招投标系统技术方案.docx
《招投标系统技术方案.docx》由会员分享,可在线阅读,更多相关《招投标系统技术方案.docx(15页珍藏版)》请在冰豆网上搜索。
招投标系统技术方案
陕西省电力公司招投标系统
配套网络设备技术响应书
投标单位:
陕西思锐电力科技有限公司
二零零七年十月十四日
1.1
总体需求分析
招投标系统是陕西省电力公司信息化“SG186”工程实施以来第一个全面推广实施的业务应用,系统性能和可靠性要求高,应用实施范围广,并涉及到上下交互、平台集成的要求.为了保证该应用的快速部署及稳定运行,我公司从招投标管理应用实际运行的角度,并结合其他企业招投标应用运行环境的参考配置方案,在具体分析陕西省电力公司网络现状的情况下,提供如下方案。
1.2现状分析
陕西电力信息广域网已建成以光纤为主、5×2M为辅的省内宽带综合业务传输、交换平台,能够支持视频、语音、数据等综合业务的传输,满足陕西电力现在与将来一段时间内视频会议、网络管理、客服、财务、MIS、OA、Internet访问、电子邮件、Web应用、变电站VPN(调度)等生产、管理、经营多种应用的需求。
主干带宽为1000M;具备高性能、高稳定性、高安全性和一定可扩展性。
为了实现各业务的独立传输,方便安全与服务质量的管理,在组网技术上采用BGP/MPLSVPN技术。
省公司是全省信息系统的业务中心、信息交换中心、数据中心和备份中心,也是陕西电力信息广域网的核心。
陕西电力信息广域网主干采用MPLSVPN技术,为各关键应用划分了专用VPN传输通道,实现了业务纵向传输隔离,提高了传输安全性.全网部署视频、网管、OA、MIS、生产、客服、财务、Internet、终端互访等16个VPN.各VPN均在接入PE设备上终结,结合具体情况采用独立接口或802。
1QTrunkVLAN子接口与业务系统对接.考虑到安全性和管理方便等因素,PE与业务中心采用静态路由互联。
为确保Internet访问的安全性,在省中心部署了全省Internet总出口,即全省办公互联网访问均由省公司出口。
全省门户网站、全省邮件服务器、DNS服务器等部署在Internet服务器群,即Internet防火墙的DMZ区。
Internet服务器群除受防火墙的保护外还受网络入侵检测系统的监控,确保高安全、高可控。
在全省Internet接入点内侧也部署了网络入侵检测系统,以及时检测、阻断来自Internet的入侵、攻击。
为实现Internet访问的可控、可查和信息安全,陕西电力信息广域网部署了全省Internet访问安全系统。
该系统实现了用户上网认证、用户访问过程审计和用户访问内容审计.
目前网络承载了客户服务支持系统、生产管理系统、OA系统、视频会议系统、财务、计划统计系统、IT管理系统、同业对标系统、新闻发布、Internet访问等十多种应用;其中OA、生产、客服为分布式数据中心结构,财务、对标等应用系统的数据中心集中部署在省公司。
1.3投标产品依据的标准及规范
我公司所提供的产品均按下列标准和规程进行设计、制造、检验和安装.所用标准必须均为最新版本,如果这些标准有矛盾时,按最高标准的条款执行或按双方商定的标准执行。
适用标准如下:
a)IEEE—-美国电气电子工程师协会标准。
b)ANSI——美国国家标准委员会标准。
c)EIA--电子工业协会标准。
d)ITU——国际电信联盟。
e)ISO——国际标准化组织标准.
f)UL—-美国保险商试验室标准。
g)NFPA--美国国家防火协会标准。
h)GB—-中华人民共和国国标.
i)SI--标准国际单位制.
j)NEMA-—美国国家电气制造协会标准。
投标产品的选型:
本次投标我公司选用产品满足以下要求
1.4先进性和成熟性
所选择的产品都应是成熟、可靠的产品.产品供应商实力雄厚,市场占有率较高,产品具有延续性,能保证系统未来发展的需要。
1.5兼容性
产品具有良好的兼容性和开放性,能作为目前及今后多种应用的运行平台。
1.6可靠性
产品具有高度的可靠性,保证系统7x24小时不间断运行.
1.7经济性
系统的软件和硬件系统的配合最佳,且具备良好的性能价格比.
1.8可扩展性
系统具备较强的扩展能力,以适应未来业务发展的要求.
1.9安全性
产品配置具备良好的安全性,保证系统安全、稳定运行。
1.10可管理性
产品具有灵活、方便的管理控制手段。
1.11网络卫士防火墙猎豹产品技术说明
1.11.1可编程ASIC技术
在确定技术总体方案时,选择合适的硬件体系结构是非常重要的.如果硬件架构选择不当,就无法保证千兆线速防火墙必须具备的高性能、高灵活性和足够的稳定性.目前实现千兆防火墙的硬件体系结构可以分为通用CPU架构、可编程ASIC架构和网络处理器架构三种,他们各自的特点分别如下:
通用CPU架构:
通用CPU架构最常见的是基于IntelX86架构的防火墙,在百兆防火墙中IntelX86架构的硬件以其高灵活性和扩展性一直受到防火墙厂商的青睐;由于采用了PCI总线接口,IntelX86架构的硬件虽然理论上能达到2Gbps的吞吐量甚至更高,但是在实际应用中,尤其是在小包情况下,远远达不到标称性能,通用CPU的处理能力也很有限.
可编程ASIC架构:
可编程ASIC(ApplicationSpecificIntegratedCircuit,专用集成电路)技术是当前高端网络设备广泛采用的技术。
由于采用了硬件转发模式、多总线技术、数据层面与控制层面分离等技术,可编程ASIC架构防火墙解决了带宽容量和性能不足的问题,稳定性也得到了很好的保证.
网络处理器架构:
由于网络处理器所使用的微码编写有一定技术难度,难以实现产品的最优性能,因此网络处理器架构的防火墙产品难以占有大量的市场份额。
因此,采用可编程ASIC架构是目前千兆高端防火墙的主流技术.
1。
11.2网络卫士防火墙猎豹系列产品与传统产品的比较及特点
最低的功耗时,标准单元ASIC很可能仍将是首选的技术,只要产量和价格能满足业务的需要。
然而,最新的统计显示,大约80%的ASIC从来没有达到50万片以上的投产量。
目前,中等设计复杂度大约是120万门(80万逻辑单元和40万储存单元)。
尽管FPGA供货商并不承认,但最大型的FPGA仍必须突破100万逻辑闸的门坎。
结果,越来越多的ASIC用户正寻求可行的替代方案。
这些趋势说明,不论ASIC还是FPGA都不能有效满足某些设计需要,而且这样的设计变得越来越多,FPGA与标准单元ASIC之间存在巨大的市场空白.
传统的ASIC和FPGA设计方法,都能够满足网络IT设备部份需要,但随着应用的多样化,这两种技术都也暴露了一些大缺陷:
1)虽然ASIC一旦投产,就能提供良好的性价比,但ASIC设计、工具和光罩的巨额成本令大多数公司望而却步。
严格的ASIC设计流程和硬联机的实现方式不能提供相应的灵活性,因而无法及时抓住稍纵即逝或新兴的市场机会。
缺乏灵活性还导致可升级能力较弱,因为诸如通讯基础设备等许多应用的关键需求之一是具备现场可升级能力.
2)FPGA能解决上市时间以及ASIC缺乏灵活性的问题,并能避免在工具上的前端高额投资以及NRE费用。
然而,高昂的FPGA单片成本限制了它们在成本感应型应用中的使用。
高功耗、低性能以及有限容量等技术因素使FPGA在很多应用中显得不切实际或缺乏经济上的可行性。
日益缩短的产品生命周期以及不断提高的性能和容量需求迫使产品开发商采用创新的IC技术,以满足这些市场需求.为解决传统设计方法的缺陷,特别是弥补FPGA和高端ASIC之间的需求间隔,从2002年开始众多厂商先后提出并开发了可编程ASIC(ProgrammableASIC),可编程ASIC融合了FPGA和ASIC的优点,克服了它们的缺陷。
1。
11。
2.1可编程ASIC技术特点
可编程ASIC是将多个电路迭层(Layer)的ASIC,将其中数层的电路改成FPGA的型态(允许变动、调整电路),并保留几层为原有的传统ASIC型态(不允许再行调整电路)。
如此,可编程ASIC的价位成本、变更弹性、设计周期、效能、用电等各种特性,皆能介于ASIC与FPGA之间。
这种电路结构、特性上采复合、混种的设计正好填补了今日ASIC与FPGA所难兼顾的市场需求。
可编程ASIC的设计在七层的电路迭层,其中三层允许可程序化调整(类似FPGA),其它层仍为传统ASIC的固定光罩制成。
由于可编程ASIC的设计不同于以往的ASIC,也不同于以往的FPGA,鉴于可编程ASIC的技术优势,众多全球性大公司参与其中,很多知名的开发厂商都提供了相应工具,形成了一个完整的可编程ASIC的产业链.在可编程ASIC中固定的或低风险的设计功能--例如防火墙系统的路由、交换、以及报文队列等,可以用传统ASIC电路实现,而高风险模块和需要现场可升级能力的功能可以被置于可编程的电路层中实现.这种方案能提供类似FPGA的设计流程和灵活性,同时达到类似ASIC的性能、功耗和成本。
传统ASIC在TAT(Turn—AroundTime;设计、验证、修正微调的周期往返时间)周期时间上需时50多个星期,而改用可编程ASIC可缩短至18-20个星期,大大加速芯片产品及时上市的时间。
同时基于可编程ASIC的产品的NRE费用接近FPGA。
1。
11.2.2可编程ASIC在安全领域应用的必然
现在网络的速度越来越快,防火墙应用越来越丰富,网络应用越来越向实时交互发展,新的业务层出不穷,从而要求的性能越来越高,从100M到1000M到10G,实时性越来越向电路级靠拢,对新的应用、解决新威胁也要求安全设备在几个月得到响应。
在高端安全可编程ASIC中把成熟的功能单元ASIC化,如内存控制、IP、MAC、交换、路由、3DES/DES/MD5/SHA1、模式匹配等,而把不成熟或会变化的功能置于FPGA形态电路层,如H323支持。
通过这样的设计与实现,减少了NRE,降低了单芯片的成本,加快了开发,同时确保了高速与低时延。
从芯片的角度探讨安全技术,已经成为国际性公司展现实力的最普遍形式之一,特别是在专用芯片领域,一大批公司试图通过完全的自身研发,从而得到专属芯片技术。
在高端的产品,无论是交换机、路由器还是安全设备,最大的技术区分还是集中在芯片上。
对安全技术,更面临着工作稳定性和自身安全性的挑战.
1。
11。
3猎豹系列防火墙介绍
1.11。
3。
1产品概述
网络卫士防火墙系统猎豹产品,是天融信公司在多年网络安全产品开发与实践经验的基础上开发的,基于可编程ASIC为核心芯片的最新一代防火墙。
猎豹继承了天融信公司十年来在安全产品研发中的积累的多项成果,以自主知识产权的网络安全操作系统TOS(TopsecOperatingSystem)为系统平台,采用开放性的系统架构及模块化的设计思想,充分体现了天融信公司在长期的产品开发和市场推广过程中对于用户需求的深刻理解.
同时,猎豹采用了天融信自主研发的最新一代可编程ASIC芯片-—TopASIC。
它天融信公司投资数千万元,历时三年,在多年芯片开发实践的基础上的研发成果,TopASIC。
既具有高可靠性、高扩展性,为系统提供了灵活的升级能力,同时又能确保防火墙的千兆、百兆端口在各种应用下达到线速转发,为防火墙构建了一个高性价比的安全平台。
猎豹是网络卫士防火墙系列的中高端产品,适用于性能要求较高的网络环境,是天融信为政府、金融、能源、教育等行业及大中型企业客户量身打造的高性能防火墙产品.
1。
11。
3。
2产品特点
自主产权的安全芯片猎豹的核心芯片—TopASIC.:
是天融信在多年芯片开发的经验积累下,在上一代芯片开发的基础上完成的,从而确保该芯片在继承了原有技术优势的同时,技术的稳定性好。
TopASIC.的成功开发和应用,使天融信跻身于少数拥有芯片级核心技术自主产权的国际安全厂商的行列。
高集成度高稳定性的芯片:
猎豹借鉴了业内芯片SoC(SystemonChip)技术,芯片内置硬件防火墙单元、7层数据分析单元、VPN加密单元、硬件路由交换单元、快速报文缓存、MAC等众多硬件芯片单元,使得防火墙全部业务功能都在安全芯片系统内完成.高度集成化确保产品具有低功耗、高性能、高稳定、长寿命的特点。
灵活的双引擎构架:
猎豹的核心构架采用高性能管理CPU与可编程ASIC技术相结合的方式,将系统的控制平面与数据平面分开,大大降低了控制平面与数据平面间的数据流量。
ASIC硬件芯片负责数据业务的处理转发;高性能管理CPU处理器提供系统的管理控制功能,它具有强大运算能力的优势可以大大提高系统的自身抗攻击能力,以及保证在高强度攻击下的系统自身管理效率。
真正的线速性能:
内置的专用硬件加速芯片,保证系统从小包64字节到1518字节的数据处理,从简单功能到复杂网络应用组合,都可以达到100%的线速转发。
加之天融信自主TAPF(TopASICPacketFashpath)报文转发技术,报文转发延迟比传统防火墙降低了数十倍。
具体表现为:
各种业务条件下的线速转发。
例如当启动NAT、各种防火墙策略后,系统性能不变。
系统大容量.2。
8Gbps总容量。
猎豹所有端口全部线速转发.低延迟.借助报文快速处理TAPT等技术,使得报文转发延迟相对X86或者NP构架防火墙有数十倍的降低,最低可以小于3us。
高稳定性和高处理能力:
专用芯片技术是当前高端网络设备广泛采用的技术。
由于采用了硬件转发模式、多总线技术、数据层面与控制层面分离等技术,专用芯片架构防火墙解决了带宽容量和性能不足的问题,稳定性也得到了很好的保证。
通过对用户需求的深入了解,对关键功能的处理流程进行大量的优化工作,使得关键处理部分以简单而固定的方式实现,从而固化到硬件。
通过把指令或计算逻辑固化到硬件中,可以获得很高的处理速度,因而能够很好地满足网络安全设备对处理能力、性能及稳定性的要求。
自主产权的安全操作系统平台:
猎豹采用自主知识产权的安全软件操作系统-TOS(TopsecOperatingSystem),既提高了产品性能,又提高了产品的灵活性、高效性和安全性。
具有高安全性、高可靠性、高实时性、高扩展性及多体系结构平台适应性的特点.TOS操作系统的应用使猎豹产品继承了天融信在安全领域多年积累的经验,确保了原有产品解决方案的稳定性和功能特点。
1。
11。
4猎豹系列防火墙功能及性能
1。
11。
4。
1产品功能
芯片功能
Ø灵活速度共存:
融合了NP可编程、传统ASIC高性能特点。
比NP性能更高稳定,编程更简单;比传统ASIC更加灵活.
ØASIC两级独立缓存.ASIC系统内部256Kbps的SRAM一级缓存,以及高达256M的ASIC独立专用存储空间(二级catch缓存),保证所有网络处理和表项都在ASIC内部快速执行,并保证表项的扩充能力,这也是产品拥有高性能的重要保证.
Ø系统集成化。
将众多处理功能芯片(MAC、SRAM、VPN加密单元、NAT加速单元、FW功能单元等)集于ASIC一身,确保系统的低功耗,高性能,高稳定,长寿命.
Ø低报文延迟。
采用TAPF(TopASICPacketFastPath,ASIC报文快速路径),和其他ASIC对比,是降低报文延迟的关键技术。
工作模式
Ø透明模式
Ø路由模式
Ø混合模式(路由与透明两种模式同时工作)
网络地址转换:
支持包括正向、反向NAT以及PAT等多种地址转换方式
访问控制
Ø包过滤策略用于控制用户对某种网络服务或端口的访问,可以根据报文特征过滤IP报文和非IP报文
Ø防火墙访问规则:
通过限定访问时间、服务类型及DPI(深度报文检测)针对对象及区域,进行访问控制.支持基于流、数据报、透明代理三种过滤方式。
Ø支持HTTP、SMTP、POP3、FTP等的过滤.
Ø动态端口支持协议包括FTP、RTSP、SQL*NET、MMS、RPC(msrpc,dcerpc)、H.323、TFTP.
VPN
Ø支持基于标准IKE协商的VPN通信隧道
Ø支持网关到网关,及远程移动用户到网关的VPN隧道
Ø支持多种认证方式,如预共享密钥,数字证书等
Ø支持SCM服务器集中管理
防御功能
Ø内置攻击检测模块:
抵御包括SynFlood,Smurf,Targa3,SynAttach,ICMPFlood,PingofDeath,Land,WinNuke、TCPScan、IPOption、TearDrop、Targa3、IPspoof端口扫描等几十种攻击;
ØTopsec联动:
与支持TOPSEC协议的其他厂商的IDS设备联动,以提高入侵检测效率。
Ø端口阻断功能:
可以根据数据包的来源和数据包的特征进行阻断设置。
ØSYN代理:
对来自定义区域的SynFlood攻击行为进行阻断过滤。
服务保证(QoS)
Ø分级带宽管理:
通过接口带宽、带宽组以及带宽组用户等多级带宽管理,可以针对IP地址段,时间段,服务优先级等多种条件设置带宽策略.
Ø能够以八种优先等级,为流量分配优先权,从而提供针对用户和服务的优先级控制。
VLAN与生成树认证
Ø支持与交换机的Trunk接口对接,并且能够实现Vlan间通过安全设备
Ø进行路由
Ø支持多种生成树协议,包括PVST+及CST等协议
Ø支持802。
1q,能进行802。
1q的封装和解封装
Ø支持ISL,能进行ISL的封装和解封装
ØVlan内交换,在同一个Vlan内能进行二层交换
Ø支持802.1d生成树,能进行802。
1d的生成树协商
认证
Ø可以实现设备认证、会话认证等多种认证类型
Ø支持使用一次性口令(OTP),本地认证,第三方认证如RADIUS、TACACS/TACACS+、LDAP、域认证等,双因子认证SecurID,以及数字证书(CA)等常用的认证方式
Ø支持session认证,HTTP会话认证
服务器负载均衡:
支持服务器负载均衡,提供轮询、加权轮叫、最少连接、加权最少链接等多种负载均衡方式供用户选择
ADSL接入:
支持ADSL接入功能,满足中小企业的多种接入需求
链路备份:
支持链路备份功能,提高了用户网络的可靠性
DHCP:
Ø防火墙可以作为DHCP服务器
Ø防火墙可以作为DHCP客户端
Ø防火墙可以作为DHCP代理
多播
ØIGMP消息报文透传
ØIGMP报文路由转发
Ø生成IGMP加入请求
Ø多播报文反向路径检测
Ø多播报文发送
Ø接口状态更新通知
Ø添加、删除、清空、显示多播路由
多种管理方式
Ø基于SSL的TOPSEC管理中心
Ø本地命令行管理
ØSSH的远程管理
配置备份和恢复:
可以进行配置文件的备份、下载、删除、恢复和上载。
用户可以随时备份安全设备的配置文件,并将配置备份下载到本地管理主机中保存.也可以随时将备份上载到设备中实现配置恢复。
TFTP升级:
支持通过在命令行方式下通过CONSOLE口使用TFTP命令升级安全设备
容错与高可用性
Ø支持备份操作系统,防止因升级失败或其他异常造成系统无法正常工作
Ø支持双机热备
。
日志
Ø支持Welf、Syslog等多种日志格式的输出
Ø支持通过第三方软件来查看日志
Ø通过安全审计系统(TA—L),可获得更详尽的日志分析和审计功能,并能提供员工上网行为管理功能。
Ø可选高级日志审计功能模块,除接受防火墙日志外还能接受交换机、路由器、操作系统、应用系统和其他安全产品的日志进行联合分析。
。
报警
Ø内置了“管理”、“系统”、“安全"、“策略”、“通信"、“硬件”、“容错"、“测试"等多种触发报警的事件类别。
Ø采用“邮件”、“NETBIOS”、“声音"、“SNMP"、“控制台”等多种报警方式。
实时监控:
通过TOPSEC管理中心可以同时监控多个安全设备的运行状况,包括网络接口检测,CPU利用率监测,内存使用率监测,操作系统状况监测,网络状况监测,硬件系统监测,检测进程,错误恢复,加密卡状况检测,进程的内存监测
系统健壮性
Ø支持双系统引导,当主系统损坏时,可以启用备用系统,不影响设备的正常使用.
Ø容错模块,监控各应用模块是否工作正常
Ø报文调试、报文过滤、报文输出、策略检查
Ø支持Watchdog功能
Ø内置黑匣子,并能导出设备健康运行记录
报文调试
Ø.提供强大的报文调试功能,可以帮助网络管理员或安全管理员发现、调试和解决问题.
Ø支持发送虚拟报文。
ARP
ØARP代理
ØARP学习
Ø设置静态ARP
。
NTP:
支持网络时钟协议,可以自动根据NTP服务器的时钟调整本机时间
CDP:
支持CDP(CISCODiscoveryProtocol)协议,可以接受CDP消息,发
现并识别相邻的CISCO设备
SNMP:
。
支持SNMP的v1、v2、v2c、v3等不同版本的支持,并与当前通用的网络管理平台兼容,如HPOpenview等
非TCP/IP协议支持:
支持对非IP协议,如IPX或NetBEUI的传输与控制
升级方式
Ø支持双系统,允许升级主系统或备份系统。
Ø远程升级
ØCLI升级
ØGUI升级
扩展能力:
开放式的架构支持未来方便扩展防病毒、防垃圾邮件、IPSECVPN、SSLVPN等功能以及各种VPN加速卡。
1。
11.4。
2运行环境与标准
电源:
电压:
AC90-260V±10%
频率:
50/60HZ
环境:
运行温度:
-5°C~+45°C
非运行温度:
-20°C~+70°C
相对湿度:
5%—95%RH,非冷凝
国家标准:
GB/T18336-2001
GB/T18019-1999
GB/T18020—1999
参考的安全规范及标准(相对参考):
UL1950
EN41003
AS/NZS3260
AS/NZS3548ClassA
CSAClassA
FCCClassA
EN60555—2
VCCI(ClassII)
抗干扰性:
IEC100042(ESO)
IEC100043(辐射敏感性)
IEC100044(电快速瞬变)
IEC100045(电源)
IEC100032(谐波)
1。
11.4。
3产品规格与性能
(1)产品规格
产品型号PN编码规格描述
NGFW4000—UFTG53281U主机;标配8个10/100BASE—TX口,两个千兆COMBO口,1个
10/100BASE-TX专用管理接口,一个10/100/1000BASE-TX专用
HA接口;提供console管理口;标配4个散热风扇.
NGFW4000TG46281U主机;标配8个10/100BASE—TX口,两个千兆COMBO口,1个
10/100BASE-TX专用管理接口,一个10/100/1000BASE—TX专用
HA接口;提供console管理口;标配4个散热风扇.
(2)产品性能
性能指标产品PN编码
TG5328TG4628
并发连接〉180万>140万
系统容量(总吞吐量)2。
8Gbps2.3Gbps
核心芯片容量(TopASIC。
总吞吐量)5Gbps5G