nokia-设备维护支持及保修

广东电信DCN安全评估、加固整治工程项目

防火墙应答书

诺基亚（中国）投资有限公司

（一）综述 (4)

（二）工程规范书 (7)

（三）技术规范书点对点应答 (9)

3.1 诺基亚IP220防火墙产品介绍 (9)

3. 2 “防火墙技术要求”点对点应答表 (12)

3.2.1 防火墙内容安全控制攻击防御功能 (12)

3.2.2 防火墙管理功能 (22)

3.2.3 防火墙HA高可靠性功能 (24)

（四）防火墙部署方案建议 (28)

4.1 方案设计原则 (28)

4.2 方案设计概述 (30)

4.2.1方案介绍 (30)

4.2.2方案主要特点 (31)

（五）设备配置清单 (39)

（六）场地及环境准备要求 (44)

（七）培训计划 (46)

（八）技术服务、支持、保修 (48)

8.1前言 (48)

8.2服务组织结构 (49)

8.2.1 我们的服务 (50)

代理商基本服务 (50)

直接服务 (51)

附加服务 (51)

8.3 诺基亚支持网站 (53)

8.4 技术支持中心支持 (57)

8.5 术语表 (65)

附注一: 近三年承担同类项目业绩说明 (69)

附注二投标公司介绍 (73)

（一）综述

我们很高兴有机会为中国电信集团广东省电信公司9地市DCN网安全整治项目防火墙部分设计本方案建议和应标书。网络安全的概念对于电信行业如此重要，是与电信行业数据业务的迅猛发展紧密相联系的。目前，在固定网络领域，数据业务已经超过的传统的话音业务，成为主流业务，而新的应用层出不穷，发展潜力巨大。因此，我们已经看到数据业务对于电信服务提供商是巨大的机遇，而安全问题带来的威胁，可能影响网络的运营和阻碍业务的正常发展。由于电信行业是为顾客提供电信服务的，安全问题也同时为电信行业带来了机遇，“安全提供服务”已经成为电信行业一种新型的服务项目。因此，建设用户信任的网络基础构架，是发展电信业务，提高服务质量的需要。目前，我们认为在以下几个方面都存在着电信行业最迫切的安全需要：

数据网络基础设施－保障当前数据运营网络的安全性。当前，为已经建成的数据网络基础设施和辅助设施提供安全保障。最小化数据网络运营风险已经使网络风险管理成为电信网络运营整体风险管理的重要部分。

网络安全服务－在现有的基本网络服务的基础上，开发新的保障用户网络安全的新型电信服务，变被动为主动，为用户提供更优质的服务和更多的选择。

本次项目为广东省电信公司9地市DCN网安全整治项目。伴随着DCN网业务系统数量的增多和网络规模的扩大，DCN网的安全事件也日益增多，使目前DCN网存在较严重的安全问题。

本项目的建设目标是对显著提高地市分公司DCN网络的核心网段和关键系统的安全性，增强了地市分公司DCN网络的自我防御能力，这对于防范以前类似“震荡波”等蠕虫病毒的攻击或一些恶意非法入侵而导致网络不稳定的情况有明显的效果。针对DCN网络中发现的各种漏洞，通过停用不需要的系统服务、升级存在漏洞的系统、修改系统配置等主机加固手段来提高系统的安全性。加固后的DCN网络主机安全性大大增强，能有效抵御各种来自网络外部以及内部的黑客入侵，保障其承载的各个业务系统安全可靠地运行。

本次工程的主要目的就是为广东省电信各地市公司DCN网提供更专业、高性能、稳定、可靠的网络安全增值服务。而不是仅简单的提供安全设备。

作为业界领先的移动供应商，诺基亚公司不仅致力于移动网络的不断发展，同时也不断提供符合企业要求的安全解决方案。诺基亚企业解决方案部提供的防火墙解决方案在电信，银行和企业都有广泛的应用。根据国际数据集团(IDC)2002年度的分析报告显示，诺基亚已经获得全球硬件防火墙/VPN设备30％的市场认可。在2003-04年度高端防火墙处于业界领先地位。我们根据广东省电信地市公司DCN安全加固项目防火墙招标的要求，基于当前网络安全的发展情况，同时充分考虑项目投资的有效性，设计了本方案建议书。

本方案具备以下特点：

将世界一流的路由技术与市场领先的Check Point FireWall NG防火墙软件紧密结合。诺基亚IP防火墙解决方案在保证网络完整性的同时提供可靠的安全防护。诺基亚的设计重点是：实现市场最高安全性标准，高性能，安装与管理更简便。

1）市场最高安全性标准

诺基亚于领先市场的防火墙应用开发商Checkpoint紧密合作，开发专用硬件设备，全面支持Checkpoint Firewall NG技术，特别是业界领先的状态检测技术。并采用诺基亚专用安全操作系统Nokia IPSO，满足市场最高安全性标准。

2）更加简单的为现有网络增加防火墙

诺基亚采用集成方式提供防火墙应用，简化了为现有网络增加防火墙技术的复杂性，使得IT 人员能够集中精力从事重要的网络管理工作。所有的支持和升级只有一个来源。所有的硬件和软件都已在工厂定制安装就绪。

诺基亚防火墙解决方案支持：

?透明模式

?VLAN 802.1Q

?动态路由协议：RIPvl/RIPv2、IGRP、OSPF、BGP4

?多媒体组播协议：DVMRP，PIM和VRRP。

?支持的其他路由功能：Router Discovery、BOOTP Relay Mail Relay、NTP、DNS、IP Broadcast Helper、IDR Router Aggregation，Route Redistribution 。

3）高性能

诺基亚采用专门设计的硬件设备，提供高性能的防火墙解决方案。特别采用了诺基亚和Checkpoint联合研制的防火墙加速技术Firewall Flow，大大提供了防火墙的性能。我们此次推荐的防火墙产品IP1220，防火墙吞吐量可达2.4G，VPN性能750M。具有很高性价比。

4）高可用性

高可靠性，是本次需求基础之一，我们此次推荐的IP1220均具有极高的硬件可靠性，MTBF （平均无故障工作时间）均超过4万小时。并支持诺基亚提供了VRRP（虚拟路由器冗余协议）和Firewall Sync (Check Point的防火墙同步技术)－允许两个或多个诺基亚系统间实现负荷分担的冗余。这些技术是所有诺基亚IP解决方案产品的标准配置。诺基亚的专利技术，IP Clusting 可以提供业界最高的可靠性，可以实现动态的流量负载均衡和不中断会话的快速切换。

5）为快速增长的业务提供所需的灵活性

诺基亚致力于对IP安全市场不断发展的技术作出快速响应。诺基亚非常注重敏捷的市场反应和安全性，能够在很短的时间进入市场，对客户需求作出快速反应。

诺基亚IP解决方案采用由三部分组成的集成式框架结构，三个组成部分包括利用灵活的硬件平台、可靠的安全路由操作系统，以及Check Point FireWall –1 软件。其中的每一组成部分都具有许多新的特性，为诺基亚的敏捷反应和快速进入市场提供了保证。

6）完全的远程网络管理

使用诺基亚公司基于Web的管理工具－Network Voyager，用户可以在网络内任何获得授权的位置对诺基亚IP安全解决方案进行管理、监视和配置。 Network Voyager具有简便易用的特点能够运行在任何标准的Web浏览器上。

（二）工程规范书

IP1220是诺基亚公司下一代集成的安全解决方案，它为成熟的诺基亚平台增添了电信级的可靠性。它在一个产品包中结合了世界一流的路由技术、市场领先的防火墙软件以及快速的分组转发速率，为防火墙和VPN解决方案确立了一个全新的标准。IP1220是诺基亚产品家族中针对有高可用性与高吞吐能力要求的应用的解决方案。符合IETF（RFC2356和RFC2647）,NOKIA IP1220 全面支持Check Point FireWall-1防火墙/VPN。 Check Point FireWall-1 防火墙是业界知名的防火墙产品，支持 IETF（RFC2356和RFC2647）规范。NOKIA IP1220 在国内通过了中华人民共和国邮电部入网测试, 取得中华人民共和国公安部销售许可证。

IP1220符合的技术规范如下：

Internet Protocol

? IP RFC791

? ICMP RFC792

? ARP RFC826

? ICMP Router Discovery

(Server) RFC1256

? CIDR RFC1519

? Static Routes

? RIP RFC1058

? RIP Version 2 (with authentication)

RFC1723

? OSPF RFC2328

? DVMRP (multicast) RFC1075

? IGMP (multicast) RFC2236

? PIM-DM (multicast)

? PIM-SM

? Multicast Tunnels

? IGRP (optional) Cisco

? BGP4 (optional) RFC1771

? IPv6 core RFCs

? Requirements for

IPv4 Routers RFC1812

? Differentiated Services (EF) RFC2598 ? Bootp/DHCP Relay RFC2131

? Route Aggregation

? Route Redistribution

? Unnumbered Interfaces

LAN Support

? 10/100 Mbps Ethernet

? Multi-mode fiber Gigabit Ethernet

WAN Support

? PPP RFC1661, 1662

? Frame Relay FRF.1, RFC1490

? HDLC Cisco

? ISDN BRI

? T1/E1 (optional)

? V.35/X.21 (optional)

? SNMPv2c

? SNMPv3

? Telnet RFC854

? FTP RFC959

? SSHv2 (secure Telnet & FTP)

? HTTP Server RFC2068

? SSL/TLS RFC2246

? Command Line Utilities ? Supported in Nokia Horizon Manager

High Availability

? VRRP RFC2338

? FireWall-1 State Sync

Security

? Secure Administrative Access

? Read/Write and Read-Only

Access Modes

? SSH (secure Telnet & FTP)

? SSL/TLS (secure HTTP)

RFC2246

? S/Key (one-time password) RFC1760 ? Access Control Lists

? Traffic Management

? MD5 Routing

Authentication (RIPv2) RFC1723 ? Centralized Authentication

? N ative IPSEC (for non-firewall applications) Application Acceleration

? Firewall Flows

? VPN Acceleration Card (optional)

诺基亚（中国）投资有限公司防火墙投标书

（三）技术规范书点对点应答

3.1 诺基亚IP220防火墙产品介绍

概要：

本节的诺基亚IP系列防火墙产品特征表主要描述了诺基亚IP1220防火墙产品的主要

技术参数和特征。包括硬件、可选网络接口、管理、操作系统特性、路由支持、性能

和物理参数等。

诺基亚（中国）投资有限公司防火墙投标书

Nokia IP1220

P4 2.8G Hz

诺基亚（中国）投资有限公司防火墙投标书

表 1诺基亚IP系列防火墙产品特征表

诺基亚（中国）投资有限公司防火墙投标书

3. 2 “防火墙技术要求”点对点应答表

3.2.1 防火墙内容安全控制攻击防御功能

NOKIA 防火墙的CHECKPOINT防火墙的 SmartDefense?引入了一种新型的 Internet 安全产品：主动防御解决方案。SmartDefense 包含在 FireWall-1? 中，它采用了智能安全技术主动保护组织免遭所有已知和未知的网络攻击。SmartDefense 采用 Check Point 获专利的状态检测（Stateful Inspection）技术，通过分类和分级阻隔攻击，并提供了一个独立的、集中式的控制台来获取攻击的实时信息，以及进行攻击检测、阻隔、日志、审核和警报。

产品特性：

诺基亚（中国）投资有限公司防火墙投标书

●与 FireWall-1 完全集成

●通过分类和分级阻隔攻击

●在线安全更新

●实时记录攻击细节和数字侦察信息

产品优点：

●增强的网络安全性

●检测和防卫所有的网络攻击

●确保攻击防卫是最新的并保持整个安全环境的一致

●增强了对攻击的了解和控制

SmartDefense 运用智能安全技术，主动保护组织免受所有已知的和未知网络的攻击。

集中式控制防范攻击

SmartDefense 为安全管理者应对攻击提供了独立的、集中式的控制。它可挫败范围广泛的各种攻击类型，包括拒绝服务攻击（DoS）、IP 攻击、网络侦测、Web 和应用程序弱点。另外，它集中配置报警、追踪和审核，从而提供了一个全面的网络防卫。

在线更新

Check Point 提供一项可选的 SmartDefense 更新服务，以确保 SmartDefense 客户能够获取关于新出现的攻击的最新信息。这些在线更新扩展了 SmartDefense 的能力，提供了基于硬件和基于 ASIC 的防火墙无法提供的响应级别和灵活性。

实时攻击信息

SmartDefense 的用户界面包括攻击的后台详情，并有超链接指向攻击的种类和特性的更多信息。通过 Check Point 丰富的日志数据和分布于分支结构中的日志，提供了有价值的攻击的数字侦察信息。这些数据为安全管理者提供有关攻击种类和潜在响应的信息，增强了他们对网络攻击的理解和控制。

被抵御的网络攻击

诺基亚（中国）投资有限公司防火墙投标书

拒绝服务（DoS）攻击

● SYN 洪水攻击

● LANd

IP 攻击

● IP 欺骗

● IP 片段

●非法和残缺的包

Web 和应用程序弱点

● DNS 攻击

●违反协议

●特殊应用程序弱点

●特洛伊木马程序

●后门和远程管理

●移动代码（JavaScript、Active-X）

●隐藏的文件扩展名

网络侦测

●端口扫描

●服务扫描

HTTP 蠕虫 *

●红色代码

● htr 溢出

诺基亚（中国）投资有限公司防火墙投标书

●尼姆达病毒

诺基亚（中国）投资有限公司防火墙投标书

NOKIA IP系列防火墙支持内容过滤和攻击的检测要求，如下表所列：

诺基亚（中国）投资有限公司防火墙投标书

应用层/表示层

诺基亚（中国）投资有限公司防火墙投标书

诺基亚（中国）投资有限公司防火墙投标书

诺基亚（中国）投资有限公司防火墙投标书

会话层

传输层