××防火墙方案技术规范书.docVIP

防火墙方案技术规范书 华为-3Com有限公司 二零零四年十一月 目 录 第一章 总体技术要求 1 1.1 选型原则 1 1.2 总体技术要求 1 第二章 详细技术要求 3 1.1 高端防火墙产品详细技术要求 3 1.2 中低端防火墙详细技术要求 4 第三章 售后服务要求 5 1.1 售后服务要求 5 第四章 培训要求 7 1.1 培训要求 7 第一章 总体技术要求 1.1 选型原则 在选择相关产品时，必修严格遵循下列原则： 保护现有投资：现有安全产品能利用的尽量利用，新增产品应与现有产品能够集成。 安全性原则：所有安全产品自身必须是安全可靠的，保证整个安全体系结构的安全基础。 成熟性、先进性原则：所选择的产品是技术成熟、先进的，而且产品化程度高，能够适应各种网络环境的要求。 开放性、可扩展性原则：所选择产品必须是技术开放的、可持续发展的，具有可扩展性。 政治可靠原则：遵循国家有关规定，所有安全产品必须通过公安部及国家信息安全测评认证中心的认证，有销售许可证；涉及到密码的产品必须通过国家密码管理委员会的批准。 1.2 总体技术要求 防火墙产品应该包括高端防火墙，中低端防火墙组成整体方案。 为了和现有网络能够无缝连接，高端防火墙产品必须同时提供千兆光接口和电接口。 防火墙产品必须支持多虚拟防火墙系统 防火墙产品必须支持状态报文过滤 防火墙产品必须具有防范多种攻击的功能 防火墙产品必须具有防蠕虫病毒攻击的功能 防火墙产品必须支持强大的NAT功能。 防火墙产品必须同时支持GRE，L2TP，IPSec等VPN协议，同时必须支持IPSEC的NAT穿越。 防火墙产品必须支持HTTP URL和内容过滤 防火墙产品必须支持SMTP邮件地址、标题和内容过滤 防火墙产品必须支持QoS带宽管理 防火墙产品必须支持多级安全管理员权限划分与管理 防火墙产品必须支持设备冗余备份。 防火墙产品必须支持多种本地和远程身份认证，如RADIUS、CHAP、PAP、动态口令身份认证等等。 防火墙产品必须支持丰富的路由功能，包括静态路由、OSPF、策略路由等等。高端防火墙还必须支持BGP协议。 高端防火墙产品必须支持MPLS协议，以保证后期向MPLS新技术迁移的向后兼容性。 高端防火墙产品必须支持冗余电源，支持接口模块的热插拔。 高端防火墙必须具有较高的性能 防火墙产品必须能够被统一网管 防火墙产品必须通过公安部、国家信息安全测评认证中心、国家保密局涉密信息系统、解放军信息安全测评中心的认证。 第二章 详细技术要求 1.1 高端防火墙产品详细技术要求 特性 1 产地 必须是具有自主知识产权的国产设备 2 认证 必须同时通过公安部、国家信息安全测评认证中心、国家保密局涉密信息系统、解放军信息安全测评中心的认证 3 端口数 ≥4个 4 可扩展性 ≥1个扩展槽 5 光接口 提供两个或以上光接口 6 电源 支持双电源 7 MTBF 41.68年 8 环境兼容性 工作电压支持100V~240V（交流）， 工作温度支持0~40℃ 工作湿度支持10～90%（不结露） 9 吞吐量 =1.5G 10 状态报文过滤 支持FTP、HTTP、SMTP、RTSP、H323协议簇的状态 11 虚拟防火墙系统 必须支持虚拟防火墙系统，可以灵活划分安全区 12 VPN 必须支持IKE/IPSEC协议标准，支持加密算法（DES、3DES）及数字签名算法（MD5、SHA-1），支持NAT穿越草案，支持L2TP VPN，GRE VPN，MPLS VPN等多种VPN功能 13 抗攻击能力 要能够抵抗包括 Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、ARP Spoofing、ARP Flooding、地址扫描、端口扫描等攻击方式在内的攻击 14 防蠕虫病毒攻击能力 防火墙要能够抵抗蠕虫病毒爆发时的DoS和DDoS攻击 15 NAT功能 防火墙必须支持一对一、地址池等NAT方式；必须支持NAT多实例功能、必须支持多种应用协议，如FTP、H323、RAS、ICMP、DNS、ILS、PPTP、NBT的NAT ALG功能，支持策略NAT 16 HTTP 过滤功能 必须支持HTTP URL和内容过滤 17 SMTP过滤功能 必须支持SMTP邮件地址、标题和内容过滤 18 高可靠性 必须支持负载分担和冗余备份，支持双电源冗余备份，支持接口模块热插拔 19 服务质量保证 支持流量监管（Traffic Policing），支持FIFO、PQ、CQ、WFQ、CBWFQ、RTPQ等队列技术，支持WRED拥塞避免技术、支持GTS流量整形、支持CAR、LR接口限速