技术参数002Word格式文档下载.docx

1、韶关市公安局、检察院、司法局、法院、政法委都通过光纤连接到政法网共享信息平台中心机房，现在彼止之间没有部署网络安全设备。考虑到政法网信息平台的数据安全要求，希望通过网络安全设备系统的综合部署，对内网进行网络边界和内部的安全保护，同时其他业务部门能够通过网络安全设备来进行必要的访问。同时在市政法网共享平台与其他相关单位（在这里特指公安、法院、检察院、司法、政法委）网络之间，通过安全隔离设备将共享平台的重要数据进行保护，同时其他单位的业务部门能够通过隔离设备与共享平台进行必要的数据交换。三、项目建设目标根据政法信息系统的特点，在现有的安全设施的基础上，根据国家有关信息网络安全系统建设法律法规和标准

2、规范以及系统对安全性设计的具体要求，并结合当前信息安全技术的发展水平，针对可能存在的安全漏洞和安全需求，在不同层次上提出安全级别要求，制定相应的安全策略，设计一套科学合理、多层次、分布式、并且融合技术和管理的安全体系，采用合理、先进的技术实施安全工程，加强安全管理，保证政法网信息系统的安全性。建设一个具有可操作性、高性能、高可用性、高安全性的安全体系是总的建设目标。四、项目建设内容本期安全体系建设内容主要见下图：主要建设内容如下：1、在中心机房的网络出口部署一台高性能12口千兆防火墙，与公安局、检察院、法院、司法局、政法委等各级单位的网络相连。2、将一台安全隔离与信息交换系统放置在中心机房共享

3、平台与其他单位（在这里特指公安、法院、检察院、司法、政法委）网络之间，通过安全隔离与信息交换系统的安全隔离功能将中心机房共享平台的重要数据进行保护，同时其他单位的业务部门能够通过隔离设备与共享平台进行必要的数据交换。公检法司政法委都有各自的专网，为了保护他们各自的核心业务，在他们与其它系统的网络连接处各部署一台安全隔离与信息交换系统，以防政法委、公安、法院、检察院、司法各单位之间出现非授权的访问和信息的非法传递。3、在共享平台中心机房的服务器区前部署一台高性能千兆IPS，在政法、公、检、法、司的边界各部署一台百兆高端IPS，进行入侵防护。4、在政法委、公安局、检察院、法院、司法局的所有终端PC

4、及服务器上部署网络版杀毒软件。5、韶关政法网共享平台，业务应用系统需要采购11台服务器。6、韶关政法业务应用系统需要采购2套投影设备。五、用户针对本次项目采购的安全设备软、硬件的指标要求（1） 防火墙：高性能千兆防火墙 （1台） 技术指标如下：类别指标项详细描述操作系统要求具备自主研发的安全操作系统，并提供该安全操作系统的软件著作权及彩页作为证明产品规格硬件规格标配4个多模SFP光口模块，8个10/100/1000BASE-T端口,同时可用端口总数不少于12个，且每个端口均可连接独立的安全域；标配单电源，可支持双冗余电源最大无故障时间（MTBF）:90000小时性能参数吞吐量（bps）：3.5

5、G最大并发连接数;200万每秒新建连接数;2万IPSecVPN隧道数：5000；可支持扩展SSL VPN在线用户数：200绿色上网P2P下载控制识别和控制迅雷、BT、eDonkey、eMule等常见P2P下载软件P2P视频播放控制识别和控制PPLive、QQLive、PPStream等常见P2P视频播放软件IM即时通讯软件控制识别和控制QQ、MSN等常用IM软件，一键式阻断IM软件机密文件传输在线游戏控制识别和控制魔兽、CS、征途、联众、天堂、梦幻西游、仙剑情缘、热血江湖、劲舞团、诛仙、浩方、泡泡堂等多种在线游戏软件炒股软件控制识别和控制大智慧、同花顺、国泰君安、证券之星、广发证券、指南针、通

6、达信、股票之星、华安证券、和讯报道、钱龙等多种炒股软件WEB过滤支持基于分类库的URL访问控制，可以对色情、反动等多种负面网站按类别进行选择控制支持50多种分类库，800万级网址智能特征库支持URL独立特征库，支持增量升级管理 采用高速辨认技术，缩短匹配时间，不影响产品整体性能访问控制状态检测基于源/目的IP地址、MAC地址、域名、端口或协议、服务、网口、时间、用户的访问控制基于源/目的IP地址、端口、服务、网口、时间、应用等安全策略的带宽控制可基于时间和安全域进行安全隔离，同一时间内网主机只能访问DMZ区或者只能访问外网透明代理实现基于策略的HTTP、FTP、TELNET、SMTP、POP3

7、等透明代理和深度过滤IP/MAC绑定实现IP/MAC地址绑定，且支持IP/MAC地址对的自动探测和唯一性检查用户认证支持基于客户端的本地认证、无客户端软件的WEB认证，并支持Radius等第三方认证网络适应性接入模式支持透明、路由、混合三种工作模式支持DHCP Client、DHCP Relay、DHCP Server支持PPPoE接入，并具备自动断线重连技术支持纯透明桥接功能路由支持静态路由，动态路由（OSPF、RIP等），VLAN间路由，单臂路由，组播路由等支持基于源/目的地址、接口的策略路由支持多出口路由负载均衡NAT支持双向NAT、动态地址转换和静态地址转换，并支持多对一、一对多和一对

8、一等多种方式的地址转换VLAN支持802.1Q和ISL VLAN封装协议，支持两种封装的互换以及Vlan Trunk带宽管理基于IP地址、服务、网口、时间等定义带宽分配策略支持最小保证带宽和最大限制带宽支持分层的带宽管理动态协议在各种工作模式下均支持H.323（H.323 GK）、SIP、FTP、MMS、RTSP、UPnP、XDMCP、TNS等多种动态协议VPNIPSec VPN支持标准IPSec协议，能够与CISCO、NETSCREEN等知名厂商的VPN设备互联互通支持预共享密钥、证书等认证方式且支持X扩展认证支持3DES、DES、AES等加密算法支持AH和ESP封装模式以及MD5、SHA1

9、、SHA2等通用摘要算法支持DH1024、DH2048、RSA1024、RSA2048等非对称加密算法支持多出口VPN，且支持NAT穿越支持隧道接力，并可通过隧道接力实现分级的树状VPN结构部署GRE/PPTP/L2TP支持GRE、PPTP 、L2TP等VPN连接SSL VPN支持SSL VPN和IPSec VPN同时使用采用无客户端认证方式实现隧道安全连接能进行个性门户（portal）定制化处理，可替换图片、文字等VRC（VPN客户端）IPSec VPN客户端可与所有支持标准IPSec协议的VPN网关互联互通支持基于USB Key的证书认证方式IPSec VPN客户端支持Microsoft

10、Windows 2000/XP、Vista等操作系统入侵检测与防御入侵检测集成基于统一安全引擎（USE）的IDS模块，具备1600种以上攻击特征库规则遵循关联安全标准（CSC）实现与IDS的联动蠕虫防护采用基于摘要索引的内容加速算法（DCA算法）进行蠕虫病毒过滤采用基于TCP连接数管理的侦测技术，对感染蠕虫病毒的异常主机进行定位实现对blaster，nachi，nimda，codered，sasser，slapper，sqlexp，zotob等主流蠕虫病毒的识别、过滤和拦截抗DDoS/DoS攻击可识别和防御syn flood、Ping flood、udp flood、teardrop、swee

11、p、land-base、ping of death、smurf、winnuke、圣诞树、碎片等多种攻击内容过滤网页过滤支持对网页关键字和Java、JavaScript、ActiveX进行过滤邮件过滤支持对邮件地址、主题、正文、附件名、附件内容等进行关键字匹配过滤支持对中转垃圾邮件进行识别和过滤FTP过滤支持对FTP上传和下载文件的控制关联安全应用关联安全支持关联安全标准（CSC）可实现与IDS等设备的联动可以监控Microsoft Exchange及其他各种邮件服务器管理配置系统管理支持友好的Web图形界面配置支持远程SSH和串口命令行配置支持数字证书和电子钥匙两种管理员认证方式，支持管理员权

12、限分级支持SNMP管理，与当前通用的网络管理平台兼容可导出可读的配置文件并进行打印存档可进行配置文件的备份、下载、恢复和上传系统监控支持对CPU、内存、磁盘、网口、用户在线状态、连接数、路由表等信息的监控日志报警支持设备内存储和专用事件分析服务器两种日志管理方式支持分级报警，支持SNMP Trap和邮件等报警方式集中管理可通过专用的集中管理系统实现对防火墙的集中设备监控、集中日志审计、安全报警以及防火墙、VPN部分策略的分发等功能可通过专用的集中管理系统，实现对网络拓扑的管理，基于域的权限分配和报表自动生成，以及设备的历史状况回放可提供专用的软件实现对防火墙接入用户认证的集中管理，至少可同时管

13、理2048台防火墙应用报表功能具备强大的报表功能，可以生成多种基于业务的分组报表，如可用性趋势报表，储运损耗比较报表，历史报表等；基于监视器类型的分组报表；个别监视器报表；或为自定义参数生成报表等高可用性负载均衡支持多重冗余协议（MRP），实现链路备份、端口备份、热备份、集群备份等支持防火墙多WAN口备份和负载均衡支持基于802.3ad标准的多端口聚合，实现零成本扩展带宽通过状态同步技术实现232台防火墙的多机集群双机热备在NAT、路由、透明模式下支持A-A,A-S模式，且切换时间小于1秒可在热备和集群工作模式下支持多台防火墙的配置自动同步产品资质具备公安部颁发的计算机信息系统安全专用产品销售

14、许可证 具备国家保密局涉密信息系统安全保密测评中心颁发的涉密信息系统产品检测证书 具备中国信息安全产品测评认证中心颁发的国家信息安全认证产品型号证书 具备中国人民解放军信息安全测评认证中心颁发军用信息安全产品认证证书 （2）千兆安全隔离与信息交换系统 （6套） 功能点功能详细要求产品架构系统架构采用 “2+1”系统架构，即由两个主机系统和一个隔离交换矩阵组成，主机系统采用通用安全平台，隔离交换矩阵基于专用交换芯片实现主机系统间采用自有协议摆渡数据，确保信任网络和非信任网络之间任何连接的断开，彻底阻断TCP/IP协议及其他网络协议隔离交换矩阵自主研发的硬件，无操作系统，外界无法编程控制，而不是采

15、用低安全性的通用可编程硬件，如网线、SCSI、USB等接口接口配置千兆标准型，2U机箱，单电源；内网：标配1个10/100/1000M自适应网络接口，1个10/100/1000M自适应网络扩展接口,1个10/100/1000M自适应管理口，1个10/100/1000M自适应HA口（双机热备口）；外网：标配1个10/100/1000M自适应网络接口，3个10/100/1000M自适应网络扩展接口,1个10/100M自适应管理口，1个10/100/1000M自适应HA口（双机热备口）；可扩展为热备冗余电源；性能系统吞吐量不小于300Mbps（单向）并发连接数不小于2万延时小于5ms功能模块文件交换

16、实现文件的安全交换，支持NFS、SMBFS等文件系统和多种细粒度检测控制功能支持改名传输方式，可实现对源文件改名，标明传输状态支持增量传输方式，可实现只传输修改和增加了的源文件支持传输后删除方式，可实现传输结束后删除源文件FTP访问实现安全的FTP访问，支持对用户、命令、文件类型等细粒度访问控制支持动态建立数据通道，并可对访问端口号自由定义数据库传输支持客户端对多种主流数据库系统的安全访问控制，支持TNS协议，支持对访问数据库的用户进行控制数据库同步支持Oracle、SQL、Sybase、DB2等主流数据库，支持不同类型的数据库间、不同结构的表间的内容同步；支持同步内容的单向传输或双向更新，包

17、括同步的数据库间或同步的表间；支持客户端与安全隔离与信息交换系统间的第三方数字证书方式的身份认证，确保只有被授权的合法用户才能运行；支持客户端与安全隔离与信息交换系统间的SSL加密传输，确保网络数据传输的安全邮件传输实现用户安全访问邮件服务器，访问过滤选项涵盖邮件地址、主题、正文内容、附件等安全浏览实现内网用户安全浏览外网资源，支持本地、Radius、LDAP等认证方式，提供对URL、ActiveX、Cookie、JavaApplet等的过滤功能定制访问实现特定TCP、UDP协议的数据隔离交换，可合作定制开发针对特定协议的安全检测，实现如黑白名单控制、关键字过滤等内核级身份认证支持内核级身份认

18、证，支持本地和RADIUS等多种方式认证，支持在线客户数达10000以上，支持用户组管理，支持在线用户信息监控，支持在线用户强制断开，支持SKEY和PAP两种认证协议消息传输支持基本字符和文本的消息传输,支持二次开发API，支持SSL加密传输，提供文本消息的内容过滤攻击防御专业检测引擎主机系统内置USE统一安全引擎入侵检测功能具有实时入侵检测机制，可设置阻断规则，实时阻断入侵攻击特征库规则1600条以上，并可自定义检测规则和扫描攻击检测阈值抗DDoS攻击具有抗DoS、DDoS攻击功能，当拒绝服务攻击发生时能保障对正常应用请求的应答管理方式灵活多样的管理方式支持HTTPS的Web方式管理，实现了

19、远程管理信息加密传输支持命令行方式管理，可通过命令行完成全部管理配置工作高安全的管理形式内/外网主机系统分别具有独立管理接口，而不是采用低安全的管理方式，如通过网络接口管理、通过内网一个管理接口完成全部管理等管理员分级管理管理员权限支持超级管理、配置管理、策略管理、审计管理权限，不同的管理员可以设置不同的帐号物理接口管理可指定物理接口的MAC地址、IP地址、工作模式、速度、MTU（最大传输单位）、工作模式等，可设置是否允许PING、TRACEROUTE、启用等，并可实时显示系统接口的总计和当前设备总发送和总接收的字节数，并可以查看设备收发数据的统计图示适应性多网隔离能力可通过端口激活方式扩展升

20、级，实现外网主机系统直接通过独立的网络接口连接4个相同安全级别的网络，内网主机系统直接通过独立的网络接口连接2个相同安全级别的网络IP/MAC地址绑定支持IP/MAC地址绑定，具有自动学习功能时间控制支持自由定制时间策略，并在各安全策略中调用设备时间管理设备支持强制与管理主机或自动与指定时间服务器的时间实现同步域名控制支持域名访问控制策略广泛应用支持支持广泛的应用协议，包括：H323、因特网中继聊天协议IRC、微软流媒体协议MMS、实时流协议RTSP、SIP协议、XDMCP、OICQ、SNMP等灵活的接入方式支持相同网络地址段之间部署支持透明接入方式，用户无需改变任何访问习惯支持普通接入方式，

21、方便用户更改网络参数不同接入方式单独控制许可证管理通过License控制应用模块的激活状态和使用期限软件部署方式支持第三方软件部署方式支持无第三软件部署方式可靠性专用冗余协议支持MRP多重冗余协议，保障设备的高可靠性通过独立的热备端口实现双机热备支持232台设备实现负载均衡，无需第三方软硬件支持端口冗余支持设备自身物理端口冗余功能链路聚合物理端口支持802.3ad标准，实现链路聚合功能日志审计日志管理日志实现按功能模块分组管理，支持WebTrends格式实现对日志的浏览、查询、导出、删除等操作其它安全隔离与信息交换系统厂家需要有三年或以上的销售时间，以销售许可证为准并加盖原厂公章；并与防火墙同

22、一品牌。产品资质要求具有公安部公共信息网络安全监察局颁发的计算机信息系统安全专用产品销售许可证具有中国信息安全产品测评认证中心颁发的国家信息安全认证产品型号证书具有国家保密局涉密信息系统安全保密测评中心颁发的涉密信息系统产品检测证书具有中国人民解放军信息安全测评认证中心颁发的军用信息安全产品认证证书具有国家版权局颁发的计算机软件著作权登记证书（3）入侵防护系统A （5套）分类特性/功能硬件架构主机不带有硬盘，以减少设备的故障几率采用自研操作系统，并提供著作权证书1U机箱,单电源;6个10/100/1000M自适应电口,（其中包括2对IPS接口,每对的两接口之间支持旁路保护功能,1个IDS和HA

23、共用接口,1个管理接口），内置硬件Bypass性能IPS吞吐量不小于200Mbps，不小于50万小于200微秒入侵检测与防护工作模式支持IPS、IDS、IPS Monitor、Forward等多种工作模式入侵检测技术采用自研检测引擎，具备基于协议异常、会话状态和七层应用行为等的攻击识别功能策略时间管理可自定单个策略的运行时间检测方向可自定义检测方向，进行针对性检测，节省系统资源，提供相关管理界面截图特征规则内置IPS特征库，特征规则数量超过2,300条，并可自定义入侵攻击和应用软件的特征协议分析支持对VLAN、MPLS、ARP、TCP、UDP、RPC、WCCP、GRE、IPV6等多种协议的分析

24、防护攻击类型支持对病毒、蠕虫、木马、间谍软件、广告软件、可疑代码、端口扫描、非法连接、SQL注入、XSS跨站脚本等多种攻击的防护；可防范三至七层DoS/DDoS攻击；可防范IP Spoofing攻击。响应方式支持丢弃封包、切断会话、事件监视/记录、限制带宽、实时报警、记录日志、邮件报警等多种响应方式，提供相关管理界面截图上网行为管理IM应用管理可对IM的登陆、聊天、传输文件、实时语音、实时视频等进行分项管理，提供管理MSN的界面截图；支持的IM软件包括MSN、QQ、Yahoo Messenger、Skype、Google Talk、等10多类；支持的Web-IM软件包括：MSN、Yahoo、I

25、CQ、Google Talk等在线游戏管理支持对QQ游戏大厅、联众世界、浩方对战平台、魔兽世界、泡泡堂、梦幻西游、劲舞团、新浪游戏大厅、搜狐游戏大厅、Real游戏大厅等流行的在线游戏阻断管理P2P应用管理基于底层协议，可检测未知P2P应用；支持的常用P2P软件包括Thunder、eMule、WinMX、QQLive （China）、Skype、eDonkey、BitTorrent、Mldonkey等130多种，提供相应特征库截图流媒体软件管理支持qqlive、pplive、ppstream、uusee、sopcast、mysee、bbsee、沸点等常见流媒体软件的阻断、限流控制股票软件管理支持

26、对大智慧、钱龙、大福星、同花顺、指南针等股票分析软件的阻断管理虚拟通道管理支持对VNN、SoftEther、Hamachi、TinyVPN、PacketiX、HTTP-Tunnel、Tor等流行的虚拟隧道的管控，提供相应特征库截图反动软件管理支持对自由门、无界、花园等反动类软件的阻断管理，提供相应特征库截图Web访问检查可基于URL、内容等制定黑白名单来对Web访问进行过滤限流功能支持针对VLAN、源/目的IP地址、应用协议端口、七层应用软件（如P2P、FTP、PPlive、PPStream等）进行网络传输带宽和网络传输总量两种限流方式，带宽限制可精确到1Kbps，防火墙防火墙功能支持状态检测

27、防火墙功能，支持基于网络接口、源/目的IP地址、协议、时间等自定义访问控制策略高可靠性基于HA网络物理接口，实现双机热备功能联机自动切换支持Link Fault Pass Through 功能，适应各种冗余环境旁路保护支持硬件Bypass、软件Bypass功能，以避免在任何情况下，因本系统无法正常运作而造成网络中断管理功能管理方式基于Java的B/S管理架构，图形管理界面为中文界面直观的状态显示具有显示攻击事件百分比的仪表盘、显示协议流量的柱状图、安全事件趋势分析曲线图、实时事件列表等多种实时状态显示，方便分析网络的现状和趋势，提供相关管理界面截图设备升级支持通过线升级和离线升级，来对特征库、管理软件、设备操作系统实现升级镜像端口设备自身提供Mirror物理接口，可将流经设备数据镜像到其他设备上进行分析报表内置多样化的报表模版，支持自定义生成报表；支持自动定时生成报表，可利用邮件或FTP等形式定时外传报表，支持HTML、PDF、CSV等文件格式。事件查询可根据事件类型、虚拟设备、时间、源/目的IP、攻击名称等信息进行快速问题定位，提供相关管理界面截图服务特征库升级三年免费特征库升级服务硬件保修三年免费硬件保修服务具有备公安部公共信息网络安全监察局颁发的计算机信息系统安全专用产品销售许可证具有中国人民解放军信息安全测评认证中心颁发的军用信息安全产品认证证书（军B级）具有国家版权局颁