网络安全设备购置项目新媒体部分采购项目采购需求货物类模板Word文件下载.docx
《网络安全设备购置项目新媒体部分采购项目采购需求货物类模板Word文件下载.docx》由会员分享,可在线阅读,更多相关《网络安全设备购置项目新媒体部分采购项目采购需求货物类模板Word文件下载.docx(84页珍藏版)》请在冰豆网上搜索。
人民币279.79万元
12.
项目履约时间
合同签订后30天内交货,60天内完成安装调试及管理集成并具备验收条件。
13.
项目履约地点
XX市XXXX号
第二部分技术和服务需求
一、项目概述
说明
项目背景
执行依据
项目目标
项目内容
在企业互联网出口部署上网行为管理设备,加强内部员工通过企业网接入环境上互联网的审计和管控。
在两个IDC机房部的业务系统互联网链路上署防DDoS攻击系统缓解来自互联网对各项网络服务的攻击压力,保障安全机制的有效性,保证业务的连续性。
为了提升业务平台的处理能力增加4台负载均衡设备,构成可扩展、可管理的应用交付集群系统;
每个负载均衡节点设备须配置足够的SSL连接卸载能力,提升服务器的处理能力;
并由供货单位提供技术集成服务,在zabbix或Nagios开源网管平台上,编制脚本实现设备的容量和状态监控,并配合Vmware虚拟化管理平台实现自动化资源调配。
对办公区1进行企业无线改造,更换原有ArubaAC3400,将AC由单机架构升级为高可用架构,增加AP的布点并优化,由供货单位负责安装和优化服务,满足办公区的无线接入分区管理,终端监控,传输安全的需要;
实现在AC端,运维人员可以观察现场的无线覆盖热力分布图,以便快速定位终端和排除通讯故障。
对办公区2的原有胖AP报废处理,替换为瘦AP(室内型),两地可使用统一软件进行集中设备管理、接入密码管理、访问控制策略管理。
瘦AP(室内型)安装相关工作由供货单位负责。
项目范围
上网行为管理设备1台,防Ddos攻击系统2台,负载均衡设备4台,AP安全接入控制器4台设备的供货、安装调试与提供系统集成服务和售后服务;
提供30台瘦AP(室内型)的供货、现场部署安装和无线网络覆盖调优。
需求分析
设备供应商负责产品的安装与调试,并确保性能和功能满足业务需求;
所有的设备应同时支持IPV4/IPV6工作模式;
安全设备满足等保三级相关要求;
负载均衡设备、防DDos攻击系统,AP安全接入控制器均需采用高可用性架构。
与前期项目的关系
对办公区1进行企业无线改造时,原有无线覆盖系统的情况如下:
原办公区1已有AC1台,型号:
ArubaAC3400,配置了30个授权许可,已经部署瘦AP(室内型)25台,型号ArubaAP105;
以上设备已经部署使用了5年,目前仍然在用。
二、技术需求
(一)集成需求
不作为打分项,供服务要求集成标准参考。
需求说明
业务需求
每个负载均衡节点设备须配置足够的SSL连接卸载能力,提升服务器的处理能力。
我台业务系统的基础架构通过Vmware的Vsphere实现了虚拟化,并利用Zabbix、Nagios开源系统搭建的网管平台,用以采集虚拟化平台、负载均衡设备的运行信息,监测设备的性能压力,虚拟化平台的容量储备;
负载均衡设备需要与网管平台进行管理集成,实现通过预定义脚本自动化完成资源的调整和部署迁移。
办公区1原使用ArubaAC3400AP接入控制器1台(30AP授权)、AP105瘦AP(室内型)25个搭建的无线网络已经使用了5年,需要进行设备更新、布点扩容和无线覆盖优化,同时解决IPv6支持、存在覆盖盲区、通讯效果差、授权不够、故障定位不准的问题。
根据等保三级的要求,在两个IDC机房部的业务系统互联网链路上署防DDos攻击系统,构成一个高可用性集群,缓解来自互联网对各项网络服务的攻击压力,保障安全机制的有效性,保证业务的连续性。
每个负载均衡节点设备须配置足够的SSL连接卸载能力;
并由供货单位提供技术集成服务,对办公区2的原有胖AP替换为瘦AP(室内型),办公区1和办公区2两地可使用统一软件进行集中管理设备、管理接入密码、管理安全策略、管理无线信道优化。
瘦AP(室内型)及AP控制器的安装调试相关工作由供货单位负责。
技术需求
开发接口程序:
利用负载均衡设备提供API接口,与招标方使用Zabbix、Nagios开源系统搭建的网管平台进行系统集成。
实现负载均衡设备配置自动化适应功能:
利用负载均衡设备提供可编程流量管理工具和内置的对主流应用如Weblogic,IIS,SAP、OracleApplicationServer、SharePoint、VMwareView的配置模板、实现脚本自动化调用的功能。
编写自动配置脚本的模板按客户的场景要求,编写不小于15种的配置模板,供使用人参考。
实现现场无线覆盖质量的可视化管理:
利用AP安全接入控制器的无线覆盖可视化管理功能导入AUTOCAD的建筑平面图,在平台图上显示实际布防的AP的无线覆盖场强分布图(热力图)。
系统需求
防DdoS攻击系统部署在电信IDC机房,使用1GbE的光接口。
负载均衡设备使用10GbE*2接口,连接到核心交换机。
上网行为管理设备部署在企业网的互联网出口,使用1GbE光口连接。
原有25个ArubaAP105(室内型瘦AP(室内型))可利旧使用,如需要布线施工,由供应商负责,不破坏原装修标准。
无线覆盖系统的安全性和通信质量满足使用方要求。
(二)采购产品一览表
货物名称
是否为核心产品
单位
数量
产地
1
上网行为管理设备
是
台
国产
2
防DDoS攻击系统
3
负载均衡设备
4
AP安全接入控制器
5
瘦AP(室内型)
30
产品信息以本表为准;
未按本表要求投标的供应商,投标将被拒绝。
(三)产品清单及指标要求
①重要性分为“★”、“#”和一般无标示指标。
★代表最关键指标,不满足该指标项将导致投标被拒绝,#代表重要指标,无标识则表示一般指标项。
②“证明材料要求”项可填“是”和“否”。
填“是”的,投标人须提供包含相关指标项的证明材料,证明材料可以使用生产厂家官方网站截图或产品白皮书或第三方机构检验报告或其他相关证明材料。
未提供有效证明材料或证明材料中内容与所填报指标不一致的,该指标按不满足处理。
1、上网行为管理设备
重要性
指标项
指标要求
证明材料要求
基本要求
★
硬件
标准1U机架设备,X86架构,配置≥4个千兆电口、2个千兆光口,并含不少于2个高速USB2.0接口,至少1个RJ45串口
性能
支持互联网出口带宽≥200Mbps,支持人数≥1200,并发连接数≥12万
部署方式
部署模式
支持网关模式、网桥模式、旁路部署三种方式
多主机
支持两台及两台以上设备同时做主机的部署模式
用户管理
本地认证
支持触发式WEB认证,静态用户名密码认证等
6
认证集成
支持LDAP、Radius、POP3、Proxy等第三方认证
7
#
令牌支持
支持以USB-Key方式实现双因素身份认证;
8
信息绑定
支持绑定IP认证、绑定MAC认证,及IP/MAC绑定认证等
9
MAC信息采集
支持通过SNMP服务器跨三层获取MAC地址
10
MAC异动监控
支持当用户MAC地址变动时,需要重新认证
11
多终端处理
同一个账号,支持与指定数量的多个终端进行自动绑定;
12
短信认证
支持短信认证方式,用户输入手机号作为用户名,通过短信猫或短信平台发送验证码
13
单点登录集成
支持radius、AD、POP3、Proxy、PPPOE、H3CIMC/CAMS、锐捷SAM、城市热点等系统进行认证单点登录,简化用户操作
14
用户信息呈现
用户分组支持树形结构,支持父组、子组、组内套组等
15
失效时间控制
支持用户登录时间、注销时间、在线时长的查询
16
支持自动注销指定时间内无流量的已认证用户
17
支持冻结认证失败次数超过最大值的用户,在冻结时间结束后恢复登录
18
终端管理
支持识别终端操作系统版本、系统补丁安装情况;
19
支持识别终端硬盘指定目录下的文件情况
20
支持识别终端系统后台运行的进程信息,防止间谍软件的运行;
21
支持识别终端系统注册表中指定的表项和键值
22
支持终端调用管理员指定脚本/程序以满足个性化检查要求
23
支持禁止不满足终端检查要求的用户访问互联网
应用管理
24
应用分类
支持根据标签选择应用,标签分类至少包含安全风险、高带宽消耗、发送电子邮件、降低工作效率、外发文件泄密风险、主流论坛和微博发帖6大类
25
应用识别
设备内置应用识别规则库,支持超过4700条应用规则数,支持超过2100种以上的应用,660种以上移动应用,并保持每两个星期更新一次,保证应用识别的准确率
26
移动应用控制
支持对移动应用的细分权限控制,微信:
微信网页版、微信传文件、微信朋友圈、微信游戏。
移动QQ:
QQ传文件、QQ视频语音等,提供技术白皮书或功能截图。
27
白名单功能
支持基于用户组、终端类型、位置、SSID的QQ白名单功能。
28
网络边界合规检查
设备能够发现私接路由(或者共享软件等)共享网络的行为
29
报表定制
支持报表订阅,自定义报表
流量控制
流控策略
支持在不同线路上,根据不同的应用、用户/用户组、位置、终端类型来保证或者限制流量
31
支持将多条外网线路虚拟映射到设备上,实现对多线路的分别流控
32
#
能够实时看到各级流控通道的状态:
包括所属线路、瞬时速率、通道占用比例、用户数、保证带宽、最大带宽、优先级,启用状态等
33
P2P抑制
提供通过抑制P2P的上行流量,来减缓P2P的下行流量压力的功能。
提供技术白皮书或功能截图。
34
配额管理
支持对单个用户/用户组、位置、终端类型等设置日流量、月流量配额功能
2、防DDoS攻击系统
设备要求
操作系统
采用专用硬件架构与专用安全操作系统;
机架设备
标准机架式
硬件规格
2U机型,最大配置不小于24个接口,扩展槽位不少于2个,提供2个作为HA口和管理口,不少于4个10/100/1000BASE-T接口(支持Bypass)和4个SFP插槽。
标配双冗余电源。
性能要求
最大清洗能力
最大清洗能力不小于2Gbps
小包防御能力(64字节/pps)
小包防御能力(64字节/pps)296万pps
最大并发连接数
最大并发连接数>
100万
工作模式
可选工作模式
支持在线串接、旁路检测和旁路清洗三种工作模式。
支持透明部署、旁路回注、旁路下注、主备、负载、集群等
设备联动
支持清洗设备、检测设备的联动
支持第三方检测设备联动
IPv6/IPv4双栈
支持IPv4/IPv6双栈方式
流量清洗功能
数据采集方式
可支持镜像、分光、NetFlow等方式进行数据采集
自学习
支持针对防护对象的自学习功能
支持针对学习周期自定义
支持学习结果自动/手动方式配置防护规则
流量异常检测
支持对异常流量的检测,bps、pps、会话数等格式。
网络层清洗
网络层清洗包括但不限于:
IPFragmentFlood、ICMPFLOOD、UDPFLOOD、UDP碎片防护、TCPSYNFLOOD、TCPACKFLOOD、TCPRSTFLOOD、TCPFINFLOOD、慢速连接耗尽等。
HTTPS协议清洗
HTTPS协议清洗支持在IPv6/IPv4双栈协议下的HTTPS协议的DDOS的防护,包括但不限于:
SSLDOS、https
client
hello
flood攻击等。
HTTP协议清洗
支持HTTP协议的防护,包括但不限于:
HTTPGETFLOOD、HTTPPOSTFLOOD、HTTP代理攻击。
HTTP协议清洗支持自定义HTTP验证码图片;
HTTP协议清洗最少支持4种认证算法,包括:
js自动验证、cookie验证等。
SIP协议清洗
支持在IPv6/IPv4双栈协议下的SIP协议的清洗防护,包括但不限于:
SIPFLOOD、sip
register
flood攻击。
NTP协议清洗
支持NTP协议的防护,包括但不限于:
NTPREQUESTFLOOD、NTPREPLYFLOOD攻击等。
DNS协议清洗
支持DNS协议的防护,如:
DNSQUERYFLOOD、DNSREPLYFLOOD、DNSNXDomainFLOOD、DNS投毒攻击等。
攻击工具防护
支持对annoymous攻击工具的防护;
支持常见开源攻击工具的防护,Windows操作系统下、Unix/linux操作系统;
支持对僵尸工具的防护
过滤器
过滤器支持基于IP、TCP、UDP、ICMP、HTTP、HTTPS、DNS、SIP、NTP、OTHER等协议的自定义报文特征过滤。
过滤器支持丢弃、丢弃+黑名单、白名单、限速的等动作。
过滤器支持基于http协议字段的过滤,可过滤字段包括但不限于:
URI、User-Agent、URI-GET、URI-POST、Referer、Cookie等。
源认证
支持对真实源的有效认证
黑白名单
支持IP地址静态黑白名单功能,
支持IP地址动态黑白名单功能,
支持IP地址黑白名单的导入、导出功能。
35
抓包溯源
支持抓包溯源与指纹提取,针对抓包文件可以进行攻击源IP溯源
36
支持抓包任务管理,可定义抓包数量、协议、源/目的IP、源/目的端口及采样比。
37
支持抓包文件管理和查询,可以支持针对防护对象,时间,类型的抓包文件查询,并支持抓包文件下载和解析。
38
抓包方式
自动抓包:
支持攻击时、流量异常时自动抓包留存电子凭证、并支持自定义抓包数量
39
可手动抓包
40
路由牵引
支持静态路由流量牵引
41
支持动态路由PBR、BGP、OSPF路由牵引。
42
牵引可控
自动流量牵引模式下,流量的牵引在web界面可实现手动可控。
43
流量回注
流量回注:
支持策略路由(PBR)回注、GRE隧道回注、MPLSLSP回注、二层回注、MPLSVPN回注等。
系统管理
44
日志本地存储
支持日志本地数据库存储,设备断电日志不丢失。
45
支持日志满额停止写入
46
支持日志满额转储数据为多种格式,包括但不限于:
支持csv格式、HTML格式、XML等转储格式
47
日志分类
支持流量日志、攻击日志、牵引日志、联动日志、系统日志等等,并详细记录日志的时间、状态、攻击源等
48
日志导出格式
日志导出格式:
支持CSV、XML、Html等
49
报表格式
报表格式:
excel、pdf、word、html等格式
50
报表类型
支持日报、周报、月报等
51
报表类型支持可针对防护对象、报表内容、报表导出条件等可选择性导出报表。
52
报表格式自定义
报表格式自定义支持报表logo、页眉、标题等自定义
53
威胁分析
威胁分析支持对防护对象、攻击IP、攻击事件的top10排名的分析表
54
流量分析
流量分析支持对防护对象、目的IP的top10排名的分析表
55
连接分析
连接分析支持对连接状态、协议、ip、端口等
56
报表
实施监控支持防护对象流量TopN排名
57
支持防护对象攻击TopN排名
58
支持设备状态信息(cpu利用率,内存利用率,磁盘利用率)的图表显示,并且可以详细设置报警阀值
59
支持链路流量的实时显示
60
支持针对攻击威胁分析的实时和历史记录
61
接口状态、链路状态、进程状态监控等
62
管理方式
支持基于B/S架构的管理模式
63
支持WEB、SSH、telnet等方式管理
64
支持https的加密的安全登陆方式
65
统一平台管理
系统支持统一平台管理,在集群部署时支持对多台设备的集中管理,日志收集,运行状态监控,策略下发等
66
防护对象自学习
设备可以自动学习防护的对象ip,并添加到默认防护对象,不需要手动一个个添加防护对象;
67
二级防护对象
针对每个分组可以纵向深层次配置不同的二级防护对象
68
针对二级防护对象可详细设置私有策略,并可以继承一级防护策略
69
支持SNMP
支持SNMP的v1、v2、v2c、v3版本。
70
告警内容
支持针对设备管理硬件状态、系统状态、攻击信息、通讯错误信息、验证容错信息等告警信息
71
告警方式
支持邮件告警,包括但不限于:
多个收件人地址、邮件主题自定义、服务器地址、服务器端口、身份认证、发件人等项的设置
72
支持声音告警,包括但不限于对声音的频率、发声长度、次数、声音间隔等的自定义
73
支持Netbios告警
74
支持统一管理平台告警
75
系统诊断
支持Ping、traceroute、tcp、http、dns等命令自检测
76
网络终端
WEB页面支持内置网络终端登录
77
WebAPI开发接口
支持第三方数据的API开发接口,可基于数据做二次开发
3、负载均衡设备
网络接口
千兆端口≥8个
万兆端口≥2个
CPU
4核CPU,支持多核CPU并行处理技术
内存
≥16GB
存储介质
硬盘≥500GB
冗余设计
关键部件冗余设计,支持热插拔冗余电源
吞吐量
≥10Gbps
最大并发连接
≥10,000,000
四层处理能力
≥150KCPS
七层处理能力
≥425KRPS
最大SSLTPS2KKey
≥4500
最大SSLTPS1KKey
最大SSL加密吞吐量
≥8Gbps
最大SSLVPN用户数
≥5000
最大压缩性能
背板带宽
≥56Gbps
独立管理子系统
提供独立于业务处理系统以外的管理子系统,配备独立的CPU、内存和存储介质,提供独立的管理网口,实现无人值守远程维护
多重引导
支持四个以上的多重引导,便于软件版本升级
在线升级
支持在线升级功能,并支持基于Web的升级方式
系统冗余
支持Active-Active及Active-Standby冗余方式;
提供专用的硬件串口级心跳线和网络级冗余判断方式;
提供连接会话的镜像功能,实现无缝故障切换;
支持多台设备的N+M集群方式。
负载均衡功能
可编程流量管理
管理界面提供基于某种编程语言(如TCL语言)自定义的流量控制方法,可通过自编程方式实现灵活的流量处理手段。
支持负载均衡、DNS处理、用户认证、NAT、路由转发、会话保持等功能的可编程控制。
如支持,请详细描述提供的可编程语言的操作指导手册。
API接口
支持工业标准的SOAPAPI接口,实现与第三方管理软件的无缝集成。
自动化脚本调用
根据特定的统计事件或周期性执行自定义脚本,比如在设备出现问题的情况下,自动收集故障信息并发送给指定的服务器。
服务器负载均衡
完善的第四/七层交换功能,支持可定制的基于应用层的健康检查方式,支持基于IP
升级会员 