22 220kV变电站二次网络安全设备规范书.docx

《22 220kV变电站二次网络安全设备规范书.docx》由会员分享，可在线阅读，更多相关《22 220kV变电站二次网络安全设备规范书.docx（27页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、昆仑钢铁220kV变电站二次系统平安防护技术规范新疆光源电力勘察设计院2023年4月7）平均延时：W40rs8）丢包率：在吞吐量下的丢包率全部为09） MTBF （平均故障间隔时间）：三40,000小时4. 4.2正向物理隔离装置功能要求1）可安装于19英寸标准机柜，并在全国省级及以上电力二次系统有 不少于两家的胜利运行阅历。2）实现两个平安区之间的非网络方式的平安数据交换，并且保证隔离 装置内外两个处理系统不同时连通；3）跨隔离装置的数据传输运用平安数据传输软件SFTP；4）支持表示层与应用层数据完全单向传输，即从非限制生产区到实时 限制区的TCP应答禁止携带应用数据；5）支持多种工作模式：

2、无IP地址透亮工作方式（虚拟主机IP地址、 隐藏MAC地址）、支持网络地址转换（NAT）、混杂工作模式，保证标准 应用的透亮接入；6）基于MAC、IP、传输协议、传输端口以及通信方向的综合报文过滤 与访问限制；7）防止穿透性TCP联接；8）具有可定制的应用层解析功能，支持应用层特别标记识别；9）供应完备的日志审计功能，如时间、IP、MAC、PORT等日志信息。 对通过装置进入内网的应用数据及未通过装置而被丢失的应用数据进行 完整的记录，以便事后审计。10）具有报警功能，但发生非法入侵、装置异样、通信中断或丢失应 用数据时，可通过串口或网络输出报警信息；11）平安、便利的维护管理方式：基于证书的

3、管理人员认证，图形化的管理界面。便利地对装置进行设置，监视和限制运行；12）供应数据传输软件和API函数接口，便利用户进行二次系统平安 隔离的改造。13）支持集中平安管理，具备标准的syslog日志输出；可接受商品化 的、网络综合监视系统对设备的在线监视管理。技术指标：1） DF-NS310s或同类产品；2）接口数：4个百兆电口；3）内存：128M；4）最大连接数2000；5）传输实力（M bps）三40；6）切换最短时间：0.1毫秒；7）最大动态规则数目:256条;8）具有国网公司的入网测试证明。4. 4.3网络三层交换机技术要求1）交换实力：大于9.6Mpps2）线速转发：支持二层、三层线

4、速转发3）支持vlan数量：4K个符合IEEE 802.1 Q标准的VLAN4） MAC地址表：支持16K个MAC地址5）支持端口汇聚、端口镜像6）生成树协议：支持STP/RSTP7）网管协议：支持SNMP、RM0N8）三层功能：支持静态、RIP9) QOS/ACL：支持 CAR (Committed Access Rate)功能，流量限速 的粒度为：64Kbit/s ；支持L2 (Layer 2)L4 (Layer 4)包过滤功能支持对端口接收报文的速率和发送报文的速率进行限制10)平安特性：支持MAC地址与端口绑定支持IEEE 802. IX认证支持防止DoS攻击功能支持端口隔离电力专用纵

5、向加密认证装置要求选择电力专用纵向加密认证装置。4. 4.5工控机要求采纳嵌入式计算机产品，具体要求如下：机箱：优质钢板成型，喷涂高温烘漆爱护面板：高强度面板，带状态视察窗门板，有锁爱护背板：支持AT/ATXI/O架互换，便利拆卸驱动器空间：防震设计的驱动器仓，可支持三个5.25空间(可通过转接 架安装三个3.5HDD)；易于拆卸的3.5驱动器支架，一个3.5FDD空间、 一个3.5HDD空间底板：14槽标准工业级底板，ATX主板可选I/O : 二个 USB 口、PS/2 键盘接 口电源： 带PFC工业AT/ATX电源通风与散热：机箱内置高速进风风扇，在机箱后面有足够的散热通风 开孔外型尺寸：

6、19标准上架型，4U高度跨物理隔离装置平安传输软件（IT-SFTP）要求1）完成平安单向文件传输* 完成平安I、II区到平安ni、iv区的正向文件传输* 保证目标文件的正确、完整，同源文件一样2）较高的平安性* 符合全国电力二次系统平安防护总体方案的技术要求* 供应源地址、用户的身份认证功能。* 依据源地址、源文件、目标书目、文件类型、用户名等信息，制定文 件传输平安规则。依据规则，对文件传输的恳求进行检查，允许或禁止文 件的传输。* 文件传送的过程中，用户名、口令及文件内容均应采纳相应的加密机 制。* 严格限制平安区HL IV向平安区L II的应答，防止IIL IV区向平 安区I、II传输不

7、当的数据或文件。* 软件本身应具备较高的平安级别，进行相应的平安限制。3）软件健壮、运行稳定* 供应7X24小时服务，能捕获和处理运行中的各种硬软件异样，并能 把异样报告用户。* 软件经过长时间运用，适合各种应用环境，能够穿越目前全部经过国 调中心认证的电力系统专用横向单向隔离装置实现文件传输。4）供应多种用户接口* 供应与标准FTP的兼容的用户接口，原有的调用标准FTP的程序不做 改动或尽可能少改动，仍可运用。* 在UNIX平台中，供应吩咐行方式，交互式传输文件（界面同标准FTP）0* 在WINDOWS平台中，供应图形界面，便利用户传输文件。* 供应API函数等方式，便利程序员在VB和VC等

8、开发环境中，做二 次开发。5）跨平台文件传输* 能够实现 UNIX 至U UNIX、WINDOWS, WINDOWS 至U UNIX、 WINDOWS的文件传输。6）供应并发服务* 为了提高工作效率，加快响应速度，软件应采纳多进程和多线程的 工作机制，可以同时接受多个用户的连接恳求和处理多个文件传输的要求。7）具备完善的日志及告警功能* 软件本身应有完善的日志记录，用作日后的平安审计运用；同时供 应丰富的告警方式及信息，确保重要支配任务的执行状况能够得到刚好的 反馈和处理。8）批处理平安文件传输吩咐支持* 可以平安的文件吩咐写到文件中，通过标准输入重定向，输入吩咐； 批处理传输文件。9）支配任

9、务处理* 软件可以设置支配任务，实现自动定时进行文件传输。10）支持平安区内部的平安文件传输* 该传输软件可以替代原有的I区和II区之间或者同一平安区内部的 FTP的相应功能，增加系统的平安性。11）第三方独立软件，便利维护* 为了减小以后系统及软件的维护量，避开每上一种物理隔离装置就要习惯和维护一种传输软件的状况发生，要求该传输软件对目前全部的电力 系统专用横向单向隔离装置均适用。电力专用横向正向隔离装置日志收集及上传软件要求电力专用横向正向隔离装置日志收集及上传软件要求能对以下日志信 息进行收集分类并自动上传至主站接受端。日志收集信息分类表日志类别内容系统日志1 .装置启停2 . Watc

10、h Dog 切换3 .版本信息4 .系统CPU利用率5 .内存利用率6 .进程信息7 .系统登陆8 .系统配置链路日志1 .新建链路会话消息2 .删除链路会话信息3 .链路会话信息4 .收到数据包统计信息5 .丢弃数据包统计信息6 .单向流量信息平安日志1. 规则过滤的报文信息2. IP攻击信息3. TCP攻击信息4. UDP攻击信息5. ICMP攻击信息应用日志1 .隔离装置模块的启停2 .隔离装置调试信息3.模块运行信息电力专用横向正向隔离装置日志信息接入主站监视系统要求目前调度主站端已经建设了一套网络平安产品集中监视管理系统，用 于集中呈现各网络平安产品运行工况、配置信息、日志信息、报警

11、信息等 并加以综合利用，以便于系统维护，保证系统平安稳定运行。依据的相关要求，电站侧通过定义好隔离装置的日志标准，对隔离装 置的日志信息进行收集，通过日志具体记录隔离装置的工作状态，最终达 到便于调度中心管理人员清楚了解及管理下端的隔离装置，确保设备工作 正常的目的。杀病毒软件要求1）方案中涉及的平安产品（包括硬件，软件平安产品）应具有国家有 关平安管理部门的认证和产品销售许可证；2）产品的平安性好，执行效能高，并且对系统原有应用系统的影响程 度最小；3）产品具有良好的人机交互功能，要求采纳中文界面，供应中文联机 帮助系统；4）厂商供应的杀毒软件不仅要能爱护文件服务，同时也要对各种服务 器、员

12、工用PC、网关等全部计算机设备进行爱护，而且能从邮件、FTP 文件、网页、软盘、光盘等全部可能带来病毒的信息源进行监控和病毒拦 截；5）病毒查杀实力强，能够胜利查杀网络中传播的各种病毒以及阅读网 页时的有害脚本，并要求具有肯定程度的未知病毒识别实力，一旦防病毒 软件发觉一个文件可能携带病毒，它应当有实力供应一种解决方法对该文 件进行处理，以免系统或者文件受到未知病毒的破坏；6）要求集成商从软件供应商的病毒信息搜集网络、病毒代码的更新周 期和供应商对用户发觉的新病毒的反应周期这三个方面来阐述防病毒软 件对新病毒的反应实力的强弱；7）具有完整的服务功能，供应快速、便利、敏捷和简便的升级手段， 要求

13、既供应通过Internet从厂商的升级中心下载，同时也能从上一级病毒 限制中心下载升级；8）产品应能智能安装、远程识别、管理便利，易于操作，统计和报表 功能强大，要求供应审计功能；9）产品应能供应多种报警手段，能通过电子邮件、打印机、寻呼机、 手机或网络消息，传送各种病毒警告给携带病毒用户和系统管理员，并能 供应标准输出，供其它系统对其告警信息二次开发；10）集成商应保证所供应的防病毒产品与电站目前所运用的应用软件 不产生冲突；浪涌爱护器技术要求本期在网络平安防护等设备电源接口处加装独立的单相电源浪涌爱护 器。浪涌爱护器主要技术指标要求如下：工作电压：220V最高工作电压：不低于300V爱护模

14、式：具备横向爱护和纵向爱护残压：W 900V响应时间：W30ns状态指示：具备声光指示和报警。功能：具有具有过热、过流自动断电功能。4. 4. 11电源要求沟通：220V 10%, 50Hz 5%5. 4. 12网络柜的要求1）网络机柜外形尺寸为：800*600*2260mm,内部为19英寸宽标准安 装支架，安装高度42U。每台机柜应供应30套安装设备的螺丝套件。2）柜体所采纳钢板的厚度不低于1.5mm,单体承重500Kg以上。3）机柜前门为玻璃单开门，后门为钢体单开门。前后门开度均为180 度。前后门采纳内嵌式带把手锁。两侧门体嵌入柜体，无散热孔。4）机柜内结构应考虑电缆的走线和固定。5）柜

15、内应在装设照明装置，且与柜门联锁点亮。柜内应留有2个5联 排220V电源插排，插排上每个插座容量为220V、10A,插座标准为澳大 利亚式（斜三眼）。插排安装在机柜两侧，高度可调。6）柜内应带平安接地铜排。7）机柜顶部安装散热风扇，风扇工作电源为沟通220V/50HZ,风扇总 风量不小于200m3/h,风扇的运行有限制开关，风扇噪声不大于45dB。8）柜体表面处理应考虑防静电、防腐蚀措施。机柜颜色GY09冰灰 桔 纹。5技术服务5.1 项目管理合同签定后，卖方应指定负责本工程的项目经理，负责协调卖方在工 程全过程的各项工作，如工程进度、设计制造、图纸文件、制造确认、 包装运输、现场安装、调试验

16、收等。5.2 技术文件：5.2.1 卖方在订货前向买方供应一般性资料如：鉴定证书、报价书、典型说明书、屏布置图、系统原理图和主要技术参数。在合同签定10天内,卖方向买方供应下列技术文件2份以供确 认。1）屏正面布置图、屏内设备布置图及图例说明。2）屏的安装尺寸图。包括屏的尺寸、基础螺栓的位置和尺寸等。3）屏的端子排图卖方在供应确认图纸时必需供应为审核该张图纸所需的资料。买方有 权要求卖方对其图纸中的任一装置任一部件作必要修改，而买方不需 担当额外费用。在收到买方最终认可图纸前，卖方所购买的材料或制造所发生的费用 及其风险全由卖方单独担当。生产的成品应符合合同的技术规范。买方对图纸的确认并不能解

17、除卖 方对其图纸的完善性和精确性应担当的责任。设计院在收到图纸后1周内返回确认看法，并依据须要召开设计联络 会。在收到确认看法或设计联络会后7天内，卖方应供应全部正式图纸的 最终蓝图和全部图纸的ACAD电子版（AUT0CAD14.0版及以上）及其相 关的支撑软件，资料供应8份（包括CAD14版的图纸软盘或光盘）【其 中业主6份（随屏），设计单位2份（邮寄）】5. 2. 3设备供货时供应下列资料:设备的开箱资料，除了 5. 2. 2所述图纸还 应包括安装、运行、维护、修理说明书、部件清单资料、工厂试验报 告、产品合格证等。供方供应的图纸、资料应满意设计、施工、调试及运行的须要。6. 3现场服务及

18、售后服务:1. 总则2. 供货范围3. 工程概况4. 技术要求5. 技术服务6. 买方工作7. 工作支配8. 专用工具9. 质量保证和试验10. 包装、运输和储存卖方应派代表到现场负责安装、调试并投入运行，并负责解决合同设备制 造及性能等方面的有关问题，具体解答合同范围内买方提出的问题。在产品质保期内有制造质量的设备，由卖方负责修理或更换。对非卖方责 任造成的设备损坏，卖方有优先供应配件和修理的义务。对买方选购的与本合同设备有关的配套设备，卖方有供应技术协作的义 务，并不由此而增加任何费用。卖方有为买方培训运行维护人员的义务。6买方工作6.1 买方应向卖方供应有特别要求的设备技术文件。6. 2

19、设备安装过程中，买方为卖方现场派员供应工作和生活的便利条件。6.3设备制造过程中，买方可派员到卖方进行监造和检验，卖方应主动协 作。7工作支配7. 1依据工程须要可以召开设计联络会或其它形式解决设计制造中的问 题。7. 2文件交接要有记录，设计联络会议应有纪要。7.3 卖方供应的设备及附件规格、重量或接线有改变时，应刚好书面通知 买方。7.4 未尽事宜，双方协商处理，可以以其它形式补充。以后协调所形成的 文件与规范书同等效力。7. 5卖方应在投标书中供应投标设备的具体参数表。8专用工具8.1专用工具卖方应向买方供应的专用工具及仪器见表8.10表8.1专用工具及仪器序号名称型号及规范单位数量用途

20、备注129质量保证和试验：9. 1质量保证9.1.1 订购的新产品除应满意本规范书外，卖方还应供应产品的鉴定证书。9.1.2 卖方应保证制造过程中的全部工艺、材料等(包括卖方的外构件在 内)均应符合规范书的规定。若买方依据运行阅历指定卖方供应某种 外购零部件，卖方应主动协作。9. 1.3卖方应遵守本规范书中各条款和工作项目的IS09000 GB/T1900质 量保证体系，该质量保证体系经过国家认证和正常运转。10. 2试验11. . 1出厂试验卖方应在出厂试验前20天向买方提出出厂试验大纲供买方确认。双 方依照确认后的出厂试验大纲，对平安防护设备进行全面的功能试验。9. 2. 5现场试验(1)

21、接线回路检查，总体验收。(2)功能试验、主要技术指标测试和稳定性试验。功能试验依据本 技术规范书要求进行逐项测试和记录。主要技术指标测试包括设备技术指 标及参数测试。稳定性试验在与主站端相连的状况下，作连续48小时稳 定性试验。在试验中用户要进行一系列正常操作和测试。卖方应提前20天把现场试验大纲提交买方，双方将探讨确认现场试验大纲。卖方应供应试验所需的设备、仪表、工具。卖方应派技术人员参与现 场投产试验和检查，费用由卖方自理。在开箱检查和试验中发觉元件、部 件损坏，卖方应负责调换，机械结构损坏，卖方应负责修理。10包装运输和储存:10.1全部部件经妥当包装或装箱后，在运输过程中尚应实行其它防

22、护措施，以免散失损坏或被盗。10. 2在包装箱外应标明买方的订货号、发货号。10. 3各种包装应等确保各零部件在运输过程中不致遭到损坏、丢失、变形、 受潮和腐蚀。10. 4包装箱上应有明显的包装储运图示标记（按GB191 ）。10. 5整体产品或分别运输的部件都要适合运输和装载的要求。10. 6随产品供应的技术资料应完整无缺，供应份额符合GB11032的要求。卖方提交的技术文件及其接收单位提交技术文件名称接收单位名称、地址、邮编、电话提交份数备注供设计确认的技术文件设计单位：新疆光源电力勘察设计院设计人员：亚森江联系电话：电子邮件：设计确认后的技术文件（买方或业主）设备出厂的技术文件（业主或买

23、方）工程概况1）项目名称：昆仑钢铁220kV变电站工程2）项目单位：昆仑钢铁有限公司3）工程规模：220kV4）工程地址：昆仑钢铁220kV变电站5）交通、运输：汽车运输1 总则1.1 本规范书是用于昆仑钢铁220kV变电站工程二次系统平安防护的设 备订货技术规范书，它提出了本工程主要设备技术业务功能要求、供货要 求、服务要求。1.2 卖方必需具有完善的质量保证体系，具有IS09000系列质量认证合 格证书，以及与平安相关的计算机信息系统集成资质。1.3 卖方供应的平安产品应获得国家公安部的销售许可证、国家保密局的 涉密信息系统产品检测证书，同时获得设备原产商的授权。相关平安产品 应在国内省级

24、及以上电力二次系统平安防护方面有胜利运行阅历。卖方应 随报价书一起，向买方供应本公司的资格文件、设备授权书、工程总结表 和用户运用证明。1.4 本规范书提出的要求是最低限度的技术要求，并未对一切技术细微环 节作出规定，也未充分引述有关标准和技术条文，卖方应供应符合本规范 书和工业标准的优质产品。1.5 假如卖方没有以书面方式对本规范提出异义，则意味着卖方供应的 设备（或系统）完全符合本规范书的要求。如有异议，不管是多么微小， 都应在报价书中以“对规范书的看法和同规范书的差异”为标题的特地章 节中加以具体的叙述。1.6 本技术规范书应视为保证系统运行所需的最低要求，如有遗漏，卖方 应予以补充，否

25、则一旦中标将认为卖方认同遗漏部分并免费供应。1.7 买方保留说明修改本技术规范书的权力。本技术规范书未尽事宜，由 买方和卖方在合同技术谈判时协商确定。1.8 本规范书涉及电力调度系统平安防护体系，卖方应承诺对相关内容进 行保密，如发生泄密将追究法律责任。1.9 本规范书所运用的标准和卖方所执行的标准不一样时，按较高标准执 行。1.10 本规范书经买、卖双方确认后作为订货合同的技术附件，与合同正 文具有同等效力。2供货范围2.1 防火墙（100M）2台。2.2 正向物理隔离装置2台。2.3 电力专用纵向加密认证装置4台，注：实施调度专网其次平面，则需 另加2台纵向加密认证装置。2.4 网络三层交

26、换机4台。2.5 工控机2台。2.6 跨正向物理隔离装置平安传输软件2套。2.7 电力专用横向正向隔离装置日志收集及上传软件2套。2.8 电力专用横向正向隔离装置日志信息接入主站监视系统2套2.9 杀病毒软件2套。2.10 专用网络机柜2面。2.11 电源切换装置2套。2.12 浪涌爱护器4套。2.13 安装工具及电线、电缆等2套。投标厂家依据自身标准配置，需满意我方要求，若需其他设备，厂家补齐。3工程概况二次系统的防护目标是抵挡黑客、病毒、恶意代码等通过各种形式对 昆仑钢铁220kV变电站二次系统发起的恶意破坏和攻击，以及其它非法操作，防止昆仑钢铁220kV变电站二次系统瘫痪和失控，并由此导

27、致的昆仑 钢铁220kV变电站一次系统事故。本期昆仑钢铁220kV变电站须要进行平安防护的系统主要包括：监控 系统、继电爱护装置、平安自动装置、故障录波装置、电能量采集装置、 实时调度管理系统等，各系统依据全国电力二次系统平安防护总体方案 的要求，分别置于实时限制区、非限制生产区、生产管理区等平安分区中。本期平安防护设备安装在主控室室，与应用系统在同一机房。4技术要求4.1 设备运用环境条件4.2 1. 1海拔高度：W2000米。耐地震实力地面水平加速度：0.2g地面垂直加速度：0.15g抗地震：里式7级（美式9级）4.3 1.3环境温度湿度环境温度：055相对湿度：30%80%4.4 1.4

28、抗电磁干扰：140B uV/m4.5 应符合的标准ISO国际标准化组织IEC国际电工委员会rru-T-国际电信联盟电信标准化部门IETFInternet工程任务组IEEE电气和电子工程师协会GB中华人民共和国国家标准DL中华人民共和国电力系统行业标准4.6 平安防护设备及软件的部署在本工程二次系统平安防护方案中，综合部署防火墙、物理隔离等平 安防护设备。防火墙：防火墙产品部署在实时限制区与非限制生产区之间及生产管理区与外 部网络之间，实现区域的逻辑隔离、报文过滤、访问限制等功能。物理隔离：电力专用物理隔离装置作为非限制生产区与生产管理区的必备边界， 要求具有最高的平安防护强度，是横向防护的要点

29、。本期在非限制生产区与生产管理区之间部署正向物理隔离装置，负责 单向数据传递。纵向认证加密装置纵向认证加密装置用于实时限制区与非限制生产区的广域网边界防 护，实现本地包过滤功能以及广域网通信供应认证与加密功能，保证数据 传输的机密性、完整性。网络三层交换机在平安II区需布署一台交换机用于平安II区内设备的组网，同时该交换机连接到电力专用横向正向隔离装置的内网口。工控机在平安II区内布署一台工控机，并将其通过n区的非实时网段交换机 接入到电力专用横向正向隔离装置的内网口，用于读取和上传电力专用横向正向隔离装置的日志信息、。跨物理隔离装置平安传输软件依据全国电力二次系统平安防护总体方案的技术要求，

30、操作系统 自带的FTP、RCP等远程文件传输服务禁止跨越电力系统专用横向单向隔 离装置，但在实际工作应用中，跨隔离装置的平安区之间的文件传输是必 不行缺少的功能。因此，必需有一套特地实现符合电力二次系统平安防护 有关要求，且能够穿透电力系统专用横向单向隔离装置的文件传输系统。 其功能和接口应仿标准FTP,且该软件可代替操作系统自带的FTP、RCP, 并且该软件比操作系统自带的FTP、RCP更平安。电力专用横向正向隔离装置日志收集及上传软件为了解设备本身运行工作状态是否正常等信息，一旦发觉问题，应当 对问题的内容及处理结果有所记录，因此需配置电力专用横向正向隔离装 置日志收集及上传软件。电力专用

31、横向正向隔离装置日志信息接入主站监视系统目前调度主站端已经建设了一套网络平安产品集中监视管理系统，用 于集中呈现电力专用横向正向隔离装置的运行工况、配置信息、日志信息、 报警信息等并加以综合利用，以便于系统维护，保证系统平安稳定运行。 本期卖方应负责将昆仑钢铁220kV变电站信息接入主站。杀病毒软件由于病毒在网络中存储、传播、感染的方式各异，因此企业在构建网络防毒系统时，应利用企业防病毒产品，针对网络中全部可能的病毒攻击点设置全方位、多层次的防毒系统配置，使企业网络免受病毒的入侵和危害。本次产品选购 主要用于平安ni区的工作站的病毒防护。4.7 平安防护设备技术要求4. 4. 1防火墙功能要求

32、1）卖方供应的防火墙必需为国产硬件防火墙，可安装于19英寸标准机 柜，并在全国省级及以上电力二次系统有不少于两家的胜利运行阅历。2）硬件系统应基于专用硬件平台和私有的平安操作系统平台，并具有 自主学问产权，卖方应具体说明投标产品的软硬件体系结构，防火墙内置 操作系统应是当前最新版本。3）软硬件系统应具有高牢靠性和稳定性，具备肯定的扩展实力。4）采纳基于状态包检测的过滤技术，支持状态检测和智能动态过滤， 支持链路层URL智能过滤。5）支持Java、ActiveX SQL注入攻击防范。6）能抵挡常见的各种攻击，如 Syn Flood Syn Attach ICMP flood Ping of de

33、ath、Smurf、不明协议攻击、源IP攻击、IP碎片攻击、DoS/DDoS攻 击、IP欺瞒、IP碎片、端口扫描等。7）支持网关、路由和透亮等工作方式，可以适用于不同的网络环境。8）具有IP与MAC地址的绑定及用户与IP/MAC的绑定功能。9）支持透亮应用代理功能。10）支持双向的网络地址转换技术，包括动态转换和静态转换模式，可 实现一对一、一对多、多对多的地址映射功能。11）支持过滤规则的设定、一样性检查，具有便利的防火墙配置文件的 导入与导出功能。12）支持OSPF、RIP路由协议。13）支持 IPX、NETBIOS VLAN 协,议。14）支持本地认证，远端RADIUS认证、TACACS

34、+认证，支持用户和 组管理，实现基于用户的访问限制。在用户端与防火墙之间认证信息的传 输必需是加密的。15）具有防火墙授权日志、行为日志、代理日志，日志可以缓存于本地, 也支持标准的syslog日志管理服务器，并具有日志统计分析功能。日志包 括事务时间，事务信息，事务缘由等，还可依据用户需求定制用户日志信 息。16）支持图形界面平安管理方式，友好、直观、便利、快捷并易于管理。17）支持远程管理和维护，同时保证网络上传送的管理信息被加密，而 不被内部或外部用户嗅探或攻击。18）支持 CONSOLE、TELNET、SSH V1.5、SSH V2、WEB 等管理方 式；19）支持集中平安管理，支持SNMPvk SNMPv2C、SNMPv3协议和 syslog协议；可通过SNMP协议接受商品化的、网络综合监视系统对设备 的在线监视管理。20）支持系统网络升级。技术指标：1） DF-FW100或同类产品：2）标准10/100M（RJ45）接口 4个（可扩展为6个）3）独立的管理接口4）数据包吞吐量：100MBps5）并发连接数：三1,000,0006）VPN 隧道数：2000