朝阳区教育“校校通”工程招标文件-业务网安全系统技术要求

页业务网总体要求业务网建设目标为构造一个可靠、可控、高速、可管理的核心交换平台，用于连接各个学校、数据中心及市教育信息网、区公共信息平台等不同的网络。投标方须对如何保证系统的高可靠性，从硬件体系结构、业务处理方式、控制软件等各方面做详细描述。投标方须考虑IPV6、VoIP等先进技术在网络上的应用，就未来应用的扩展性提出建设性意见。投标方要根据招标方需求进行网络设计并报价。招标结束后，中标方须进行深化设计，充分考虑已有的资源和实际情况，对方案进行调整，最终形成实施方案。网络设计原则使用成熟先进技术简化网络结构设备高性能高可靠可抵御网络异常流量的攻击具体需求业务要求：2个网络出口（市教育信息网及区公共信息平台）1个数据中心接入249个节点网络性能要求：核心交换万兆级连接背板容量>=1.5T包转发率>=400Mpps出口连接市教育信息网1000Mbps接口（2个）连接Internet100M（高性能NAT）连接市教育信息网内网1000M连接区公共信息平台1000Mbps接口（高性能NAT）数据中心数据中心分三部分Internet服务器区关键应用服务器区大流量服务器区数据中心关键应用服务器区通过千兆级防火墙连接到核心数据中心大流量服务器区通过ACL进行3、4层访问控制数据中心Internet服务器区通过百兆级防火墙连接到出口学校（接入层网络）访问数据中心总带宽不小于6Gbps接入的学校普通学校100Mbps接入网络中心示范校500Mbps接入网络中心网管要求网管网络相对于业务网络独立，网管网络与业务网络需要通过防火墙连接，要求严格的安全策略可实现现有和新增设备管理、网络管理、日志管理及网络性能管理的网管系统可实现基于WEB方式对设备端口进行流量监控可进行带内管理（通过网管防火墙）及带外管理可提供NTP服务为网络中设备提供NTP服务为网络中计算机提供NTP服务入侵检测控制台等属于网管网络可靠性要求：核心网络设备双机热备份；关键板卡1+1热备电源1+1或1+n保护接入网络双链路负载均衡，热备份；路由连接冗余备份。其它要求已有1台千兆NETEYE防火墙可利旧已有2台CISCO6506交换机低速引擎可利旧已有1台CISCO6509交换机低速引擎可利旧须考虑今后将原有IP网络迁移到本网络中须考虑基于用户的宽带认证计费系统须考虑与NTP组网方案须考虑网络安全功能，配合网络中防火墙、入侵检测系统、防病毒系统综合设计网络工程要求使用的设备需要在业界有广泛应用；设备报价需包括设备安装附件；交钥匙工程。核心交换机主要性能指标要求（1）数量：2台（2）单台配置要求：冗余主控引擎冗余电源。内存（主控引擎1G，路由模块1G2个10GE以太网模块10个千兆单模以太网光模块48个10/100/1000M自适应以太网双绞线端口。（3）设备技术指标要求见下表技术指标要求高性能体系结构支持分布式体系结构集成化路由引擎和交换背板，无需额外配置模块吞吐量IPv4>=400Mpps（第三层交换速率）背板容量>=1.5Tbps交换容量>=700Gbps用户槽位数>=9部件冗余支持交换引擎处理模块1+1冗余支持三层路由处理模块1+1冗余支持1+1冗余交换矩阵支持冗余电源、散热风扇支持插板的热插拔路由冗余支持冗余路由切换及负载均衡多协议单播路由协议支持BGPv4、OSPF、RIP2、PolicyRoutingIPV6硬件支持IPV6支持IPv6RIP,OSPF，BGP.支持IPv6/IPv4及IPv4/IPv6Tunnel基于硬件的多播实现支持硬件方式实现多播协议多播路由协议PIM-Sparse,PIM-Dense,PIM-Sparse/Dense等协议MPLS支持二，三层VPN支持MPLS流量工程支持MPLS虚拟专网支持缓存协议支持基于WEB的缓存协议接口以太网支持FE,GE，10GE。端口密度千兆光纤端口密度大于等于12口/卡千兆双绞线端口密度大于等于12口/卡通道技术支持跨模块的10M/100M/1000MVLAN数量>=4KSpanning-tree支持基于每个VLAN的生成树(Spanning-tree),802.1w,802.1s.VLANTrunking支持802.1Q访问控制支持基于硬件方式的数据包访问过滤登陆安全支持基于VLAN、物理地址、IP地址、端口号、应用内容等进行访问控制安全性速率限制支持反向的访问控制支持动态的访问控制支持地址翻译(NAT)支持AAA安全认证协议(Radius)；支持通过基于限速（RateLimit）,来控制DDOS攻击IP数据流量分类机制支持根据IPACL、IPPrecedence、DSCP、MPLS-exp、802.1Q/p、COS标准的排队技术防止拥塞丢包技术支持WRR(WeightedRoundRobin)多业务QOS模式支持Inter-serve,Differ-serve机制。端口级门槛值设置端口级的延迟与丢弃的门槛值设置排队技术支持优先处理低延迟数据的排队机制（LLQ）设备管理软件支持全网统一网管软件网络监测支持网络探针（Probe）管理模块，可对网络流量进行分析、统计等监测工作。网络管理网络设备管理手段支持多种管理策略、图形化管理工具管理协议支持SNMPv2、RMON管理功能支持配置管理，故障管理，性能管理，统计管理，安全管理。出口高性能NAT设备性能要求（1）数量：2台（2）单台要求：1000M单模光口上连1000M多模光口下连（3）主要性能指标包转发速度>＝800kpps维护终端要求数量：2台要求：便携电脑，奔腾M1.5G以上，256M内存，USB2.0，14.1’显示屏，2.5kg投标方应提交的技术文档网络设计方案方案内容应包括但不限于：设计依据（数据分析）网络物理连接图网络逻辑拓扑图网络时间同步方案设备配置清单本次投标设备的详细技术说明安全系统核心防火墙技术要求（1）数量：6台（2）设备技术指标要求如下：千兆级处理性能吞吐量1.4Gbps以上，并发连接数至少180万，每秒新建连接数大于2.5万。接口模块热插拔。双电源冗余备份。最少提供3个千兆以太网接口。支持L2TPVPN、GREVPN、IPSecVPN、MPLSVPN、SSLVPN等多种VPN业务。支持包过滤技术，支持应用层报文过滤ASPF，提供多种攻击防范技术等。支持邮件过滤和网页过滤等。可提供各种日志功能，提供流量统计和分析功能以及提供各种事件监控和统计功能。支持虚拟系统防火墙。虚拟系统防火墙之间可以使用VLAN划分，也可以使用端口划分。虚拟系统防火墙内部可以配置独立的防火墙规则，虚拟系统防火墙之间默认隔离，通过配置可以互通。具备公安部的销售许可证、国家信息安全测评中心的认证证书、国家保密局的推荐证明等漏洞扫描系统技术要求扫描范围：网络中心可扫描的服务器数量：不少于100台具有扫描分析网络系统能力。具有报告网络存在的弱点和漏洞能力。具有报告网络系统相关信息和对外提供的服务能力。能够建议补救措施和安全策略。生成分析报告。具有远程和本地工作能力。具有安全策略的自定义能力。用户界面友善，方便用户操作。自身安全机制完备。具有国家安全部颁发的《国家信息安全认证证书》和公安部颁发的《计算机信息系统安全专用产品销售许可证》产品。网络入侵检测技术要求（1）数量：2台（2）设备技术指标要求如下：在高速网环境下能够稳定运行，系统性能指标必须达到：单台探头数量：不少于2个GE256字节包长下，处理能力达到线速64字节包长下，处理能力达到400Mbps以上系统内置安全知识库，能够检测端口扫描、可疑行为、未授权访问尝试，后门、木马等，其安全规则与国际标准CVE兼容详尽的报警事件审计分析查询与报告支持关联分析支持实时流量统计与监控完善的数据维护功能，支持数据转储、导出与压缩系统具有完善的安全保护机制，如探测器隐藏IP地址、通信加密、多级用户管理、支持系统自身安全审计等支持安全域拆分支持大型网络的多级层次化部署管理架构完备的探测器管理（状态检测与动作管理）分级安全管理，支持系统自身安全审计网络防病毒系统技术要求防护范围：网络中心服务器数量：不少于100台PC数量：不少于30台具备

跨平台分级查杀病毒能力，支持IBMAIX,Linux,AS/400,OS/390，SUNSolaris，Windows9x,WindowsNTWorkstation/Server,Windows2000,WindowsXP,OS/2,Macintosh等多种操作系统。能够实现统一集中的管理，其中包括防病毒软件的安装、维护、病毒定义码和扫描引擎的自动更新升级、网络防病毒策略的统一配置、报警的集中管理、定时调度、隔离、实时扫描和监控等等。支持建立内部的更新资源库，局域网络内部所有的防病毒服务器和工作站可直接从更新资源库下载病毒定义码和扫描引擎。具有网络节点自动检测功能。可以根据需要对于不同地域和工作组设置不同的扫描策略。支持查、杀各种未知病毒，具备将被病毒感染的文件进行修复的功能。具备对电子邮件的防病