朝阳区教育校校通工程招标文件业务网安全系统技术要求.docx
《朝阳区教育校校通工程招标文件业务网安全系统技术要求.docx》由会员分享,可在线阅读,更多相关《朝阳区教育校校通工程招标文件业务网安全系统技术要求.docx(10页珍藏版)》请在冰豆网上搜索。
朝阳区教育校校通工程招标文件业务网安全系统技术要求
朝阳区教育“校校通”工程
业务网安全系统技术要求
2005年5月9日
一.业务网
1.总体要求
业务网建设目标为构造一个可靠、可控、高速、可管理的核心交换平台,用于连接各个学校、数据中心及市教育信息网、区公共信息平台等不同的网络。
投标方须对如何保证系统的高可靠性,从硬件体系结构、业务处理方式、控制软件等各方面做详细描述。
投标方须考虑IPV6、VoIP等先进技术在网络上的应用,就未来应用的扩展性提出建设性意见。
投标方要根据招标方需求进行网络设计并报价。
招标结束后,中标方须进行深化设计,充分考虑已有的资源和实际情况,对方案进行调整,最终形成实施方案。
2.网络设计原则
◆使用成熟先进技术
◆简化网络结构
◆设备高性能高可靠
◆可抵御网络异常流量的攻击
3.具体需求
(1)业务要求:
⏹2个网络出口(市教育信息网及区公共信息平台)
⏹1个数据中心
⏹接入249个节点
(2)网络性能要求:
⏹核心交换
◆万兆级连接
◆背板容量>=1.5T
◆包转发率>=400Mpps
⏹出口
◆连接市教育信息网1000Mbps接口(2个)
1.连接Internet100M(高性能NAT)
2.连接市教育信息网内网1000M
◆连接区公共信息平台1000Mbps接口(高性能NAT)
⏹数据中心
◆数据中心分三部分
1.Internet服务器区
2.关键应用服务器区
3.大流量服务器区
◆数据中心关键应用服务器区通过千兆级防火墙连接到核心
◆数据中心大流量服务器区通过ACL进行3、4层访问控制
◆数据中心Internet服务器区通过百兆级防火墙连接到出口
◆学校(接入层网络)访问数据中心总带宽不小于6Gbps
⏹接入的学校
◆普通学校100Mbps接入网络中心
◆示范校500Mbps接入网络中心
(3)网管要求
⏹网管网络相对于业务网络独立,网管网络与业务网络需要通过防火墙连接,要求严格的安全策略
⏹可实现现有和新增设备管理、网络管理、日志管理及网络性能管理的网管系统
⏹可实现基于WEB方式对设备端口进行流量监控
⏹可进行带内管理(通过网管防火墙)及带外管理
⏹可提供NTP服务
i.为网络中设备提供NTP服务
ii.为网络中计算机提供NTP服务
⏹入侵检测控制台等属于网管网络
(4)可靠性要求:
⏹核心网络
◆设备双机热备份;
◆关键板卡1+1热备
◆电源1+1或1+n保护
⏹接入网络
◆双链路负载均衡,热备份;
◆路由连接冗余备份。
(5)其它要求
⏹已有1台千兆NETEYE防火墙可利旧
⏹已有2台CISCO6506交换机低速引擎可利旧
⏹已有1台CISCO6509交换机低速引擎可利旧
⏹须考虑今后将原有IP网络迁移到本网络中
⏹须考虑基于用户的宽带认证计费系统
⏹须考虑与NTP组网方案
⏹须考虑网络安全功能,配合网络中防火墙、入侵检测系统、防病毒系统综合设计网络
(6)工程要求
⏹使用的设备需要在业界有广泛应用;
⏹设备报价需包括设备安装附件;
⏹交钥匙工程。
4.核心交换机主要性能指标要求
(1)数量:
2台
(2)单台配置要求:
冗余主控引擎
冗余电源。
内存(主控引擎1G,路由模块1G)
2个10GE以太网模块
10个千兆单模以太网光模块
48个10/100/1000M自适应以太网双绞线端口。
(3)设备技术指标要求见下表
技术指标要求
高性能
体系结构
支持分布式体系结构
集成化路由引擎和交换背板,无需额外配置模块
吞吐量
IPv4>=400Mpps(第三层交换速率)
背板容量
>=1.5Tbps
交换容量
>=700Gbps
用户槽位数
>=9
部件冗余
支持交换引擎处理模块1+1冗余
支持三层路由处理模块1+1冗余
支持1+1冗余交换矩阵
支持冗余电源、散热风扇
支持插板的热插拔
路由冗余
支持冗余路由切换及负载均衡
多协议
单播路由协议
支持BGPv4、OSPF、RIP2、PolicyRouting
IPV6
硬件支持IPV6
支持IPv6RIP,OSPF,BGP.
支持IPv6/IPv4及IPv4/IPv6Tunnel
基于硬件的多播实现
支持硬件方式实现多播协议
多播路由协议
PIM-Sparse,PIM-Dense,PIM-Sparse/Dense等协议
MPLS
支持二,三层VPN
支持MPLS流量工程
支持MPLS虚拟专网
支持缓存协议
支持基于WEB的缓存协议
接口
以太网
支持FE,GE,10GE。
端口密度
千兆光纤端口密度大于等于12口/卡
千兆双绞线端口密度大于等于12口/卡
通道技术
支持跨模块的10M/100M/1000M以太网通道聚合技术。
VLAN数量
>=4K
Spanning-tree
支持基于每个VLAN的生成树(Spanning-tree),802.1w,802.1s.
VLANTrunking
支持802.1Q
访问控制
支持基于硬件方式的数据包访问过滤
登陆安全
支持基于VLAN、物理地址、IP地址、端口号、应用内容等进行访问控制
安全性
速率限制
支持反向的访问控制
支持动态的访问控制
支持地址翻译(NAT)
支持AAA安全认证协议(Radius);
支持通过基于限速(RateLimit),来控制DDOS攻击
IP数据流量分类机制
支持根据IPACL、IPPrecedence、DSCP、MPLS-exp、802.1Q/p、COS标准的排队技术
防止拥塞丢包技术
支持WRR(WeightedRoundRobin)
多业务
QOS模式
支持Inter-serve,Differ-serve机制。
端口级门槛值设置
端口级的延迟与丢弃的门槛值设置
排队技术
支持优先处理低延迟数据的排队机制(LLQ)
设备管理软件
支持全网统一网管软件
网络监测
支持网络探针(Probe)管理模块,可对网络流量进行分析、统计等监测工作。
网络管理
网络设备管理手段
支持多种管理策略、图形化管理工具
管理协议
支持SNMPv2、RMON
管理功能
支持配置管理,故障管理,性能管理,统计管理,安全管理。
5.出口高性能NAT设备性能要求
(1)数量:
2台
(2)单台要求:
1000M单模光口上连
1000M多模光口下连
(3)主要性能指标
包转发速度>=800kpps
6.维护终端要求
数量:
2台
要求:
便携电脑,奔腾M1.5G以上,256M内存,USB2.0,14.1’显示屏,2.5kg,WindowsXPProfessional,国际知名品牌,三年质保。
7.投标方应提交的技术文档
⏹网络设计方案
方案内容应包括但不限于:
◆设计依据(数据分析)
◆网络物理连接图
◆网络逻辑拓扑图
◆网络时间同步方案
⏹设备配置清单
⏹本次投标设备的详细技术说明
二.安全系统
8.核心防火墙技术要求
(1)数量:
6台
(2)设备技术指标要求如下:
●千兆级处理性能
●吞吐量1.4Gbps以上,并发连接数至少180万,每秒新建连接数大于2.5万。
●接口模块热插拔。
●双电源冗余备份。
●最少提供3个千兆以太网接口。
●支持L2TPVPN、GREVPN、IPSecVPN、MPLSVPN、SSLVPN等多种VPN业务。
●支持包过滤技术,支持应用层报文过滤ASPF,提供多种攻击防范技术等。
●支持邮件过滤和网页过滤等。
●可提供各种日志功能,提供流量统计和分析功能以及提供各种事件监控和统计功能。
●支持虚拟系统防火墙。
虚拟系统防火墙之间可以使用VLAN划分,也可以使用端口划分。
虚拟系统防火墙内部可以配置独立的防火墙规则,虚拟系统防火墙之间默认隔离,通过配置可以互通。
●具备公安部的销售许可证、国家信息安全测评中心的认证证书、国家保密局的推荐证明等
9.漏洞扫描系统技术要求
●扫描范围:
网络中心
●可扫描的服务器数量:
不少于100台
●具有扫描分析网络系统能力。
●具有报告网络存在的弱点和漏洞能力。
●具有报告网络系统相关信息和对外提供的服务能力。
●能够建议补救措施和安全策略。
●生成分析报告。
●具有远程和本地工作能力。
●具有安全策略的自定义能力。
●用户界面友善,方便用户操作。
●自身安全机制完备。
●具有国家安全部颁发的《国家信息安全认证证书》和公安部颁发的《计算机信息系统安全专用产品销售许可证》产品。
10.网络入侵检测技术要求
(1)数量:
2台
(2)设备技术指标要求如下:
●在高速网环境下能够稳定运行,系统性能指标必须达到:
●单台探头数量:
不少于2个GE
●256字节包长下,处理能力达到线速
●64字节包长下,处理能力达到400Mbps以上
●系统内置安全知识库,能够检测端口扫描、可疑行为、未授权访问尝试,后门、木马等,其安全规则与国际标准CVE兼容
●详尽的报警事件审计分析查询与报告
●支持关联分析
●支持实时流量统计与监控
●完善的数据维护功能,支持数据转储、导出与压缩
●系统具有完善的安全保护机制,如探测器隐藏IP地址、通信加密、多级用户管理、支持系统自身安全审计等
●支持安全域拆分
●支持大型网络的多级层次化部署管理架构
●完备的探测器管理(状态检测与动作管理)
●分级安全管理,支持系统自身安全审计
11.网络防病毒系统技术要求
●防护范围:
网络中心
●服务器数量:
不少于100台
●PC数量:
不少于30台
●具备 跨平台分级查杀病毒能力,支持IBMAIX,Linux,AS/400,OS/390,SUNSolaris,Windows9x,WindowsNTWorkstation/Server,Windows2000,WindowsXP,OS/2,Macintosh等多种操作系统。
●能够实现统一集中的管理,其中包括防病毒软件的安装、维护、病毒定义码和扫描引擎的自动更新升级、网络防病毒策略的统一配置、报警的集中管理、定时调度、隔离、实时扫描和监控等等。
●支持建立内部的更新资源库,局域网络内部所有的防病毒服务器和工作站可直接从更新资源库下载病毒定义码和扫描引擎。
●具有网络节点自动检测功能。
可以根据需要对于不同地域和工作组设置不同的扫描策略。
●支持查、杀各种未知病毒,具备将被病毒感染的文件进行修复的功能。
●具备对电子邮件的防病毒保护,能够支持包括市场上流行的所有邮件系统如:
IBMLotusNotes/Domino(onAIX、AS/400、OS/390、SUNSolaris、NT/2000/2003)、MSExchangeServer以及其他的基于Unix平台下的邮件系统。
12.投标方应提供的技术文档
●对全系统制定的安全策略方案
●安全系统设计方案(可以包含在业务网络设计方案中)
●设备配置清单
●本次投标设备详细技术说明