河南铁通第三方出口万兆防火墙入围选型竞争性谈判文件

河南铁通第三方出口万兆防火墙入围选型采购竞争性谈判投标文件（技术部分投标书）编号：CTT-HA-TP-2010-008郑州高泰科科技有限公司2010年09月编号：时间：2021年x月x日书山有路勤为径，学海无涯苦作舟页码：第页投标文件目录TOC\o"1-4"\f\h\z\u投标文件目录 1第二部分技术部分投标书 3一、技术规范书点对点应答 31.1总则 31.2技术应答要求 41.3总体技术要求 71.4设备配置原则 81.5技术规范 161.6设备供电及环境要求 241.7设备交货、安装、调试、开通及试运行 261.8技术服务要求 301.9技术培训 311.10技术文件 321.11工程进度 331.12其他 33二、技术标及相关附件 37附件一合同设备、服务及相关技术文件清单及价格 37附件二技术规范书及建议书 382.1网络安全方案设计 382.2技术偏离表 44附件三工程进度表 45附件四双方责任及工程分工细节 454.1招标方责任 454.2投标方责任 464.3工程分工细节 47附件五测试及验收 475.1测试技术方案 475.2验收方案 51附件六场地及环境准备要求 556.1安全注意事项 556.2温/湿度要求 566.3洁净度要求 566.4抗干扰要求 576.5设备准备 57附件七培训、厂验、工程协调会 587.1培训计划 587.2厂验测试内容及建议 597.3工程协调会 61附件八技术承诺 61附件九技术服务 639.1售后服务能力 639.2售后服务内容 639.3售后服务保障体系 649.4服务需求反馈联系方式 72附件十投标产品描述及介绍 73附件十一产品质保承诺函 78附件十二软件许可使用权证书 79

第二部分技术部分投标书一、技术规范书点对点应答1.1总则本文件是河南铁通（以下简称招标人）城域网出口网关设备部分，供投标厂商/公司（以下简称投标人）编写点对点应答、技术建议书和报价之用。答：满足。我方将严格按照谈判文件的要求进行投标文件的编写和应答。1.2本规范书对投标设备所符合的技术标准要求如下：（1）符合有关标准（如ISO、ITU-T、ETSI、IMTC、IETF、IEEE及中国铁通的相关规范等）的，投标人应在建议书或应答中具体说明，并附上相应的详细技术资料。答：满足。若投标建议书中有涉及相关技术标准，我方将按照标准规范进行注释说明。（2）若投标人的设备和系统包含非标准扩展协议或自有专用标准，应在建议书中具体说明，并附上相应的详细技术资料。答：满足。方案及应用建议中若涉及有我方私有协议标准等，我方将会做详细技术说明。（3）本规范书中未给出，但ISO、IEEE、ITU-T、ETSI、IETF及中国铁通的相关规范等已有建议的相应性能和功能，投标人均应满足。答：满足。我方同意谈判文件的要求。（4）如若有相应的中国（或国际）标准确立，投标人应保证在一年内无偿过渡到招标人要求的相应中国（或国际）标准。1.3投标人所提供设备的各项功能、性能应完全符合或高于招标人在本规范书中的要求。答：满足。我方投标产品将会完全符合并高于谈判文件技术规范中的要求。1.4如无特别说明，本规范书对“投标设备”或“设备”的技术服务等要求均适用于本次投标所涉及的所有设备。答：满足。我方同意谈判文件的要求。1.5本规范书对于软件、硬件、培训、服务和环境等方面的要求所涉及的费用均包含在本次招标的投标范围之内。如果投标人没有提供明确的报价，可以认为上述要求所需要的费用由投标人免费提供。答：满足。我方同意谈判文件的要求。1.6本技术规范书应视为保证网络运行所需的最低要求。如有遗漏，投标人应予以补充，否则一旦中标将认为投标人认同遗漏部分并免费提供。答：满足。我方同意谈判文件的要求。1.7招标人在任何时候都保留和拥有对本文件的解释权和修改权。招标人有权在签定合同前，根据需要修改和补充本技术规范书，修改补充后的最终技术规范书将作为合同的附件。答：满足。我方同意谈判文件的要求。1.8投标人在参与本项目中，对于招标人披露和提供的所有信息应作为商业秘密对待并予以保护，未经招标人授权不得将任何信息泄漏给第三方，否则招标人有权追究投标人的责任。答：满足。我方同意谈判文件的要求。1.2技术应答要求建议书的内容格式：附件一合同设备、合同服务及相关技术文件清单及价格附件二技术规范书及点对点应答含组网方案与关键业务实施建议；技术偏离表。附件三工程进度表附件四双方责任及工程分工界面包括施工办法及质量保证措施附件五测试及验收设备测试、系统测试的方法和环境附件六场地及环境准备要求设备安装要求及建议、抗震加固措施等；各种设备的外形尺寸、重量、面板布置、进出线方式等；各种设备所需电源种类、电源模块数量及工作模式、耗电量、电压、地线要求及设备最大可接入线径等；机房荷重、温湿度及环境要求。附件七培训、厂验、工程协调会附件八技术承诺附件九技术服务、支持、保修附件十产品描述 设备体系结构（含图示）、设备功能、性能说明、设备各种接口特性等；设备的正式使用时间、在中国的入网证明及相关性能指标的测试文档；技术文档列表。附件十一保修期保函或履约保函附件十二软件许可使用权证书（样本）答：满足。我将会要求建议书的内容格式进行投标文件的编写，并附于技术部分投标书全部点对点应答之后。技术建议书点对点应答要求投标人应按照本规范书的要求提供《技术规范书点对点应答》。在该文件中，投标人应对本规范书提出的各项要求逐项做出“满足”或“不满足”两种明确答复，除非有明确要求，否则不得做出其它应答或解释，不得使用“部分满足”。投标人必须采用如下应答方式：a）投标人在技术应答部分必须逐项应答该项是板卡支持、软件支持还是外加功能卡支持。答：满足。我方同意谈判文件的要求,并按照技术应答部分的要求逐项应答。b)投标人必须提供每款产品正式发布的时间及产品生命周期表。答：满足。我方本次防火墙入围投标产品为：DPtechFW1000-GA-N，DPtechFW1000系列防火墙产品发布日期为2008年。DPtechFW1000-GE-N,FW1000-N系列防火墙产品发布日期为2008年。我方承诺DPtechFW1000系列防火墙未来的生命周期将不少于10年，即使在超越具体的生命终结周期，我方也会根据已销售产品的维保需求提供相关网络安全设备附件及售后增值服务。技术建议书要求2.3.1结合河南铁通实际情况，对河南铁通城域网出口网关设备方案进行描述。答：满足。我方将根据河南铁通的实际情况进行撰写。2.3.2对所提供的设备目前的标准及技术发展情况进行综述，说明所提供设备的硬件的推出时间，软件推出的时间、版本，说明所提供设备的正式商用时间。针对投标设备详细描述设备发展演进路线，并提供详细推荐理由。答：满足。我方入围投标产品的软、硬件推出时间为2008年6月，并于同年9月正式投入商用。设备推出之初定位高端价值行业及数据中心千兆、万兆网络安全防护，经过多年来安全领域技术的不断发展，网络攻击手段也在不断增加提高。基于我司在网络安全领域的专注和持续创新：目前我方防火墙产品形态已从最初的网络层安全防御设备升级为应用层安全综合防御设备。产品未来的发展方向，硬件层面：多核+FPGA+自主安全芯片；软件层面：ConPlatV1.0（我方安全产品操作系统名称）向ConPlatV2.0不断提升。其他要求本技术规范书应视为设备应满足的最低要求，卖方所提供的设备的各项指标应符合或高于本技术规范书所提出的各项要求。答：满足。我方同意谈判文件的要求。卖方应说明随着系统规模的扩充，设备数及用户数的增加，系统软件、管理软件及其他第三方软件的扩容方式及其收费基准。答：满足。我方同意谈判文件的要求。卖方的产品目录价必须为全国统一的目录价，可单独配置的板卡必须有分项详细报价。答：满足。我方同意谈判文件的要求。对于同一系列的产品，除通用的模块、外购光纤等安装材料，所有业务板卡和主机系统的折扣率应保持一致。答：满足。我方同意谈判文件的要求。同一系列的产品，所有业务板卡和主机系统的折扣率保持一致。卖方投报所有板卡均应为量产产品，并广泛应用于各大运营商现网中，不同机型的通用板卡应为相同折扣率。答：满足。我方同意谈判文件的要求。针对本次项目所报产品及板卡均为量产品并有着广泛的应用案例。1.3总体技术要求1、投标人应根据本规范书的要求，基于自己的产品和技术提供具体、完整的配置方案。答：满足。我方同意谈判文件的要求。2、要求投标人本次所投标设备必须是成熟的商用产品，各型号设备应在中国大陆已有成功的装机案例，上述装机和应用案例以附表形式列举，所填内容齐全、真实，且附有有效证明材料的为有效案例。答：满足。我方同意谈判文件的要求。3、培训要求：要求投标人为招标人提供包括相关设备硬件、软件、及其相关网管的初级、中级和高级培训，上述培训的课程和地点由招标人选定，培训人员的食宿和本地交通费用由投标人提供。培训按照人天报单价。具体培训时间由双方协商决定（本条将根据最终购甲培训情况填写）。答：满足。我方同意谈判文件的要求。4、投标人应回答所投标的各产品型号的推出时间。投标人所投设备应是厂家新推出的产品型号，投标人应保证本次投标的产品在10年内不会因厂家的技术路线调整、技术升级等原因导致停产及不再销售。答：满足。我方同意谈判文件的要求。并保证本次投标产品10年内不会因为厂家技术路线调整、技术升级等导致停产及不再销售服务等。5、投标人应提供单台设备和相关部件的可靠性指标，至少包括：设备和部件的无故障运行时间、每年的不可用时间。答：满足。我方同意谈判文件的要求。本次投标入围设备的MTBF（MeanTimeBetweenFailure）平均故障间隔时间≥10年；每年不可用时间＜5分钟。1.4设备配置原则基本要求1、本次为河南铁通城域网出口防火墙网关设备入围选型，各参与厂商需自本次开标之日起一周内提供一台设备在招标人现网内进行测试，未提供测试设备的厂商按废标处理。答：满足。我方同意谈判文件的要求。并提供应标产品测试设备入围。2、本次防火墙网关设备入围选型要求采用多核处理器硬件架构，整机并发连接数不少于200万，每秒新建连接数不少于6万，整机吞吐量不小于6G，千兆接口不小于4个。答：满足。我方同意谈判文件的要求。并提供不低于技术要求指标的应标产品进行入围。项目设备能力备注产品性能最大并发连接数≥200万每秒新建连接数≥60000整机吞吐量≥6G可靠性要求系统采用多种可靠性设计，冗余电源、VRRP、基于状态的热备份等千兆接口设备自带4个千兆Combo口，如无法提供Combo口需提供4GE电口＋4SFP光口代替。投标人需说明其设备配置的计算方法，给出详细的配置说明。答：满足。我方同意谈判文件的要求。投标入围产品配置及性能如下：FW1000-GA-N主要软、硬件性能指标如下：固定接口：6GE千兆光接口，8GE千兆电接口；最大并发连接数≥250万；每秒新建连接数≥60000；整机吞吐量≥6G；可靠性：支持交直流冗余电源，支持VRRP、双机，电源、模块等支持热插拔。FW1000-GE-N主要软、硬件性能指标如下：固定接口：12GE千兆光接口，12GE千兆电接口,2个10GE万兆XFP接口；最大并发连接数≥400万；每秒新建连接数≥100000；整机吞吐量≥10G；可靠性：支持交直流冗余电源，支持VRRP、双机，电源、模块等支持热插拔。

要求设备电源、主控、交换矩阵等重要模块为冗余配置。答：满足。我方同意谈判文件的要求。设备本本支持冗余的主要部件均提供冗余配置。各种光接口模块（10GE、2.5GPOS、ATMSTM-1、GE）统一采用GBIC或者SFP的单模光接口，GE接口为保证互连的灵活度，光接口模块必须具备中距（1310nm/10KM，1310nm/40KM），长距（1310/70KM）。答：满足。我方同意谈判文件的要求。提供符合谈判文件要求的相应光模块。防火墙所使用软件必须获得CMMI（V1.2）3级（软件能力成熟度模型集成3级）认证评估并提供证书。答：不满足。我方防火墙产品软件暂未获取到CMMI（V1.2）3级认证评估。若NAT日志的存取需要License，并产生相关的费用，按用户License要求方式进行报价，并计入总价。答：满足。我方同意谈判文件的要求。必须有单独的网管报价。包括网元管理系统、业务管理系统（如VPN网络平台）、策略平台（License列出单价）。答：满足。我方同意谈判文件的要求。我方会单独提供网管软件产品的报价。报价参考模型中各种光模块统一按照单模10Km配置。答：满足。我方同意谈判文件的要求。河南铁通本次项目配置模型需求如下：1、投标人应根据招标人的要求提供设备配置及冗余配置。各设备配置中应包含相应所需的软件配置。答：满足。我方同意谈判文件的要求。根据招标人的要求提供设备配置及冗余配置。并提供设备配置中应包含的相应软件配置。2、投标人提供的软件应是能确保全网正常运行所需的管理、运营、维护等有关的全部软件，且为成熟稳定的最新版本。答：满足。我方同意谈判文件的要求。我方保证提供的软件为成熟版本，软件并能确保全网采购的我方设备正常运行所需的管理、运营、维护等。3、投标人所提供的设备应能适应组建大规模的网络，在容量、能力、性能和管理等方面完全满足本规范书的要求。答：满足。我方同意谈判文件的要求。将严格按照招标要求及未来用户发展考虑选择性价比较高、可扩展性较强的产品。4、投标人应列出其设备所能提供的所有特性和业务功能。答：满足。我方同意谈判文件的要求。并会在《技术部分投标书》二、技术标记相关附件，附件十、投标产品描述及相关介绍中提供设备的所有特性和业务功能介绍。5、由投标人所提供的设备部件间的连线和接插件均应视为设备内部器件，包含在相应的设备之中，不另行单独报价。答：满足。我方同意谈判文件的要求。6、投标人根据招标人要求提供设备安装、测试相关的电缆、安装材料等。答：满足。我方同意谈判文件的要求。我方设备安装、测试相关的线缆辅材等有我方提供。7、投标人应根据设备情况，对正常维护需要的消耗品、备件种类和数量提出建议。答：满足。我方同意谈判文件的要求。并会在《商务部分投标书》第二章、商务标证明附件，附件3、投标详细配置中提出附件、消耗品数量及单价。8、投标人提供的设备应是以至少十年使用期设计的，投标人要保证不论提供的设备是否还生产，在使用期内招标人可得到备件。答：满足。我方同意谈判文件的要求。硬件设备要求1、投标人提供的所有设备必须是成熟的产品，并保证所提供产品的数量、质量，特别是接口的兼容性，投标人应对所采用的硬件系统进行详细的功能及性能说明。答：满足。我方同意谈判文件的要求。并提供我产品的软、硬件体系架构和主要功能性能说明：硬件整体架构：软件总体架构：网管多核数据平面驱动接口网管多核数据平面驱动接口系统服务流量工程路由技术统计日志安全技术业务应用双机热备管理VPN技术系统配置管理OSI协议栈IPV4协议栈链路层协议QoS技术API接口封装多核数据处理引擎1…多核数据处理引擎n多核业务数据并发处理平面ConplatV1驱动接口驱动程序ConplatV1驱动接口控制流数据流ConplatV1软件平台控制平面IPV6协议栈工作模式：防火墙可工作于路由模式、透明模式、混合模式、NAT模式。安全特性：基本攻击防护DDoS攻击防护状态检测MAC/IP/用户绑定黑名单NAT访问控制应用访问控制(HTTP、SMTP、POP3、)URL访问控制VPN(IPSec、SSL、L2TP、GRE)DPtechFW1000-GA-N提供≥6G的小包性能，≥250万并发，≥6万每秒新建。DPtechFW1000-GE-N提供≥10G的小包性能，≥400万并发，≥10万每秒新建。

2、设备应具备冗余性和容错性等安全措施，关键部件应采用冗余设计，以保证可靠性。答：满足。我方同意谈判文件的要求。关键部件采用冗余设计及配置，以保证性。3、系统应采用模块化的硬件结构，便于硬件和业务的扩充。答：满足。我方产品软/硬件采用模块化功能设计，具备良好的可扩展性。4、主要设备能在不中断通信的情况下，可带电进行印刷电路板的热插拔操作。答：满足。我方同意谈判文件的要求。并支持相关冗余部件的热插拔操作。5、投标人提供的设备要选用高质量的元器件，生产过程中进行严格质量控制，出厂前要经招标人人员严格测试和检查，确保设备长期稳定、可靠地运行。答：满足。我方的产品不但引用了高质量的元器件及严格的测试检查流程。6、设备相关电磁兼容性指标必须符合国标要求，投标人应提供设备的具体电磁兼容指标、测试方法和测试数据。答：满足。我方同硬件产品还全部通过欧盟CE电磁电器兼容性认证。7、投标人提供的设备应支持不同业务处理板的混插，提高插槽的通用性和灵活性。答：满足。8、设备应具有网络故障和硬件故障告警功能。答：满足。我方设备支持网络故障及硬件故障的告警机制。9、当软件升级时，应不影响硬件结构。投标人必须在本标书中详细注明投标的软件版本与投标硬件之间的关系，即本次投标设备必须兼容未来的软件版本，若出现硬件不兼容新软件版本情况，投标人必须免费更换硬件。答：满足。我方同意谈判文件的要求。10、设备应提供过流、过压保护措施，保证器件不受损坏。答：满足。我方同意谈判文件的要求。11、设备应具有良好的散热性能，并要求投标人对设备的散热方式及原理进行分析。答：满足。我方设备采用多风扇并行散热技术，能保证设备在极为恶劣的情况下仍然保持良好的运行状态。12、设备要求在下列环境下能保证正常工作：环境温度：5℃～45℃，每小时变化<10℃相对湿度：10％～90％（非凝露、非结霜）海拔高度：-500米～5000米答：满足。我方投标入围设备能够满足在该环境下的使用。13、设备应能在下列供电变化范围内正常工作：额定电压-48V，直流：-40V~-57V答：满足。我方投标入围设备能满足直流环境下的供电使用。14、投标人应提供设备的机械结构、品种规格及安装规程等方面的详细说明。答：满足。我方投标入围设备为1U标准机架式产品，可直接通过挂耳按照上架。在设备安装上架完毕后，需引下配套接地线缆，即可加电运行。15、投标人系统采用的所有硬件设备必须符合计算机及通信专业相关国家、国际标准，如采用工业标准或厂家自定标准，必须在建议书中明确指出。答：满足。我方投标入围设备涉及的行业标准会在方案中指出。16、抗震加固抗震措施：按8级烈度进行计算。机械振动：4.9牛顿/平方米（50赫兹至200赫兹）投标人应对招标人机房环境提出具体要求，并提供所提供的设备的安装要求和抗震加固方式图，尤其是对于上架的服务器更应提供详细的安装要求和抗震加固方式图。答：满足。待投标入围进行设备安装调试阶段，我方将会严格按照招标人机房环境及提出的要求，提供抗震加固方案。软件系统要求1、投标人提供的软件应包括确保全网正常运行所需的管理、运营、维护等有关的全部软件。答：满足。我方同意谈判文件的要求。2、软件要求保证安全可靠，请注明本次投标软件版本正式发布的时间及是否已有商用案例。答：满足。本次投标入围产品的软件版本号及正式发布时间为：B11022SP032010-6-183、对于仍在完善的国内外标准，投标人应说明系统进行升级时的实现方式（软件升级/硬件升级）。答：满足。我方将根据所需标准进展，定期对软件升级进行升级。4、投标人在规范书中应详细列出所提供的软件清单和说明。详细列出本次投标的软件版本之前的一个版本发布时间和之后的将发布（或已发布）的版本的时间。答：满足。我方近期版本的发布时间请参考下图：之前使用的版本：目标版本名称版本号时间说明DPtech-UMC-C11-B11021SP21.binB11021SP212010-5-11解决软件bug、没有新的特性合入目前使用的版本：目标版本名称版本号时间说明Dptech-UMC-C11-B11022SP03.binB11022SP032010-6-18有新的特性合入计划发布版本：目标版本名称版本号时间说明DPtech-UMC-C11-B11023SP02.binB11023SP022010-9-18有新的特性合入5、软件应支持小版本升级不中断业务，建议支持大版本升级不中断业务。答：满足。我方小版本升级不会中断业务，跨度较大版本升级一般也不会中断业务，不过更为具体需根据升级功能特性来判定。投标人应承诺在供货时提供最新版本的软件，但该软件必须是经过测试正式推出的，其可靠性、稳定性经过严格验证的。同时要保证网络安全可靠及扩容和版本升级方便。答：满足。我方保证本次投标入围产品的软件版本为最新的，并且是经过严格测试、稳定可靠的。投标人今后推出新软件版本时，投标人应承诺免费升级软件版本，并提供相应的新版本软件功能说明书及修改说明书。答：满足。我方同意谈判文件的要求。由于软件的升级引起的硬件更换所需费用全部由投标人承担。答：满足。我方同意谈判文件的要求。投标人应说明目前所使用软件的实际运行时间以及升级完善的计划进度表。答：满足。现有版本软件稳定运行时间为3个月，下一个版本的新功能补充时间进度为2010年09月18日。6、投标人购甲的系统软件、应用软件必须有合法的使用权，自己开发的软件也应和招标人明确版权问题。答：满足。我方同意谈判文件的要求。7、所开发的系统软件特别是计费软件和用户管理软件，在系统验收之前，投标人须根据招标人的要求及时做出设计修改，以保证系统功能的完整性和可靠性。答：满足。我方同意谈判文件的要求。在系统未合格验收前，根据招标人的需求及时响应并做出设计修改，以保证系统功能的完整和可靠性。1.5技术规范总体要求投标人须向招标人提供正式发布的、完整而成熟的系统软、硬件技术。其各项技术应保证具有开放性、可靠性、兼容性和扩展性。答：满足。我方同意谈判文件的要求。投标人提供的软件版本必须是稳定的商用版本，必须在同一软件版本中能满足本技术规范书中所要求的所有功能及性能。答：满足。我方同意谈判文件的要求。投标人应提供快速、有效、功能全面的网元管理系统和业务管理系统，包括软、硬件系统、软硬件管理服务模块和专用工具。说明网管系统支持的操作系统。答：满足。我方本次投标入围软件系统支持的Windows2003、2008等版本操作系统。免费提供SNMPMIB库、管理接口等信息等。答：满足。我方同意谈判文件的要求。投标人所有设备的软件保修两年，硬件保修两年。保修期从终验结束后开始计算。在保修期内硬件应免费更换和维修，软件应免费升级。并且在软件保修期内由于软件升级而引起硬件变动所发生的费用也应由投标人承担。答：满足。我方同意谈判文件的要求。我方本次投标入围产品默认提供3年软、硬件质保服务。招标人所提的设备的性能和功能要求，投标人必须根据所提供设备的现有硬件和软件版本做出点对点应答。若是将来支持必须做出相应的说明。答：满足。我方同意谈判文件的要求。工程验收测试要求：投标人负责提交系统的验收测试方案供招标人确认，并配合依据招标人的综合验收测试方案进行验收测试，若出现验收测试数据与集采实验室测试不符合的情况，招标人必须给出正式书面解释并给出修正办法，如果是板卡型号问题必须免费更换到实验室测试时使用的板卡（包括主控板和接口线卡），如果需要更换软件，必须提前提出申请，与招标人协商解决。同时招标人保留退货的权力，如果招标人计划用其他厂商设备替换该设备，投标人必须负责替换设备所需的一切费用（包括但不限于运输费、施工费、集成费等），并且期间招标人所有损失由投标人承担；同时招标人保留限制投标人参加后期投标的权力。答：满足。我方同意谈判文件的要求。投标人应根据招标人的业务需求及相关的技术规范要求，提出完整的项目管理、系统设计、工程培训、项目施工、项目验收、技术支持方案以及投标人人力资源供给方案。答：满足。我方同意谈判文件的要求。并在《技术部分投标书》二、技术标及相关附件中提供详细的供给方案。投标人必须提供设备在国内的最新应用实例及开通的业务模式至少各三份。答：满足。我方同意谈判文件的要求。最新国内应用实例：1.1上海电信世博会项目1.2陕西省广电NAT出口防火墙项目1.3河南省教育厅万兆安全采购项目等2、开通业务模式：2.1上海电信世博会项目，采用我司系列万兆安全产品起三层安全策略控制及二层串联模式，做世博会官方网站的安全防护。2.2.陕西省广电NAT出口防火墙项目，采用我方万兆FW1000-GE-N防火墙在广电出口，起三层模式做NAT。2.3河南省教育厅采用我司万兆防火墙及系统万兆安全产品，在教育网及互联网出口三层模式做互联网出口NAT、策略路由等。招标人保留对本文件及其附件解释和修改的权利。答：满足。我方同意谈判文件的要求。如果本规范中要求的“必须”功能项投标人目前不能实现，投标人必须给出承诺实现的时间，或者明确的实现的计划。答：满足。我方同意谈判文件的要求。设备要求投标人须详细说明本次所提供设备的硬件和软件的体系结构，包括工作模式，安全特性、线卡交换能力、板卡与机箱有无性能限制及具体的限制说明及给出相应的使用方案。答：满足。我方投标入围设备硬件采用多核+FPGA+自主安全芯片的架构，软件采用ConPlat软件平台。防火墙可工作于路由模式、透明模式、混合模式、NAT模式。板卡之间无特殊限制。投标人必须详细说明冗余部件（主控板、交换矩阵等）主备倒换时对业务的影响，说明倒换时间等参数。本次项目提供的设备在一块交换矩阵故障时，整机仍能线速转发。答：满足。因我方投标入围产品非插卡式设备，不存在切换时间。板卡要求：投标人需提供所有投标板卡的性能指标（全部以单向计算）。答：满足。非插卡设备，但我司投标入围产品板卡的性能为6G吞吐量投标人必须提供整机的吞吐量，如果为分布式处理结构，需提供每业务板的吞吐量，并说明计算方法。投标人必须说明Ethernet、GE、10GE接口是否支持全线速转发的字节数，并提供板卡在不同包大小的包转发率曲线图。答：满足。我司投标入围产品性能如下：FW1000-GA-N：支持GE接口，接口支持全线速转发，8G的流量帧长64128256512102412801518吞吐量6G8G8G8G8G8G8GFW1000-GE-N：支持GE及10GE接口，接口支持全线速转发，10G的流量帧长64128256512102412801518吞吐量7.8G10G10G10G10G10G10G包转发时延当设备和链路负载小于90％的情况下，1518Byte长度及以下包转发时延均应小于200us，抖动小于20us。同时在部署QoS后，在低等级的业务造成网络拥塞时，保证高等级业务流量的延时和抖动不受影响。答：满足。丢包率当设备和链路负载小于90％的情况下，保证丢包率为0；同时在部署QoS后，在低等级的业务造成网络拥塞达时，保证高等级业务不受影响。答：满足。并发连接数目防火墙整机并发连接数要求不小于200万，每秒新建连接数要求不小于60000。答：满足。部署模式支持透明模式、透明模式和混合模式。答：满足。我方投入入围产品支持透明、网桥、混合、NAT模式等支持IPV6协议。答：满足。我方支持IPV6协议并支持IPV6静态、动态Ripng、OspfV3等协议。支持FTP、HTTP、SMTP、RTSP、H323协议簇的状态报文过滤，支持时间段安全策略设置。答：满足。支持虚拟防火墙技术，要求实配256个虚拟防火墙。答：满足。支持P2P限流功能。答：满足。我方防火墙不光能提供P2P限流功能，还可针对应用层协议特征库及网络五元组进行动态组合，调整关键业务优先级，进行深度业务流量分析和监管。VPN支持支持L2TPVPN、IPSecVPN、GREVPN，要求实配5000个IPSecVPN隧道。答：满足。我方还支持SSLVPN并配置不少于8000个IPsecVPN隧道。日志支持支持Syslog、NAT转换、攻击防范、黑名单、地址绑定等日志，支持流量监控日志，支持二进制格式日志、支持用户行为流日志。答：满足。防火墙必须支持一对一、多对一、多对多、静态网段、双向转换、EasyIP和DNS映射等NAT方式，必须支持必须支持多种应用协议，如FTP、H323、RAS、HWCC、SIP、ICMP、DNS、PPTP、NBT的NATALG功能，支持一个公网IP地址NAT并发100万连接，支持策略NATALG功能。答：满足。支持静态路由、RIPv1/2、OSPF、BGP、策略路由等。答：满足。我方还支持组播路由等。支持应用层过滤，必须支持JavaBlocking、ActiveX过滤，支持FTP协议深度检测，支持FTP命令字过滤，支持URL过滤。答：满足。安全防范能够防范DOS/DDOS攻击：Land、Smurf、Fraggle、WinNuke、PingofDeath、TearDrop、IPSpoofing、SYNFlood、ICMPFlood、UDPFlood、ARP欺骗、ARP主动反向查询、TCP报文标志位不合法、超大ICMP报文、地址扫描的防范、端口扫描的防范。答：满足。必须支持统一网管软件，支持SNMPv1、SNMPv2C、SNMPv3，可以与网络、交换设备统一管理。支持CONSOLE、TELNET、SSHV1.5管理方式，支持NTP时间同步。答：满足。支持SNMP系列协议，并能够做NTP服务器及客户端。是否可以实现基于源地址的ACL访问控制、基于目标地址的ACL访问控制及基于目标地址和端口的ACL访问控制，同时说明支持ACL的数量及其对性能的影响，提供第三方证明。答：满足。说明是否支持基于源地址的过滤，防地址欺骗。说明此功能对设备性能的影响。答：满足。日志管理系统投标人须说明日志管理系统的软硬件配置要求及组网方案，要求能够接入中国铁通网管系统，并开放相关的接口。答：满足。我方本次投标入围产品可根据用户要求提供并开放相关接口。日志管理系统应具有易用、良好图形用户界面、在线帮助、软件下载、支持自动发现网络中的设备等先进功能。要求说明日志管理系统运行在何种服务器上及支持何种操作系统。答：满足。我方本次投标入围的软件产品需运行在Windows2000及以上版本的微软网络操作系统上面。其中对服务器的硬件性能有如下要求：CPU：IntelXeon处理器(双核或4核)，2GHz以上，推荐采用双CPU内存：DDR22G以上硬盘：SAS(10Krpm以上)，容量140G以上网卡：100M/1000M自适应网卡，2块以上推荐机型：DELLPowerEdgeR610日志采集方法必须支持（Syslog,LEA,Netflow,NetStream,RDEP,ISSAPI,AntivirusAPI,ApplicationAPI,WindowsLogs）。答：满足。支持二进制流日志、NAT日志的解析。答：满足。支持防病毒、放垃圾邮件分析功能。答：满足。支持实时告警功能。答：满足。支持事件关联分析功能。答：满足。要求提供日志管理系统的限制及原因。答：满足。我方无相关特殊限制，可为本次项目为客户定制开放相关日志管理接口。投标人应提供设备的操作要求说明书。答：满足。性能管理能够实时对防火墙基于端口及整机的的吞吐量进行监测。答：满足。能够提供统计分析功能，统计每个端口接收帧/信元计数、可纠正帧/信元计数，帧/信元丢失率；对时延性能的统计包括传输时延，信元时延抖动等。答：满足。应可以针对每一项性能指标设定各种变化的门限，从性能变化的异常现象报告中，获知网络性能的变化，进行性能分析，采取相应措施，同时应该能够对于门限的选择方式及理由进行充分的描述，具体应包括早期告警负荷监视，过负荷监测，拒绝监测，轻微过负荷门限，过负荷门限，负荷告警等。答：满足。对历史统计数据的分析功能。答：满足。应按照管理规程创建和维护性能统计日志。答：满足。提供CPU利用率和内存利用率。答：满足。应能提供用户服务响应建立所需时间。答：满足。安全管理要求提供充分的保护机制，避免受到恶意侵入或误操作所引起的破坏。答：满足。应能对每个管理员单独设置登录名、口令、操作范围、权限。答：满足。对传送的网管信息报文中共同体名称提供加密机制。答：满足。支持SNMP的加密。提供安全日志与安全告警，对管理员的登录历史与操作内容进行记录，对危害安全的操作进行告警，安全日志的管理由最高权限的管理员负责。答：满足。本次投标入围软件产品支持管理权限的控制。对一些重要的操作提供操作撤消功能。答：满足。故障管理能自动实时监测本管理域内的网元状态：如正常、测试中、故障，并能直观地反映在操作界面上（如用不同颜色的图形表示），并提供声音报警。答：满足。应能提供合理、可靠的方式进行故障定位，能在物理层和链路层的不同方向上做环路测试，报告测试结果。答：满足。对故障发生的时间、位置、类型、原因、恢复时间等进行统计分析并分类处理，要求输出到文件系统或外设。答：满足。软件升级应能通过管理系统对防火墙集中进行软件升级。答：满足。软件升级是否中断客户业务，如果中断，提供中断时间。答：满足。需说明在遇到升级问题时是否具有回退功能。答：满足。支持软件升级回滚功能，在升级失败等极端情况下，可恢复至原有版本。1.6设备供电及环境要求1、投标人应在技术建议书内提供详细的本次投标设备的装架示意图。答：满足。2、本期工程投标设备应绝大部分使用直流供电方式，投标人应提供所投标各种设备的供电要求，包括：（1）输入电源种类、数量（2）每台设备输入电源线的数量、线径（平方毫米）（3）每台设备的耗电量（4）输入电压变化范围、电流（5）接地电阻（6）设备接地线、机架保护接地线的数量、线径（平方毫米）等技术要求。3、投标人提供的硬件设备应能适应如下温湿度等要求：（1）环境温度：5℃～45℃，每小时变化<10℃（2） 相对湿度：10％～90％（非凝露、非结霜）（3）温度变化率：≤10℃/h，不结露（4）海拔高度：-500米～5000米（5）防尘：静态条件下测试，主机房空气中≥0.5μm的尘粒数，少于18000粒/升投标设备不能适应上述要求时请说明。同时，投标人须详细提供其推荐的各种设备对机房环境的要求，诸如：运行及非运行状态时的温度、湿度、防尘、设备噪声强度、各种电磁干扰等要求，以及运输、长期和短期储存要求等。答：满足。本次投标设备满足上述环境要求下的正常运行。主要物理特性如下：（1）输入电源种类、数量FW1000-GA-N交流机型输入电源数量：2FW1000-GE-N交流机型输入电源数量：2FW1000-GA-N直流机型输入电源数量：2FW1000-GE-N直流机型输入电源数量：2（2）每台设备输入电源线的数量、线径（平方毫米）FW1000-GA-N交流机型输入电源线数量：2；线径：3*1.0平方毫米FW1000-GE-N交流机型输入电源线数量：2；线径：3*2.0平方毫米FW1000-GA-N直流机型输入电源线数量：2；线径：3*1.0平方毫米FW1000-GE-N直流机型输入电源线数量：2；线径：3*2.0平方毫米（3）每台设备的耗电量FW1000-GA-N交流机型80WFW1000-GE-N交流机型100WFW1000-GA-N直流机型80WFW1000-GE-N直流机型100W（4）输入电压变化范围、电流FW1000-GA-N交流机型90V～264VAC；50/60Hz

1.8AFW1000-GE-N交流机型90V～264VAC；50/60Hz

4AFW1000-GA-N直流机型40.5V～-72VDC

2.5AFW1000-GE-N直流机型40.5V～-72VDC

10A（5）接地电阻<5欧姆（6）设备接地线、机架保护接地线的数量、线径（平方毫米）等技术要求。接地线数量：1

；线径：3.3平方毫米4、设备抗震加固等（1）对于投标人提供的落地型设备，当体积较大、重量较大且易滑动或易倾倒，设备应具备抗震加固特性。本项目抗震设防烈度按8度考虑。投标人应提供设备的安装要求和抗震加固方式图，尤其是对于自带机架的设备更应提供详细的安装要求和抗震加固方式图。（2）投标人须在点对点应答中详细说明各种投标设备的尺寸。（3）投标人须在点对点应答中详细说明各种设备的重量（Kg）及对机房地板承重的要求（Kg/m2）。答：满足。本次投标入围产品非落地型设备，不涉及该抗震要求。设备主要尺寸及重量如下：FW1000-GA-N：436mm×470mm×44.4mmFW1000-GA-N:5KgFW1000-GE-N：435mm×469mm×86mmFW1000-GE-N10Kg1.7设备交货、安装、调试、开通及试运行交货投标人在接到订货通知单后20天内将设备全部运抵指定地点。投标人提供的技术资料应是能确保系统运行所需的管理、运营、及维护等有关的全套技术资料，在建议书中列出将提供的技术资料详细清单。答：满足。同意谈判文件的要求。安装和调试投标人应根据实际需求提供如下两类工程服务：督导调测（含系统加电软调）和系统安装调测集成服务。答：满足。同意谈判文件的要求。1、督导调测（含系统加电软调）按照总体建设方案完成所属工程范围系统设备的上电、软件加载调试、数据配置及单机验收测试，并配合集成商和招标人完成全网的联调、全网测试验收以及网络割接。项目硬件安装硬件督导软件调试软件督导系统集成责任方甲方卖方卖方卖方甲方配合方卖方卖方具体工作包括：投标人所投设备内部连接线缆由投标人负责。投标人负责对施工地点进行现场勘察，提供工程施工和相关安装资料，并负责指导招标人人员掌握和使用这些技术资料。投标人应提供下列各种详细资料：各种设备机架（柜）外型尺寸、重量、面板布置、进出线方式。所需电源种类、功耗、电压、地线要求。机房荷重、环境要求。设备安装方式和抗震措施。设备、线缆、端口等的实施维护标识办法。安装调测时使用的工具、设备由投标人提供，通用工具由招标人协助解决。双方应协商制定工程进度表，投标人负责按工程进度表进行施工。设备调试由投标人负责，投标人调试前应提出完整的调试计划并经招标人确认，包括设备调试的内容、项目、指标、方法和进度，并提供相应的仪器和工具。投标人有责任对招标人的技术人员提出的问题作出解答。调试应进行详细记录，系统调试结束后，由投标人技术人员签字后交给招标人验收。系统测试的条款应与技术规范一致。基于以上要求，投标人应提供测试条件，方法和过程的草案，谈判以后，最终测试文件由双方共同拟定。各种测试指标必须在测试报告中反映。测试内容应至少包括：功能测试性能测试稳定性测试压力测试容错测试故障测试安全性测试互通测试其它测试等答：满足。同意谈判文件的要求。在督导调测阶段提供相关谈判文件要求资料。2、系统安装调测集成服务按照工程网络总体建设方案完成所属工程范围系统设备的硬件安装上电及调测、软件加载调试、数据配置及单机验收测试，完成全网的联调、全网测试验收以及网络割接。项目硬件安装硬件督导软件调试软件督导系统集成责任方卖方卖方卖方卖方卖方具体工作包括：设备安装由投标人负责，所有电缆及接头均由投标人提供并施工，其工程界面为：通信部分：投标人负责安装至DDF/ODF内侧的光跳线或射频电缆及接头。电源部分：投标人负责设备电源模块的电力线引接。投标人负责对施工地点进行现场勘察，提供工程施工和相关安装资料，并负责指导招标人人员掌握和使用这些技术资料。投标人应提供下列各种详细资料：各种设备机架（柜）外型尺寸、重量、面板布置、进出线方式。所需电源种类、功耗、电压、地线要求。机房荷重、环境要求。设备安装方式和抗震措施。设备、线缆、端口等的实施维护标识办法。安装调测时使用的工具、设备由投标人提供，通用工具由招标人协助解决。双方应协商制定工程进度表，投标人负责按工程进度表进行施工。设备调试由投标人负责，投标人调试前应提出完整的调试计划并经招标人确认，包括设备调试的内容、项目、指标、方法和进度，并提供相应的仪器和工具。投标人有责任对招标人的技术人员提出的问题作出解答。调试应进行详细记录，系统调试结束后，由投标人技术人员签字后交给招标人验收。系统测试的条款应与技术规范一致。基于以上要求，投标人应提供测试条件，方法和过程的草案，谈判以后，最终测试文件由双方共同拟定。各种测试指标必须在测试报告中反映。测试内容应至少包括：功能测试性能测试稳定性测试压力测试容错测试故障测试安全性测试互通测试其它测试等维护工具仪器和备品备件投标人应提供专用的维护工具和设备（例如光功率计）,各节点至少配置一套,提出建议和报价。投标人应至少提出供两年内正常维护使用的备品备件及消耗材料，并在报价中详细开列清单和数量。验收设备运抵安装现场后，招标人将与投标人共同开箱验收，如投标人届时无代表参加，则验收结果应以招标人和集成商或最终用户的验收报告为最终验收结果。验收时发现短缺、破损，招标人有权要求投标人立即补发和负责更换。设备安装、调试达到技术规范书规定的指标后，可进行验收测试（初验）。同时进行单点验收和全网验收。单点验收规范（包括计划、项目、指标、方式和测试仪器等）应由投标人在前一个月提交给招标人，全网验收规范（包括计划、项目、指标、方式和测试仪器等）应由集成商提出，招标人可根据合同及技术规范书和招标人的有关规定进行修改和补充。单点验收规范需要由甲、卖双方确认、全网验收规范需要由招标人和集成商确认，确认后形成验收文件作为验收依据。单点验收和全网验收都测试合格后，初验才算通过，双方签署验收协议，设备入网开通试运行。验收测试所需的测试仪表等资源，由投标人提供，并且投标人应通过专人专项的形式尽力协助招标人进行相关的测试工作。答：满足。同意谈判文件的要求。并在设备交货、安装、调试及试运行阶段提供相关资料文档给招标方。各节点专用维护工具和设备及建议报价

标准维护工具序号品名数量单价总价1常用工具III型工具包5套￥500.00￥2500.002万用表FLUCK17B2台￥5000.00￥10000.003手持示波器1台￥6500.00￥6500.004可见光笔2支￥800.00￥1600.005FLUKEDSP-40005/6类线缆测试1台￥36000.00￥36000.00两年内维护使用的备品备件及消耗材料如下为常见消耗品，具体报价详情请参照《商务部分投标书》第二章、附件3投标详细配置报价表型号产品规格说明SEC-4GET4端口千兆以太网电口接口模块业务接口插板SEC-4GEP4端口千兆以太网光口接口模块业务接口插板SFP-G-LX15-SM1310SFP千兆光模块,单模,(1310nm,15km,LC)千兆业务接口模块SFP-G-LX40-SM1310SFP千兆光模块,单模,(1310nm,40km,LC)千兆业务接口模SFP-G-LX40-SM1550SFP千兆光模块,单模,(1550nm,40km,LC)业务接口模XFP-SX-MM850XFP万兆光模块,多模,(850nm,0.3km,LC)万兆业务接口模XFP-LX10-SM1310XFP万兆光模块,单模,(1310nm,10km,LC)万兆业务接口模XFP-LX40-SM1310XFP万兆光模块,单模,(1310nm,40km,LC)万兆业务接口模XFP-LX40-SM1550XFP万兆光模块,单模,(1550nm,40km,LC)万兆业务接口模1.8技术服务要求1、要求投标人所投设备制造商在工程实施地有常设技术支持机构，请说明现有常设技术支持机构的地址、联系人和联系方式。★如投标人所投设备制造商在工程实施地尚未设立常设技术支持机构，投标人应承诺在中标之后在该地设立常设技术支持机构。答：满足。同意谈判文件的要求。2、要求投标人所投设备制造商在工程实施地有常设备件库，请说明现有备件库的地点，并提供备件库存放的备件种类和数量。答：满足。同意谈判文件的要求。详见《技术部分投标书》二、技术及相关附件，附件九、技术服务章节。★3、要求投标人所投设备的技术服务，包括安装、调试、检验、培训、保修和技术支持等，均由所投设备制造商或其在国内的分支机构直接提供。答：满足。同意谈判文件的要求。并在技术标相关附件，附件七、九中有详细介绍。（1）投标人所投设备包括其所提供的所有：设备（硬件和软件）、机架（柜）、设备内部连接（部件和线缆）、机架（柜）内部连接（部件和线缆）、设备之间连接（部件和线缆）、机架（柜）之间连接（部件和线缆）等内容。答：满足。同意谈判文件的要求。（2）投标人提供的安装、调试、检验、培训、保修和技术支持等服务的范围应涵盖上述所有设备。答：满足。同意谈判文件的要求。（3）测试和验收包括上述设备（硬件和软件）安装完成后的加电测试和验收。答：满足。同意谈判文件的要求。（4）上述设备和服务费用均应包含在投标报价中，如未按要求报价，视为投标人免费提供。答：满足。同意谈判文件的要求。1.9技术培训投标人应对招标人人员进行技术培训，使招标人人员具备独立进行管理、维护测试和故障处理等工作的能力，以保证投标人所提供的设备能够正常、安全运行。投标人应为培训人员提供学习、生活方便，所发生的费用包括培训地的食宿、交通、通讯、医疗费、保险费等均由中标商承担。答：满足。同意谈判文件的要求。培训内容应包括：投标人所提供的软、硬件设备的相关技术原理、性能、操作使用方法、维护管理的技术、实际的操作练习等。答：满足。同意谈判文件的要求。投标人负责提供培训教材和实际的操作环境。投标人在应答书中应提出详细的培训方案，包括培训时间、培训地点、培训内容、培训进度以及培训费用等，并提供中英文全套培训教材。答：满足。同意谈判文件的要求。投标人应根据上述培训要求提供技术培训计划，培训计划包括提供的免费培训人数（国内和国外）、培训价格。答：满足。同意谈判文件的要求。并在《技术部分投标书》二、技术标及相关附件，附件七中有详细介绍。1.10技术文件投标人提供的书面技术资料应能满足确保系统正常运行所需的管理、运营及维护有关的全套文件。投标人提供的技术文件至少应包括：系统说明文件；技术手册（安装、操作、维护、故障排除等）；提供详细的工程日志；投标人应在规范书中列出提供的书面技术资料详细清单；提供基于业务开放和日常维护的规范操作说明。答：满足。同意谈判文件的要求。并在设备交货、按照、调试及试运行阶段提供相关技术资料文档。在现场调试和试运行过程中投标人如果对软件、硬件作了改动，则必须修改技术文件，及时通知招标人并在最终验收测试时向招标人提交测试文件。软件的修改应将新老版本的软件清单、框图及说明提供给招标人。答：满足。同意谈判文件的要求。并在设备交货、按照、调试及试运行阶段提供相关技术资料文档给招标人。每个节点要求提供全套技术文件一份，还要求提供能描述全网业务流程的技术文件一份，且所有文件均要求提供电子版。答：满足。同意谈判文件的要求。并在设备交货、按照、调试及试运行阶段提供相关技术资料文档。1.11工程进度合同签订后四周内，设备全部运抵招标人指定地点。答：满足。同意谈判文件的要求。并在合同签订后四周内，将全部设备运至客户指定地点。设备到达安装现场后的二周内完成各节点设备的安装、调测以及整个网络的联调工作。答：满足。同意谈判文件的要求。并在设备到达安装现场后的二周内完成各节点设备的安装、调测以及整个网络的联调工作。1.12其他投标人应提供下列各种详细资料：各种设备机架（柜）外型尺寸、重量、面板布置、进出线方式所需电源种类、功耗、电压、地线要求；机房荷重、环境要求；设备安装方式和抗震措施。答：满足。同意谈判文件的要求。上述具体资料详见《技术部分投标书》一、技术规范书点对点应答，1.6章节设备供电及环境要求章节。投标人提供的网络方案应可平滑扩容，投标人应详细说明扩展方面的计划和方案，如端口的可扩展性、网络设备容量的可扩展性等。答：满足。同意谈判文件的要求。上述具体资料详见<技术部分投标书>二、技术标及相关附件，附件二、技术规范书及建议书，2.1章节。投标人应在建议书中对BRAS的标准及技术发展情况进行综述。答：满足。同意谈判文件的要求。做BRAS的标准及发展做如下综述：BRAS（BroadbandRemoteAccessServer，宽带远程接入服务器）是用来完成各种宽带接入方式的宽带网络用户的接入、认证、计费、控制、管理的网络设备，是宽带网络可运营、可管理的基石。什么是IPBRAS？采取高端路由器IP内核架构，拥有超过50G的大容量交换矩阵，IPPacket方式的无阻塞交换，在I/O接口板可运行非IP协议，主要运行IP协议系统软件的电信级BRAS，可称为IPBRAS。BRAS自1999年开始应用，其演进的形态有明显的三个发展阶段：第一代：ATM内核BRAS第一代BRAS主要是用来将ADSL用户接入IP网络发展起来的，由于ATM及其延伸技术ADSL的计费能力非常弱，不得以叠加了BRAS这样的网关计费设备，用户通过PPPoA或PPPoE的模拟窄带拨号方式进行时长或流量等计费方式，ADSL用户到Internet均需要通过BRAS这个ATM-IP网关。后来，由于LAN接入的用户也无法进行计费和管理，只好采用和ADSL类似的PPPoE方式通过BRAS进行用户认证计费，再路由至Internet。在宽带用户数量较少的发展初期，BRAS集中放置，既解决了计费难题，又高效地分配了少而珍贵的公网IP地址，在应用中，大家还发现这一方式能有效地防止部分攻击，保护核心骨干网络，所以这种组网方式迅速成为“组网宝典”，一直保留了下来。1999～2001年时主流宽带网络设备是ATM交换机，ADSLDSLAM也仅仅提供ATM类型的端口，造成第一代BRAS均采取ATM内核的方式。随着2001年ATM国际标准化的主要组织ITU向IP标准的全面转向，同时IP以其应用业务种类多、价格低廉迅速占领了桌面，并成功由100M以太网升格到1000M以太网，路由器也迅速研发出622M和2.5GPOS接口，高速端口不再是ATM一统天下。而第一代ATMBRAS每端口单价昂贵，很难出高速率和高密度的GE/POS端口，不便于扩容，只能采取网关或旁挂式组网，同时也容易造成单点故障、易出现转发瓶颈，虽然大家对此是既爱又恨，这些ATMBRAS却直接推动了第二代盒式IPBRAS的大量使用。第二代：盒式IPBRAS2002～2003年，不少运营商出于成本和技术发展的考虑，在2002年就开始停止扩容ATM网，一些新兴运营商历史上又根本没有建立过ATM网，又能从容地选择性价比更高的LAN和IPDSLAM这样的纯IP接入方式，建设重点就自然转向发展IP城域网，随即管理计费的BRAS设备要求变得端口类型单一（只需要FE/GE）、性价比高的BRAS。部分BRAS厂家于是在为ATMBRAS扩充新研发的GE/FE单板时（采取IPoverATM方式），自然地也将该单板改造成盒式BRAS设备，以满足这部分运营商的需求。然而，运维部门、技术决策部门在2004年均发现自己的宽带网络中，BRAS已经仿佛变成了“万金油”，网络的不同层面都会出现BRAS的身影，BRAS原先的高效管理和共享IPPOOL的集中管理优势，已经被城域内十几台甚至数十台大大小小、功能性能差异巨大的BRAS分割得四分五裂。电信专家们更是深刻地认识到现网的ATMBRAS、盒式IPBRAS不支持组播、不支持MPLS/MPLSVPN、路由和转发能力弱、上行带宽不足、QoS和流量控制功能弱、ACL防病毒攻击能力弱、不支持IPv6等，给网络发展带来了制约和潜在的瓶颈，这些因素，或许在不久的将来，造成难以控制的局面。第三代：机架式IPBRAS（大容量万兆IPBRAS）自2004年开始，中国电信运营商已经有针对性地对BRAS使用提出了规范要求，BRAS设备厂家更是基于对IP网络大容量、少节点、广覆盖的理解和应用需求，设计出了第三代IPBRAS。其普遍设计思路是——采用IP内核架构，接入侧（或下行端口）接口类型丰富，能终结各种基于不同技术的接入方式，识别出承载于其上的IPPacket。主要运行IP协议系统软件的电信级BRAS。IPBRAS完全抛弃了传统BRAS的ATM内核设计方式，大幅度突破ATM内核BRAS容量难以超过50G的瓶颈限制。处理性能在大容量的交换矩阵和业界最新、处理能力更强的NP芯片的合力推动下，既能提供ATMBRAS那样丰富的接口类型，又能提供ATMBRAS无法企及的高密度端口，甚至实现高速率的10G端口。特别是在网络适应发展能力上，第三代IPBRAS已经和城域网边缘路由器的功能和性能不相上下，可对上层的Internet、3G、NGN、企业专网和IPv6的数据进行高效的承载和线速转发。IPBRAS有更好的性价比，组网可以比集中的网关式ATMBRAS更靠近用户，但不会直接与用户连接，中间会有若干的L2汇聚设备，并可通过自身的环状网或其他保护技术实现大容量BRAS的N+1网络安全备份。机架式的第三代IPBRAS非常容易实现性能扩展，高密度/高速率的端口，能实现比第一代ATMBRAS、第二代盒式IPBRAS更多数量的用户接入，还能保障用户数倍于第一、二代BRAS的带宽，典型的例子是可以基本不增加成本的情况下，保障每用户的4Mbps以上带宽。厂商应对建议书中选用的设备的以下几个方面作相应说明：该设备的推出时间；该设备在国内和国外的使用情况；设备对新技术和新应用的跟踪情况；下一步的研发计划。答：满足。同意谈判文件的要求。我方做如下详细说明：1、我方本次投标入围产品DPtechFW1000-GA-N、FW1000-GE-N等DPtechFW1000系列防火墙产品为2008年06月正式推出。2、该设备目前已广泛应用于运营商、政府、金融、公共事业等行业。具体可参考我司《商务标部分投标书》10.5制造厂商客户案例集章节。3、DPtechFW1000系列防火墙从最初的网络防火墙软件架构逐渐走向更加安全、稳定、可靠的应用防火墙软件架构。对新兴互联网应用协议、加密P2P协议、最新网络攻击等有了更加深入的识别和认知，产品的综合安全防护能力得到进一步提升。4、DPtechFW1000系列防火墙下一步也将继续秉承：业务驱动技术的研发策略，紧跟市场步伐，不断深入了解各个行业用户需求特点，为未来在高安全、大流量的运营网络环境下提供更高性能、更高品质的万兆安全产品及解决方案不断努力前行。二、技术标及相关附件附件一合同设备、服务及相关技术文件清单及价格具体商务报价详情，请参考《商务部分投标书》第二章、商务投标证明附件，附件3投标详细配置报价表。序号名称型号和规格数量原产地和制造商名称1.防火墙FW1000-GA-N1杭州迪普科技有限公司（中国/杭州市）2万兆防火墙FW1000-GE-N1杭州迪普科技有限公司（中国/杭州市）3单模光模块SFP-G-LX15-SM13102杭州迪普科技有限公司（中国/杭州市）4安全管理软件SW-UMC-PLAT1杭州迪普科技有限公司（中国/杭州市）5防火墙管理授权LIS-UMC-FWM1杭州迪普科技有限公司（中国/杭州市）6三年原厂商服务FW1000-GA-N+3Y1杭州迪普科技有限公司（中国/杭州市）

附件二技术规范书及建议书2.1网络安全方案设计中国铁通河南分公司第三方出口万兆防火墙技术方案项目背景中国铁通河南分公司为电信级运营商用户，随着我国城市化进展的不断推进，宽带网用户会进一步持续增加，全省18个地市宽带业务均会有较大增容的空间。从招标万兆防火墙产品的技术思路，也充分说明了集团对业务驱动技术发展的前瞻考虑。本次招标产品为河南铁通全省18个地市第三方互联网出口NAT设备，主要用于铁通宽带网现有内网用户到外部互联网的地址转换及安全防护。其中，除采购的万兆防火墙产品要实现铁通宽带运营网第三出口NAT需求之外，还需针对全网防火墙NAT审计日志进行集中收集，并能够针对各核心节点安全NAT设备收集到NAT日志、安全攻击日志等业务审计日志发送到集团总部及各节点日志收集设备上，做外部日志保持。鉴于前期采购的设备曾因性能瓶颈造成过一定的投资比较低，本次我方建议在产品选型及设备性能选择时设计性能较高，且商务成本较为合理的万兆安全产品。实现对全省宽带网用户业务的有效支撑，并能够通过本次的采购投入，一次性解决安全、NAT、日志收集、业务安全分析等主要需求。网络安全方案设计河南铁通还属于高速成长期的企业，根据集团网络建设特点及业务需求，并充分理解了根据本次谈判文件的招标万兆意愿，杭州迪普科技有限公司非常荣幸能为河南铁通的网络安全规划做整体建议。其中我司本次方案主要建议2款产品：1款满足招标要求的投标入围设备FW1000-GA-N防火墙及NAT产品，但主要指标仍满足并优于招标技术指标；另1款为针对现有铁通宽带业务发展特点、业务增长率、现有第三方出口NAT产品对更高性能NAT及万兆防火墙建设目标，推荐的万兆安全NAT产品FW1000-GE-N。根据集团宽带业务管理及建设的特点，本次招标采购的产品将会根据行政、业务区分划分到各个地市骨干出口节点。正如下图所示：每个地市节点均会通过一台新采万兆防火墙产品进行出口部署，通过万兆防火墙较高的硬件指标、硬件架构充分满足现有业务对NAT转换和安全防护的技术需求。（前提，采购的安全产品为真正意义的万兆产品，具备10G以上性能、10G万兆接口以上接口的硬件架构和硬件规格）同时针对各个地市节点分布式的部署统一安全管理平台软件，在各个地市进行日志收集分析。而在省中心也通过部署万兆防火墙NAT产品及UMC统一安全管理软件对省中心及各个地市节点的设备进行集中管理和集中日志收集备份。产品技术优势宽带服务业务发展日新月异，随着语音、数据和信息技术的融合，服务提供商面临着各种新的挑战，对网络带宽资源、业务流量、用户访问量等方面都缺乏可见性和可控性。为了提升宽带运营网络的运维水平，优化业务服务质量，提高用户上网体验（QoE）和满意度，需要对网络出口流量进行更精细的分析和掌控。另一侧面，国内宽带运营市场的竞争正日趋激烈，网络服务提供商(ISP)如何提更高效、更安全、更稳定的宽带运营网络也是厂商不断追求的科研方向。迪普科技FW1000-GE-N、FW1000-GA-N系列产品采用了多核处理器+大容量FPGA+高性能交换芯片架构实现。数据处理上实现了控制平面和数据平面分离的架构。大规模FPGA大规模的FPGA是整个系统的业务处理核心，利用FPGA并行计算、可编程的优势，FW1000-GE-N产品实现了低时延、高性能、高容量的攻击特征检测和病毒检查。FPGA在系统中主要完成了如下功能：会话管理：完成高速的新建速率，支持大容量的会话并发，具备极高的NAT转换性能及大网段IP下NAT的最大并发转换能力；模式匹配：系统创新的将检测引擎硬件化，采用FPGA实现了高性能的特征匹配引擎，突破了传统检测引擎的性能瓶颈，是万兆应用防火墙的性能保障DDOS防护：DDOS攻击作为目前最常见的攻击方式，已经得到了运营商的充分重视，在FW1000-GE-N产品中，将DDOS的防护也由硬件实现，可以做到超过5Gbps的SYNFlood防御能力多核处理器FW1000-GE-N产品CPU采用RMI多核CPU，主频1Ghz，一共8个核，每一个核有4个VCPU，一共有32个VCPU，其中两个2VCPU用于控制报文的处理（注意是对设备自身的配置等），30个VCPU用于业务报文的处理，会话同时分布在这30个VCPU上同时处理。数据平面的VCPU主要完成复杂协议报文的处理，协议编解码处理，策略匹配和管理等控制平面CPU主要处理设备管理、策略管理、事件管理以及日志管理相关功能。由于采用了控制平面和数据平面分离的设计架构，因此，系统可以保证在高负荷的业务处理的同时，不影响设备的管理和维护。交换芯片交换芯片具有超过128G的交换容量，提供系统组件高速交换通路，使得数据流在系统各个组件之间交换时，不存在任何瓶颈。此外，交换芯片还完成了包括带宽限速、报文头检查、报文Hash计算以及调度等功能。综上所述，在每个地市配置一台FW1000-GA-N防火墙；或者通过采用性价比更高的FW1000-GE-N产品部署在2-3个地市，实现大流量下NAT及日志收集分析的技术需求。而伴随着铁通集团宽带网的不断拓展、用户数量的不断增加FW1000-GE-N即使是在未来2-3年后不能承担更多地市的NAT转换业务，也可在独立采购相应的产品到各个地市，而FW1000-GE-N独自承担1-2个地市的NAT转换业务也是绝佳的业务匹配方式。这样来，不但保护了用户的业务投资也极大的提升了集团网络安全设备的采购投入收益比。为铁通的业务发展及盈利收益都提供了良好的技术选择模式。业务的发展是持续的，但网络安全建设可以先行！安全防护建议在中国铁通河南分公司总体安全规划设计中，我们将按照安全风险防护与安全投资之间的平衡原则（主要包括层次化的综合防护原则和不同层次重点防护原则），提出以下的安全风险和防护措施，从而建立起全防御体系的信息安全框架。由此，在本期总体安全规划建设中，应主要针对中国铁通河南分公司的薄弱环节，构建完善的网络边界防范措施、增强的网络抗攻击能力等。详细描述如下：对于一个网络安全域（局域网网络内部相对来说认为是安全的）来说，其最大的安全风险则是来自网络边界的威胁，其中包括非授权访问、恶意探测和攻击、非法扫描等。而对于中国铁通河南分公司网络来说，互联网及相对核心网的网络均为外网，它们的网络边界处存在着内部或外部人员的非授权访问、有意无意的扫描、探测，甚至恶意的攻击等安全威胁，而防火墙系统则是网络边界处最基本的安全防护措施，而互联网出口更是重中之重，因此，很有必要在互联网出口出部署防火墙系统，建议配置一台高性能千兆防火墙组成双机热备系统，以保证网络高可用性。随着中国铁通河南分公司信息化工作的深入开展，其网络中存在着大量的网络设备、安全设备、服务器设备等，如何保护它们和整个网络不受DDOS的攻击则是网络整体防范中的重点。而对付大规模的DDOS攻击的最好的方式除了及时对网络设备、服务器设备进行漏洞扫描，升级补丁进行主机系统加固外，还有一种方式就是在互联网出口或者核心服务器前端配置防DOS攻击设备，来保护内部网络的安全。4.1基础设施安全部署分级口令：杭州迪普公司防火墙登录口令科分为多个操作级别如：参观级、监控级、配置级、管理级，不同的级别所能做的操作都不相同。参观级：网络诊断工具命令（ping、tracert）、从本设备出发访问外部设备的命令（包括：Telnet客户端、SSH客户端、RLOGIN）等，该级别命令不允许进行配置文件保存的操作。监控级：用于系统维护、业务故障诊断等，包括display、debugging命令，该级别命令不允许进行配置文件保存的操作。配置级：业务配置命令，包括路由、各个网络层次的命令，这些用于向用户提供直接网络服务。管理级：关系到系统基本运行，系统支撑模块的命令，这些命令对业务提供支撑作用，包括文件系统、FTP、TFTP、Xmodem下载、配置文件切换命令、电源控制命令、背板控制命令、用户管理命令、级别设置命令、系统内部参数设置命令（非协议规定、非RFC规定）等。建议分级设置登录口令，以便于对于不同的维护人员提供不同的口令。对任何方式的用户登录都进行认证：建议对于各种登录设备的方式（通过TELNET、CONSOLE口、AUX口）都进行认证。在默认的情况下，CONSOLE口不进行认证，在使用时建议对于CONSOLE口登录配置上认证。对于安全级别一般的设备，建议认证方式采用本地认证，认证的时候要求对用户名和密码都进行认证，配置密码的时候要采用密文方式。用户名和密码要求足够的强壮。对于安全级别比较高的设备，建议采用AAA方式到RADIUS或TACACS+服务器去认证。对网络上已知的病毒所使用的端口进行过滤：现在网络上的很多病毒（冲击波、振荡波）发作时，对网络上的主机进行扫描搜索，该攻击虽然不是针对设备本身，但是在攻击过程中会涉及到发ARP探询主机位置等操作，某些时候对于网络设备的资源消耗十分大，同时会占用大量的带宽。对于这些常见的病毒，通过分析它们的工作方式，可知道他们所使用的端口号。为了避免这些病毒对于设备运行的影响，建议在设备上配置ACL，对已知的病毒所使用的TCP、UDP端口号进行过滤。一方面保证了设备资源不被病毒消耗，另一方面阻止了病毒的传播，保护了网络中的主机设备。采用网络地址转换技术保护内部