互联网网络优化指导意见》；（10）《中国网通网络技术转型与演进的若干意见》；（11）《网通集团IP网络优化和维护指导意见》；3（12）《河北省分公司数据专业产品供货商及产品备案表》；以下按照“2006年中国网通河北IP城域网扩建一期工程可管理安全服务设备技术规范书”章节进行点对点应答。3.5设备基本配置要求3.5.1卖方提供的设备应满足下列基本配置要求：（1）设备应为能够满足本技术规范要求的完整的软、硬件系统，集成性好，便于机架式安装；答：满足要求。本项目提供的CheckPoint/Crossbeam设备为满足本技术规范的完整软硬件系统，经过兼容性测试，可以无缝集成，设备为标准机架尺寸，便于机架式安装。（2）设备及接口的电气特性应符合国际和国家的相关标准。答：满足要求。本项目提供的CheckPoint/Crossbeam设备的设备及接口电气特性符合国际和国家的相关标准。3.5.2基本性能及配置要求卖方提供的单套设备系统应满足下列性能指标要求：吞吐量：不小于4Gbps4答：满足要求。本项目提供CheckPoint/CrossbeamX40配置最少可提供4Gbps的吞吐量。最大并发连接数：不小于50万答：满足要求。本项目提供CheckPoint/CrossbeamX40配置最少可提供50万的并发连接数。每秒新建连接数：不小于3万答：满足要求。本项目提供CheckPoint/CrossbeamX40配置最少可提供3万的每秒新建连接数。端口数：不小于4个千兆光纤答：满足要求。本项目提供CheckPoint/CrossbeamX40配置可提供8个千兆光纤口。设备应提供专用带外管理端口答：满足要求。CheckPoint/CrossbeamX40提供了2个带外管理端口（10/100MBase-T）设备应提供专用日志端口答：满足要求。CheckPoint/CrossbeamX40提供了1个专用日志端口（10/100/1000MBase-T）5处理时延：不大于0.08s答：满足要求。CheckPoint/CrossbeamX40的处理时延小于0.08s。3.5.3基本网络功能要求卖方提供的单套设备系统应提供以下基本的功能：（1）设备应支持静态路由和RIP、RIPII、OSPF等路由协议。答：满足要求。CheckPoint/CrossbeamX40支持RIP、RIPII及OSPF等路由协议。（2）设备应支持802.1QVLAN。答：满足要求。CheckPoint/CrossbeamX40支持802.1QVLAN。CheckPoint/CrossbeamX40防火墙全面支持802.1Q协议，通过使用CheckPoint/CrossbeamX40防火墙可以有效的对VLANID进行识别和支持，并且对不同VLAN之间的访问进行控制。（3）设备应支持对不同VLAN间数据包的阻隔。答：满足要求CheckPoint/CrossbeamX40防火墙对VLAN具有丰富的控制功能，通过对CheckPoint/CrossbeamX40硬件防火墙的设置，用户可以通过防火墙对属于不同VLAN的主机进行有效的隔离，并且通过安全策略进行访问控制，保护不同目标主机和网络的安全。6（4）设备应支持VLANTrunk。答：满足要求CheckPoint/CrossbeamX40防火墙采用专用的网络操作系统，支持802.1Q协议，防火墙能够识别VLANID,支持VLANTrunk网络流量通过防火墙。（5）设备应支持虚拟路由模式防火墙、虚拟透明模式防火墙，并支持此两种模式的虚拟防火墙共存于同一个虚拟环境中。答：满足要求。CheckPoint/CrossbeamX40防火墙以以下方式工作在用户的网络中：透明模式、路由模式、透明模式与路由模式同时工作。CheckPoint/CrossbeamX40支持此两种模式的虚拟防火墙共存于同一个虚拟环境中。（6）单套系统支持的最大虚拟防火墙数量应不小于200个答：满足要求。CheckPoint/CrossbeamX40单台最高可支持250个虚拟防火墙。（7）设备应支持虚拟路由器和虚拟交换机功能。答：满足要求。CheckPoint/CrossbeamX40支持虚拟路由器和虚拟交换机功能。4.1一般技术要求74.1.1硬件(1)卖方提供的所有设备必须是最新开发且最稳定可靠之产品，并且大规模在电信运营商环境应用的成熟商用产品，并保证所提供产品的数量、质量，特别是接口的兼容性。答：满足要求。CheckPoint/CrossbeamX40是最新开发并且最稳定可靠的产品，已经在全球范围内的许多大型电信运营商环境得到了成熟应用，包括美国南方贝尔、英国移动运营商O2、西班牙电信Telefonica、德国电信、美国移动运营商VerizonWireless、澳大利亚电信Telstra等。在应用中，与各种网络产品均有很好的兼容性。(2)各种设备应采用功能分担、分布式多处理机结构。主要模块冗余度至少为1+1，易于扩容和维护。答：满足要求。在CheckPoint/CrossbeamX40设备中，各模块的功能是分离的，每种模块负责其各自的功能，然后整个设备通过机架无源背板全交叉总线及Crossbeam专利的实时调度操作系统XOS有机的集成。同时，在CheckPoint/CrossbeamX40中，针对不同的功能需求，提供了不同的设备模块，包括：网络处理模块NPM、安全应用处理模块APM、管理控制模块CPM等。8所有安全技术都通过一种先进的机柜式系统结合在一起，从而消除了对外部交换机、负载均衡器、接头和/或端口镜像的需要。通过多种安全技术配置流路径的工作可以从一个能为用户带来全面灵活性的图形用户界面（GUI）上轻松完成。这种合并是目前业界最简单、安全而又经济的安全防护模式。所有相关模块均可配置为1＋1的备份，可以灵活的根据功能或性能的需求扩展各个模块。(3)卖方提供的硬件平台应支持第三方安全设施，应为模块化设计，支持平滑的扩展。各模块的扩展不影响现有模块的业务处理性能和数量。答：满足要求。CheckPoint/Crossbeam设备为模块化设计，可同时提供多种安全应用。设备上的安全应用处理模块APM可独立运行不同的安全应用，包括独用防火墙/VPN、虚拟防火墙/VPN、IDS、防病毒、IPS等。多个安全应用处理模块独立并行运行，并由整个系统所统一监控。各模块的扩展不影响现有模块的业务处理性能和数量。可增加的安全应用包括：a)IDS/IPSb)虚拟防火墙9c)SSLVPNd)数据库保护：可对网络内部的各种数据库进行保护，包括Oracle、Sybase、DB-II、MS-SQL等。可以审计用户对数据库的访问，可以加载对数据库访问的安全策略，可以告警等e)URL过滤f)XML服务保护g)防病毒等(4)主控模块能在不中断通信的情况下，可带电进行板卡的热插拨操作。所有设备的模块插板可带电热插拔，所有设备均采用模块化设计，其中每一模块发生故障时均不影响其他设备和其他模块的正常运行。答：满足要求。CheckPoint/CrossbeamX40是新一代的运营商级的安全设备，X40系列平台为全冗余架构，无源背板，全交叉总线，双独立进线的电源模块，冗余风扇，冗余网络模块，冗余安全应用模块，冗余管理控制模块，甚至细化到每个网络端口均可定义其备份端口，实现了网络端口的冗余，整个设备无单一故障点，能够提供高达99.9999%的高可靠性。同时X40设备所有的模块均可热插拔。每一模块发生故障时均不影响其他设备和其他模块的正常运行。10(5)卖方提供的设备要选用世界上高质量的元器件，生产过程中进行严格质量控制，出厂前要经买方人员严格测试和检查，确保设备长期稳定、可靠地运行答：满足要求。CheckPoint/Crossbeam设备采用世界上高质量的元器件，生产过程中进行严格质量控制，出厂前经过严格测试和检查，可以保证设备长期稳定、可靠地运行。（6）承载软件系统的应为专用平台，卖方应说明该平台的性能。答：满足要求。Crossbeam为专用安全硬件平台，采用经过加固和优化的专用操作系统，可以与CheckPoint虚拟防火墙无缝集成，为用户提供安全服务。本次提供的CheckPoint/CrossbeamX40至少可以提供4Gbps的防火墙数据吞吐率。4.1.2软件(1)软件系统卖方的软件应为最新、成熟的电信级产品，并应与硬件平台实现无缝衔接；答：满足要求。本项目CheckPoint提供的软件为最新、成熟的电信级产品，和硬件平台Crossbeam经过兼容性测试，可以实现无缝衔接。卖方在建议书中应详细列出所提供的软件清单、版本和说明。答：满足要求。11软件版本说明CPPWR-VSX-10NGX虚拟防火墙模块，可以支持10个虚拟防火墙CPPWR-SC-UNGX集中管理服务器软件CPFW-FSS-1NGX单机防火墙以保护集中管理服务器CPIS-IEPS-1000NGX1000客户端许可，可以提供端点PC防火墙，PC入侵防范，PC应用安全，PC间谍软件防范功能CPIS-IAS-1NGX客户端集中管理服务器软件，可以提供多域和层次化管理功能卖方应说明本工程涉及的分类项目对现网设备的操作系统及相关系统软件有何要求，是否需要使用新版本系统软件，若是，应说明新版软件和原使用软件之间的异同和兼容程度答：满足要求。本项目提供的CheckPoint/Crossbeam设备对现网设备的操作系统及相关系统软件无要求。(2)软件模块化结构软件应为模块化设计组成，卖方必须保证任何软件模块的维护和更新都不影响其它软件模块的功能，软件具有容错能力。答：满足要求。12CheckPoint软件采用结构化和模块化设计，对任何软件模块的维护和更新都不影响其他软件模块的功能。软件中有特定进程监控其他进程，如其他进程出现问题，特定进程会自动对其进行修复。(3)故障监视和诊断软件能及时发现故障并发出告警，能够自动恢复系统，不影响任何已建立的业务连接。答：满足要求。软件中有特定进程监控其他进程，如其他进程出现问题，能及时发现故障并发出告警，特定进程会自动对其进行修复，不影响任何已建立的业务连接。(4)兼容性及升级a.设备不同时期软件版本应能向下兼容，软件版本易于升级，且在升级后不影响网路的性能与运行。答：满足要求。CheckPoint保证软件版本的向下兼容，软件版本易于升级，且在升级后不影响网络的性能与运行。b.卖方应承诺在供货时提供最新版本的软件，但该软件必须是经过测试正式推出的，其可靠性、稳定性经过严格验证的。答：满足要求。CheckPoint保证供货时提供最新版本的软件，提供的软件是经过测试正式推出的，其可靠性、稳定性经过严格验证的。c.软件版本升级时，卖方应承诺免费更新软件版本，并提供相应13的新版本软件功能说明书及修改说明书。答：满足要求。本项目技术规范要求提供的且买方已经购买的软件功能，CheckPoint/Crossbeam承诺免费软件版本更新，并提供相应的新版本软件功能说明书及修改说明书。(5)卖方应说明目前所使用软件的实际运行