順德職業(yè)技術(shù)學院網(wǎng)絡(luò)防火墻系

1、第 PAGE 7 頁，共 NUMPAGES 6 頁順德職業(yè)技術(shù)學院網(wǎng)絡(luò)防火墻系統(tǒng)改造工程采購2.3 采購內(nèi)容及技術(shù)要求 網(wǎng)絡(luò)環(huán)境介紹順德職業(yè)技術(shù)學院校園網(wǎng)發(fā)展至今，已建成覆蓋教學區(qū)、生活區(qū)的網(wǎng)絡(luò)和各種數(shù)字資源。擁有各類數(shù)據(jù)端口26000多個，網(wǎng)絡(luò)用戶5000人的規(guī)模，目前整個網(wǎng)絡(luò)拓撲如下圖所示。原有的天融信NGFW4000-UF防火墻有兩個百兆端口和兩個千兆端口，X86架構(gòu)，天融信操作系統(tǒng)，最大支持160萬連接，無用戶數(shù)限制，與各種校園網(wǎng)絡(luò)設(shè)備配合使用，與現(xiàn)有網(wǎng)絡(luò)環(huán)境銜接性好，性能穩(wěn)定，使用情況良好。根據(jù)順德職業(yè)技術(shù)學院目前的網(wǎng)絡(luò)利用率不斷提高，用戶數(shù)量不斷增加，各種應用日益增多，有必要對網(wǎng)絡(luò)

2、進行調(diào)整。學院分配到的公網(wǎng)IP地址少，需要通過防火墻轉(zhuǎn)換才能上網(wǎng)，服務器也要通過地址映射才能供外網(wǎng)訪問，還需要進行一些安全過濾等。目前校園網(wǎng)絡(luò)流量非常大，曾出現(xiàn)超過200萬連接數(shù)。隨著網(wǎng)絡(luò)應用（特別是BT、迅雷、電驢、在線直播等點對點應用）不斷增加、學院逐年擴招、網(wǎng)絡(luò)用戶也不斷增加，對網(wǎng)絡(luò)出口的關(guān)鍵設(shè)備防火墻的性能要求也越來越高。因此，要求新防火墻必須適合現(xiàn)有網(wǎng)絡(luò)環(huán)境使用要求，與現(xiàn)有網(wǎng)絡(luò)環(huán)境銜接性好。改造后的拓撲圖：防火墻平臺建設(shè)要求在規(guī)劃的基礎(chǔ)上，要求采用核心和分區(qū)相結(jié)合，通過合理部署不同防火墻系統(tǒng)，達到對核心數(shù)據(jù)的保護和對不同網(wǎng)絡(luò)行為的監(jiān)控。本項目中標人必須完成如下任務：（1）在兩條100

3、M的互聯(lián)網(wǎng)出口部署一臺全新的千兆防火墻，由它分別連接兩個互聯(lián)網(wǎng)出口，實現(xiàn)兩個出口流量負載，為全院師生訪問互聯(lián)網(wǎng)提供NAT和訪問控制，以滿足當前接口流量的NAT性能要求和將來互聯(lián)出口帶寬和學院用戶規(guī)模的增加。（2）在服務器區(qū)出口部署一臺全新的千兆防火墻，為服務器進行保護，在必要時服務器區(qū)防火墻可以作互聯(lián)網(wǎng)防火墻備份機，而不對服務器區(qū)訪問產(chǎn)生影響。中標人應該對備份機情況進行部署，制定切換計劃并測試成功。（3）在教育網(wǎng)出口部署一臺全新的千兆防火墻，要為學院師生訪問CerNet提供NAT和細粒度訪問控制，確保各項訪問應用的安全，也要為將來教育網(wǎng)出口帶寬升級預留性能空間。新增防火墻清單及技術(shù)要求設(shè)備名稱

4、技 術(shù) 要 求數(shù)量核心防火墻系統(tǒng)性能要求：防火墻最大（同時）并發(fā)連接數(shù)2000000；防火墻主機機箱=2U，10/100/1000BASE-T口4個，千兆SFP插槽6個；10/100BASE-TX端口2個；配置千兆SFP接口模塊2個；支持雙電源，可以插接支持IPSEC VPN、各種規(guī)格加密卡以及防病毒模塊；可以支持最遠的光纖距離為70km光纖模塊；單個接口單向吞吐率1000Mb/s，字節(jié)數(shù)據(jù)包處理達到線速處理；系統(tǒng)平均無故障時間（MTBF）60000 小時。平臺及功能要求：采用基于操作系統(tǒng)內(nèi)核的會話檢測技術(shù)（核檢測技術(shù)）；平臺支持：采用基于ASIC+NP芯片架構(gòu)的專用硬件平臺與專用操作系統(tǒng)；采

5、用主備雙系統(tǒng)，當主策略文件系統(tǒng)損壞可以從備策略系統(tǒng)恢復。防止配置不當或防火墻系統(tǒng)故障造成的網(wǎng)絡(luò)中斷；支持對內(nèi)部用戶的上網(wǎng)行為進行管理和審計。包括內(nèi)部用戶所訪問網(wǎng)頁、網(wǎng)頁的IP、以及內(nèi)部用戶訪問的時間、次數(shù)等都能進行審計和管理。用戶可以對自定義非法網(wǎng)站、流量閥值等監(jiān)控數(shù)據(jù)實現(xiàn)對教師及學生的Web訪問排行、非法Web訪問排行的列表和監(jiān)控。并根據(jù)系統(tǒng)的設(shè)置閥值自動提醒超過流量限制的用戶；支持多模式下的深度數(shù)據(jù)檢測DPI，對網(wǎng)絡(luò)的47層或應用層具有更強過濾能力和定制能力；支持FTP、HTTP、TELNET、PING、SSH、FTPDATA、SMTP、WINS、TACACS、DNS、TFTP、POP3、

6、RTELNET、SQLSERV、NNTP、IMAP、SNMP、NETBIOS、DNS、IPSECISAKMP、RLOGIN、DHCP、RTSP、MS-SQL-（S、M、R）、RADIUS-1645、PPTP、SQLNET1521、SQLNET1525、H.323、MSN、CVSSERVER、MS-THEATER、MYSQL、QQ、SECURID（TCP、UDP）PCANYWHERE、IGMP、GRE、PPPOE、IPV6等協(xié)議命令級的控制，實現(xiàn)對文件級的過濾；認證支持OTP 、RADIUS 、S/KEY 、SECUREID 、TACACS/TACACS+、CA等；支持第三方CA認證，并要求提供

7、測試報告；支持采用USB KEY用于管理器的KEY方式認證及VPN密鑰存儲；安全服務器（SSN）保護；支持SMTP、POP3的發(fā)件人、收件人、郵件主題和附件的過濾，支持對FTP、HTTP的關(guān)鍵字過濾，關(guān)鍵字支持正則表達式自定義；支持802.1Q VLAN、支持CISCO ISL字段的解讀，支持VLAN間的訪問控制；有源、目的地址路由功能，適應有多個網(wǎng)絡(luò)出口的環(huán)境；抗DOS、DDOS攻擊；可阻止ActiveX、Java、Javascript入侵；支持路由模式、透明（橋接）模式、混合模式（路由與透明兩種模式同時工作）；支持OPSEC或TOPSEC協(xié)議，能夠與IDS入侵檢測產(chǎn)品進行聯(lián)動；支持SNMP

8、協(xié)議V3版本，同時提供相應的MIB庫文件，能通過第三方網(wǎng)管軟件對防火墻進行監(jiān)測和控制；支持生成樹計算協(xié)議（包括PVST和CST）；支持DHCP服務，可同時作為DHCP服務器和客戶端；支持GUI及命令行管理；支持SSH 的遠程登陸管理方式；支持SNMP集中管理與監(jiān)控；深層日志及分析功能，支持日志的自動導出與分析，支持防火墻配置文件的導入與導出；支持防火墻雙機熱備并能對備防火墻的管理；支持對服務器的負載均衡和防火墻自身的負載均衡以及多層多鏈路的熱備；有公安部頒發(fā)的計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證；具有國家保密局監(jiān)制證書；通過國家信息安全測評認證中心防火墻安全等級EAL3認證。1套分區(qū)防火墻系統(tǒng)

9、性能要求：千兆光纖接口3個，最大支持6個；百兆UTP接口1個，最大支持6個；6個GBIC插槽，可以插接支持IPSEC VPN、SSL VPN、各種規(guī)格加密卡和10/100/1000M自適應模塊；防火墻最大（同時）并發(fā)連接數(shù)1600000；系統(tǒng)平均無故障時間（MTBF）60000 小時。平臺及功能要求：采用基于操作系統(tǒng)內(nèi)核的會話檢測技術(shù)（核檢測技術(shù)）；平臺支持：采用專用硬件平臺與專用操作系統(tǒng)；采用主備雙系統(tǒng)，當主策略文件系統(tǒng)損壞可以從備策略系統(tǒng)恢復。防止配置不當或防火墻系統(tǒng)故障造成的網(wǎng)絡(luò)中斷；支持VPN模塊，采用通過國家密碼管理委員會鑒定的密碼卡所提供的加密算法，并提供鑒別證書；支持對內(nèi)部用戶的

10、上網(wǎng)行為進行管理和審計；安全服務器（SSN）保護；支持802.1Q VLAN、支持CISCO ISL字段的解讀，支持VLAN間的訪問控制；支持OPSEC或TOPSEC協(xié)議，能夠與IDS入侵檢測產(chǎn)品進行聯(lián)動；支持第三方CA認證，并要求提供測試報告；有源、目的地址路由功能，適應有多個網(wǎng)絡(luò)出口的環(huán)境；支持路由模式、透明（橋接）模式、混合模式（路由與透明兩種模式同時工作）；具有國家保密局監(jiān)制證書；有公安部頒發(fā)的計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證；具有自主知識版權(quán)的國內(nèi)產(chǎn)品；通過國家信息安全測評認證中心防火墻安全等級EAL3認證。2套采購人原有的兩臺防火墻，中標人可作回收，原有防火墻系統(tǒng)性能如下：設(shè)備

11、名稱技 術(shù) 指 標數(shù)量原有防火墻系統(tǒng)千兆光纖接口=2個；一臺設(shè)備百兆UTP接口=1個，另一臺設(shè)備百兆UTP接口=2個；吞吐率=860M；平臺支持：采用專用硬件平臺與專用的安全操作系統(tǒng)TOPOS；抗DoS/DdoS攻擊；基于內(nèi)核的會話檢測的防火墻實現(xiàn)機制：采用基于操作系統(tǒng)內(nèi)核的會話檢測技術(shù)（核檢測技術(shù)）；支持多種身份認證；安全服務器（SSN）保護：具有對公開服務器保護功能，一旦服務器內(nèi)容被非法篡改，可以進行快速恢復；防火墻支持其它安全產(chǎn)品的聯(lián)動：支持TOPSEC協(xié)議，能夠與第三方安全產(chǎn)品進行很好的聯(lián)動，尤其是與IDS入侵檢測產(chǎn)品的聯(lián)動；支持多種工作模式：支持路由模式、透明（橋接）模式（防火墻無I

12、P技術(shù)）、混合模式（路由與透明兩種模式同時工作）。資質(zhì)證書：公安部頒發(fā)的計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證；中國國家信息安全測評認證中心頒發(fā)的國家信息安全認證產(chǎn)品型號證書；通過國家信息安全測評認證中心防火墻安全等級EAL3認證；自主知識版權(quán)的國內(nèi)產(chǎn)品。2套備注：1、帶“*”號及下劃線的要求為關(guān)鍵技術(shù)要求，投標人必須滿足，否則將被視為對技術(shù)要求的非實質(zhì)性響應而導致廢標；僅帶下劃線的要求為重要技術(shù)要求，在評標的過程中，作為評分的重要依據(jù)。2.、采購人將根據(jù)招標文件的要求及投標文件的響應，在項目驗收前對中標人提供的防火墻產(chǎn)品進行兩個月或以上的測試。若中標人提供的防火墻產(chǎn)品不能通過測試，將被視為違約。2.4 合同主要條款1、完工期：所有設(shè)備必須在合同簽訂生效后15天內(nèi)全部安裝、調(diào)試完畢，并交付測試；測試滿60天的后的7個工作日內(nèi)驗收合格并交付使用。2、付款方式：1）合同簽訂生效后30個工作日內(nèi)付款30；2）無違反合同約定的，設(shè)備全部安裝、調(diào)試完畢，驗收合格并交付使用后15個工作日內(nèi)付款65；3）無違反合同約定的，余款（即合同總額的5）在項目整體驗收合格滿一年后的30個工作日內(nèi)付清。3、售后服務：1）免費保修期：不少于2年(自項目驗收合格