-1-一、产品需求一览表序号产品名称技术要求数量单位1核心路由器见详细参数要求2台2核心防火墙见详细参数要求2台3核心交换机见详细参数要求2台4县局域网接入交换机见详细参数要求2台5互联网区防火墙见详细参数要求1台6防病毒网关见详细参数要求1台7入侵防御系统见详细参数要求1台8上网行为管理及流控见详细参数要求1台9Web防火墙见详细参数要求1台10网页防篡改见详细参数要求1套11运维审计系统见详细参数要求1台12集中认证平台见详细参数要求1套13日志审计系统见详细参数要求1套14网管平台见详细参数要求1套15服务器见详细参数要求2台16笔记本见详细参数要求1台17台式机见详细参数要求1台18机房见详细参数要求1套19终端设备见详细参数要求130套20线路租赁见详细参数要求1-2-二、主要设备详细参数要求1.
核心路由器技术指标详细参数系统架构采用全分布式硬件架构;要求支持主控、业务板和交换网物理分离;整机线卡采用母板+子卡架构形态,母板和子卡均可拔插;端口要求千兆光口≥16个,千兆电口≥8个系统性能包转发率≥720Mpps.
扩展性要求整机整机主控槽位数≥2个,交换网板≥2个,业务板槽位数≥8个,其中线卡槽位数不低于2个.
虚拟化实现简化上联路由器配置、简化网络拓扑、快速收敛,支持将多台物理设备虚拟化为一台逻辑设备,设备集群后能完全作为单台设备来统一配置管理.
IPSec加密内置硬件加密引擎,本次要求实际配置具备IPsecVPN功能的硬件板卡或功能license;L2TP、GREVPN支持L2TP、GRE,本次要求实际配置具备L2TP、GREVPN功能的硬件板卡或功能license;支持≥20K条GRE、≥64K条L2TP隧道、转发无丢包MPLSVPN为实现与市电子政务外网对接,必须支持MPLSVPN组网支持跨域MPLSVPN(Option1/2/3)、嵌套MPLSVPN、分层PE、CE双归属、MCE、多角色主机等;支持L2VPN,包括VPLS、Martini、Kompella、CCC和SVC方式;支持VPLS/H-VPLS、MPLSTE、RSVPTE、组播VPN多业务扩展能力支持与路由器一体化的防火墙板卡、入侵检测板卡、LB板卡等嵌入式的安全插卡,以简化管理,消除单点故障.
配置要求两台路由器实际部署虚拟化.
配置冗余主控,冗余交换网板、冗余交换网板、冗余模块化电源,支持内置交流电源,不能配置外置交流电源.
服务提供原厂商≥3年售后服务承诺函.
2.
核心防火墙技术指标详细参数-3-系统架构采用非X8664位多核高性能处理器和高速存储器,2U及以下盒式设备端口要求千兆电口≥16个,千兆光口≥8个.
系统性能整机吞吐量≥4G,并发连接数≥200万,每秒新建数≥40000扩展性要求整机最大可扩展接口数量(含固定接口),千兆口≥24个,万兆口≥8个.
虚拟防火墙支持将单台设备虚拟化为多台设备使用,≥32个虚拟防火墙.
可为虚墙划分各类硬件资源(至少包括CPU、内存、存储空间),虚拟防火墙可以按需启动、停止,设备上可以查看到虚拟防火墙状态.
智能分流业务引擎能够资源池化管理、支持即插即用.
统一管理通过一个串口/IP即可进行设备管理,在统一管理界面上能监控并管理所有业务模块.
配置要求两台防火墙实际部署虚拟化.
3.
核心交换机技术指标详细参数总体架构主控、电源、风扇均须采用冗余设计.
支持云数据中心化所需的TRILL、FCoE和一虚多技术,完全兼容40GE和100GE以太网标准.
槽位数主控引擎槽位≥2个,业务槽位≥8个;处理性能交换容量≥70Tbps,包转发率≥10000Mpps多业务特性支持独立硬件SSLVPN业务模块;支持独立硬件LB负载均衡业务模块.
IPv4协议硬件支持分布式IPv4线速处理,其中路由协议必须支持RIPv1/v2、OSPFV2、IS-IS和BGPGR,组播协议支持PIM-SMv6、PIM-DMv6、PIM-SSMv6IPv6协议硬件支持分布式IPv6线速处理,其中路由协议必须支持RIPng、OSPFV3、IPv6IS-IS和IPv6BGP,隧道协议支持IPv6手动隧道、6to4隧道和ISATAP隧道MPLSVPN支持P/PE、L3MPLSVPN、L2VPN、MCE、LDP协议横向虚拟化支持将多台高端设备虚拟化为一台逻辑设备,通过分布式跨设备链路聚合技术,实现多条上行链路的负载分担和互为备份,提高整个-4-网络架构的冗余性和链路资源的利用率.
纵向虚拟化支持在纵向维度上异构虚拟化,将核心和接入设备通过纵向虚拟化技术形成一台纵向逻辑虚拟设备,做到设备统一管理、配置.
一虚多可按照业务板、物理接口、主控板CPU资源、主控板磁盘、主控板内存空间分配的硬件资源.
SDN支持OPENFLOW1.
3标准、支持多控制器、支持多表流水线、支持Grouptable、支持Meter.
云数据中心化功能支持数据中心大二层技术TRIL协议,可使三层路由技术IS-IS直接应用到二层网络中,保持数据转发性能.
;支持FCOE,使数据中心LAN网络和存储网络通过FCoE和CEE的部署,实现数据中心前端网络和后端网络架构的融合.
配置要求根据业务需要实际部署虚拟化,配置满足虚拟化使用的万兆光模块及线缆.
实配固定接口数:千兆以太网电接口数量≥24个;千兆以太网光接口数量≥64个;万兆以太网光接口数量≥8个;配置双主控,冗余电源.
4.
县局域网接入交换机技术指标详细参数交换容量≥336Gbps包转发率≥126Mpps端口千兆电口≥24个,千兆光口≥4个虚拟机为实现简化弱电间配置、简化网络拓扑、快速收敛,支持将多台物理设备虚拟化为一台逻辑设备,设备集群后能完全作为单台设备来统一配置管理.
组播支持IGMPSnooping;支持组播VLAN;IGMPSnoopingv1/v2/v3、支持快速离开SDN/OPENFLOW支持OPENFLOW1.
3标准、多控制器、支持多表流水线、支持Grouptable、支持Meter端口聚合支持跨设备聚合.
DHCP支持DHCPRelay、DHCPServer/Client;支持DHCPSnooping;支持DHCPSnoopingOption82-5-可靠性支持STP/RSTP/MSTP协议;支持以太网OAM;支持CFD连通错误检测;支持SmartLink,可以为双上行组网提供高效可靠的链路备份、负载分担和快速收敛;支持MonitorLink,可以监控上行链路状态,配合SmartLink更高效链路备份切换;支持DLDP,可检测发现单向连通链路;支持RRPP快速环网保护协议;访问控制策略支持基于第二层、第三层和第四层的ACL;支持基于端口和VLAN的ACL;支持出方向ACL,以便于灵活实现数据包过滤;支持基于硬件的IPV6ACL及QOS功能;整机提供ACl条目数不小于4K条;支持802.
1x认证,支持集中式MAC地址认证;支持IP+MAC+PORT的绑定;支持动态及静态的ARP防御功能安全特性支持GuestVLAN;支持IEEE802.
1X认证/集中MAC地址认证;支持SSL,保障数据传输安全;支持ARP入侵检测功能、防Dos攻击、广播报文抑制支持主备数据备份机制5.
互联网区防火墙指标指标项详细参数基本要求接口性能2U机箱配置为≥6个10/100/1000BASE-T接口和≥2个SFP插槽,≥1个可插拨的扩展槽标配模块化双冗余电源默认包含应用识别功能,需能够被市管理平台监管,防火墙吞吐率:≥8Gbps,最大并发连接数:≥350万.
操作系统安全操作系统采用冗余设计网络接入工作模式支持路由、交换、混合、虚拟线工作模式;智能DNS支持智能DNS功能,有效提高用户跨网访问效率;支持DNSDocting,能够将来自内部网络的域名解析请求定向到真实内网资源,降低路径开销,提高访问效率;链路质量探测支持ICMP、Traceroute、TCP、HTTP、DNS等多种链路质量探测方式,用户可以根据探测结果有效判断链路质量;通过HTTP链路质量探测方式,探测结果可以提供DNS解析响应时间、TCP建立连接时间、HTTP交易时间等;通过TCP链路质量探测方式,探测结果可以提供TCP建立连接时间等;通过DNS链路质量探测方式,探测结果可以提供DNS解析响应时间等;访问控制一体化访问控制内置高度集成的一体化智能过滤引擎技术,实现在同一条访问控制策略中配置传统的五元组信息、应用、服务、时间、安全引擎(入侵、URL过滤、病毒过滤、DLP、内容过滤)的识别与控制;安全防护应用层攻击防护支持≥3800+攻击特征库.
同时支持自定义特征库,且厂商具备强大的漏洞和功放研究能力.
-6-DDOS防御内置攻击检测引擎,支持独立的DDOS检测、阻断能力,支持检测包括land、Smurf、winnuke、tcp_sscan、ip_option、targa3、Synflood、Icmpflood、Udpflood、Portscan、ipsweep等攻击;支持DNS异常包检测,支持DNS,Query,flood、DNS,Reply,Flood攻击支持DHCP异常包检测,支持DHCPFlood攻击检测;支持病毒白名单,用户可以根据实际业务需求将特定威胁进行排除文件过滤内置文件过滤引擎,支持对HTTP/FTP/SMTP/POP3等应用协议传送PDF、Office、java-class、jpg等超过20种文档类型的文件过滤;6.
防病毒网关指标指标项详细参数性能要求接口性能≥1个HA口,≥1个MAGT口,≥3个扩展槽位(每个扩展槽位可以匹配6个SFP插槽板卡),≥4光4电板卡一块;≥4个多模模块;最大并发连接数≥280万,吞吐量≥8G,≥三年的防病毒免费升级功能要求防病毒引擎内嵌双引擎杀毒技术,可单独采用流杀毒引擎或文件型杀毒引擎,也可同时支持两种杀毒引擎,能够根据不同的被检测协议采用不同杀毒引擎;能够防御病毒、木马、蠕虫,且支持对压缩数据、加壳病毒的查杀;能够支持对SMTP、POP3、IMAP、HTTP和FTP协议进行病毒扫描和过滤,有效地防止可能的病毒威胁;支持IPv4和IPv6双栈协议的病毒扫描和过滤;支持智能检测应用协议的病毒行为,采用智能方式准确扫描常用协议任意端口的病毒传输行为,而非通过传统手动配置协议端口绑定形式进行病毒扫描;支持多接口旁路的病毒传输监听检测方式,可并行监听并检测多个网段内的病毒传输行为,用于高吞吐量、高可靠性要求的旁路应用环境;病毒库采用主流品牌病毒库;要求每种扫描引擎具有独立的病毒库,病毒库总数≥600万;要求具有独立的蠕虫防护规则库,并可通过手动或自动方式进行升级;内容过滤要求能够根据文件内容识别文件真实类型,有效的阻断非法类型的文件进入企业网络,能够防止通过修改文件扩展名的方式逃避过滤;-7-反垃圾邮件采用邮件地址与IP地址的黑、白名单技术实时检测垃圾邮件并阻止其进入网络;维护与管理要求具有配置文件自动定时上传到指定外部服务器功能;7.
入侵防御系统指标项详细参数硬件性能2U机架式结构,≥4个10/100/1000BASE-T接口;≥4个SFP插槽,默认包括≥2个扩展槽位,标配双冗余电源,整机吞吐率:≥6Gbps,最大并发连接数:≥300万平台要求采用多核硬件平台,内置硬盘等存储日志.
接入模式要求支持直连、路由、VLAN、旁路监听、混合部署等多种接入模式.
要求支持多端口链路聚合.
要求支持多端口链路聚合,支持≥8种链路负载均衡算法.
部署环境支持VLAN、MPLS、PPPoE网络.
支持IPv6、IPv6overIPv4、IPv6和IPv4混合网络.
规则库攻击规则库单独分开,可支持手动、自动、以及离线升级;应用识别规则库单独分开,可支持手动、自动、以及离线升级,URL过滤库单独分开,可支持手动、自动、以及离线升级,支持病毒库,单独分开,可支持手动、自动、以及离线升级.
入侵防御功能能够检测包括溢出攻击类、RPC攻击类、WEBCGI攻击类、拒绝服务类、木马类、蠕虫类、扫描类、网络访问类、HTTP攻击类、系统漏洞类等在内的≥3000种攻击事件.
DDOS防御功能支持检测包括land、Smurf、Pingofdeath、winnuke、tcp_sscan、ip_option、teardrop、targa3、ipspoof、Synflood、Icmpflood、Udpflood、Portscan、ipsweep等在内的DOS/DDOS攻击.
支持DDOS机器人自学习功能,学习时间可设置.
管理支持设备温度监视以及报警,可以自定义温度阀值日志和报表支持日志本地数据库存储,设备断电日志不丢失.
支持生成报表.
8.
上网行为管理及流控指标项详细参数接口性能配置≥4光4电千兆扩展模块、3个可插拨的扩展槽和2个10/100/1000BASE-T接口;标配双电源,接口支持Bypass;包含≥3年系统版本免费升级、URL库及应用特征库升级许可,包括≥8000用-8-户的使用许可.
性能:吞吐量≥12G最大并发连接数≥200万网络功能支持基于4层服务的策略路由;支持ISP自动地址表(电信、移动、网通、铁通等)的策略路由的选路方式;支持多链路冗余切换;支持DHCPReplay/Server;支持DNS代理和DNS缓存;代理功能要求支持http代理、https透明代理、socks5代理、DNS代理、ARP代理、内网代理功能安全功能具有防火墙功能;支持NAT地址转换及端口转换功能;支持GRE隧道封装支持防DDos攻击,支持ARP防欺骗移动终端管理:须支持识别网络中正连接的热点(手机、iPad)、支持管理员配置热点信任列表,支持发现信任列表外非法接入的热点和终端,并阻止该热点/终端上网;支持将非法热点接入网络的行为通过邮件告警通知管理员,并在数据中心支持行为记录和查询;阻止私接路由:能够及时对私接行为进行管控,在系统中能够实时查看管控记录和日志;负载均衡支持≥4出口的多链路负载均衡;支持按应用服务的负载均衡告警功能必须支持详细的告警功能,包含管理员操作日志、设备状态、流量异常、违规网站、违规帖子、违规文件上传、违规邮件发送以及潜在危害的行为告警故障排除要求在界面提供ping、TraceRoute工具进行故障排查要求系统有webUI方式的网络故障排查工具,能够根据网络故障所处的网络位置及接口位置抓取故障数据包,也能够根据正则表达式抓取故障数据包,并可实时在线分析,也可下载调试信息进行离线分析,保证故障快速处理.
9.
Web防火墙指标项详细参数硬件规格2U机架式结构;配置≥2个可插拨的扩展槽和≥4个10/100/1000BASE-T接口和≥4个SFP插槽,≥2个10/100/1000BASE-T接口(作为HA口和管理口);双电源;含1年特征库升级服务.
内含SQL注入、XSS、CSRF等WEB攻击防护功能、URL访问控制功能、防盗链功能、WEB漏洞扫描功能、DDOS攻击防护功能、网页防篡改功能、服务器负载均衡功能、报表分析及告警功能性能:并发连接≥500万;吞吐率≥1000Mbps功能支持透明模式,负载均衡模式,旁路防护模式、旁路监测模式部署;实际使用中至少支持两路链路部署,至少支持≥20个站点数的安全防护.
-9-支持SSL加速,即从客户端到waf到web服务器全部都是https,同时waf提供web安全服务.
支持SSL卸载,即waf可以对数据解密并进行安全过滤处理后不加密数据直接把http数据发送给服务器支持防护SQL注入,Cookie注入,命令注入、跨站脚本(XSS)、会话劫持、缓冲区溢出攻击等WEB攻击,内置预定义防护规则数量≥800条;支持自定义防护规则;支持独立的DDOS攻击防护功能模块,支持null扫描防护、xmas扫描防护、rst扫描防护、syn/fin扫描防护;支持Winnuke攻击、Land攻击、Smurf攻击、Ping-of-death攻击防护;支持XMLDOS攻击防护;支持CC攻击防护;支持SYNFlood、ICMPFlood、UDPFlood攻击防护;支持基于五元组的网络层访问控制支持独立的WEB漏洞扫描功能模块;支持高速缓存功能、数据压缩、服务器负载均衡功能;支持网站数据智能分析功能,包括网站安全状况概览、攻击事件的详细记录、网站访问信息的详细记录;支持通过表格及图形的方式对数据进行展现;支持简体中文、英文管理界面;支持配置向导,帮助用户完成系统基本配置;支持规则库的离线升级及在线自动升级;支持双机热备,主-主模式运行,主-备模式运行;支持VRRP协议,VRRP组管理;支持开机及断电bypass模式.
支持网站特定url需要支持基于USBkey硬件或硬件令牌环的保护,没有这个硬件即无法登录此URL(比如网站后台地址)10.
网页防篡改基本要求产品类型软件产品,跟Web防火墙同一品牌软件支持Linux、Windows日志功能系统日志功能系统能够对用户操作、文件操作和修改、安全日志以及策略配置事件进行完整日志记录.
日志查询系统支持日志记录查询及导出,支持excel报表导出查询.
日志统计分析系统需提供独立的日志统计分析软件,根据操作类型,篡改文件等提供数据统计.
防篡改功对文件的保护能力支持各类网页文件的保护,包括静态和动态网页以及各类文件信息.
-10-能对文件夹保护功能支持对指定文件夹以及子文件夹的保护,避免上传非法文件及木马等恶意文件或插入恶意代码.
篡改恢复功能在驱动遭到破坏文件被篡改的情况下,系统能基于事件触发机制及时恢复被篡改页面,恢复时间≤5ms.
支持断线检测系统配置完成后,系统后台运行,支持断线检测.
支持断线监控保护系统支持在断线情况下对网页文件目录的防护功能.
支持进程管理系统支持黑白名单设置功能,提供进程黑白名单设置.
支持服务监控系统支持对服务进行监控功能.
同步功能系统管理网页文件自动同步功能系统可以从本地或异地备份文件夹自动同步到监测目录内.
支持手工文件同步系统支持手工文件同步功能.
支持管理端上传下载功能系统支持通过管理端受限用户进行文件上传下载功能.
支持网络异常的自动恢复系统支持网络异常的自动恢复.
支持发布失败的自动重发系统支持发布失败的自动重新发布.
支持SSL安全协议进行通信和文件传输系统支持SSL安全协议进行通信和文件传输,保证通信过程安全性.
支持多虚拟主机/目录的并发同步系统支持多虚拟主机/目录的并发同步功能.
支持跨平台自动同步系统支持跨操作系统平台的同步.
网站管理可支持对web服务器的远程维护管理功能,如远程接管、远程唤醒、远程关机、远程用户注销等.
网页分类支持对各类网页文件分类.
实时规则生效策略下发后,无需重启服务器,实时生效.
一对多管理系统支持高效的一对多集中管理模式.
服务器性能监控支持对服务器性能实时监控功能,包括:内存、CPU占用率等.
服务器实时信息监控支持对服务器实时信息监控,包括:实时进程,服务信息,系统日志.
11.
运维审计系统-11-指标项详细参数接口性能1U机架式结构型;≥1个console口,≥2个USB口;≥4个10/100/1000BASE自适应电口,≥1个可扩展插槽;单电源≥1T存储空间,性能:≥50个主机/设备许可用户数不限制.
帐号管理帐号的整个生命周期管理,对主帐号进行增加、修改、删除及锁定、解锁等操作.
能够对各种资源上的帐号进行推、拉、同步.
账号可以添加时间策略、地址策略、命令策略进行细粒度的权限控制.
目录树结构无线扩展,易于资源分类和定位检索.
认证管理支持证书认证、堡垒机运维审计系统本身可以提供证书认证、并可以和现有的其他证书认证结合:如生物特征认证,OTP认证、AD域、MAC地址、智能卡等授权管理可以将资源和资源的从帐号授权给主帐号.
授权给主帐号的资源可以新增和删除.
授权时可以按照树形组显示资源,方便资源的选择.
Windows文件夹共享,资源文件夹共享后,可以授权给堡垒主机主账号.
双人共管模式,实现重要服务器两个人确定,方可访问资源,同时,第二方人员可以实时监控和阻断操作.
审计及报表审计结果支持按照如下关键字进行查询:主帐号名称、资源名称、资源IP、从帐号名称、起始时间、终止时间、命令关键字.