朝阳区教育“校校通”工程招标文件—业务网安全系统技术要求.docVIP

朝阳区教育“校校通”工程业务网安全系统技术要求2019年4月21日朝阳区教育“校校通”工程 业务网安全系统技术要求目录一. 业务网11. 总体要求12. 网络设计原则13. 具体需求14. 核心交换机主要性能指标要求35. 出口高性能NAT设备性能要求66. 维护终端要求67. 投标方应提交的技术文档6二. 安全系统61. 核心防火墙技术要求72. 漏洞扫描系统技术要求73. 网络入侵检测技术要求84. 网络防病毒系统技术要求85. 投标方应提供的技术文档9目录第 1 页 共 1页一. 业务网1. 总体要求业务网建设目标为构造一个可靠、可控、高速、可管理的核心交换平台，用于连接各个学校、数据中心及市教育信息网、区公共信息平台等不同的网络。投标方须对如何保证系统的高可靠性，从硬件体系结构、业务处理方式、控制软件等各方面做详细描述。投标方须考虑IPV6、VoIP 等先进技术在网络上的应用，就未来应用的扩展性提出建设性意见。投标方要根据招标方需求进行网络设计并报价。招标结束后，中标方须进行深化设计，充分考虑已有的资源和实际情况，对方案进行调整，最终形成实施方案。2. 网络设计原则u 使用成熟先进技术u 简化网络结构u 设备高性能高可靠u 可抵御网络异常流量的攻击3. 具体需求（1） 业务要求：n 2个网络出口（市教育信息网及区公共信息平台）n 1个数据中心n 接入249个节点（2） 网络性能要求：n 核心交换u 万兆级连接u 背板容量=1.5Tu 包转发率=400Mppsn 出口u 连接市教育信息网1000Mbps接口（2个）1. 连接Internet 100M（高性能NAT）2. 连接市教育信息网内网1000Mu 连接区公共信息平台1000Mbps接口（高性能NAT）n 数据中心u 数据中心分三部分1. Internet服务器区2. 关键应用服务器区3. 大流量服务器区u 数据中心关键应用服务器区通过千兆级防火墙连接到核心u 数据中心大流量服务器区通过ACL进行3、4层访问控制u 数据中心Internet服务器区通过百兆级防火墙连接到出口u 学校（接入层网络）访问数据中心总带宽不小于6Gbpsn 接入的学校u 普通学校100Mbps接入网络中心u 示范校500Mbps接入网络中心（3） 网管要求n 网管网络相对于业务网络独立，网管网络与业务网络需要通过防火墙连接，要求严格的安全策略n 可实现现有和新增设备管理、网络管理、日志管理及网络性能管理的网管系统n 可实现基于WEB方式对设备端口进行流量监控n 可进行带内管理（通过网管防火墙）及带外管理n 可提供NTP服务i. 为网络中设备提供NTP服务ii. 为网络中计算机提供NTP服务n 入侵检测控制台等属于网管网络（4） 可靠性要求：n 核心网络u 设备双机热备份；u 关键板卡1+1热备u 电源1+1或1+n保护n 接入网络u 双链路负载均衡，热备份；u 路由连接冗余备份。（5） 其它要求n 已有1台千兆NETEYE防火墙可利旧n 已有2台CISCO6506交换机低速引擎可利旧n 已有1台CISCO6509交换机低速引擎可利旧n 须考虑今后将原有IP网络迁移到本网络中n 须考虑基于用户的宽带认证计费系统n 须考虑与NTP组网方案n 须考虑网络安全功能，配合网络中防火墙、入侵检测系统、防病毒系统综合设计网络（6） 工程要求n 使用的设备需要在业界有广泛应用；n 设备报价需包括设备安装附件；n 交钥匙工程。4. 核心交换机主要性能指标要求（1）数量：2台（2）单台配置要求：冗余主控引擎冗余电源。内存（主控引擎1G，路由模块1G）2个10GE以太网模块10个千兆单模以太网光模块48个10/100/1000M自适应以太网双绞线端口。（3） 设备技术指标要求见下表技术指标要求高性能体系结构支持分布式体系结构 集成化路由引擎和交换背板，无需额外配置模块吞吐量IPv4 =400Mpps （第三层交换速率）背板容量=1.5Tbps 交换容量=700Gbps用户槽位数=9部件冗余支持交换引擎处理模块1+1冗余支持三层路由处理模块1+1冗余支持1+1冗余交换矩阵 支持冗余电源、散热风扇支持插板的热插拔路由冗余支持冗余路由切换及负载均衡多协议单播路由协议支持BGPv4、OSPF、RIP2、Policy RoutingIPV6硬件支持IPV6支持IPv6 RIP, OSPF，BGP.支持IPv6/IPv4 及IPv4/IPv6 Tunnel基于硬件的多播实现支持硬件方式实现多播协议多播路由协议PIM-Sparse, PIM-Dense, PIM-Sparse/Dense等协议MPLS支持二，三层VPN支持MPLS流量工程支持MPLS虚拟专网支持缓存协议支持基于WEB的缓存协议接口以太网支持FE,GE，10GE。端口密度千兆光纤端口密度大于等于12口/卡千兆双绞线端口密度大于等于12口/卡通道技术支持跨模块的10M/100M/1000M以太网通道聚合技术。VLAN数量=4KSpanning-tree支持基于每个VLAN的生成树(Spanning-tree), 802.1w, 802.1s.VLAN Trunking支持802.1Q访问控制支持基于硬件方式的数据包访问过滤登陆安全支持基于VLAN、物理地址、IP地址、端口号、应用内容等进行访问控制安全性速率限制支持反向的访问控制支持动态的访问控制支持地址翻译(NAT)支持AAA安全认证协议(Radius)；支持通过基于限速（Rate Limit）,来控制DDOS攻击IP数据流量分类机制 支持根据IP ACL、IP Precedence、DSCP、MPLS-exp、802.1Q/p、COS标准的排队技术防止拥塞丢包技术支持WRR (Weighted Round Robin)多业务 QOS模式支持Inter-serve, Differ-serve机制。端口级门槛值设置端口级的延迟与丢弃的门槛值设置排队技术支持优先处理低延迟数据的排队机制（LLQ）设备管理软件支持全网统一网管软件网络监测支持网络探针（Probe）管理模块，可对网络流量进行分析、统计等监测工作。网络管理网络设备管理手段支持多种管理策略、图形化管理工具管理协议支持SNMPv2、RMON管理功能支持配置管理，故障管理，性能管理，统计管理，安全管理。5. 出口高性能NAT设备性能要求（1）数量：2台（2）单台要求：1000M单模光口上连1000M多模光口下连（3）主要性能指标包转发速度800kpps6. 维护终端要求数量：2台要求：便携电脑，奔腾M1.5G以上，256M内存，USB2.0，14.1显示屏，2.5kg，Windows XP Professional，国际知名品牌，三年质保。7. 投标方应提交的技术文档n 网络设计方案方案内容应包括但不限于：u 设计依据（数据分析）u 网络物理连接图u 网络逻辑拓扑图u 网络时间同步方案n 设备配置清单n 本次投标设备的详细技术说明二. 安全系统1. 核心防火墙技术要求（1）数量：6台（2）设备技术指标要求如下：l 千兆级处理性能l 吞吐量1.4Gbps以上，并发连接数至少180万，每秒新建连接数大于2.5万。l 接口模块热插拔。l 双电源冗余备份。l 最少提供3个千兆以太网接口。l 支持L2TP VPN、GRE VPN、IPSec VPN、MPLS VPN、SSL VPN等多种VPN业务。l 支持包过滤技术，支持应用层报文过滤ASPF，提供多种攻击防范技术等。l 支持邮件过滤和网页过滤等。l 可提供各种日志功能，提供流量统计和分析功能以及提供各种事件监控和统计功能。l 支持虚拟系统防火墙。虚拟系统防火墙之间可以使用VLAN划分，也可以使用端口划分。虚拟系统防火墙内部可以配置独立的防火墙规则，虚拟系统防火墙之间默认隔离，通过配置可以互通。l 具备公安部的销售许可证、国家信息安全测评中心的认证证书、国家保密局的推荐证明等2. 漏洞扫描系统技术要求l 扫描范围：网络中心l 可扫描的服务器数量：不少于100台l 具有扫描分析网络系统能力。l 具有报告网络存在的弱点和漏洞能力。l 具有报告网络系统相关信息和对外提供的服务能力。l 能够建议补救措施和安全策略。l 生成分析报告。l 具有远程和本地工作能力。l 具有安全策略的自定义能力。l 用户界面友善，方便用户操作。l 自身安全机制完备。l 具有国家安全部颁发的国家信息安全认证证书和公安部颁发的计算机信息系统安全专用产品销售许可证产品。3. 网络入侵检测技术要求（1）数量：2台（2）设备技术指标要求如下：l 在高速网环境下能够稳定运行，系统性能指标必须达到：l 单台探头数量：不少于2个GEl 256字节包长下，处理能力达到线速l 64字节包长下，处理能力达到400Mbps以上l 系统内置安全知识库，能够检测端口扫描、可疑行为、未授权访问尝试，后门、木马等，其安全规则与国际标准CVE兼容l 详尽的报警事件审计分析查询与报告l 支持关联分析l 支持实时流量统计与监控l 完善的数据维护功能，支持数据转储、导出与压缩l 系统具有完善的安全保护机制，如探测器隐藏IP地址、通信加密、多级用户管理、支持系统自身安全审计等l 支持安全域拆分l 支持大型网络的多级层次化部署管理架构l 完备的探测器管理（状态检测与动作管理）l 分级安全管理，支持系统自身安全审计4. 网络防病毒系统技术要求l 防护范围：网络中心l 服务器数量：不少于100台l PC数量：不少于30台l 具备跨平台分级查杀病毒能力，支持IBM AIX, Linux, AS/400, OS/390，SUN Solaris，Windows 9x, Windows NT Workstation/Server, Windows 2000, Windows XP, OS/2, Macintosh等多种操作系统。l 能够实现统一集中的管理，其中包括防病毒软件的安装、维护、病毒定义码和扫描引擎的自动更新升级、网络防病毒策略的统一配置、报警的集中管理、定时调度、隔离、实时扫描和监控等等。l 支持建立内部的更新资源库，局域网络内部所有的防病毒服务器和工作站可直接从更新资源库下载病毒定义码和扫描引擎。l 具有网络节点自动检测功能。可以根据需要对于不同地域和工作组设置不同的扫描策略。l 支持查、杀各种未知病毒，具备将被病毒感染的文件进行修复的功能。l 具备对电