选SDCN网络安全防火墙部分技术规范 ln.docx
- 文档编号:12354340
- 上传时间:2023-04-18
- 格式:DOCX
- 页数:27
- 大小:176.53KB
选SDCN网络安全防火墙部分技术规范 ln.docx
《选SDCN网络安全防火墙部分技术规范 ln.docx》由会员分享,可在线阅读,更多相关《选SDCN网络安全防火墙部分技术规范 ln.docx(27页珍藏版)》请在冰豆网上搜索。
选SDCN网络安全防火墙部分技术规范ln
S-DCN网络安全(防火墙)部分技术规范
2005年中国网通集团DCN网络安全建设工程
防火墙产品部分
技术规范书
中国网络通信集团公司
中国网通(集团)有限公司
2006年2月
目 录
1总则
1.1本文件为中国网络通信集团公司(以下简称买方)“2005年中国网通集团DCN网络安全建设工程防火墙产品部分”技术规范书,供厂商(以下简称卖方)编写建议书和报价之用,建议书的内容格式应符合本规范书的要求。
1.2本文件中的“本项目”是指2005年中国网通集团DCN网络整合改造项目安全系统工程;“本单项工程”是指2005年中国网通集团DCN网络整合改造项目安全系统工程防火墙产品部分,即本次招标的范围。
1.3卖方在建议书中,对本规范书中所提各项要求能否实现与满足,应逐项予以说明和答复。
卖方亦可根据自己的产品技术性能具体情况,在建议书中提出建议,并附详细资料和说明。
对本规范书各条目的应答为“满足”、“不满足”、“部分满足”,不得使用“明白”、“理解”等词语,在答复中,要求明确满足的程度,并做出具体、详细的说明。
在回答“满足”后,其后的任何解释均不能与“满足”相冲突,若发生冲突,则视解释无效。
“不满足”可以详细解释。
凡采用“详见”、“参见”方式说明的,应指明参见文档中的具体的章节或页码。
需要做详细解释的内容应尽量放在逐条逐项答复中,若内容太多,可放在指明的附件中。
1.4卖方提供的各项设备和系统的特点、性能应完全符合买方指明的标准,并满足或高于买方指出的要求。
在此文件中没有说明的条款,但相关国际标准化组织的标准(如ISO、IEEE、ITU-T、ETSI、IMTC、IETF等)及我国国家标准、信息产业部部颁标准已有建议的系统设备性能和功能,均应满足标准的最新建议要求。
卖方供应设备的技术指标及这些设备构成网络系统的性能应符合本规范书的要求。
卖方应列出所提供设备和系统的规范,任何与买方技术规范书相关条款不同的都应指示出来,并详细说明原因。
1.5若卖方的设备包含自己专用标准,也应在建议书中具体说明,并附上相应的详细技术资料。
1.6本技术规范书应视为保证网络运行所需的最低要求,如有遗漏,卖方应予以补充,否则一旦中标,将认为卖方认同遗漏部分并免费提供。
1.7买方保留对本技术规范书的解释和修改权。
买方修改和增补的内容与本技术规范书具有同等效力。
1.8卖方应对所有提供产品的功能和性能负责,应对按照卖方提出的建议建设方案组建的相关系统功能和性能负责。
如因卖方配置或建设方案不合理,而造成所提供的产品或采用其提供产品及建议方案建设的安全系统未能满足本规范书要求,卖方应负全部责任。
1.9本技术规范书涉及DCN边界防护和试点省份EDC安全防护所需的防火墙产品。
卖方应承诺开放必要的产品接口,配合SOC集成商完成监控、采集接口的开放。
1.10卖方所提供的硬件设备应保证是最新生产的设备、软件产品应是最新版的商用版本,并应对此软、硬件所涉及的专利、知识产权等法律条款承担义务,买方对此不承担任何责任。
1.11卖方应在建议书中提供系统、设备的详细配置,并说明相应的计算方法及依据。
1.12卖方在建议书中应说明对供货时间、供货质量控制等的具体安排。
1.13卖方在建议书中应说明给买方提供的技术文件、技术支持、技术服务、人员培训、厂验等的范围和程度。
1.14卖方应在建议书中列出提供的书面技术资料详细清单。
1.15规范书有关内容的澄清
(1)卖方对于规范书的疑问可以通过书面材料与买方联系。
在规定的建议书提交最后期限以前,买方将以书面材料给予答复,有关买方答复材料的复印件也将递交所有得到技术规范书的卖方。
(2)在技术谈判的各个阶段,买方将以书面形式要求卖方对有关问题进行进一步的技术澄清,卖方应以书面资料给予正式应答;所有各阶段的技术澄清文件都将作为合同附件。
2卖方技术建议书要求
要求卖方在收到本规范书之后十天内按买方的要求提供三份建议书、一份电子版文档(要求以中文OFFICE格式)和两份密封的报价书(中文)。
建议书和报价书的要求如下。
2.1建议书的要求
卖方所提供的建议书需按顺序必须含以下章节的内容(由于内容的不完整性造成的一切后果由卖方负责):
(1)综述
(2)工程技术规范书点对点应答
(3)实施方案建议
要求针对本文档中的建议方案进行细化或优化,除基本的方案建议内容外,还要包括实施方案等内容。
要求实施方案面具备可操作性;方案建议包括但不限于以下内容:
a.卖方需结合网通集团DCN骨干网络同省网的连接结构以及内蒙古EDC网络结构等相关情况,针对建议部署方案进行细化、报价。
如有优化调整或全新方案,需详细说明调整原因及调整、细化部分的规模。
请卖方根据买方的功能和技术要求,提供两套产品配置方案。
b.技术建议方案应包括产品或系统运维管理所必需的各类软、硬件,其中针对建议中涉及到的所有服务器、存储以及数据库,卖方应给出详细列表以及性能指标的详细需求和计算依据。
服务器应详细列出内存(类型、大小)、CPU(频率、当前个数、满配个数)、硬盘(大小、类型)、显示器(类型、尺寸),核心服务器应列出TPCC值或EPS值;对于工作站应详细列出内存(类型、大小)、CPU(频率、个数)、硬盘(大小、类型)、显示器(类型、尺寸)、显示卡类型;磁盘阵列应列出相关配件、大小、类型等;局域网交换机应列出端口数量、速率等。
c.边界防护及EDC防火墙部署(位置、方式及管控归属)方案建议。
d.防火墙集中管理及策略制定及分发建议。
e.防火墙系统同SOC的接口(配置接口、安全事件的接口、知识库的接口)建议。
f.系统的安全性、可靠性解决方案。
g.系统组织连接图(包括网络和硬件的拓扑图以及安装的相应软件)。
h.系统管理。
(4)设备配置详细说明及设备配置详细清单(与报价表内容格式及项目相同,不含商务价格)。
(5)所推荐设备情况(各种技术指标、接口特性、设备特性、设备安装方式及物理尺寸、供电方式及耗电量、设备或机架接地要求、重量、温湿度等环境要求),最好能提供设备相关性能指标的测试记录文档。
(6)系统软件和购置的数据库的情况(含功能、性能等指标)。
(7)安装设备和材料、备件和工具的数量清单。
(8)买卖双方责任及分工界面。
(9)工程实施计划
a.工程进度表,包括需求分析、供货、安装、调测、验收等工程各环节。
b.工程实施和服务人员安排。
(10)机房场地及环境准备要求以及在工程实施过程中对买方的其它要求。
(11)设备安装要求及建议,抗震加固措施
(12)技术文件
(13)买方技术人员和业务使用人员培训。
(14)验收及测试安排,设备测试、系统测试的方法和环境。
(15)技术服务的范围和程度(包括技术服务、支持、保修、软件升级等)。
售后服务安排及质量保证措施
(16)卖方须详细介绍卖方公司的总体情况(包括人员结构、企业资质等方面)、曾做过的类似项目情况、应用实例以及最终用户评议。
(17)对于中国网通集团DCN安全系统发展方向的建议
2.2报价书要求
(1)报价应按照物理位置分开报价。
(2)报价应包括设备(软、硬件)、安装材料、备件、工具、仪表、技术文件及安装调测、培训、技术支持、保修等,并逐条逐项列出。
(3)报价应包括设备名称、型号及配置模块、数量等详细内容。
(4)报价以人民币为单位,应该报设备到现场(买方指定地点)的价格,运输费单独列出。
(5)报价应按目录价、折扣价和折扣率分项列清。
(6)对于卖方向买方建议采用的业务和功能,卖方应详细描述和说明这些业务和功能并作为可选项提出报价。
(7)卖方对本规范书涉及到的服务器、存储系统、数据库软件和微软产品提出合理的建议配置,并提供详细的计算依据。
卖方对服务器、存储系统、数据库软件和微软产品单独进行报价并列出详细的配置清单供买方独立采购参考,这部分产品不计入工程总报价。
卖方对这部分产品的配置建议和系统集成负有全面责任,卖方须承诺对这部分产品进行集成,并保证整体工程质量。
(8)硬件报价要求:
硬件部分须报出系统所需的全部设备的价格;
(9)软件报价要求:
卖方应提供最新的、成熟的、稳定的软件版本,并注明所提供软件的版本号,提供详细的功能清单。
(10)软件报价按以下分类方法:
――系统软件报价:
包括操作系统(如果硬件平台采用商用计算机平台,可包含在硬件报价中)、数据库软件、工具和组件等。
――应用软件:
应分为基本功能模块、可选功能模块两个部分。
卖方应按模块提供详细报价;可选功能模块指厂家自己定义的可选软件功能,只计单价不计入合价。
(11)卖方应承诺买方在后续的设备订货时,同一类型的软、硬件设备成交价格至少应不高于本次合同的成交价格。
(12)服务报价要求
――卖方应对下述服务项目进行报价:
――原厂安装服务:
卖方负责所有设备的安装。
――原厂系统调测服务:
卖方应负责全部系统调测。
(13)培训
――卖方就所提供的产品提供原厂技术培训,分为高级培训(高级技术人员或管理者)和操作培训。
――卖方需就此两种培训,列出培训人员的数量和费用单价并给出详细的培训计划(包括时间、地点、课程等)。
(14)可选报价
对于可选软件、硬件和服务或卖方认为可以推荐给买方选择的软件、硬件和服务,可单独提出其项目和报价,但不计入合价,并提供技术性能及供经济技术比较所需的资料。
3工程描述
3.1项目背景
依据集团企业信息化总体规划、五统一战略、上市公司对信息化的需求,集团公司逐渐加大了信息化建设的步伐。
根据集团公司2005年信息化工作的总体目标——“确保“2+1”项目的完成、提升信息化工作的水平”,中国网通在完成集团门户二期DCN网络改造工程之后,启动了“2005年中国网通集团DCN网络整合改造项目”,以期为集团企业信息化系统提供统一、专用、安全、高效、易管理、易维护的多业务网络平台。
“2005年中国网通集团DCN网络整合改造项目”包括网络系统工程和安全系统工程两部分,本工程是其中的安全系统工程部分。
目前,“2005年中国网通集团DCN网络整合改造项目网络系统工程”已经启动并顺利进行,该项目的实施将建成覆盖全国31省的物理承载网,初步实现DCN骨干网和省网的互通。
网络系统工程的实施为安全系统部署创造了条件,同时也对安全系统工程提出了更加明确的需求。
3.2工程建设目标与原则
3.2.1建设目标
本工程通过边界防护的建设,以保护DCN网不同区域的安全性,防范未授权的访问,杜绝非法的数据包在不同安全区域之间的传递,将攻击阻挡在安全区域环境之外。
保证网络安全状况的可知和可控,确保DCN骨干网的安全,同时将省DCN网内部的不安全因素控制在较小的范围内。
通过对试点省、市的数据中心的安全部署,以实现试点省、市数据中心安全的“可知性”,以便后期逐步完善安全体系。
3.2.2建设原则
系统建设实现过程中遵从先进性原则、高可靠性原则、开放性原则、安全性原则、可管理性原则、可扩展性、经济性的原则。
(1)先进性原则:
采用先进的、开放的系统结构;采用先进的计算机技术;采用先进的现代管理技术,以保证系统的科学性。
(2)高可靠性原则:
系统的不间断运行与服务应达到电信级要求,应具有极高可靠性,并采用容错的设计确保系统的可靠性稳定性。
(3)开放性原则:
构建在完善的系统平台基础上,考虑升级和个性化服务。
遵循开放性和标准化基本原则,所选用的硬件设备、软件等必须遵循相应的国际标准,保证系统具有互操作性和开放性。
各系统之间采用优化的原则,使各系统之间更好地配合,达到最佳的应用效果。
(4)安全性原则:
在系统建设时通过安全技术保证网络的安全性、数据的安全性、用户访问的安全性,在技术保障的同时,从管理层面加强安全性管理。
(5)可管理性原则:
采用集中式的管理可以节约资金、人力的投入,为用户提供更大的自由发挥的空间,同时也使管理变得简单,有利于在出现问题时,能够用最短的时间检查出问题并及时解决。
(6)可扩展性原则:
产品或系统应具有很好的升级能力,以适应科学技术高速发展的需要。
在必要时采用新的技术和设备对整个系统进行升级,满足应用系统不断增长的需要。
(7)经济性原则:
采取有效的措施和实施方案合理利用投资、规避投资风险。
3.3工程建设范围
本项目采购的产品主要解决网通集团DCN骨干网络同各省主用DCN网络的边界防护,以及辽宁、山东、内蒙和天津四个试点省、市的企业数据中心的安全防护。
主要建设内容如下。
(1)边界防护:
在网通集团DCN骨干网络同各省(内蒙、南方21省)主用DCN网络边界部署防火墙设备。
(2)数据中心防护:
内蒙古企业数据中心部署防火墙设备。
4网络现状及建议方案
4.1集团骨干网同各省边界现状
网通集团DCN骨干网络同各省主用DCN网络连接结构如下:
图4-1 DCN骨干网络同各省主用DCN网络连接结构
目前,DCN骨干网已经开通MPLSVPN,北方10省大部分也已经开通了省内MPLSVPN;除少数省份外,南方21省大部分省份未开通MPLSVPN。
已开通省内MPLSVPN的省份,与集团DCN骨干之间采用VPN跨域互联。
未开通MPLS的省份,核心路由器作为CE,集团骨干网汇聚层设备作为PE/ASBR实现省DCN网与集团DCN骨干互联。
4.2边界防护防火墙部署
在内蒙和广东省核心路由器同集团DCN网骨干汇聚设备之间各部署2台千兆防火墙设备,在南方21省(除广东外)省核心路由器同集团DCN网骨干汇聚设备之间各部署2台百兆防火墙设备。
4.3内蒙古EDC网络现状
内蒙古现有2个EDC机房,每个EDC核心交换机为2台华为S8505交换机,2台S8505交换机双归上联省核心华为NE80路由器。
EDC内部各系统经由汇聚交换机上联2台EDC8505核心交换机。
图4-2 内蒙古EDC网络上联现状
4.4内蒙古EDC防火墙部署
对于内蒙古EDC主要进行跨域(VPN)安全互访控制和出入口集中控制。
EDC跨域安全控制,采用如下图所示方案。
在2个EDC的核心交换机(PE设备)上侧挂防火墙,通过防火墙进行VRF-VRF转换的方式来实现跨VPN互访。
为了对EDC出入口进行集中管理,建议在内蒙两个EDC分别部署一套业务系统的Internet出口和Internet入口,出入口逻辑上分开。
同时,为满足自治区办公人员上网的需求,建议在EDC部署一套员工上网出口。
图4-3内蒙古EDC安全防护建议方案
4.5设备需求统计
此部分设备需求为建议方案中边界防护和EDC防护中所涉及的防火墙产品的规模。
序号
设备
单位
数量
本期端口需求
备注
1
百兆防火墙
台
40
4个FE
南方21省(除广东外)每省2台
2
千兆防火墙
台
14
4个GE
内蒙、广东每省边界部署2台,内蒙2个EDCVPN互访4台、业务入口2台、业务出口2台、员工互联网出口2台
卖方系统及设备详细技术要求见第5章。
5设备及软件技术规范
5.1总体技术要求
5.1.1硬件
(1)卖方提供的所有设备必须是最新的商用产品,并保证所提供产品的数量、质量,特别是接口的兼容性。
(2)各种设备应采用功能分担、分布式多处理机结构。
主要模块冗余度为(1+1),易于扩容和维护。
(3)设备要选用高质量的元器件,采用专业的硬件结构(NP、ASIC、经优化的X86),生产过程中进行严格质量控制,出厂前要经买方人员严格测试和检查,确保设备长期稳定、可靠地运行。
5.1.2软件
(1)卖方提供的软件应包括确保设备正常运行所需的管理、运营、维护等软件。
(2)软件要求为模块化结构,保证安全可靠,具有容错能力。
(3)卖方提供的软件应为最新商用版本,且不同时期软件版本应能兼容。
同时要保证网络安全可靠及扩容和版本升级方便。
(4)卖方应针对买方采购的设备为买方SOC系统提供完备的原厂产品知识库及更新服务。
(5)卖方在建议书中应详细列出所提供的软件清单和说明。
(5)卖方需提供防火墙集中分级管理和配置软件。
5.1.3安装材料
建议书中应包含各系统的安装材料清单。
设备中应包含用于连接各种设备和硬件的室内线缆,如有错漏,由卖方无偿补足。
5.1.4消耗品
卖方提供的设备应配有至少满足三年维护期使用的消耗品。
5.1.5维护工具仪器和备品备件
(1)卖方应提供专用的维护工具和设备,提出建议和报价。
(2)卖方应提供正常维护使用的备品备件及消耗材料,并提供清单。
(3)卖方提供的设备应保证在至少五年内,不论提供的设备是否还生产,买方均可得到备件。
5.2防火墙技术要求
5.2.1配置需求
(1)卖方应说明产品的软、硬件及版本。
(2)设备使用自有开发的安全操作系统。
5.2.2百兆防火墙接口及性能
(1)百兆防火墙要求至少支持6个10/100M口。
卖方应说明设备支持的接口类型、各种接口最大数量。
(2)百兆防火墙应支持大于等于40万TCP/UDP等连接的并发连接数,最大并发连接下端口应支持线速,整机处理能力大于等于350Mbps。
(3)百兆防火墙每秒建立连接要求大于等于9K。
(4)设备在配置双向NAT、全线速的情况下,1518字节数据包转发延迟不大于40us。
(5)百兆防火墙设备应该支持4千条以上的策略。
(6)节点失效的会话切换倒换时延<1秒。
(7)百兆防火墙支持VLAN数量大于等于30个。
5.2.3千兆防火墙接口及性能
(1)千兆防火墙须支持FE/GE接口,要求支持扩展到6个以上GE口。
卖方应说明设备支持的接口类型、各种接口最大数量。
(2)千兆防火墙应支持大于等于60万TCP/UDP等连接的并发连接数,最大并发连接下端口应支持线速,整机处理能力大于等于2Gbps。
(3)千兆防火墙每秒建立连接大于等于1.5万。
(4)设备在配置双向NAT、全线速的情况下,1518字节数据包转发延迟不大于40us。
(5)千兆防火墙设备应该支持1.5万条以上的策略。
(6)节点失效的会话切换倒换时延<1秒。
(7)千兆防火墙支持VLAN数量大于等于100个。
(8)支持双机热备的高可用性方案。
双机热备要能支持上下是交换机或者路由器(不能是简单HUB形式),支持多种组网形式,确保可靠性。
卖方应详细说明主系统设备出现故障时备份设备如何接管及负载均衡的工作方式和原理。
(9)卖方需提供百兆、千兆防火墙丢包率和延时的可信测试数据。
(10)产品需支持虚拟防火墙,并可针对每个虚拟防火墙设置安全策略。
卖方须提供产品可支持的虚拟防火墙个数。
5.2.4VPN及加密
(1)防火墙需要支持必要的VPN功能,支持GRE、IPSEC、L2TP等常用VPN特性。
(2)支持基于硬件的加密。
(3)并发VPN通道百兆不小于1500,千兆不小于5000。
(4)支持手动密匙、IKE、PKI(X.509)。
(5)支持DES(56-bit)&三倍DES(168bit)加密,厂商需详细说明3DES能力。
(6)支持完全正向保密(DH群组)Perfectforwardsecrecy(DHGroups)。
(7)支持防止回复攻击(Preventreplayattack)。
(8)支持远程接入VPN(RemoteaccessVPN)。
(9)支持站点间VPN(Site-to-siteVPN)。
(10)支持集中星型VPN网络拓扑。
5.2.5检测防御
(1)支持同步攻击检测。
(2)支持ICMPflood检测。
(3)支持UDPflood泛滥检测。
(4)支持检测死ping(Pingofdeath)。
(5)支持检测IP欺骗(IPspoofing)。
(6)支持检测端口扫描(Portscan)。
(7)支持检测陆地攻击(Landattack)。
(8)支持检测撕毁攻击(Teardropattack)。
(9)支持过滤IP源路由选项(FilterIPsourcerouteoption)。
(10)支持检测IP地址扫描攻击(IPaddresssweepattack)。
(11)支持检测WinNukeattack攻击。
(12)支持阻止ActiveX、Java、Cookies、Javascript侵入。
(13)默认分组拒绝(Defaultpacketdeny)。
(14)支持防Dos&DDoS攻击。
(15)支持网络病毒攻击检查和阻断。
(16)支持基于策略配置的内容过滤,能够针对新的攻击方法及时升级防护手段。
5.2.6访问控制
(1)包过滤规则:
应易于理解,易于编辑修改。
(2)包过滤支持对IP包中ICMP、TCP、UDP头信息的智能过滤。
(3)支持FTP过滤、基于MS-RPC,SUN-RPC的应用服务过滤、基于UDP的应用服务过滤、动态包过滤等。
(4)支持基于状态信息的智能过滤,无须进行上下文交换以及数据复制。
(5)对传输层提供代理的支持。
(6)支持FTP文件类型过滤。
(7)支持应用层高级代理功能(HTTP、POP3)。
(8)支持NAT。
卖方应针对所推荐产品说明NAT转换能力及对资源占用情况。
(9)对用户和应用应完全透明,所有的用户和服务器上现存的应用程序都不需要修改。
(10)卖方需详细说明产品对于OSPF、BGP、RIP等协议的支持程度(路由条数)。
(11)支持P2P流量阻断。
(12)支持IP带宽分配,支持基于策略的流量控制。
(13)支持IP连接数限制。
(14)支持对源和目的地址会话数量的限制。
(15)支持基于时间的访问控制。
(16)支持基于用户的访问控制。
5.2.7安全特性
(1)支持转发和跟踪ICMP协议(ICMP代理)。
(2)支持提供入侵实时警告。
(3)提供实时入侵防范。
(4)识别/记录/防止企图进行IP地址欺骗。
5.2.8认证
(1)支持RADIUS、口令方式、数字证书等认证。
(2)卖方应说明设备符合的相应的国际标准认证协议,以及与其他CA产品兼容互通性。
5.2.9管理功能
(1)易于安装和管理。
提供友好的图形化用户接口(GUI),支持通过策略集中管理多个防火墙。
(2)支持SNMPV1/2监视和配置。
(3)支持标准MIB接口。
(4)本地管理。
(5)基于TELNET、HTTP的远程管理。
(6)支持带宽管理。
(7)支持容错技术(故障恢复,双电源备份等)。
(8)支持热补丁技术,不中断业务修补软件BUG,支持在线更新软件版本。
(9)卖方需说明产品是否支持中文界面。
(10)产品应支持分级、分权管理和策略集中分发。
5.2.10记录和报表功能
(1)支持日志信息管理和存储方法。
(2)支持自动日志扫描。
(3)提供自动报表、日志报告书写器。
(4)具备警告通知机制:
在检测到入侵网络以及设备运转异常情况时,通过告警来通知管理员采取必要的措施,包括E-mail等。
(5)支持简要报表(按照用户ID或IP地址)。
(6)支持实时统计。
5.2.10.1相关认证
(1)产品要求取得中华人民共和国公安部的《计算机信息系统安全专用产品销售许可证》、中国国家信息安全产品测评认证中心的《国家信息安全认证产品型号证书》,并提供证明文件。
(2)对于国内产品要求是具有自主知识版权,具有国家版权局《计算机软件著作权登记证书》。
卖方需提供推荐设备的详细产品技术参数和白皮书,该文档具有法力效应。
6项目管理
6.1项目开
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 选SDCN网络安全防火墙部分技术规范 ln SDCN 网络安全 防火墙 部分 技术规范