招投标系统技术方案.pdf

陕西省电力公司招投标系统 配套网络设备技术响应书 投标单位：陕西思锐电力科技有限公司 二零零七年十月十四日 精品文档就在这里 - 各类专业好文档，值得你下载，教育，管理，论文，制度，方案手册，应有尽有- - -精品文档 - 目录 1.1总体需求分析. 3 1.2现状分析 . 3 1.3投标产品依据的标准及规范. 5 1.4先进性和成熟性. 5 1.5兼容性 . 5 1.6可靠性 . 6 1.7经济性 . 6 1.8可扩展性 . 6 1.9安全性 . 6 1.10可管理性 . 6 1.11网络卫士防火墙猎豹产品技术说明. 6 1.12 设备清单 . 17 1.12.1产品使用范围. 17 1.12.2产品供货 . 18 1.12.3安装与调试 . 18 1.12.4产品质保与维护. 18 1.13 培训和技术联络会. 19 精品文档就在这里 - 各类专业好文档，值得你下载，教育，管理，论文，制度，方案手册，应有尽有- - -精品文档 - 1.1总体需求分析 招投标系统是陕西省电力公司信息化“SG186 ”工程实施以来第一个全面推广实 施的业务应用，系统性能和可靠性要求高，应用实施范围广，并涉及到上下交互、 平台集成的要求。为了保证该应用的快速部署及稳定运行，我公司从招投标管理应 用实际运行的角度，并结合其他企业招投标应用运行环境的参考配置方案，在具体 分析陕西省电力公司网络现状的情况下，提供如下方案。 1.2现状分析 陕西电力信息广域网已建成以光纤为主、5×2M为辅的省内宽带综合业务传输、 交换平台 , 能够支持视频、 语音、数据等综合业务的传输， 满足陕西电力现在与将来 一段时间内视频会议、网络管理、客服、财务、MIS、OA 、Internet访问、电子邮 件、Web应用、变电站 VPN （调度）等生产、管理、经营多种应用的需求。主干带宽 为 1000M ；具备高性能、高稳定性、高安全性和一定可扩展性。为了实现各业务的 独立传输，方便安全与服务质量的管理，在组网技术上采用BGP/MPLS VPN 技术。 省公司是全省信息系统的业务中心、信息交换中心、数据中心和备份中心，也 是陕西电力信息广域网的核心。 精品文档就在这里 - 各类专业好文档，值得你下载，教育，管理，论文，制度，方案手册，应有尽有- - -精品文档 - 陕西电力信息广域网主干采用MPLS VPN 技术，为各关键应用划分了专用VPN 传输通道，实现了业务纵向传输隔离，提高了传输安全性。全网部署视频、网管、 OA 、MIS、生产、客服、财务、 Internet、终端互访等 16 个 VPN 。各 VPN均在接入 PE设备上终结，结合具体情况采用独立接口或802.1Q Trunk VLAN子接口与业务系 统对接。考虑到安全性和管理方便等因素，PE与业务中心采用静态路由互联。 为确保 Internet访问的安全性，在省中心部署了全省Internet总出口，即全 省办公互联网访问均由省公司出口。全省门户网站、全省邮件服务器、DNS服务器 等部署在 Internet服务器群，即 Internet防火墙的 DMZ 区。Internet服务器群除 受防火墙的保护外还受网络入侵检测系统的监控，确保高安全、高可控。在全省 Internet接入点内侧也部署了网络入侵检测系统，以及时检测、阻断来自 Internet 的入侵、攻击。为实现 Internet访问的可控、 可查和信息安全，陕西电力信息广域 网部署了全省 Internet访问安全系统。 该系统实现了用户上网认证、 用户访问过程 审计和用户访问内容审计。 目前网络承载了客户服务支持系统、生产管理系统、OA系统、视频会议系统、 财务、计划统计系统、 IT 管理系统、同业对标系统、新闻发布、Internet访问等十 多种应用；其中 OA 、生产、客服为分布式数据中心结构，财务、对标等应用系统的 精品文档就在这里 - 各类专业好文档，值得你下载，教育，管理，论文，制度，方案手册，应有尽有- - -精品文档 - 数据中心集中部署在省公司。 1.3投标产品依据的标准及规范 我公司所提供的产品均按下列标准和规程进行设计、制造、检验和安装。所用 标准必须均为最新版本，如果这些标准有矛盾时，按最高标准的条款执行或按双方 商定的标准执行。 适用标准如下： a）IEEE 美国电气电子工程师协会标准。 b）ANSI 美国国家标准委员会标准。 c）EIA 电子工业协会标准。 d）ITU 国际电信联盟。 e）ISO 国际标准化组织标准。 f ）UL 美国保险商试验室标准。 g）NFPA 美国国家防火协会标准。 h）GB 中华人民共和国国标。 i ） SI 标准国际单位制。 j ）NEMA 美国国家电气制造协会标准。 投标产品的选型： 本次投标我公司选用产品满足以下要求 1.4先进性和成熟性 所选择的产品都应是成熟、可靠的产品。产品供应商实力雄厚，市场占有率较 高，产品具有延续性，能保证系统未来发展的需要。 1.5兼容性 产品具有良好的兼容性和开放性，能作为目前及今后多种应用的运行平台。 精品文档就在这里 - 各类专业好文档，值得你下载，教育，管理，论文，制度，方案手册，应有尽有- - -精品文档 - 1.6可靠性 产品具有高度的可靠性，保证系统7x24 小时不间断运行。 1.7经济性 系统的软件和硬件系统的配合最佳，且具备良好的性能价格比。 1.8可扩展性 系统具备较强的扩展能力，以适应未来业务发展的要求。 1.9安全性 产品配置具备良好的安全性，保证系统安全、稳定运行。 1.10 可管理性 产品具有灵活、方便的管理控制手段。 1.11 网络卫士防火墙猎豹产品技术说明 1.11.1 可编程 ASIC 技术 在确定技术总体方案时，选择合适的硬件体系结构是非常重要的。如果硬件架 构选择不当，就无法保证千兆线速防火墙必须具备的高性能、高灵活性和足够的稳 定性。 目前实现千兆防火墙的硬件体系结构可以分为通用CPU 架构、 可编程 ASIC 架 构和网络处理器架构三种，他们各自的特点分别如下： 通用 CPU 架构：通用 CPU 架构最常见的是基于Intel X86 架构的防火墙，在 百兆防火墙中 Intel X86架构的硬件以其高灵活性和扩展性一直受到防火墙厂商的 青睐； 由于采用了 PCI 总线接口，Intel X86架构的硬件虽然理论上能达到2Gbps 的 吞吐量甚至更高， 但是在实际应用中， 尤其是在小包情况下， 远远达不到标称性能， 精品文档就在这里 - 各类专业好文档，值得你下载，教育，管理，论文，制度，方案手册，应有尽有- - -精品文档 - 通用 CPU 的处理能力也很有限。 可编程 ASIC 架构：可编程 ASIC （Application Specific Integrated Circuit， 专用集成电路）技术是当前高端网络设备广泛采用的技术。由于采用了硬件转发模 式、多总线技术、数据层面与控制层面分离等技术，可编程ASIC 架构防火墙解决 了带宽容量和性能不足的问题，稳定性也得到了很好的保证。 网络处理器架构：由于网络处理器所使用的微码编写有一定技术难度，难以实 现产品的最优性能，因此网络处理器架构的防火墙产品难以占有大量的市场份额。 因此，采用可编程ASIC 架构是目前千兆高端防火墙的主流技术。 1.11.2 网络卫士防火墙猎豹系列产品与传统产品的比较及特点 最低的功耗时，标准单元ASIC 很可能仍将是首选的技术，只要产量和价格能 满足业务的需要。然而，最新的统计显示，大约80% 的 ASIC 从来没有达到 50 万片 以上的投产量。目前，中等设计复杂度大约是120 万门(80 万逻辑单元和 40 万储 存单元 ) 。尽管 FPGA 供货商并不承认，但最大型的FPGA 仍必须突破 100 万逻辑闸 的门坎。结果，越来越多的 ASIC用户正寻求可行的替代方案。这些趋势说明，不论 ASIC 还是 FPGA 都不能有效满足某些设计需要，而且这样的设计变得越来越多， FPGA 与标准单元 ASIC 之间存在巨大的市场空白。 传统的 ASIC 和 FPGA 设计方法，都能够满足网络IT 设备部份需要，但随着应 用的多样化，这两种技术都也暴露了一些大缺陷： 1）虽然 ASIC 一旦投产，就能提供良好的性价比，但ASIC 设计、工具和光罩 的巨额成本令大多数公司望而却步。严格的ASIC 设计流程和硬联机的实现方式不 能提供相应的灵活性，因而无法及时抓住稍纵即逝或新兴的市场机会。缺乏灵活性 还导致可升级能力较弱，因为诸如通讯基础设备等许多应用的关键需求之一是具备 现场可升级能力。 2）FPGA 能解决上市时间以及ASIC 缺乏灵活性的问题，并能避免在工具上的 前端高额投资以及NRE 费用。然而，高昂的FPGA 单片成本限制了它们在成本感应 型应用中的使用。高功耗、低性能以及有限容量等技术因素使FPGA 在很多应用中 显得不切实际或缺乏经济上的可行性。日益缩短的产品生命周期以及不断提高的性 精品文档就在这里 - 各类专业好文档，值得你下载，教育，管理，论文，制度，方案手册，应有尽有- - -精品文档 - 能和容量需求迫使产品开发商采用创新的IC 技术，以满足这些市场需求。为解决 传统设计方法的缺陷，特别是弥补FPGA 和高端 ASIC 之间的需求间隔，从2002 年 开始众多厂商先后提出并开发了可编程ASIC(Programmable ASIC)，可编程 ASIC 融 合了 FPGA 和 ASIC 的优点，克服了它们的缺陷。 1.11.2.1可编程 ASIC 技术特点 可编程 ASIC 是将多个电路迭层 （Layer） 的 ASIC ， 将其中数层的电路改成FPGA 的型态（允许变动、调整电路） ，并保留几层为原有的传统ASIC 型态（不允许再行 调整电路）。如此，可编程 ASIC 的价位成本、变更弹性、设计周期、效能、用电等 各种特性，皆能介于ASIC 与 FPGA 之间。这种电路结构、特性上采复合、混种的设 计正好填补了今日ASIC 与 FPGA 所难兼顾的市场需求。 可编程 ASIC 的设计在七层 的电路迭层， 其中三层允许可程序化调整 （类似 FPGA ） ，其它层仍为传统ASIC 的固 定光罩制成。 由于可编程 ASIC的设计不同于以往的ASIC ，也不同于以往的FPGA ，鉴于可编 程 ASIC的技术优势，众多全球性大公司参与其中， 很多知名的开发厂商都提供了相 应工具，形成了一个完整的可编程ASIC 的产业链。在可编程 ASIC 中固定的或低风 险的设计功能例如防火墙系统的路由、交换、 以及报文队列等，可以用传统 ASIC 电路实现，而高风险模块和需要现场可升级能力的功能可以被置于可编程的电路层 中实现。这种方案能提供类似FPGA 的设计流程和灵活性，同时达到类似ASIC的性 能、功耗和成本。传统ASIC 在 TAT （Turn-Around Time；设计、验证、修正微调的 周期往返时间）周期时间上需时50 多个星期，而改用可编程ASIC 可缩短至 18 20 个星期，大大加速芯片产品及时上市的时间。 同时基于可编程ASIC的产品的 NRE 费用接近 FPGA 。 1.11.2.2可编程 ASIC 在安全领域应用的必然 现在网络的速度越来越快，防火墙应用越来越丰富，网络应用越来越向实时交 互发展，新的业务层出不穷，从而要求的性能越来越高，从100M 到 1000M 到 10G ， 实时性越来越向电路级靠拢，对新的应用、解决新威胁也要求安全设备在几个月得 到响应。在高端安全可编程ASIC 中把成熟的功能单元ASIC 化，如内存控制、 IP、 精品文档就在这里 - 各类专业好文档，值得你下载，教育，管理，论文，制度，方案手册，应有尽有- - -精品文档 - MAC 、交换、路由、 3DES/DES/MD5/SHA1、模式匹配等，而把不成熟或会变化的功能 置于 FPGA 形态电路层，如 H323 支持。通过这样的设计与实现，减少了NRE ，降低 了单芯片的成本，加快了开发，同时确保了高速与低时延。从芯片的角度探讨安全 技术，已经成为国际性公司展现实力的最普遍形式之一，特别是在专用芯片领域， 一大批公司试图通过完全的自身研发，从而得到专属芯片技术。在高端的产品，无 论是交换机、路由器还是安全设备，最大的技术区分还是集中在芯片上。对安全技 术，更面临着工作稳定性和自身安全性的挑战。 1.11.3 猎豹系列防火墙介绍 1.11.3.1 产品概述 网络卫士防火墙系统猎豹产品，是天融信公司在多年网络安全产品开发与实践 经验的基础上开发的，基于可编程ASIC 为核心芯片的最新一代防火墙。 猎豹继承了天融信公司十年来在安全产品研发中的积累的多项成果，以自主知 识产权的网络安全操作系统TOS （Topsec Operating System ）为系统平台，采用开 放性的系统架构及模块化的设计思想，充分体现了天融信公司在长期的产品开发和 市场推广过程中对于用户需求的深刻理解。 同时，猎豹采用了天融信自主研发的最新一代可编程ASIC 芯片 TopASIC.， 它天融信公司投资数千万元， 历时三年，在多年芯片开发实践的基础上的研发成果， TopASIC. 既具有高可靠性、 高扩展性， 为系统提供了灵活的升级能力，同时又能确 保防火墙的千兆、百兆端口在各种应用下达到线速转发，为防火墙构建了一个高性 价比的安全平台。 猎豹是网络卫士防火墙系列的中高端产品，适用于性能要求较高的网络环境， 是天融信为政府、金融、能源、教育等行业及大中型企业客户量身打造的高性能防 火墙产品。 1.11.3.2 产品特点 自主产权的安全芯片猎豹的核心芯片TopASIC.：是天融信在多年芯片开发的 经验积累下，在上一代芯片开发的基础上完成的，从而确保该芯片在继承了原有技 术优势的同时，技术的稳定性好。TopASIC.的成功开发和应用，使天融信跻身于少 精品文档就在这里 - 各类专业好文档，值得你下载，教育，管理，论文，制度，方案手册，应有尽有- - -精品文档 - 数拥有芯片级核心技术自主产权的国际安全厂商的行列。 高集成度高稳定性的芯片：猎豹借鉴了业内芯片SoC(System on Chip) 技术， 芯片内置硬件防火墙单元、7 层数据分析单元、 VPN加密单元、硬件路由交换单元、 快速报文缓存、 MAC等众多硬件芯片单元，使得防火墙全部业务功能都在安全芯片 系统内完成。高度集成化确保产品具有低功耗、高性能、高稳定、长寿命的特点。 灵活的双引擎构架：猎豹的核心构架采用高性能管理CPU 与可编程 ASIC 技术 相结合的方式，将系统的控制平面与数据平面分开，大大降低了控制平面与数据平 面间的数据流量。 ASIC 硬件芯片负责数据业务的处理转发；高性能管理CPU 处理 器提供系统的管理控制功能，它具有强大运算能力的优势可以大大提高系统的自身 抗攻击能力，以及保证在高强度攻击下的系统自身管理效率。 真正的线速性能：内置的专用硬件加速芯片，保证系统从小包64 字节到 1518 字节的数据处理，从简单功能到复杂网络应用组合，都可以达到100% 的线速转发。 加之天融信自主TAPF (TopASIC Packet Fashpath) 报文转发技术，报文转发延迟比 传统防火墙降低了数十倍。具体表现为：各种业务条件下的线速转发。例如当启动 NAT 、各种防火墙策略后，系统性能不变。系统大容量。2.8Gbps 总容量。猎豹所有 端口全部线速转发。低延迟。借助报文快速处理TAPT 等技术，使得报文转发延迟 相对 X86 或者 NP构架防火墙有数十倍的降低，最低可以小于3us。 高稳定性和高处理能力：专用芯片技术是当前高端网络设备广泛采用的技术。 由于采用了硬件转发模式、 多总线技术、 数据层面与控制层面分离等技术，专用芯 片架构防火墙解决了带宽容量和性能不足的问题，稳定性也得到了很好的保证。通 过对用户需求的深入了解，对关键功能的处理流程进行大量的优化工作，使得关键 处理部分以简单而固定的方式实现，从而固化到硬件。通过把指令或计算逻辑固化 到硬件中，可以获得很高的处理速度，因而能够很好地满足网络安全设备对处理能 力、性能及稳定性的要求。 自主产权的安全操作系统平台： 猎豹采用自主知识产权的安全软件操作系统 TOS （Topsec Operating System） ，既提高了产品性能，又提高了产品的灵活性、高 效性和安全性。具有高安全性、高可靠性、高实时性、高扩展性及多体系结构平台