顺德职业技术学院网络防火墙系

1、第 PAGE 7 页，共 NUMPAGES 6 页顺德职业技术学院网络防火墙系统改造工程采购2.3 采购内容及技术要求 网络环境介绍顺德职业技术学院校园网发展至今，已建成覆盖教学区、生活区的网络和各种数字资源。拥有各类数据端口26000多个，网络用户5000人的规模，目前整个网络拓扑如下图所示。原有的天融信NGFW4000-UF防火墙有两个百兆端口和两个千兆端口，X86架构，天融信操作系统，最大支持160万连接，无用户数限制，与各种校园网络设备配合使用，与现有网络环境衔接性好，性能稳定，使用情况良好。根据顺德职业技术学院目前的网络利用率不断提高，用户数量不断增加，各种应用日益增多，有必要对网络

2、进行调整。学院分配到的公网IP地址少，需要通过防火墙转换才能上网，服务器也要通过地址映射才能供外网访问，还需要进行一些安全过滤等。目前校园网络流量非常大，曾出现超过200万连接数。随着网络应用（特别是BT、迅雷、电驴、在线直播等点对点应用）不断增加、学院逐年扩招、网络用户也不断增加，对网络出口的关键设备防火墙的性能要求也越来越高。因此，要求新防火墙必须适合现有网络环境使用要求，与现有网络环境衔接性好。改造后的拓扑图：防火墙平台建设要求在规划的基础上，要求采用核心和分区相结合，通过合理部署不同防火墙系统，达到对核心数据的保护和对不同网络行为的监控。本项目中标人必须完成如下任务：（1）在两条100

3、M的互联网出口部署一台全新的千兆防火墙，由它分别连接两个互联网出口，实现两个出口流量负载，为全院师生访问互联网提供NAT和访问控制，以满足当前接口流量的NAT性能要求和将来互联出口带宽和学院用户规模的增加。（2）在服务器区出口部署一台全新的千兆防火墙，为服务器进行保护，在必要时服务器区防火墙可以作互联网防火墙备份机，而不对服务器区访问产生影响。中标人应该对备份机情况进行部署，制定切换计划并测试成功。（3）在教育网出口部署一台全新的千兆防火墙，要为学院师生访问CerNet提供NAT和细粒度访问控制，确保各项访问应用的安全，也要为将来教育网出口带宽升级预留性能空间。新增防火墙清单及技术要求设备名称

4、技 术 要 求数量核心防火墙系统性能要求：防火墙最大（同时）并发连接数2000000；防火墙主机机箱=2U，10/100/1000BASE-T口4个，千兆SFP插槽6个；10/100BASE-TX端口2个；配置千兆SFP接口模块2个；支持双电源，可以插接支持IPSEC VPN、各种规格加密卡以及防病毒模块；可以支持最远的光纤距离为70km光纤模块；单个接口单向吞吐率1000Mb/s，字节数据包处理达到线速处理；系统平均无故障时间（MTBF）60000 小时。平台及功能要求：采用基于操作系统内核的会话检测技术（核检测技术）；平台支持：采用基于ASIC+NP芯片架构的专用硬件平台与专用操作系统；采

5、用主备双系统，当主策略文件系统损坏可以从备策略系统恢复。防止配置不当或防火墙系统故障造成的网络中断；支持对内部用户的上网行为进行管理和审计。包括内部用户所访问网页、网页的IP、以及内部用户访问的时间、次数等都能进行审计和管理。用户可以对自定义非法网站、流量阀值等监控数据实现对教师及学生的Web访问排行、非法Web访问排行的列表和监控。并根据系统的设置阀值自动提醒超过流量限制的用户；支持多模式下的深度数据检测DPI，对网络的47层或应用层具有更强过滤能力和定制能力；支持FTP、HTTP、TELNET、PING、SSH、FTPDATA、SMTP、WINS、TACACS、DNS、TFTP、POP3、

6、RTELNET、SQLSERV、NNTP、IMAP、SNMP、NETBIOS、DNS、IPSECISAKMP、RLOGIN、DHCP、RTSP、MS-SQL-（S、M、R）、RADIUS-1645、PPTP、SQLNET1521、SQLNET1525、H.323、MSN、CVSSERVER、MS-THEATER、MYSQL、QQ、SECURID（TCP、UDP）PCANYWHERE、IGMP、GRE、PPPOE、IPV6等协议命令级的控制，实现对文件级的过滤；认证支持OTP 、RADIUS 、S/KEY 、SECUREID 、TACACS/TACACS+、CA等；支持第三方CA认证，并要求提供

7、测试报告；支持采用USB KEY用于管理器的KEY方式认证及VPN密钥存储；安全服务器（SSN）保护；支持SMTP、POP3的发件人、收件人、邮件主题和附件的过滤，支持对FTP、HTTP的关键字过滤，关键字支持正则表达式自定义；支持802.1Q VLAN、支持CISCO ISL字段的解读，支持VLAN间的访问控制；有源、目的地址路由功能，适应有多个网络出口的环境；抗DOS、DDOS攻击；可阻止ActiveX、Java、Javascript入侵；支持路由模式、透明（桥接）模式、混合模式（路由与透明两种模式同时工作）；支持OPSEC或TOPSEC协议，能够与IDS入侵检测产品进行联动；支持SNMP

8、协议V3版本，同时提供相应的MIB库文件，能通过第三方网管软件对防火墙进行监测和控制；支持生成树计算协议（包括PVST和CST）；支持DHCP服务，可同时作为DHCP服务器和客户端；支持GUI及命令行管理；支持SSH 的远程登陆管理方式；支持SNMP集中管理与监控；深层日志及分析功能，支持日志的自动导出与分析，支持防火墙配置文件的导入与导出；支持防火墙双机热备并能对备防火墙的管理；支持对服务器的负载均衡和防火墙自身的负载均衡以及多层多链路的热备；有公安部颁发的计算机信息系统安全专用产品销售许可证；具有国家保密局监制证书；通过国家信息安全测评认证中心防火墙安全等级EAL3认证。1套分区防火墙系统

9、性能要求：千兆光纤接口3个，最大支持6个；百兆UTP接口1个，最大支持6个；6个GBIC插槽，可以插接支持IPSEC VPN、SSL VPN、各种规格加密卡和10/100/1000M自适应模块；防火墙最大（同时）并发连接数1600000；系统平均无故障时间（MTBF）60000 小时。平台及功能要求：采用基于操作系统内核的会话检测技术（核检测技术）；平台支持：采用专用硬件平台与专用操作系统；采用主备双系统，当主策略文件系统损坏可以从备策略系统恢复。防止配置不当或防火墙系统故障造成的网络中断；支持VPN模块，采用通过国家密码管理委员会鉴定的密码卡所提供的加密算法，并提供鉴别证书；支持对内部用户的

10、上网行为进行管理和审计；安全服务器（SSN）保护；支持802.1Q VLAN、支持CISCO ISL字段的解读，支持VLAN间的访问控制；支持OPSEC或TOPSEC协议，能够与IDS入侵检测产品进行联动；支持第三方CA认证，并要求提供测试报告；有源、目的地址路由功能，适应有多个网络出口的环境；支持路由模式、透明（桥接）模式、混合模式（路由与透明两种模式同时工作）；具有国家保密局监制证书；有公安部颁发的计算机信息系统安全专用产品销售许可证；具有自主知识版权的国内产品；通过国家信息安全测评认证中心防火墙安全等级EAL3认证。2套采购人原有的两台防火墙，中标人可作回收，原有防火墙系统性能如下：设备

11、名称技 术 指 标数量原有防火墙系统千兆光纤接口=2个；一台设备百兆UTP接口=1个，另一台设备百兆UTP接口=2个；吞吐率=860M；平台支持：采用专用硬件平台与专用的安全操作系统TOPOS；抗DoS/DdoS攻击；基于内核的会话检测的防火墙实现机制：采用基于操作系统内核的会话检测技术（核检测技术）；支持多种身份认证；安全服务器（SSN）保护：具有对公开服务器保护功能，一旦服务器内容被非法篡改，可以进行快速恢复；防火墙支持其它安全产品的联动：支持TOPSEC协议，能够与第三方安全产品进行很好的联动，尤其是与IDS入侵检测产品的联动；支持多种工作模式：支持路由模式、透明（桥接）模式（防火墙无I

12、P技术）、混合模式（路由与透明两种模式同时工作）。资质证书：公安部颁发的计算机信息系统安全专用产品销售许可证；中国国家信息安全测评认证中心颁发的国家信息安全认证产品型号证书；通过国家信息安全测评认证中心防火墙安全等级EAL3认证；自主知识版权的国内产品。2套备注：1、带“*”号及下划线的要求为关键技术要求，投标人必须满足，否则将被视为对技术要求的非实质性响应而导致废标；仅带下划线的要求为重要技术要求，在评标的过程中，作为评分的重要依据。2.、采购人将根据招标文件的要求及投标文件的响应，在项目验收前对中标人提供的防火墙产品进行两个月或以上的测试。若中标人提供的防火墙产品不能通过测试，将被视为违约。2.4 合同主要条款1、完工期：所有设备必须在合同签订生效后15天内全部安装、调试完毕，并交付测试；测试满60天的后的7个工作日内验收合格并交付使用。2、付款方式：1）合同签订生效后30个工作日内付款30；2）无违反合同约定的，设备全部安装、调试完毕，验收合格并交付使用后15个工作日内付款65；3）无违反合同约定的，余款（即合同总额的5）在项目整体验收合格满一年后的30个工作日内付清。3、售后服务：1）免费保修期：不少于2年(自项目验收合格