配套网络设备技术规范书

2012年5月

目录

1概况3

2标准和规范3

3技术要求：3

3.1总体要求3

3.2网络防火墙技术要求4

3.3运行环境与标准9

3.4技术数据表10

3.5铭牌和标签10

4供货范围10

5.3一般要求10

5.3供货范围10

5设计联络、培训和现场服务 12

5.3投标方现场技术服务12

5.3培训14

5.3设计联络15

1 概况

本工程新建一套局域网系统，要求不仅能够具备网络办公环境，还能够将监控系统和门禁系统纳入其中。要求系统具有高性能和高可靠性，应用实施范围广，并兼顾上下交互、平台集成的要求，同时保证该应用能够快速部署及稳定运行。

2 标准和规范

投标所提供的产品均按下列标准和规程进行设计、制造、检验和安装。所用标准必须均为最新版本，如果这些标准有矛盾时，按最高标准的条款执行或按双方商定的标准执行。

适用标准如下：

a）IEEE ——美国电气电子工程师协会标准。

b）ANSI ——美国国家标准委员会标准。

c）EIA ——电子工业协会标准。

d）ITU ——国际电信联盟。

e）ISO ——国际标准化组织标准。

f）UL ——美国保险商试验室标准。

g）NFPA ——美国国家防火协会标准。

h）GB ——中华人民共和国国标。

i） SI ——标准国际单位制。

j）NEMA ——美国国家电气制造协会标准。

3 技术要求：

3.1 总体要求

3.1.1 先进性和成熟性

所选择的产品都应是成熟、可靠的产品。产品供应商实力雄厚，市场占有率较高，产品具有延续性，能保证系统未来发展的需要。

3.1.2 兼容性

产品具有良好的兼容性和开放性，能作为目前及今后多种应用的运行平台。

3.1.3 可靠性

产品具有高度的可靠性，保证系统7x24小时不间断运行。

3.1.4 经济性

系统的软件和硬件系统的配合最佳，且具备良好的性能价格比。

3.1.5 可扩展性

系统具备较强的扩展能力，以适应未来业务发展的要求。

3.1.6 安全性

产品配置具备良好的安全性，保证系统安全、稳定运行。

3.1.7 可管理性

产品具有灵活、方便的管理控制手段。

3.2 网络防火墙技术要求

3.2.1. 芯片功能

(1) 灵活速度共存：融合NP 可编程、传统ASIC 高性能特点。

(2) ASIC 两级独立缓存。ASIC 系统内部256Kbps 的SRAM 一级缓存，以及高达256M 的

ASIC 独立专用存储空间（二级catch 缓存）。

(3) 系统集成化。将众多处理功能芯片（MAC、SRAM、VPN 加密单元、NAT 加速单元、

FW 功能单元等）集于ASIC 一身，确保系统的低功耗，高性能，高稳定，长寿命。

(4) 低报文延迟。采用TAPF（TopASIC Packet FastPath，ASIC 报文快速路径），降

低报文延迟。

3.2.2. 工作模式

(1) 透明模式

(2) 路由模式

(3) 混合模式（路由与透明两种模式同时工作）

3.2.3. 网络地址转换

支持包括正向、反向NAT 以及PAT 等多种地址转换方式

3.2.

4. 访问控制

(1) 包过滤策略用于控制用户对某种网络服务或端口的访问，可以根据报文特征过滤

IP 报文和非IP 报文

(2) 防火墙访问规则：通过限定访问时间、服务类型及DPI（深度报文检测）针对对象

及区域，进行访问控制。支持基于流、数据报、透明代理三种过滤方式。

(3) 支持HTTP、SMTP 、POP3 、FTP 等的过滤。

(4) 动态端口支持协议包括FTP 、RTSP、SQL*NET 、MMS、RPC(msrpc,dcerpc) 、H.323、

TFTP 。

3.2.5. VPN

(1) 支持基于标准IKE 协商的VPN 通信隧道

(2) 支持网关到网关，及远程移动用户到网关的VPN 隧道

(3) 支持多种认证方式，如预共享密钥，数字证书等

(4) 支持SCM 服务器集中管理

3.2.6. 防御功能

(1) 内置攻击检测模块：抵御包括Syn Flood，Smurf，Targa3，Syn Attach，ICMP Flood，

Ping of Death，Land，WinNuke、TCP Scan 、IP Option、TearDrop 、Targa3、

IPspoof 端口扫描等几十种攻击；

(2) Topsec 联动：与支持TOPSEC 协议的其他厂商的IDS 设备联动，以提高入侵检测

效率。

(3) 端口阻断功能：可以根据数据包的来源和数据包的特征进行阻断设置。

(4) SYN 代理：对来自定义区域的Syn Flood 攻击行为进行阻断过滤。

3.2.7. 服务保证（QoS）

(1) 分级带宽管理：通过接口带宽、带宽组以及带宽组用户等多级带宽管理，可以针

对IP 地址段，时间段，服务优先级等多种条件设置带宽策略。

(2) 能够以八种优先等级，为流量分配优先权，从而提供针对用户和服务的优先级控

制。

3.2.8. VLAN 与生成树认证

(1) 支持与交换机的Trunk 接口对接，并且能够实现Vlan 间通过安全设备

(2) 进行路由

(3) 支持多种生成树协议，包括PVST+ 及CST 等协议

(4) 支持802.1q，能进行802.1q 的封装和解封装

(5) 支持ISL，能进行ISL 的封装和解封装

(6) Vlan 内交换，在同一个Vlan 内能进行二层交换

(7) 支持802.1d 生成树，能进行802.1d 的生成树协商

3.2.9. 认证