防火墙产品技术规范书(1800F 1000F 500F 100F 10F)

附件技术规范书本部分为防（杀）病毒软件技术规范要求，作为供应商编制投标文件和报价的主要依据。

供应商应针对需求提出完整的解决方案，不可遗漏，否则，将认为供应商认同遗漏部分并免费提供。

一、资质要求1.1产品资质要求1)要求有公安部颁发的《计算机信息系统安全专用产品销售许可证》2)具有公安部一级品资质认证3)产品具有自主知识产权4)具有二次开发和接口功能5)具有同类成功项目经验（5个以上）6)产品成熟稳定，具有3年以上的销售备案记录1.2 公司资质要求投标公司需提供产品销售代理证明二、技术要求2．1 总体要求防（杀）病毒系统是确保整个系统信息安全的重要手段。

针对病毒种类繁多，增长迅速，隐蔽性、再生性强，易传播，发作快、危害严重的特点，防（杀）病毒系统必须对全网范围内的关键组件和信息资源实行全方位、立体、动态、实时的病毒防护。

为此，必须提供强大、灵活、可统一实施的防（杀）病毒策略和集中的管理、事件监控、告警等必要手段，支持自动下载并分发最新的病毒特征码和扫描引擎，提供强大的病毒响应和处理机制等，网络病毒防护系统应易安装、使用和管理。

2．2 实施范围防（杀）病毒系统覆盖的范围：列入本次采购的1个系统控制中心，25个服务器和70个客户机。

产品运行环境要求：（1）服务器环境服务器运行操作系统主要为：Windows 2000 Server、Windows NT、Windows 2003/XP、Linux、UNIX。

（2）客户机运行环境工作站上运行的操作系统包括Windows 2000 Professional、Windows XP、Windows 98、Windows Me、Linux等都需要有病毒防护措施。

对于工作站上运行的邮件客户端如Outlook、foxmail、Notes、Outlook Express、Netscape 以及某些自由软件等邮件客户端都要有相应的病毒防护解决方案。

2.3 方案设计和选型鉴于网络的特殊性和重要性，对防（杀）病毒系统的选型更多地考虑产品在功能、性能上的优势，适当参考产品的性价比，具体考虑的指标包括：2.3.1 集中管理和部署为了便于维护和安全管理，安装一台独立的服务器，用于病毒的防护控制系统中心。

中国移动防火墙产品技术要求(讨论稿)中国移动通信集团公司研发中心2002 年 9 月目录1、防火墙产品综述 (3)1.2、产品体系结构分析 (4)1.2.1、总体类别分析 (4)1.2.2、基于工作机制的体系结构分析 (4)1.2.3、基于硬件实现的体系结构分析 (7)1.2.4、比较分析与相关结论 (8)2、防火墙产品功能需求 (9)2.1、设备物理特性 (9)2.2、基本网络级功能 (9)2.2.1、链路层(Layer2)功能 (9)2.2.2、网络层(Layer3)功能 (10)2.3、基本管理工具与界面 (10)2.4、网络地址转换（NETWORK ADDRESS TRANSLATION） (11)2.5、日志和报告功能 (11)2.6、内容安全功能 (12)2.7、认证功能 (12)2.8、服务类型支持能力 (12)2.9、对DOS/DDOS攻击的防御功能 (15)2.10、系统高可靠性（HA）实现 (15)2.11、与其它安全系统集成与联动功能 (15)2.12、带宽管理功能 (16)3、防火墙产品性能需求 (16)3.1、吞吐量（Throughput） (16)3.2、丢包率（Frame Lose Rate） (16)3.3、时延（Latency） (16)3.4、连接/会话指标 (16)3.4.1、并发连接数（Concurrent Session Number） (16)3.4.2、连接建立速度（New Session Rate） (17)3.5、缓存能力（Back to Back） (17)3.6、有效通过率（GoodPUT） (17)1、防火墙产品综述防火墙是目前最为流行也是使用最为广泛的一种网络安全技术。

在构建安全网络环境的过程中，防火墙作为第一道安全防线，正受到越来越多用户的关注。

防火墙是一个系统，主要用来执行两个网络之间的访问控制策略。

它可为各类企业网络提供必要的访问控制，但又不造成网络的瓶颈，并通过安全策略控制进出系统的数据，保护企业的关键资源。

防火墙设备技术要求一、防火墙参数要求：1. 性能方面：1.1网络吞吐量＞10Gbps,应用层吞吐率＞2Gbps,最大并发连接数＞400万（性能要求真实可靠，必须在设备界面显示最大并发连接数不少于400万），每秒新建连接〉15万。

1.2万兆级防火墙,网络接口数量不少于12个接口,其中千兆光口不少于4个、千兆电口不少于6个、万兆光接口不少于2个,另外具有不少于2个通用扩展插槽。

1.3冗余双电源，支持HA、冗余或热备特性。

1.4具备外挂日志存储系统,用于存储防火墙日志文件等相关信息，另外支持不同品牌网络设备、服务器等符合标准协议的日志格式，日志存储数量无限制。

1.5内置硬盘，不小于600G，用于日志存储。

2. 功能方面（包含并不仅限于以下功能）：2.1具有静态路由功能，包括基于接口、网关、下一跳IP地址的静态路由功能。

2.2具有OSPF动态路由功能，符合行业通用的OSPF协议标准。

2.3具有网络地址转换功能，支持一对一、多对一、多对多的网络地址转换功能。

2.4具有OSI网络模型三层至七层访问控制功能，可基于IP、端口号、应用特征、数据包大小、URL、文件格式、内容、时间段等进行安全访问控制和过滤。

2.5具有基于资源和对象的流量分配功能，包括基于单个IP、网段、IP组、访问源地址及目标地址、应用等的流量管理、分配。

2.6完善的日志及审计系统，防火墙内所有功能均具备相应的日志可供查看和审计。

2.7具有内置或第三方CA证书生成、下发及管理功能。

2.8具有身份认证、身份审计功能，支持用户ID与用户IP地址、MAC地址的绑定，支持基于CA证书、AD域、短信、微信等多种身份认证方式。

2.9具有入侵检测模块，支持入侵防护、DoS/DDoS防护,包含5年特征库升级服务。

2.10具有上网行为管理模块，支持上网行为检测、内容过滤等功能，包含5年应用特征库升级服务。

2.11具有病毒防护模块，可包含5年病毒库升级服务。

2.12具备基于WEB页面的管理、配置功能，可通过WEB页面实现所有功能的配置、管理和实时状态查看。

中国移动华为防火墙配置规范S p e c i f i c a t i o n f o r H U A W E I F i r e w a l lC o n f i g u r a t i o n U s e d i n C h i n aM o b i l e版本号：1.0.0╳╳╳╳-╳╳-╳╳发布╳╳╳╳-╳╳-╳╳实施中国移动通信有限公司网络部目录1. 范围 (1)2. 规范性引用文件 (1)3. 术语、定义和缩略语 (1)4. 防火墙功能和配置要求 (1)4.1. 引用说明 (1)4.2. 日志配置要求 (4)4.3. 告警配置要求 (6)4.4. 安全策略配置要求 (9)4.5. 攻击防护配置要求 (13)4.6. 虚拟防火墙配置要求 (14)4.7. 设备其他安全要求 (14)5. 编制历史 (17)前言为了贯彻安全三同步的要求，在设备选型、入网测试、工程验收以及运行维护等环节，明确并落实安全功能和配置要求。

有限公司组织部分省公司编制了中国移动设备安全功能和配置系列规范。

本系列规范可作为编制设备技术规范、设备入网测试规范，工程验收手册，局数据模板等文档的依据。

本规范是该系列规范之一，明确了中国移动各类型设备所需满足的通用安全功能和配置要求，并作为本系列其他规范的编制基础。

本标准明确了华为防火墙的配置要求。

本标准主要包括日志配置、告警配置、安全策略配置、攻击防护配置，虚拟防火墙配置、设备其他安全要求等方面的配置要求。

本标准起草单位：中国移动通信有限公司网络部、中国移动通信集团重庆、江苏有限公司。

本标准解释单位：同提出单位。

本标准主要起草人：韩治宁、石磊、来晓阳、周智、曹一生。

1.范围本标准规定了华为防火墙的配置要求，供中国移动内部和厂商共同使用；适用于中国移动通信网、业务系统和支撑系统的防火墙。

2.规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。

防火墙通用技术规范防火墙采买标准规范使用说明1.本标准规范作为国家电网企业防火墙通用物质采买的一致技术规范书 , 由通用部分、专用部分、招标人响应和使用说明等四个部分构成 , 合用于国家电网企业防火墙通用物质集中采买采买。

2.通用部分包含一般性技术条款，原则上不需要项目招标人（项目单位）填写，不可以任意改正。

如通用部分有关条款的确需要变动，项目单位应填写《通用部分技术条款技术参数改正表》并加盖该网、省企业物质采买管理部门的公章，及协助说明文件随招标计划一同提交至招标文件审察会。

经标书审察赞同后，对通用部分的改正形成《技术通用部分条款改正表》，放入专用部分中，随招标文件同时发出并视为有效。

3.本标准规范的专用部分主要包含货物需求及供货范围一览表、必备的备品备件、专用工具和仪器仪表供货表、工程概略、使用条件、技术参数要求等内容，项目单位和设计单位在招标前应联合技术发展并依据实质需求认真填写。

4.本标准规范的招标人应答部分主要包含技术参数应答表、技术误差表、招标产品的销售及运转业绩表、主要零件列表、介绍的备品备件、专用工具和仪器仪表供货表、培训及到货需求一览表等内容，由招标人填写。

5.本标准规范的页面、标题等均为一致格式，不得任意改正。

6.本规范将依据技术发展和市场变化按期或不按期做出修编，各使用单位注意查询最新版本 , 免得物质采买出现差错。

目录1 总则 (1)一般规定 (1)招标人应供应的资质及有关证明文件 (1)工作范围和进度要求 (1)标准和规范 (1)需随设施供应的资料 (2)招标时一定供应的技术数据和信息 (2)备品备件 (2)专用工具和仪器仪表 (2)到货、安装、调试、查收 (2)2 其余要求 (3)3 试验 (3)4 质保、技术服务 (3)质保 (3)技术服务 (4)1总则一般规定招标人应具备招标通告所要求的资质，详细资质要求详见招标文件的商务部分。

招标人须认真阅读包含本技术规范（技术规范通用和专用部分）在内的招标文件论述的所有条款。

中国移动IT硬件防火墙集中采购技术规范书中国移动通信有限公司二零零九年六月目录一、总则 (2)1．概述 (2)2．卖方的技术应答要求 (3)2.1技术规范书点对点应答 (3)2.2设备配置应答 (3)2.3设备典型配置要求 (3)2.4技术建议书 (3)3．其他 (4)二、防火墙技术要求 (6)三、设备典型配置 (7)四、其他 (9)附表 (10)一、总则1．概述1.1 本文件为中国移动通信有限公司（以下简称买方）对中国移动IT硬件防火墙设备集中招标采购中的设备供应商（以下简称卖方）提出的技术规范书。

本规范书将作为谈判的基础。

1.2 卖方所提供的所有各项设备和系统(包括软、硬件)应符合技术标准的要求如下：(1) 符合有关标准(如ISO、ITU-T、ETSI、IETF等)，卖方应在建议书中具体说明，并附上相应的详细技术资料；(2) 若卖方的设备和系统包含自己的专用标准，应在建议书中具体说明，并附上相应的详细技术资料；(3) 本文件中未给出，但ITU-T已有建议的系统设备性能和功能均应满足ITU-T 最新建议要求；(4) 待买方新的标准(中华人民共和国通信行业标准和中国移动通信有限公司相关技术要求等)制定出来后，卖方应免费修改其系统以满足要求。

(5)中华人民共和国通信行业标准YD/T 1132-2001《防火墙设备技术要求》及其它已颁发的相关技术要求和文件，具备公安部的销售许可证、国家信息安全测评中心的认证证书、总参的国防通信入网证和国家保密局的推荐证明等文件之一；(6) 中国移动通信标准及其他已颁发的相关技术要求和文件；(7) 国家已颁发的相关法律文件（例如招标法等）1.3 卖方应按照本文件的要求提供报价和详细的技术建议。

卖方提供的各项设备及系统的功能、性能应完全符合买方指明的标准，并满足或高于买方指出的要求。

对于本文件未规定的有关设备性能，卖方应提出建议，并陈述其理由。

1.4卖方应根据本文件的要求提供建议书，建议书要求采用中文书写，设备技术资料应尽量提供中文，可提供英文。

物资明细表序号设备名称单位规格车站 1 车站 2 总数备注1 防火墙台序号设备名称单位规格数量备注1 防火墙台网口 4 个 10/100BASE-TX 端口管理口具备 RS232 管理串口、管理网口及 ADSL 接入网口标准网管协议SNMPv3，并且兼容 SNMP v2c、SNMP v1最大并发连接数≥500000每秒新建连接数>20K整机最大吞吐量≥1000Mpps安全过滤带宽≥100MB用户数无限制Dos、DDoS；支持深入七层的深度检测技术，能检测防范的攻击类型包括：蠕虫/病毒、木马、后门、间谍软件、网络钓鱼、利用漏洞的攻击、 SQL 注入侵防御功能入攻击、缓冲区溢出攻击、协议异常攻击等。

支持外部攻击防范、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤等功能1. 产品规格书2. 技术服务方案3. 备品备件1、安装调试指南2、操作手册3、维护保养说明书4、有关外形图纸和照片、原理图和安装图等卖方的责任包括系统和设备供货、安装、调试、相关的技术服务，以及技术条款所规定的正常运转要求。

在产品安装和交付使用期间，卖方应对整个系统的开通负责。

卖方应承担因卖方实施方案缺陷引起的相关工程返工、变更或增加工作量的责任。

1、要求卖方提供系统维护所需的备件清单。

要求卖方提供易损耗部件清单，并标明其寿命和更换价格。

2、要求卖方提供质保期内备品备件的清单和计算方法，并标明其价格，应计入总价。

3、要求卖方提供质量保证期满后 5 年计算的备品备件清单，并提供备品备件的计算方法，不计入总价。

但卖方应承诺该时期单价不高于质保期内的报价。

卖方须对设备进行结实的包装，并采取措施防潮、防尘、防蚀、防碰，以便经受大批货物的运输和装卸，保证货物安全到达现场且没有任何损坏。

凡因由于卖方对货物包装不善或标记不当导致货物损失、损坏或丢失时，或因此引起事故时，其一切责任由卖方承担。

卖方必须负责把系统设备安全运输到采购方施工现场，凡因由于卖方对货物运输不当导致货物损失、损坏或丢失时，或因此引起事故时，其一切责任由卖方承担。