广西电网公司
2009年11月

总则
1.1 本技术规范书适用于公司电力二次系统安全防护所涉及到的防火墙设备的供货。它列出了该设备在广西电网二次系统安全防护中的功能设计、结构、性能、安装、检测和技术服务等方面要求。

1.2 本技术规范书提出的是最基本的技术要求，并未对一切技术细节做出规定，也未充分引述有关标准和规范的条文，卖方应保证提供符合本技术规范书和工业标准的优质产品。

1.3 本技术规范书所使用的标准如与卖方所执行的标准有偏差时，按高标准执行。卖方为本工程提供的设备应是按最新工艺制造的、全新的、符合国际、国内标准的，以确保系统的安全稳定运行。

1.4 卖方所提供的设备应提供满足本技术规范书的最新型号的产品，并应对涉及专利、知识产权等法律条款承担义务，买方对此不承担任何责任。

1.5 第三方产品的技术、性能参数、测试数据应由产品生产厂商直接提供和确认，并由卖方对设备各项性能负责。

1.6 本技术规范书经买卖双方确认后作为定货合同的技术附件，与合同正文具有同等的法律效力。

1.7 系统投入运行后，如果买方为了符合信息产业部新版或其它的相关技术体制和技术规范，需修改或增加系统的功能，卖方有义务提供性能的修改和增加，同时免费升级软件版本。

1.8 根据本技术规范书，卖方应在投标应答书中对其中的条款逐项回答，确认满足本技术规范的要求和与本技术规范书的差异，对偏差部分单列成偏差表作详细描述。对于需要卖方给予说明的，卖方应进行如实答复，不得遗漏。所有技术应答除书面文件外，应提供电子文档光盘或软盘一份，软件平台为Office2000。如果卖方没有以书面形式对本技术规范书的条款提出异议，则意味着卖方提供的设备(或系统)完全满足本技术规范书的要求。

1.9 本技术规范书未尽事宜，由买卖双方协商确定。

依据标准及规范
除本规范书特殊规定外，竞价单位所提供的设备均按下列标准和规程进行设计、制造、检验和安装。要求所用标准必须是最新版本，如果这些标准有矛盾时，应按最高标准的条款执行或按双方商定的标准执行。如果竞价单位选用本规范书规定以外的标准时，需提交所替换标准相当或优于本规范书规定的标准的证明。

适用标准：
GB8566-88—— 《计算机软件开发规范》
GB—— 中华人民共和国国标。

ISO—— 国际标准化组织标准。

IEEE—— 美国电气电子工程师协会标准。

ANSI—— 美国国家标准委员会标准。

EIA—— 电子工业协会标准。

ITU—— 国际电信联盟。

UL—— 美国保险商试验室标准。

NFPA—— 美国国家防火协会标准。

SI—— 标准国际单位制。

NEMA—— 美国国家电气制造协会标准。

《电力二次系统安全防护规定》，电监会5号令。

《电力系统安全防护总体方案》（国家电力监管委员会[2006]34号文）及配套文件
系统描述
公司电力二次系统安全防护实时控制区和非实时控制区间、非实时系统与电力生产数据专用网络间布置防火墙设备。设备运行与保管环境应该满足电源、防火、防水、防盗等安全要求。设备密码需有专人管理，设备有专人进行操作。

各级调度机构需要对所辖设备的配置进行备份，并可快速恢复，以保证设备的正常运行。

安全性要求
4.1具有自主知识产权的国产设备，且必须是在电力行业具有应用案例，经过市场考验的、成熟的产品。

4.2具有公安部颁发的《计算机信息系统安全专用产品销售许可证》
具有中国国家信息安全测评认证中心颁发的《国家信息安全认证产品型号证书》
4.3通过国家信息安全测评认证中心防火墙安全等级EAL3认证；
4.4支持VPN功能，需要采用国家密码管理局鉴定的密码算法，并提供国家密码管理局的技术鉴定证书。

供货范围
系统各站的设备配置见下表。卖方应根据自身设备的具体情况，对各站做出详细的设备配置，提供设备清单。

供货范围
序号
设备名称
型号及规范
单位
备注

数量硬件防火墙
千兆防火墙
台硬件防火墙
百兆防火墙
台

卖方按上述供货范围提供设备及其附属设备、安装材料、以及卖方认为必要的专用工具及备品备件。并为设备的安装、运行和维护提供各种中文版的技术文件和必要的说明书。

供货时间要求：卖方合同签订后天内完成供货。

功能要求
可以基于网络地址，通讯协议，通讯端口，用户帐号，信息传输方向、操作方式、网路通讯时间、网络服务、等进行综合过滤与访问控制。

支持动态网络地址转换NAT；
支持IP和MAC绑定, 可自动探测局域网IP并进行绑定；
支持应用层协议的内容过滤：对HTTP过滤做到命令级包括URL和脚本（JAVA Applet和ActiveX）两种类型的请求过滤、页面内容过滤；对FTP过滤功能的特性支持命令级控制，以及基于命令级控制实现的对目录和文件的访问控制；对SMTP过滤功能特性支持主题过滤、正文过滤、附带文件过滤、地址过滤、防止邮件炸弹、限制邮件大小、限制RELAY等功能；
支持透明、路由及交换三种工作模式；在交换模式下支持多VLAN之间代理路由功能，方便各区域中不同网段数据的转发；
支持IEEE802.1q的Trunk封装协议；
提供网络信息的自动收集功能，如共享资源信息、IP/MAC地址信息、开放端口信息等；
提供基于IP地址和用户最大流量的控制功能，提供基于优先级带宽的带宽管理功能；
具有一次性口令用户身份认证功能、并通过标准的RADIUS协议支持第三方的认证；
具有安全的自身防护能力，可以实时的防止多种网络攻击和扫描。当出现异常情况时，可以发出警告信息；
防火墙上的配置信息，过滤规则可以方便的下载并保存在软件或着ＰＣ机中，以供备份，需要时再上载或恢复；各类资源对象、访问控制、地址转换策略可单独导入、导出；支持防火墙配置的批量上传；
支持多机热备份功能，切换时间不超过1秒；
日志支持本地和网络两种存取方式，支持日志以专用格式/Welf/Syslog等多种日志格式的输出；日志包括事件日志、访问日志、日志可以方便导出；防火墙带有一套专业管理系统，支持对所有防火墙设备日志的集中收集、管理和安全审计；
采用简化方案对横向互联防火墙和纵向互联防火墙进行合并的还需支持虚拟防火墙的功能；
可屏蔽受保护主机/服务器系统信息，可以替换服务器(FTP、SMTP、POP3、Telnet,HTTP)的BANNER信息；
支持链路备份功能，可以在用户的多条网络出口之间进行自动的切换；
支持设备性能和接口详细信息的监视（CPU、内存、连接数、接口流量等）；支持设备在线状态的监视（包括正常、离线以及报警状态）；支持集中配置、管理；支持实时防火墙连接监控（显示源、目的IP/MAC信息，连接流量、速率）；支持远方手动删除、连接。

支持Bypass功能，避免因防火墙掉电或意外故障时保持通信畅通，保障业务不中断。

性能要求：
Ａ、百兆硬件防火墙
网络吞吐率大于等于300MB;
最大的并发连接数大于100万；
新建连接能力大于3万连接／秒；
4个10/