顺德职业技术学院网络防火墙系统改造工程采购
2.3 采购内容及技术要求
2.3.1 网络环境介绍
顺德职业技术学院校园网发展至今,已建成覆盖教学区,生活区的网络和各种数字资源.拥有各类数据端口26000多个,网络用户5000人的规模,目前整个网络拓扑如下图所示.原有的天融信NGFW4000-UF防火墙有两个百兆端口和两个千兆端口,X86架构,天融信操作系统,最大支持160万连接,无用户数限制,与各种校园网络设备配合使用,与现有网络环境衔接性好,性能稳定,使用情况良好.
根据顺德职业技术学院目前的网络利用率不断提高,用户数量不断增加,各种应用日益增多,有必要对网络进行调整.学院分配到的公网IP地址少,需要通过防火墙转换才能上网,服务器也要通过地址映射才能供外网访问,还需要进行一些安全过滤等.目前校园网络流量非常大,曾出现超过200万连接数.随着网络应用(特别是BT,迅雷,电驴,在线直播等点对点应用)不断增加,学院逐年扩招,网络用户也不断增加,对网络出口的关键设备——防火墙的性能要求也越来越高.因此,要求新防火墙必须适合现有网络环境使用要求,与现有网络环境衔接性好.改造后的拓扑图:
2.3.2 防火墙平台建设要求
在规划的基础上,要求采用核心和分区相结合,通过合理部署不同防火墙系统,达到对核心数据的保护和对不同网络行为的监控.本项目中标人必须完成如下任务:
(1)在两条100M的互联网出口部署一台全新的千兆防火墙,由它分别连接两个互联网出口,实现两个出口流量负载,为全院师生访问互联网提供NAT和访问控制,以满足当前接口流量的NAT性能要求和将来互联出口带宽和学院用户规模的增加.
(2)在服务器区出口部署一台全新的千兆防火墙,为服务器进行保护,在必要时服务器区防火墙可以作互联网防火墙备份机,而不对服务器区访问产生影响.中标人应该对备份机情况进行部署,制定切换计划并测试成功.
(3)在教育网出口部署一台全新的千兆防火墙,要为学院师生访问CerNet提供NAT和细粒度访问控制,确保各项访问应用的安全,也要为将来教育网出口带宽升级预留性能空间.
2.3.3 新增防火墙清单及技术要求
设备名称
技 术 要 求
数量
核心防火墙系统
性能要求:
防火墙最大(同时)并发连接数≥2000000;
防火墙主机机箱=2U,10/100/1000BASE-T口≥4个,千兆SFP插槽≥6个;10/100BASE-TX端口≥2个;配置千兆SFP接口模块≥2个;
支持双电源,可以插接支持IPSEC VPN,各种规格加密卡以及防病毒模块;可以支持最远的光纤距离为70km光纤模块;
单个接口单向吞吐率≥1000Mb/s,64字节数据包处理达到线速处理;
系统平均无故障时间(MTBF)≥60000 小时.
平台及功能要求:
采用基于操作系统内核的会话检测技术(核检测技术);
平台支持:采用基于ASIC+NP芯片架构的专用硬件平台与专用操作系统;
采用主备双系统,当主策略文件系统损坏可以从备策略系统恢复.防止配置不当或防火墙系统故障造成的网络中断;
支持对内部用户的上网行为进行管理和审计.包括内部用户所访问网页,网页的IP,以及内部用户访问的时间,次数等都能进行审计和管理.用户可以对自定义非法网站,流量阀值等监控数据实现对教师及学生的Web访问排行,非法Web访问排行的列表和监控.并根据系统的设置阀值自动提醒超过流量限制的用户;
支持多模式下的深度数据检测DPI,对网络的4-7层或应用层具有更强过滤能力和定制能力;
支持FTP,HTTP,TELNET,PING,SSH,FTP—DATA,SMTP,WINS,TACACS,DNS,TFTP,POP3,RTELNET,SQLSERV,NNTP,IMAP,SNMP,NETBIOS,DNS,IPSEC—ISAKMP,RLOGIN,DHCP,RTSP,MS-SQL-(S,M,R),RADIUS-1645,PPTP,SQLNET—1521,SQLNET—1525,H.323,MSN,CVSSERVER,MS-THEATER,MYSQL,QQ,SECURID(TCP,UDP)PCANYWHERE,IGMP,GRE,PPPOE,IPV6等协议命令级的控制,实现对文件级的过滤;
认证支持OTP ,RADIUS ,S/KEY ,SECUREID ,TACACS/TACACS+,CA等;
支持第三方CA认证,并要求提供测试报告;

下一页