车站防火墙技术规格书.docVIP

新建铁路海天至青岛线 物 资 采 购 招 标 设备名称 车站防火墙系统设备 技 术 规 格 书 中铁工程设计咨询集团有限公司 二0一一 年 二 月 济南 目 录 1．概述 2．技术规格 附件1：技术建议书应包含的内容 附件2：设备及服务要求一览表 车站防火墙系统技术规格书1.概述 1.1 适用范围 本技术规格书是对新建铁路海天至青岛线铁路全线CTC区段车站防火墙系统设备的构成、制造、试验、开通、 验收的有关规定，并作为卖方编制技术建议书的依据。 1.2 招标范围 招标范围为新建铁路海天至青岛线铁路全线CTC系统共计5个新建车站和满足本线接入CTC中心系统的防火墙系统设备。 1.3 工程有关情况说明 1.3.1 车站设置情况及建设原则 序号 站名 单位 车站性质 车站情况 车站设置原则 1 海天站 套 中间站 新建 新建车站防火墙系统 2 新河镇站 套 会让站 新建 新建车站防火墙系统 3 平度站 套 中间站 新建 新建车站防火墙系统 4 高密东站 套 中间站 新建 新建车站防火墙系统 5 芝兰庄站 套 中间站 新建 新建车站防火墙系统 1.3.2 其他信号工程相关内容 1.3.2. 新建铁路海天至青岛线为新建单线工程，新建线路设置CTC系统，各站新设CTC分机设备，纳入济南铁路局调度所。 1.3.2.2姚哥庄、胶州站修改CTC分机设备，纳入济南铁路局调度所既有调度台管辖。 1.3.2.3济南铁路局既有CTC总机系统设备相应修改。 2.技术规格 .1 概述 随着铁路信息化建设的迅速发展，已建成的TDCS、CTC等系统在列车调度指挥方面发挥着越来越重要的作用，TDCS、CTC的网络安全建设也自然成为系统建设中必不可少的关键环节。CTC车站防火墙系统主要为车站网络提供防止黑客攻击、阻断病毒传播等功能的系统安全解决方案。 众所周知，CTC车站通过车站自律机对列车行车进行实际的控制操作，各车站成为整个系统的防护重点，因此车站的网络安全性非常重要。通过车站防火墙系统等安全设备的部署，将有效控制网络蠕虫病毒的传播途径，通过设置统一、严谨的防火墙策略形成对整个CTC系统最大化的安全保护。 具体而言，车站防火墙根据用户定义允许或拒绝某些数据包通过防火墙系统有效增强网络的安全性加强网络间的访问控制保护网络设备不被破坏，防止内部网络数据被窃取。 蠕虫具有极强的传染性、设置后门程序、发动拒绝服务攻击（DoS/DDoS）等特征，主要利用系统漏洞进行主动传播和攻击.2 工程依据 2.2.1关于印发《列车调度指挥系统（TDCS）、调度集中系统（CTC）组网方案和硬件配置标准》（暂行）的通知（运基信号[2009]676号）。 2.2.2 《铁路列车调度指挥及调度集中系统设计暂行规定》（铁建设2007]205 号.3 卖方需要提供的产品一览表 序号 货物名称 单 位 数 量 交货期 1 中心网络安全设备 1.1 中心网络安全 满足本线接入 2 车站防火墙安全系统 2.1 车站防火墙软件 站 5 每站2套 2.2 车站防火墙硬件 站 5 每站2台 2.3 车站反病毒软件 站 5 每站1套 2.4 车站身份认证系统 每站1套 2.5 车站身份认证系统 站 5 每站1套 注：以上设备数量、规格、型号，在施工阶段可能有一定调整，最终数量、规格、型号应以施工设计为准。 2.4 产品规格及主要安全特性 2.4.1 防火墙产品安全特性 .4.1.1 产品安全策略 防火墙实施限制性政策在默认情况下禁止所有的服务，除非管理员对某种服务明确表示允许。 .4.1.2 产品安全目标防火墙具有信息分析功能、高效包过滤功能、反电子欺骗手段可以随时对网络数据的流动情况进行分析、监控和管理，及时制定保护内部网络数据的措施。 .4.2 车站防火墙.4.2.1基于状态检测技术.4.2.2 工作模式 防火墙应支持网桥透明接入模式、路由模式、NAT模式以及以上几种模式的混杂模式。 2.4.2.3 包过滤访问控制.4.2.4 地址转换功能 防火墙系统应支持正向地址转换、反向地址转换、双向地址转换，支持静态NAT，支持地址池，并能够实现一对一、一对多的地址映射，并支持端口转移功能。 2.4.2.5 内置IDS功能 防火墙应具有实时入侵检测报警功能。 2.4.2.6 内置VPN功能 防火墙应支持IPSec隧道，支持PPTP协议；支持移动接入、一端动态及全动态IPSec VPN。 2.4.2.7内置DHCP服务器 .4.2.8 VLAN支持 .4.2.9静态路由及策略路由 .4.2.10 IPMAC绑定IPMAC绑定，防止IP地址非法盗用。 2.4.2.11抵御蠕虫攻击.4.2.12内置网络诊断工具.4.2.13完善的日志记