S-DCN网络安全(防火墙)部分技术规范v0602194934.docx

《S-DCN网络安全(防火墙)部分技术规范v0602194934.docx》由会员分享，可在线阅读，更多相关《S-DCN网络安全(防火墙)部分技术规范v0602194934.docx（37页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、20055年中国国网通集集团DCCN网络络安全建建设工程程防火墙产产品部分分技术规范范书中国网络络通信集集团公司司中国网通通（集团团）有限限公司20066年2月目录1总则112卖方技技术建议议书要求求22.1建建议书的的要求222.2报报价书要要求43工程描描述53.1项项目背景景53.2工工程建设设目标与与原则663.3工工程建设设范围774网络现现状及建建议方案案74.1集集团骨干干网同各各省边界界现状774.2边边界防护护防火墙墙部署884.3内内蒙古EEDC网网络现状状84.4内内蒙古EEDC防防火墙部部署84.5设设备需求求统计995设备及及软件技技术规范范95.1总总体技术术要求9

2、95.2防防火墙技技术要求求106项目管管理1446.1项项目开发发方式与与策略1146.2项项目风险险分析及及控制1156.3项项目实施施计划1156.4项项目实施施控制1156.5项项目实施施人员的的结构1157各方职职责划分分157.1卖卖方的职职责1557.2总总集成商商职责1167.3服服务器、存存储、数数据库供供应商职职责1777.4买买方的职职责1888工程实实施1888.1工工程实施施计划1188.2安安装和调调试1888.3试试运行及及验收1198.4原原厂保修修期1999技术服服务和技技术培训训209.1技技术服务务209.2技技术培训训219.3技技术文件件2210其他他

3、22iv1 总则1.1本本文件为为中国网网络通信信集团公公司（以以下简称称买方）“20005年中中国网通通集团DDCN网网络安全全建设工工程 防防火墙产产品部分分”技术规规范书，供厂商(以下简称卖方)编写建议书和报价之用，建议书的内容格式应符合本规范书的要求。1.2 本文件件中的“本项目目”是指20005年年中国网网通集团团DCNN网络整整合改造造项目 安全系系统工程程；“本单项项工程”是指20005年年中国网网通集团团DCNN网络整整合改造造项目 安全系系统工程程 防火火墙产品品部分，即即本次招招标的范范围。1.3卖卖方在建建议书中中，对本本规范书书中所提提各项要要求能否否实现与与满足，应应

4、逐项予予以说明明和答复复。卖方方亦可根根据自己己的产品品技术性性能具体体情况，在在建议书书中提出出建议，并并附详细细资料和和说明。对本规范范书各条条目的应应答为“满足”、“不满足足”、“部分满满足”，不得得使用“明白”、“理解”等词语语，在答答复中，要要求明确确满足的的程度，并并做出具具体、详详细的说说明。在在回答“满足”后，其其后的任任何解释释均不能能与“满足”相冲突突，若发发生冲突突，则视视解释无无效。“不满足足”可以详详细解释释。凡采采用“详见”、“参见”方式说说明的，应应指明参参见文档档中的具具体的章章节或页页码。需需要做详详细解释释的内容容应尽量量放在逐逐条逐项项答复中中，若内内容太

5、多多，可放放在指明明的附件件中。1.4卖卖方提供供的各项项设备和和系统的的特点、性性能应完完全符合合买方指明明的标准准，并满满足或高高于买方方指出的的要求。在在此文件件中没有有说明的的条款，但但相关国国际标准准化组织织的标准准(如IISO、IIEEEE、ITTU-TT、ETTSI、IIMTCC、IEETF等等)及我我国国家家标准、信信息产业业部部颁颁标准已已有建议议的系统统设备性性能和功功能，均应满满足标准准的最新新建议要要求。卖方供应应设备的的技术指标标及这些些设备构构成网络络系统的的性能应应符合本本规范书书的要求求。卖方方应列出出所提供供设备和和系统的的规范，任任何与买买方技术术规范书书相

6、关条条款不同同的都应应指示出出来，并并详细说说明原因因。1.5若若卖方的设设备包含含自己专专用标准准，也应应在建议议书中具具体说明明，并附附上相应应的详细细技术资资料。1.6本本技术规规范书应应视为保保证网络络运行所所需的最最低要求求，如有有遗漏，卖方应予以补充，否则一旦中标，将认为卖方认同遗漏部分并免费提供。1.7买买方保留留对本技技术规范范书的解解释和修修改权。买买方修改改和增补补的内容容与本技技术规范范书具有有同等效效力。1.8卖卖方应对对所有提提供产品品的功能能和性能能负责，应应对按照照卖方提提出的建建议建设设方案组组建的相相关系统统功能和和性能负负责。如因卖卖方配置置或建设设方案不不

7、合理，而而造成所所提供的的产品或或采用其其提供产产品及建建议方案案建设的的安全系系统未能能满足本本规范书书要求，卖卖方应负负全部责责任。1.9本本技术规规范书涉涉及DCCN边界界防护和和试点省省份EDDC安全全防护所所需的防防火墙产产品。卖方应应承诺开开放必要要的产品品接口，配配合SOOC集成成商完成成监控、采采集接口口的开放放。1.100卖方所所提供的的硬件设设备应保保证是最最新生产产的设备备、软件件产品应应是最新新版的商商用版本本，并应应对此软软、硬件所所涉及的的专利、知知识产权权等法律律条款承承担义务务，买方方对此不不承担任任何责任任。1.111卖方应应在建议议书中提提供系统统、设备备的

8、详细细配置，并并说明相相应的计计算方法法及依据据。1.122卖方在在建议书书中应说说明对供供货时间间、供货货质量控控制等的的具体安安排。1.133 卖方方在建议议书中应应说明给给买方提提供的技技术文件件、技术术支持、技技术服务务、人员员培训、厂厂验等的的范围和和程度。1.144卖方应应在建议议书中列列出提供供的书面面技术资资料详细细清单。1.155规范书书有关内内容的澄澄清(1) 卖方对对于规范范书的疑疑问可以以通过书书面材料料与买方方联系。在在规定的的建议书书提交最最后期限限以前，买买方将以以书面材材料给予予答复，有有关买方方答复材材料的复复印件也也将递交交所有得得到技术术规范书书的卖方方。

9、(2) 在技术术谈判的的各个阶阶段，买买方将以以书面形形式要求求卖方对对有关问问题进行行进一步步的技术术澄清，卖卖方应以以书面资资料给予予正式应应答；所所有各阶阶段的技技术澄清清文件都都将作为为合同附附件。2 卖方技术术建议书书要求要求卖方方在收到到本规范范书之后后十天内内按买方方的要求求提供三三份建议议书、一一份电子子版文档档（要求求以中文文OFFFICEE格式）和和两份密密封的报报价书（中中文）。建建议书和和报价书书的要求求如下。2.1 建议书的的要求卖方所提提供的建建议书需需按顺序序必须含含以下章章节的内内容（由由于内容容的不完完整性造造成的一一切后果果由卖方方负责）：（1）综综述（2）

10、工工程技术术规范书书点对点点应答（3）实实施方案案建议要求针对对本文档档中的建建议方案案进行细细化或优优化，除除基本的的方案建建议内容容外，还还要包括括实施方方案等内内容。要要求实施施方案面面具备可可操作性性；方案案建议包包括但不不限于以以下内容容：a.卖方方需结合合网通集集团DCCN骨干干网络同同省网的的连接结结构以及及内蒙古古EDCC网络结结构等相相关情况况，针对对建议部部署方案案进行细细化、报报价。如如有优化化调整或或全新方方案，需需详细说说明调整整原因及及调整、细细化部分分的规模模。请卖卖方根据据买方的的功能和和技术要要求，提提供两套套产品配配置方案案。b.技术术建议方方案应包包括产品

11、品或系统统运维管管理所必必需的各各类软、硬硬件，其其中针对对建议中中涉及到到的所有有服务器器、存储储以及数数据库，卖卖方应给给出详细细列表以以及性能能指标的的详细需需求和计计算依据据。服务务器应详详细列出出内存（类类型、大大小）、CCPU（频频率、当当前个数数、满配配个数）、硬硬盘(大大小、类类型)、显显示器（类类型、尺尺寸），核核心服务务器应列列出TPPCC值值或EPPS值；对于工工作站应应详细列列出内存存（类型型、大小小）、CCPU（频频率、个个数）、硬硬盘(大大小、类类型)、显显示器（类类型、尺尺寸）、显显示卡类类型；磁磁盘阵列列应列出出相关配配件、大大小、类类型等；局域网网交换机机应列

12、出出端口数数量、速速率等。c.边界界防护及及EDCC防火墙墙部署(位置、方方式及管管控归属属)方案案建议。d.防火火墙集中中管理及及策略制制定及分分发建议议。e.防火火墙系统统同SOOC的接接口（配配置接口口、安全全事件的的接口、知知识库的的接口）建建议。f.系统统的安全全性、可可靠性解解决方案案。g.系统统组织连连接图(包括网网络和硬硬件的拓拓扑图以以及安装装的相应应软件)。h.系统统管理。（4）设设备配置置详细说说明及设设备配置置详细清清单（与与报价表表内容格格式及项项目相同同，不含含商务价价格）。（5）所所推荐设设备情况况(各种种技术指指标、接接口特性性、设备备特性、设设备安装装方式及及

13、物理尺尺寸、供供电方式式及耗电电量、设设备或机机架接地地要求、重重量、温温湿度等等环境要要求)，最最好能提提供设备备相关性性能指标标的测试试记录文文档。（6）系系统软件件和购置置的数据据库的情情况（含含功能、性性能等指指标）。（7）安安装设备备和材料料、备件件和工具具的数量量清单。（8）买买卖双方方责任及及分工界界面。（9）工工程实施施计划a.工程程进度表表，包括括需求分分析、供供货、安安装、调调测、验验收等工工程各环环节。b.工程程实施和和服务人人员安排排。（10）机机房场地地及环境境准备要要求以及及在工程程实施过过程中对对买方的的其它要要求。（11）设设备安装装要求及及建议，抗抗震加固固措

14、施（12）技技术文件件（13）买买方技术术人员和和业务使使用人员员培训。（14）验验收及测测试安排排，设备备测试、系系统测试试的方法法和环境境。（15）技技术服务务的范围围和程度度（包括括技术服服务、支支持、保保修、软软件升级级等）。售售后服务务安排及及质量保保证措施施（16）卖卖方须详详细介绍绍卖方公公司的总总体情况况(包括括人员结结构、企企业资质质等方面面)、曾曾做过的的类似项项目情况况、应用用实例以以及最终终用户评评议。（17）对对于中国国网通集集团DCCN安全全系统发发展方向向的建议议2.2 报价书要要求（1）报报价应按按照物理理位置分分开报价价。（2）报报价应包包括设备备（软、硬硬件

15、）、安安装材料料、备件件、工具具、仪表表、技术术文件及及安装调调测、培培训、技技术支持持、保修修等，并并逐条逐逐项列出出。（3）报报价应包包括设备备名称、型型号及配配置模块块、数量量等详细细内容。（4）报报价以人人民币为为单位，应应该报设设备到现现场（买买方指定定地点）的的价格，运运输费单单独列出出。（5）报报价应按按目录价价、折扣扣价和折折扣率分分项列清清。（6）对对于卖方方向买方方建议采采用的业业务和功功能，卖卖方应详详细描述述和说明明这些业业务和功功能并作作为可选选项提出出报价。（7）卖卖方对本本规范书书涉及到到的服务务器、存存储系统统、数据据库软件件和微软软产品提提出合理理的建议议配置

16、，并并提供详详细的计计算依据据。卖方方对服务务器、存存储系统统、数据据库软件件和微软软产品单单独进行行报价并并列出详详细的配配置清单单供买方方独立采采购参考考，这部部分产品品不计入入工程总总报价。卖卖方对这这部分产产品的配配置建议议和系统统集成负负有全面面责任，卖卖方须承承诺对这这部分产产品进行行集成，并并保证整整体工程程质量。（8）硬硬件报价价要求：硬件部部分须报报出系统统所需的的全部设设备的价价格；（9）软软件报价价要求：卖方应应提供最最新的、成成熟的、稳稳定的软软件版本本，并注注明所提提供软件件的版本本号，提提供详细细的功能能清单。（10）软软件报价价按以下下分类方方法:系统统软件报报价

17、：包包括操作作系统（如如果硬件件平台采采用商用用计算机机平台，可可包含在在硬件报报价中）、数数据库软软件、工工具和组组件等。应用用软件：应分为为基本功功能模块块、可选选功能模模块两个个部分。卖卖方应按按模块提提供详细细报价；可选功功能模块块指厂家家自己定定义的可可选软件件功能，只只计单价价不计入入合价。（11）卖卖方应承承诺买方方在后续续的设备备订货时时，同一一类型的的软、硬硬件设备备成交价价格至少少应不高高于本次次合同的的成交价价格。（12）服服务报价价要求卖方方应对下下述服务务项目进进行报价价：原厂厂安装服服务：卖卖方负责责所有设设备的安安装。原厂厂系统调调测服务务：卖方方应负责责全部系系

18、统调测测。（13）培培训卖方方就所提提供的产产品提供供原厂技技术培训训，分为为高级培培训（高高级技术术人员或或管理者者）和操操作培训训。卖方方需就此此两种培培训，列列出培训训人员的的数量和和费用单单价并给给出详细细的培训训计划(包括时时间、地地点、课课程等)。（14）可可选报价价对于可选选软件、硬硬件和服服务或卖卖方认为为可以推推荐给买买方选择择的软件件、硬件件和服务务，可单单独提出出其项目目和报价价，但不不计入合合价，并并提供技技术性能能及供经经济技术术比较所所需的资资料。3 工程描述述3.1 项目背景景依据集团团企业信信息化总总体规划划、五统统一战略略、上市市公司对对信息化化的需求求，集团

19、团公司逐逐渐加大大了信息息化建设设的步伐伐。根据据集团公公司20005年年信息化化工作的的总体目目标“确保保“211”项目的的完成、提提升信息息化工作作的水平平”，中国国网通在在完成集集团门户户二期DDCN网网络改造造工程之之后，启启动了“20005年中中国网通通集团DDCN网网络整合合改造项项目”，以期期为集团团企业信信息化系系统提供供统一、专专用、安安全、高高效、易易管理、易易维护的的多业务务网络平平台。“20005年中中国网通通集团DDCN网网络整合合改造项项目”包括网网络系统统工程和和安全系系统工程程两部分分，本工工程是其其中的安安全系统统工程部部分。目目前，“20005年中中国网通通

20、集团DDCN网网络整合合改造项项目网络络系统工工程”已经启启动并顺顺利进行行，该项项目的实实施将建建成覆盖盖全国331省的的物理承承载网，初初步实现现DCNN骨干网网和省网网的互通通。网络络系统工工程的实实施为安安全系统统部署创创造了条条件，同同时也对对安全系系统工程程提出了了更加明明确的需需求。3.2 工程建设设目标与与原则3.2.1 建设目标标本工程通通过边界界防护的的建设，以以保护DDCN网网不同区区域的安安全性，防防范未授授权的访访问，杜杜绝非法法的数据据包在不不同安全全区域之之间的传传递，将将攻击阻阻挡在安安全区域域环境之之外。保保证网络络安全状状况的可可知和可可控，确确保DCCN骨

21、干干网的安安全，同同时将省省DCNN网内部部的不安安全因素素控制在在较小的的范围内内。通过对试试点省、市市的数据据中心的的安全部部署，以以实现试试点省、市市数据中中心安全全的“可知性性”，以便便后期逐逐步完善善安全体体系。3.2.2 建设原则则系统建设设实现过过程中遵遵从先进进性原则则、高可可靠性原原则、开开放性原原则、安安全性原原则、可可管理性性原则、可可扩展性性、经济济性的原原则。（1）先先进性原原则：采采用先进进的、开开放的系系统结构构；采用用先进的的计算机机技术；采用先先进的现现代管理理技术，以以保证系系统的科科学性。（2）高高可靠性性原则：系统的的不间断断运行与与服务应应达到电电信级

22、要要求，应应具有极极高可靠靠性，并并采用容容错的设设计确保保系统的的可靠性性稳定性性。（3）开开放性原原则：构构建在完完善的系系统平台台基础上上，考虑虑升级和和个性化化服务。遵遵循开放放性和标标准化基基本原则则，所选选用的硬硬件设备备、软件件等必须须遵循相相应的国国际标准准，保证证系统具具有互操操作性和和开放性性。各系系统之间间采用优优化的原原则，使使各系统统之间更更好地配配合，达达到最佳佳的应用用效果。（4）安安全性原原则：在在系统建建设时通通过安全全技术保保证网络络的安全全性、数数据的安安全性、用用户访问问的安全全性，在在技术保保障的同同时，从从管理层层面加强强安全性性管理。（5）可可管理

23、性性原则：采用集集中式的的管理可可以节约约资金、人人力的投投入，为为用户提提供更大大的自由由发挥的的空间，同同时也使使管理变变得简单单，有利利于在出出现问题题时，能能够用最最短的时时间检查查出问题题并及时时解决。（6）可可扩展性性原则：产品或或系统应应具有很很好的升升级能力力，以适适应科学学技术高高速发展展的需要要。在必必要时采采用新的的技术和和设备对对整个系系统进行行升级，满满足应用用系统不不断增长长的需要要。（7）经经济性原原则: 采取有有效的措措施和实实施方案案合理利利用投资资、规避避投资风风险。3.3 工程建设设范围本项目采采购的产产品主要要解决网网通集团团DCNN骨干网网络同各各省主

24、用用DCNN网络的的边界防防护，以以及辽宁宁、山东东、内蒙蒙和天津津四个试试点省、市市的企业业数据中中心的安安全防护护。主要要建设内内容如下下。（1）边边界防护护：在网通通集团DDCN骨骨干网络络同各省省（内蒙、南南方211省）主主用DCCN网络络边界部部署防火火墙设备备。（2）数数据中心心防护：内蒙古古企业数数据中心心部署防防火墙设设备。4 网络现状状及建议议方案4.1 集团骨干干网同各各省边界界现状网通集团团DCNN骨干网网络同各各省主用用DCNN网络连连接结构构如下：图4-11DCCN骨干干网络同同各省主主用DCCN网络络连接结结构目前,DDCN骨骨干网已已经开通通MPLLS VVPN，

25、北北方100省大部部分也已已经开通通了省内内MPLLS VVPN；除少数数省份外外，南方方21省省大部分分省份未未开通MMPLSS VPPN。已已开通省省内MPPLS VPNN的省份份，与集集团DCCN骨干干之间采采用VPPN跨域域互联。未未开通MMPLSS的省份份，核心心路由器器作为CCE，集集团骨干干网汇聚聚层设备备作为PPE/AASBRR实现省省DCNN网与集集团DCCN骨干干互联。4.2 边界防护护防火墙墙部署在内蒙和和广东省省核心路路由器同同集团DDCN网网骨干汇汇聚设备备之间各各部署22台千兆兆防火墙墙设备，在在南方221省（除广东东外）省省核心路路由器同同集团DDCN网网骨干汇汇

26、聚设备备之间各各部署22台百兆兆防火墙墙设备。4.3 内蒙古EEDC网网络现状状内蒙古现现有2个个EDCC机房，每每个EDDC核心心交换机机为2台台华为SS85005交换换机，22台S885055交换机机双归上上联省核核心华为为NE880路由由器。EEDC内内部各系系统经由由汇聚交交换机上上联2台台EDCC85005核心心交换机机。图4-22内蒙蒙古EDDC网络络上联现现状4.4 内蒙古EEDC防防火墙部部署对于内蒙蒙古EDDC主要要进行跨跨域（VVPN）安安全互访访控制和和出入口口集中控控制。EDC跨跨域安全全控制，采采用如下下图所示示方案。在在2个EEDC的的核心交交换机（PPE设备备）上

27、侧侧挂防火火墙，通通过防火火墙进行行VRFF-VRRF转换换的方式式来实现现跨VPPN互访访。为了了对EDDC出入入口进行行集中管管理，建建议在内内蒙两个个EDCC分别部部署一套套业务系系统的IInteerneet出口口和Innterrnett入口，出出入口逻逻辑上分分开。同同时，为为满足自自治区办办公人员员上网的的需求，建建议在EEDC部部署一套套员工上上网出口口。图4-3 内内蒙古EEDC安安全防护护建议方方案4.5 设备需求求统计此部分设设备需求求为建议议方案中中边界防防护和EEDC防防护中所所涉及的的防火墙墙产品的的规模。序号设备单位数量本期端口口需求备注1百兆防火火墙台404个FEE

28、南方211省（除除广东外外）每省省2台2千兆防火火墙台144个GEE内蒙、广广东每省省边界部部署2台台，内蒙蒙2个EEDC VPNN互访44台、业业务入口口2台、业业务出口口2台、员员工互联联网出口口2台卖方系统统及设备备详细技技术要求求见第55章。5 设备及软软件技术术规范5.1 总体技术术要求5.1.1 硬件（1）卖卖方提供供的所有有设备必必须是最最新的商商用产品品，并保保证所提提供产品品的数量量、质量量，特别别是接口口的兼容容性。（2）各各种设备备应采用用功能分分担、分分布式多多处理机机结构。主要模块冗余度为（1+1），易于扩容和维护。（3）设设备要选选用高质质量的元元器件，采采用专业业

29、的硬件件结构（NNP、AASICC、经优优化的XX86），生生产过程程中进行行严格质质量控制制，出厂厂前要经经买方人人员严格格测试和和检查，确确保设备备长期稳稳定、可可靠地运运行。5.1.2 软件（1）卖卖方提供供的软件件应包括括确保设设备正常常运行所所需的管管理、运运营、维维护等软软件。（2）软软件要求求为模块块化结构构，保证证安全可可靠，具具有容错错能力。（3）卖卖方提供供的软件件应为最最新商用用版本，且且不同时时期软件件版本应应能兼容容。同时时要保证证网络安安全可靠靠及扩容容和版本本升级方方便。（4）卖卖方应针针对买方方采购的的设备为为买方SSOC系系统提供供完备的的原厂产产品知识识库及

30、更更新服务务。（5）卖卖方在建建议书中中应详细细列出所所提供的的软件清清单和说说明。（5）卖卖方需提提供防火火墙集中中分级管管理和配配置软件件。5.1.3 安装材料料建议书中中应包含含各系统统的安装装材料清清单。设设备中应应包含用用于连接接各种设设备和硬硬件的室室内线缆缆，如有有错漏，由由卖方无无偿补足足。5.1.4 消耗品卖方提供供的设备备应配有有至少满满足三年年维护期期使用的的消耗品品。5.1.5 维护工具具仪器和和备品备备件（1）卖卖方应提提供专用用的维护护工具和和设备，提提出建议议和报价价。（2）卖卖方应提提供正常常维护使使用的备备品备件件及消耗耗材料，并并提供清清单。（3）卖卖方提供

31、供的设备备应保证证在至少少五年内内，不论论提供的的设备是是否还生生产，买买方均可可得到备备件。5.2 防火墙技技术要求求5.2.1 配置需求求（1）卖卖方应说说明产品品的软、硬硬件及版版本。（2）设设备使用用自有开开发的安安全操作作系统。5.2.2 百兆防火火墙接口口及性能能（1）百百兆防火火墙要求求至少支支持6个100/1000M口口。卖方方应说明明设备支支持的接接口类型型、各种种接口最最大数量量。（2）百百兆防火火墙应支支持大于于等于440万TCPP/UDDP等连连接的并并发连接接数，最大并并发连接接下端口口应支持持线速，整机处理理能力大大于等于于350Mbpps。（3）百百兆防火火墙每秒

32、秒建立连连接要求求大于等等于9KK。（4）设设备在配配置双向向NATT、全线线速的情情况下，115188字节数数据包转转发延迟迟不大于于40uss。（5）百百兆防火火墙设备备应该支支持4千千条以上上的策略略。（6）节节点失效效的会话话切换倒倒换时延延1秒秒。（7）百百兆防火火墙支持持VLAAN数量量大于等等于300个。5.2.3 千兆防火火墙接口口及性能能（1）千千兆防火火墙须支支持FEE/GEE接口，要要求支持持扩展到到6个以以上GEE口。卖卖方应说说明设备备支持的的接口类类型、各各种接口口最大数数量。（2）千千兆防火火墙应支支持大于于等于660万TCCP/UUDP等等连接的的并发连连接数，

33、最大并发连接下端口应支持线速，整机处理能力大于等于2Gbps。（3）千千兆防火火墙每秒秒建立连连接大于于等于11.5万万。（4）设设备在配配置双向向NATT、全线线速的情情况下，115188字节数数据包转转发延迟迟不大于于40uss。（5）千千兆防火火墙设备备应该支支持1.5万条条以上的的策略。（6）节节点失效效的会话话切换倒倒换时延延1秒秒。（7）千千兆防火火墙支持持VLAAN数量量大于等等于100个个。（8）支支持双机机热备的的高可用用性方案案。双机机热备要要能支持持上下是是交换机机或者路路由器（不不能是简简单HUUB形式式），支支持多种种组网形形式，确确保可靠靠性。卖卖方应详详细说明明主

34、系统统设备出出现故障障时备份份设备如如何接管管及负载载均衡的的工作方方式和原原理。（9）卖卖方需提提供百兆兆、千兆兆防火墙墙丢包率率和延时时的可信信测试数数据。（10）产产品需支支持虚拟拟防火墙墙，并可可针对每每个虚拟拟防火墙墙设置安安全策略略。卖方方须提供供产品可可支持的的虚拟防防火墙个个数。5.2.4 VPN及及加密（1）防防火墙需需要支持持必要的的VPNN功能，支支持GRRE、IIPSEEC、LL2TPP等常用用VPNN特性。（2）支支持基于于硬件的的加密。（3）并并发VPPN通道百兆不不小于11500，千千兆不小小于50000。（4）支支持手动动密匙、IIKE、PPKI(X.5509)

35、 。（5）支支持DEES(556-bbit)&三倍倍DESS(1668biit)加加密,厂厂商需详详细说明明3DEES能力力。（6）支支持完全全正向保保密(DDH群组组)Peerfeect forrwarrd ssecrrecyy(DHHGrooupss)。（7）支支持防止止回复攻攻击(PPrevventt reeplaay aattaack)。（8）支支持远程程接入VVPN(Remmotee acccesss VVPN)。（9）支支持站点点间VPPN(SSitee-too-siite VPNN)。（10）支持集中星型VPN网络拓扑。5.2.5 检测防御御（1）支支持同步步攻击检检测。（2）支

36、支持ICCMP floood检检测。（3）支支持UDDP ffloood泛滥滥检测。（4）支支持检测测死piing(Pinng oof ddeatth)。（5）支支持检测测IP欺欺骗(IIP sspooofinng)。（6）支支持检测测端口扫扫描(PPortt sccan) 。（7）支支持检测测陆地攻攻击(LLandd atttacck) 。（8）支支持检测测撕毁攻攻击(TTearr drrop atttackk)。（9）支支持过滤滤IP源源路由选选项(FFiltter IP souurcee rooutee opptioon)。（10）支支持检测测IP地地址扫描描攻击(IP adddress

37、s ssweeep aattaack)。（11）支支持检测测WinnNukke aattaack攻攻击。（12）支持阻止ActiveX、Java、Cookies、Javascript侵入。（13）默默认分组组拒绝(Deffaullt ppackket denny)。（14）支支持防Doss & DDooS攻击击。（15）支持网络病毒攻击检查和阻断。（16）支持基于策略配置的内容过滤，能够针对新的攻击方法及时升级防护手段。5.2.6 访问控制制 （1） 包过滤滤规则：应易于于理解，易易于编辑辑修改。（2） 包过滤滤支持对对IP包包中ICCMP、TTCP、UDPP头信息息的智能能过滤。（3） 支持

38、FFTP过过滤、基基于MSS-RPPC,SSUN-RPCC的应用用服务过过滤、基基于UDDP的应应用服务务过滤、动态包包过滤等等。（4） 支持基基于状态态信息的的智能过过滤，无无须进行行上下文文交换以以及数据据复制。（5） 对传输层层提供代代理的支持。（6） 支持FFTP文文件类型型过滤 。（7） 支持应应用层高高级代理理功能（HTTTP、PPOP33 ）。（8） 支持NNAT。卖卖方应针针对所推推荐产品品说明NNAT转转换能力力及对资资源占用用情况。（9） 对用户户和应用用应完全全透明，所所有的用用户和服服务器上上现存的的应用程程序都不不需要修修改。（10）卖方需需详细说说明产品品对于OOS

39、PFF、BGGP、RRIP等等协议的的支持程程度（路路由条数数）。（11）支支持P22P流量量阻断。（12）支支持IPP带宽分分配，支支持基于于策略的的流量控控制。（13）支支持IPP连接数数限制。（14）支支持对源源和目的的地址会会话数量量的限制制。（15）支持基基于时间间的访问问控制。（16）支持基基于用户户的访问问控制。5.2.7 安全特性性（1）支支持转发发和跟踪踪ICMMP协议议（ICCMP 代理）。（2）支支持提供供入侵实实时警告告。（3）提提供实时时入侵防防范。（4）识识别/记记录/防防止企图图进行IIP地址址欺骗。5.2.8 认证（1） 支持RRADIIUS、口口令方式式、数字

40、字证书等等认证 。（2） 卖方应应说明设设备符合合的相应的的国际标标准认证证协议，以以及与其其他CAA产品兼兼容互通通性。5.2.9 管理功能能 （1）易易于安装装和管理理。提供供友好的的图形化化用户接接口（GGUI），支持持通过策策略集中中管理多多个防火火墙。（2）支支持SNNMP V1/2监视视和配置置。（3）支支持标准准MIBB接口。（4）本本地管理理。（5）基基于TEELNEET、HHTTPP的远程管管理 。（6）支支持带宽宽管理。（7）支支持容错错技术（故障恢恢复，双双电源备备份等）。（8）支支持热补补丁技术术，不中中断业务务修补软软件BUUG，支支持在线线更新软软件版本本。（9）卖

41、卖方需说说明产品品是否支支持中文文界面。（10）产产品应支支持分级级、分权管管理和策策略集中中分发。5.2.10 记录和报报表功能能（1） 支持日日志信息息管理和和存储方方法。（2） 支持自自动日志志扫描。（3） 提供自自动报表表、日志志报告书书写器。（4） 具备警警告通知知机制：在检测测到入侵侵网络以以及设备备运转异异常情况况时，通通过告警警来通知知管理员员采取必必要的措措施，包包括Emaiil等。（5） 支持简简要报表表（按照照用户IID或IIP 地地址）。（6） 支持实实时统计计。5.2.10.1 相关认证证（1）产产品要求求取得中中华人民民共和国国公安部部的计计算机信信息系统统安全专专

42、用产品品销售许许可证、中中国国家家信息安安全产品品测评认认证中心心的国国家信息息安全认认证产品品型号证证书，并提供供证明文文件。（2）对对于国内内产品要要求是具具有自主主知识版版权，具具有国家家版权局局计算算机软件件著作权权登记证证书。卖方需提提供推荐荐设备的的详细产品品技术参参数和白白皮书，该该文档具具有法力力效应。6 项目管理理6.1 项目开发发方式与与策略（1）卖卖方要详详细介绍绍本次项项目开发发所采用用的方式式、策略略、技术术理论、适适用的条条件和范范围，所所选用的的开发方方式所带带来的好好处。（2）卖卖方应借借鉴国外外软件的的先进开开发技术术，借鉴鉴其他厂厂商的项项目管理理经验，应应

43、考虑与与中国网网通的技技术人员员，业务务人员的的充分合合作。6.2 项目风险险分析及及控制卖方应对对项目的的风险要要有详细细的分析析，无论论是环境境因素、人人力因素素还是物物质因素素的原因因，都应应有先期期预见性性，要有有可靠的的控制手手段加以以防范，将将风险所所造成的的影响降降到最低低点。6.3 项目实施施计划项目实施施计划对对整个工工程进行行阶段划划分，卖卖方应说说明每个个阶段的的任务、工工作过程程、方法法，明确确各阶段段的职责责划分、工工作内容容和形式式、进度度时间限限制。6.4 项目实施施控制（1）每每个工作作过程应应对照计计划执行行、检查查监督，阶阶段结束束前必需需按照预预定的计计划

44、对阶阶段成果果进行审审核，才才能转入入下一个个阶段。（2）根根据本技技术规范范书的进进度要求求，提供供签约后后最快的的交货、安安装、开开通时间间表。（3）卖卖方在技技术建议议书中提提供具体体工程实实施方案案，对施施工组织织和工期期安排等等事宜作作出切实实可行的的建议。（4）卖卖方应有有专职人人员负责责规范的的落实，负负责选择择或开发发项目管管理所需需的各种种工具并并跟踪检检查项目目进度的的落实。（5）卖卖方应有有专职人人员负责责软件版版本控制制、工作作区管理理、软件件处理配配置和软软件生成成管理。（6）卖卖方应有有专职人人员负责责软件质质量的控控制。6.5 项目实施施人员的的结构卖方应详详细列

45、出出项目管管理队伍伍的组织织结构、人人员的配配备、岗岗位的设设置、管管理的职职能、权权力、责责任和义义务。7 各方职责责划分7.1 卖方的职职责（1）提提供本规规范书所所要求的的软硬件件设备。（2）提提供安装装材料（要要求开列列清单）。（3）提提供系统统专用工工具和维维护必须须的仪器器和仪表表。（4）提提供消耗耗品和备备件。（5）提提供所有有设备的的技术说说明书和和随机软软件（含含软件许许可证）。（6）提提供安装装资料和和图纸，开开发文档档和维护护手册。（7）提提供详细细的项目目管理及及工程实实施方案案。利用用自己的的工程经经验，主主动协助助买方的的工程管管理人员员安排工工程计划划，划分分阶段

46、性性的工程程界面，定定时提交交工程进进度情况况报告、参参加工程程协调会会。（8）负负责设备备和系统统软件的的安装、调调试，并并提供安安装报告告。（9）负负责所提提供设备备、系统统与其它它相关设设备及系系统的连连接、调调试工作作。（10）在在初验前前提供完完整的现现场资料料、完整整的测试试建议。（11）进进行维护护人员的的培训。（12）进进行系统统的优化化。（13）提提供现场场服务和和长期技技术支持持服务。（14）为为买方提提供相关关软件、补补丁、升升级服务务。（15）卖卖方应对对整个系系统负责责，保证证所有的的硬件、系系统软件件、应用用软件的的联通及及功能，满满足本单单项工程程对系统统的规范范

47、、功能能要求，达达到系统统设计的的总体目目标。（16）卖卖方有责责任解决决软、硬硬件设备备安装、调调测出现现的问题题，并作作为系统统产生任任何问题题时的第第一响应应方。（14）在买方指导下，配合总集成商完成2005年中国网通集团DCN网络安全建设工程的集成工作，完成各系统相关接口开发及工程交接文档的编制。7.2 总集成商商职责（1）本本项目总总集成商商由SOOC集成成单项工工程集成成商承担担，主要要负责220055年中国国网通集集团DCCN网络络安全建建设工程程的总体体协调。（2）总总体负责责项目的实实施、全全网联调调测试和开开通，负负责制定定、掌控控边界防防护安全全产品集集成单项项工程、SSOC产产品集成成单项工工程、终终端实施施单项工工程的项项目进度度，确保保项目按按时完成成，并确确保实施施质量符符合买方方要求。（3）作作为本