朝陽區(qū)教育“校校通”工程招標文件-業(yè)務(wù)網(wǎng)安全系統(tǒng)技術(shù)要求

頁業(yè)務(wù)網(wǎng)總體要求業(yè)務(wù)網(wǎng)建設(shè)目標為構(gòu)造一個可靠、可控、高速、可管理的核心交換平臺，用于連接各個學(xué)校、數(shù)據(jù)中心及市教育信息網(wǎng)、區(qū)公共信息平臺等不同的網(wǎng)絡(luò)。投標方須對如何保證系統(tǒng)的高可靠性，從硬件體系結(jié)構(gòu)、業(yè)務(wù)處理方式、控制軟件等各方面做詳細描述。投標方須考慮IPV6、VoIP等先進技術(shù)在網(wǎng)絡(luò)上的應(yīng)用，就未來應(yīng)用的擴展性提出建設(shè)性意見。投標方要根據(jù)招標方需求進行網(wǎng)絡(luò)設(shè)計并報價。招標結(jié)束后，中標方須進行深化設(shè)計，充分考慮已有的資源和實際情況，對方案進行調(diào)整，最終形成實施方案。網(wǎng)絡(luò)設(shè)計原則使用成熟先進技術(shù)簡化網(wǎng)絡(luò)結(jié)構(gòu)設(shè)備高性能高可靠可抵御網(wǎng)絡(luò)異常流量的攻擊具體需求業(yè)務(wù)要求：2個網(wǎng)絡(luò)出口（市教育信息網(wǎng)及區(qū)公共信息平臺）1個數(shù)據(jù)中心接入249個節(jié)點網(wǎng)絡(luò)性能要求：核心交換萬兆級連接背板容量>=1.5T包轉(zhuǎn)發(fā)率>=400Mpps出口連接市教育信息網(wǎng)1000Mbps接口（2個）連接Internet100M（高性能NAT）連接市教育信息網(wǎng)內(nèi)網(wǎng)1000M連接區(qū)公共信息平臺1000Mbps接口（高性能NAT）數(shù)據(jù)中心數(shù)據(jù)中心分三部分Internet服務(wù)器區(qū)關(guān)鍵應(yīng)用服務(wù)器區(qū)大流量服務(wù)器區(qū)數(shù)據(jù)中心關(guān)鍵應(yīng)用服務(wù)器區(qū)通過千兆級防火墻連接到核心數(shù)據(jù)中心大流量服務(wù)器區(qū)通過ACL進行3、4層訪問控制數(shù)據(jù)中心Internet服務(wù)器區(qū)通過百兆級防火墻連接到出口學(xué)校（接入層網(wǎng)絡(luò)）訪問數(shù)據(jù)中心總帶寬不小于6Gbps接入的學(xué)校普通學(xué)校100Mbps接入網(wǎng)絡(luò)中心示范校500Mbps接入網(wǎng)絡(luò)中心網(wǎng)管要求網(wǎng)管網(wǎng)絡(luò)相對于業(yè)務(wù)網(wǎng)絡(luò)獨立，網(wǎng)管網(wǎng)絡(luò)與業(yè)務(wù)網(wǎng)絡(luò)需要通過防火墻連接，要求嚴格的安全策略可實現(xiàn)現(xiàn)有和新增設(shè)備管理、網(wǎng)絡(luò)管理、日志管理及網(wǎng)絡(luò)性能管理的網(wǎng)管系統(tǒng)可實現(xiàn)基于WEB方式對設(shè)備端口進行流量監(jiān)控可進行帶內(nèi)管理（通過網(wǎng)管防火墻）及帶外管理可提供NTP服務(wù)為網(wǎng)絡(luò)中設(shè)備提供NTP服務(wù)為網(wǎng)絡(luò)中計算機提供NTP服務(wù)入侵檢測控制臺等屬于網(wǎng)管網(wǎng)絡(luò)可靠性要求：核心網(wǎng)絡(luò)設(shè)備雙機熱備份；關(guān)鍵板卡1+1熱備電源1+1或1+n保護接入網(wǎng)絡(luò)雙鏈路負載均衡，熱備份；路由連接冗余備份。其它要求已有1臺千兆NETEYE防火墻可利舊已有2臺CISCO6506交換機低速引擎可利舊已有1臺CISCO6509交換機低速引擎可利舊須考慮今后將原有IP網(wǎng)絡(luò)遷移到本網(wǎng)絡(luò)中須考慮基于用戶的寬帶認證計費系統(tǒng)須考慮與NTP組網(wǎng)方案須考慮網(wǎng)絡(luò)安全功能，配合網(wǎng)絡(luò)中防火墻、入侵檢測系統(tǒng)、防病毒系統(tǒng)綜合設(shè)計網(wǎng)絡(luò)工程要求使用的設(shè)備需要在業(yè)界有廣泛應(yīng)用；設(shè)備報價需包括設(shè)備安裝附件；交鑰匙工程。核心交換機主要性能指標要求（1）數(shù)量：2臺（2）單臺配置要求：冗余主控引擎冗余電源。內(nèi)存（主控引擎1G，路由模塊1G2個10GE以太網(wǎng)模塊10個千兆單模以太網(wǎng)光模塊48個10/100/1000M自適應(yīng)以太網(wǎng)雙絞線端口。（3）設(shè)備技術(shù)指標要求見下表技術(shù)指標要求高性能體系結(jié)構(gòu)支持分布式體系結(jié)構(gòu)集成化路由引擎和交換背板，無需額外配置模塊吞吐量IPv4>=400Mpps（第三層交換速率）背板容量>=1.5Tbps交換容量>=700Gbps用戶槽位數(shù)>=9部件冗余支持交換引擎處理模塊1+1冗余支持三層路由處理模塊1+1冗余支持1+1冗余交換矩陣支持冗余電源、散熱風(fēng)扇支持插板的熱插拔路由冗余支持冗余路由切換及負載均衡多協(xié)議單播路由協(xié)議支持BGPv4、OSPF、RIP2、PolicyRoutingIPV6硬件支持IPV6支持IPv6RIP,OSPF，BGP.支持IPv6/IPv4及IPv4/IPv6Tunnel基于硬件的多播實現(xiàn)支持硬件方式實現(xiàn)多播協(xié)議多播路由協(xié)議PIM-Sparse,PIM-Dense,PIM-Sparse/Dense等協(xié)議MPLS支持二，三層VPN支持MPLS流量工程支持MPLS虛擬專網(wǎng)支持緩存協(xié)議支持基于WEB的緩存協(xié)議接口以太網(wǎng)支持FE,GE，10GE。端口密度千兆光纖端口密度大于等于12口/卡千兆雙絞線端口密度大于等于12口/卡通道技術(shù)支持跨模塊的10M/100M/1000MVLAN數(shù)量>=4KSpanning-tree支持基于每個VLAN的生成樹(Spanning-tree),802.1w,802.1s.VLANTrunking支持802.1Q訪問控制支持基于硬件方式的數(shù)據(jù)包訪問過濾登陸安全支持基于VLAN、物理地址、IP地址、端口號、應(yīng)用內(nèi)容等進行訪問控制安全性速率限制支持反向的訪問控制支持動態(tài)的訪問控制支持地址翻譯(NAT)支持AAA安全認證協(xié)議(Radius)；支持通過基于限速（RateLimit）,來控制DDOS攻擊IP數(shù)據(jù)流量分類機制支持根據(jù)IPACL、IPPrecedence、DSCP、MPLS-exp、802.1Q/p、COS標準的排隊技術(shù)防止擁塞丟包技術(shù)支持WRR(WeightedRoundRobin)多業(yè)務(wù)QOS模式支持Inter-serve,Differ-serve機制。端口級門檻值設(shè)置端口級的延遲與丟棄的門檻值設(shè)置排隊技術(shù)支持優(yōu)先處理低延遲數(shù)據(jù)的排隊機制（LLQ）設(shè)備管理軟件支持全網(wǎng)統(tǒng)一網(wǎng)管軟件網(wǎng)絡(luò)監(jiān)測支持網(wǎng)絡(luò)探針（Probe）管理模塊，可對網(wǎng)絡(luò)流量進行分析、統(tǒng)計等監(jiān)測工作。網(wǎng)絡(luò)管理網(wǎng)絡(luò)設(shè)備管理手段支持多種管理策略、圖形化管理工具管理協(xié)議支持SNMPv2、RMON管理功能支持配置管理，故障管理，性能管理，統(tǒng)計管理，安全管理。出口高性能NAT設(shè)備性能要求（1）數(shù)量：2臺（2）單臺要求：1000M單模光口上連1000M多模光口下連（3）主要性能指標包轉(zhuǎn)發(fā)速度>＝800kpps維護終端要求數(shù)量：2臺要求：便攜電腦，奔騰M1.5G以上，256M內(nèi)存，USB2.0，14.1’顯示屏，2.5kg投標方應(yīng)提交的技術(shù)文檔網(wǎng)絡(luò)設(shè)計方案方案內(nèi)容應(yīng)包括但不限于：設(shè)計依據(jù)（數(shù)據(jù)分析）網(wǎng)絡(luò)物理連接圖網(wǎng)絡(luò)邏輯拓撲圖網(wǎng)絡(luò)時間同步方案設(shè)備配置清單本次投標設(shè)備的詳細技術(shù)說明安全系統(tǒng)核心防火墻技術(shù)要求（1）數(shù)量：6臺（2）設(shè)備技術(shù)指標要求如下：千兆級處理性能吞吐量1.4Gbps以上，并發(fā)連接數(shù)至少180萬，每秒新建連接數(shù)大于2.5萬。接口模塊熱插拔。雙電源冗余備份。最少提供3個千兆以太網(wǎng)接口。支持L2TPVPN、GREVPN、IPSecVPN、MPLSVPN、SSLVPN等多種VPN業(yè)務(wù)。支持包過濾技術(shù)，支持應(yīng)用層報文過濾ASPF，提供多種攻擊防范技術(shù)等。支持郵件過濾和網(wǎng)頁過濾等?？商峁└鞣N日志功能，提供流量統(tǒng)計和分析功能以及提供各種事件監(jiān)控和統(tǒng)計功能。支持虛擬系統(tǒng)防火墻。虛擬系統(tǒng)防火墻之間可以使用VLAN劃分，也可以使用端口劃分。虛擬系統(tǒng)防火墻內(nèi)部可以配置獨立的防火墻規(guī)則，虛擬系統(tǒng)防火墻之間默認隔離，通過配置可以互通。具備公安部的銷售許可證、國家信息安全測評中心的認證證書、國家保密局的推薦證明等漏洞掃描系統(tǒng)技術(shù)要求掃描范圍：網(wǎng)絡(luò)中心可掃描的服務(wù)器數(shù)量：不少于100臺具有掃描分析網(wǎng)絡(luò)系統(tǒng)能力。具有報告網(wǎng)絡(luò)存在的弱點和漏洞能力。具有報告網(wǎng)絡(luò)系統(tǒng)相關(guān)信息和對外提供的服務(wù)能力。能夠建議補救措施和安全策略。生成分析報告。具有遠程和本地工作能力。具有安全策略的自定義能力。用戶界面友善，方便用戶操作。自身安全機制完備。具有國家安全部頒發(fā)的《國家信息安全認證證書》和公安部頒發(fā)的《計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證》產(chǎn)品。網(wǎng)絡(luò)入侵檢測技術(shù)要求（1）數(shù)量：2臺（2）設(shè)備技術(shù)指標要求如下：在高速網(wǎng)環(huán)境下能夠穩(wěn)定運行，系統(tǒng)性能指標必須達到：單臺探頭數(shù)量：不少于2個GE256字節(jié)包長下，處理能力達到線速64字節(jié)包長下，處理能力達到400Mbps以上系統(tǒng)內(nèi)置安全知識庫，能夠檢測端口掃描、可疑行為、未授權(quán)訪問嘗試，后門、木馬等，其安全規(guī)則與國際標準CVE兼容詳盡的報警事件審計分析查詢與報告支持關(guān)聯(lián)分析支持實時流量統(tǒng)計與監(jiān)控完善的數(shù)據(jù)維護功能，支持數(shù)據(jù)轉(zhuǎn)儲、導(dǎo)出與壓縮系統(tǒng)具有完善的安全保護機制，如探測器隱藏IP地址、通信加密、多級用戶管理、支持系統(tǒng)自身安全審計等支持安全域拆分支持大型網(wǎng)絡(luò)的多級層次化部署管理架構(gòu)完備的探測器管理（狀態(tài)檢測與動作管理）分級安全管理，支持系統(tǒng)自身安全審計網(wǎng)絡(luò)防病毒系統(tǒng)技術(shù)要求防護范圍：網(wǎng)絡(luò)中心服務(wù)器數(shù)量：不少于100臺PC數(shù)量：不少于30臺具備

跨平臺分級查殺病毒能力，支持IBMAIX,Linux,AS/400,OS/390，SUNSolaris，Windows9x,WindowsNTWorkstation/Server,Windows2000,WindowsXP,OS/2,Macintosh等多種操作系統(tǒng)。能夠?qū)崿F(xiàn)統(tǒng)一集中的管理，其中包括防病毒軟件的安裝、維護、病毒定義碼和掃描引擎的自動更新升級、網(wǎng)絡(luò)防病毒策略的統(tǒng)一配置、報警的集中管理、定時調(diào)度、隔離、實時掃描和監(jiān)控等等。支持建立內(nèi)部的更新資源庫，局域網(wǎng)絡(luò)內(nèi)部所有的防病毒服務(wù)器和工作站可直接從更新資源庫下載病毒定義碼和掃描引擎。具有網(wǎng)絡(luò)節(jié)點自動檢測功能?？梢愿鶕?jù)需要對于不同地域和工作組設(shè)置不同的掃描策略。支持查、殺各種未知病毒，具備將被病毒感染的文件進行修復(fù)的功能。具備對電子郵件的防病