一南昌工学院.docx
《一南昌工学院.docx》由会员分享,可在线阅读,更多相关《一南昌工学院.docx(25页珍藏版)》请在冰豆网上搜索。
一南昌工学院
南昌工学院中心机房网络设备招标说明
一、设备名称及参数
1、核心交换机华为S9306,具体参数如下:
名称
型号/规格
数量
单位
华为S9306核心路由交换机
S9306总装机箱
1
台
一次电源--40degC-65degC-90V-290V-53.5/15A-输入176V以下半载
2
块
QuidwayS9306/S9312主控处理单元
1
块
48端口百兆/千兆以太网电接口板(EA,RJ45)
1
块
24端口百兆/千兆以太网光接口板(SA,SFP)
1
块
2、磁盘存储华为OceanStorS2600T,具体参数如下
存储
OceanStorS2600TV1(V100R005)
2600T主设备
基本配置
控制框
数量
2600T-2C8G-AC
S2600T控制框(2U,2.5",双控,交流,8GB,8*8GFC,2*2*4*6GSAS后端口,SPE31C0224)
1
硬盘组件
SAS600-10K-3
600GB10KRPMSAS硬盘单元(2.5")
8
安装材料
SN2F01FCPC
光跳线-DLC/PC-DLC/PC-多模-3m-A1a.2-2mm-OM3弯曲不敏感
8
软件
LIC-S2A-ISM02-BLOCK
OceanStorS2600T块存储-设备管理使用许可
1
3、WAF
(a)硬件及性能要求:
硬件参数
网络吞吐≥10Gbps,IPS吞吐≥5Gbps,并发连接数≥800万
2U机架式设备,冗余电源,硬盘容量≥1TB;
6个固化千兆电口,8个千兆光口,8个万兆光口,1个Console口,2个USB口;
配8个SFP光模块,配4个SFP+万兆模块。
(b)详细参数要求:
大项
子项
细节要求
防火墙和网络
地址转换NAT
支持源地址转换,包括静态、动态地址转换和动态端口转换三种机制;
支持目的地址转换,包括地址和端口静态转换映射;
支持双向地址转换,支持一条策略完成源和目的地址转换;
支持扩展NAT,1个公网地址可支持60万以上连接的地址转换;
★支持多种形式的地址转换功能,可配置源地址转换、目的地址转换及双向地址转换(在一条规则中既实现源地址转换,又实现目的地址转换)策略(投标文件需提供双向地址转换的设备配置截图)
路由协议
支持静态路由协议;
支持策略路由,需根据ISP地址和TOS字段进行策略路由;
支持动态路由协议RIP;
支持动态路由协议OSPF;
基本访问控制
可基于IP(源、目的)、端口(源、目的)、协议配置网络访问控制策略;
可划分不同安全级别的安全域,可基于安全域设置访问控制策略;
支持应用层协议网关控制包括FTP、PPTP、TFTP、SIP和H.323等;
攻击防护
支持对ARP攻击的防护,并提供不少于3种防护手段
支持针对SYNFlood、ICMPFlood、UDPFlood和DNSFlood的攻击防护;
支持安全区域的DDOS攻击防护,能够针对服务器或主机网络进行针对性的防护;
支持TCP端口、UDP端口和主机Host的扫描防护;
支持对TearDrop、LAND、WinNuke、Smurf、Fraggle、IPSpoofing和PingOfDeath等攻击的防护;
IPSECVPN
支持AH、ESP协议,可手工或通过IKE自动建立安全联盟;
支持DES、3DES、AES多种加密算法;支持MD5及SHA-1验证算法;
支持IKE主模式;支持NAT穿越;支持IKEv2和野蛮模式;
支持数字证书,包括证书请求生成和导入;
支持L2TPVPN,可支持多种终端类型接入;
高级网络
支持DHCP的动态地址分配服务和客户端请求功能;
支持DHCP中继功能;
支持静态ARP和ARP代理功能;
支持DNS透明代理功能,支持对指定域名直接进行域名解析和指定DNS服务器进行解析。
支持DDNS功能;
链路负载均衡
支持出口多链路的负载均衡,可支持带宽比例和链路优先级方式的负载方法;
支持基于应用的链路负载均衡,保证能够支持P2P下载和视频应用的引流;
支持链路状态检测,可实现链路实时备份;
应用层访问控制
身份识别
支持IP/MAC地址与身份绑定,识别用户;
支持用户名密码进行web方式的认证与DAP\AD\POP3\SMTP\RADIUS方式的联动认证;
支持对LDAP\AD\POP3\SMTP\RADIUS\PORTAL\锐捷SAM\H3CCAMS\PPPOE城市热点\各种数据库格式的单点登录;
★可免认证同步AD/SQLServer/MySQL/ORACLE等系统的用户认证信息(投标文件需提供与上述数据库联动的设备配置截图)
应用识别
★可根据应用协议库方式识别P2P、IM、OA办公应用、数据库应用、ERP应用、软件升级应用、木马外连、炒股软件、视频应用、代理软件、SSL、网银、移动互联网等应用,应用协议库规模大于3000条;(提供截图证明)
可识别P2P、远程管理、代理软件、下载工具和即时通讯等超过300种高风险应用;
必须为每个应用提供威胁等级,便于威胁直观可视
应用层访问控制
可基于人员、应用进行应用层访问控制,无需依赖IP和端口,人员出差或服务器变更导致的地址变化不影响原有的安全访问策略;
可基于5元组+源和目的安全域+人员及应用合计9个维度进行超级精细化应用层控制;
应用层OQS
可基于人员、应用进行应用层QOS,无需依赖IP和端口;
可基于5元组+虚拟链路+时间+人员及应用合计9个维度进行超级精细化应用层控制;
可基于3层嵌套通道实现应用层QOS;
可对应用流量分配最小的保障带宽和分配最小的静态预留带宽;
可对被封堵的应用连接进行复位操作,避免P2P等应用被阻塞后,产生大量试探性连接的重发而造成网络设备性能下降;
BYOD终端管理和应用识别
可针对移动应用进行应用层访问控制,可识别包含APPStore,91助手、安卓市场等在内的500种移动应用;
可区分识别并管理移动智能终端和PC终端,可区分识别管理苹果、安卓、塞班、黑莓操作系统的移动终端;
可识别出内部人员上网的地点,针对上网地点的合法性进行管理;
应用层安全防护
集成化防护策略
在一条策略中实现对指定应用和用户的访问控制、防病毒、漏洞检测防护、间谍软件检测、网址过滤、文件类型过滤和数据内容过滤;
集成入侵防御
可以对SSL加密数据进行入侵行为检测;
可防护入侵类型包括蠕虫/木马/后门/间谍软件/利用漏洞的攻击/缓冲区溢出攻击/协议异常/暴力攻击/SQL注入等;
入侵特征可按保护服务器和客户端两大类划分,可按安全级别的分类并进行动作设置,方便用户进行细致分类配置;
入侵防御特征超过2万条,实时生效攻击特征超过3000条,并能够自动或者手动升级;
集成防病毒
可针对HTTP、FTP、SMTP、POP3、IMAP应用(不依赖端口识别)进行防病毒查杀;
能实时查杀大量文件型、网络型和混合型等各类病毒;并能够对ZIP、GZIP和RAR等压缩文件进行查杀;
采用流杀毒引擎,提升杀毒效率,降低网络延迟,支持本地病毒库规模大于300万以上,可以自动或者手动升级;
采用云查杀木马病毒引擎和本地木马病毒查杀双引擎,查杀引擎可以在设备上自由切换;
病毒查杀
★支持病毒云查杀,病毒查杀云支持私有云和公有云,用户可通过配置自行选择(投标文件需提供选择云查杀引擎的设备配置截图)
集成网址过滤
★网址分类库规模大于3000万条,投标文件需提供所投产品生产厂商最近12个月内的网址分类库更新记录(包括更新日期、网址条目总数及新增、修改、删除的网址条目数)
网页库可分为包含病毒、木马和钓鱼网站等分类在内的42类或以上;
支持利用云技术实时过滤木马和钓鱼网站;
★支持URL云服务,设备可与云服务器联动查找本地未识别的URL(投标文件需提供可体现URL云端协查的设备截图)
威胁主动防御
威胁可视化
应用威胁风险等级可视:
每个应用需标注威胁风险等级,对应用的威胁风险程度一目了然;便于管理员主动进行进一步威胁防护策略调整;
网络威胁风险等级可视:
管理员登陆防火墙后,可直观看到当前威胁风险等级分数;
威胁风险应用分布可视:
管理员登陆防火墙后,可直观通过一张颜色+面积+应用图看到当前不同威胁风险等级应用的连接和流量使用构成;便于管理员主动进行进一步威胁防护策略调整;
威胁国家来源可视:
可直观看到威胁风险应用的源国家、目的国家;
威胁地点来源可视
可直观的看到威胁产生的网络内部地点;
基线对比分析
新增威胁风险应用基线对比
可同安全基线对比最近突然出现的威胁风险应用,便于及时发现潜在威胁;
消失应用基线对比
可同安全基线对比最近突然消失的应用,便于及时发现网络问题或潜在威胁变化;
增长应用基线对比
可同安全基线对比最近突然增长的应用,便于及时发现潜在威胁变化;
减少应用基线对比
可同安全基线对比最近突然减少的应用,便于及时发现潜在威胁变化;
集成关联分析
威胁钻取分析
可根据威胁应用或内容为入口,任意钻取,深度分析威胁构成;
一体化防护日志
集成关联分析,FW+AV+IPS+URL+DLP日志,可串行发现分散隐藏的威胁入侵,便于发现未知威胁;
未知识别与控制
未知威胁应用防护
识别未知TCP和未知UDP的未知应用,能够对其进行一体化的应用层安全控制策略,防御未知威胁;
动态阻止列表
支持将其他安全机构发布的高风险IP列表作为对象,并作为黑名单在策略中引用。
支持在设备中预置一些知名机构提供的列表。
单点登录
★支持B/S应用的单点登录配置(投标文件需提供单点登录设备配置截图)
数据防泄露
基于应用的文件类型过滤
★支持300种以上应用传输中的文件类型过滤,保证Web邮件、OA软件系统和网盘等应用的文件类型过滤;(提供截图证明)
★支持65种以上文件类型过滤,包括Office文档、图像、工程图和音视频等文件类型;
支持基于文件类型特征的识别方法,保证在修改文件后缀后仍然可正确识别文件类型;
支持上传和下载双方向的文件类型过滤能力
基于应用的数据内容过滤
★支持300种以上应用中的数据内容过滤,保证Web邮件、网盘和论坛等应用的数据内容过滤
支持基于正则表达式方式提供内容关键字的设置
提供预定义的内容关键字,包括身份证号、信用卡号和银行卡号等
支持上传和下载双方向的数据内容过滤能力,同时支持过滤报警阀值和阻断阀值设置
支持对SSL加密数据进行内容过滤
外发内容审计
★可对至少10种电子邮件应用(WebMail)、25种论坛发帖应用(非HTTP-Post)进行外发内容审计(投标文件需提供支持外发内容审计的应用列表以及对应的设备配置截图)
威胁分析
智能定位僵尸主机
★支持基于僵尸网络的行为分析技术,来定位分析出网络中存在可疑和未知的僵尸网络主机;(提供截图证明)
★支持僵尸网络行为参数配置调整,支持按照每天报告僵尸网络主机;(提供截图证明)
应用威胁分析
支持对高风险应用进行威胁分析,智能发现可能含有威胁行为的应用和可疑的源IP。
日志高级查询
可利用多条件组合查询到网络应用的6元组及访问国家的流量日志;
可利用多条件组合查询到网络应用的6元组及威胁等级的威胁日志;
可利用条件组合查询到网络应用的6元组及网址分类的网址过滤日志;
可利用条件组合查询到网络应用的6元组及文件类型的文件类型过滤日志;
可利用条件组合查询到网络应用的6元组及内容的数据内容过滤日志;
日志统计
可生成各种统计排名报表,包括应用流量、IP流量、应用威胁和IP威胁排名;
风险管理
★可单独评估每条策略的风险系数,提供各策略所允许的高风险应用流量处理建议,并支持一键阻断高风险应用(投标文件需提供能够体现安全策略风险系数及调优建议的设备截图)
系统监控和管理
实时监控
可用仪表盘方式展示设备CPU、内存、硬盘使用情况和接口状态;
可实时监控到24小时内的带宽分布、流量构成比例;
报告
支持应用、人和内容三个维度的统计报告,支持威胁信息分析报告等;
支持报告订阅和定期发送;
支持邮件方式发送报告;
管理权限
支持三权分立管理,提供超级管理员,系统管理员和审计员角色;
网页命令行
★支持通过WEB方式连接CLI命令行,可进行相应的命令配置和调试监控等;
兼容性
★此产品需经过我校测试通过或中标后按照此参数进行测试,如有不满足做虚假应标处理。
资质要求
资质
公安部网络安全保卫局颁发的《计算机信息系统安全专用产品销售许可证》(万兆三级)(投标时提供复印件加盖厂商公章)
国家信息安全漏洞共享平台(CNVD)用户组成员
安全产品通过赛可达实验室“东方之星”认证
4、抗DDOS攻击设备;
(a)硬件及性能要求:
硬件参数
网络吞吐≥12Gbps,IPS吞吐≥6Gbps,并发连接数≥850万
2U机架式设备,冗余电源,硬盘容量≥2TB;
6个固化千兆电口,8个千兆光口,8个万兆光口,1个Console口,2个USB口;
配4个SFP光模块,配4个SFP+万兆模块。
(b)详细参数要求:
部署模式
支持将接口设置为网关模式、透明模式和镜像模式部署
路由协议
支持静态路由、策略路由、RIP、OSPF路由
地址转换
★支持多种形式的地址转换功能,可配置源地址转换、目的地址转换及双向地址转换(在一条规则中既实现源地址转换,又实现目的地址转换)策略,投标文件需提供双向地址转换的设备配置截图
DNS透明代理
★可识别并透明代理到任意DNS服务器的解析请求,支持在不更改终端设备DNS服务器地址的情况下,将指定的域名解析为IP地址,或将解析请求发送至指定的DNS服务器,并代理原DNS服务器返回解析结果,投标文件需分别提供上述两种DNS代理方式的设备配置截图
IP协议
★支持IPv4和IPv6双栈,产品具有IPv6ReadyPhase2认证,投标文件需提供证书复印件
高可靠性
支持HA高可靠性部署,可工作于主备、主主模式,会话、用户、配置可实时同步
负载均衡
★支持多链路负载均衡,要求负载均衡策略可同时以源地址、目的地址、运营商地址、应用为条件,并支持多链路按比例或优先级实现负载分担,投标文件需提供同时包含运营商地址和应用的负载均衡规则配置截图
支持DNS解析的负载均衡,可透明代理所有DNS解析流量,在不更改终端设备DNS服务器地址的情况下,将域名解析请求按比例转发至多个链路对应的DNS服务器,并代理原DNS服务器返回解析结果
★支持基于运营商地址的链路负载均衡,要求系统预定义中国电信、中国联通、中国移动、中国教育和科研计算机网的地址,投标文件需提供可证明内置上述运营商地址的设备截图
应用协议识别
★可实现应用控制,应用特征库包含的应用数量(非应用协议的规则总数)大于3000种,投标文件需提供能够证明应用特征库规模的设备截图及权威机构检测报告
可深度识别每种应用的安全属性,为每种应用提供预定义的风险系数
自定义应用
可基于协议端口、IP、HTTP-get/post/connect/host/referer/user-agent等参数值自定义B/S应用,并可自定义其应用风险系数
用户识别
支持基于用户的访问控制,可与LDAP/Radius用户认证系统联动,并能够基于POP3和ESMTP协议与邮件系统进行认证联动
可免认证同步AD/SQLServer/MySQL/ORACLE等系统的用户认证信息
文件传输控制
★可对不小于100种应用(要求至少包含20种电子邮件应用、50种论坛发帖应用以及25种网盘、云盘等网络存储应用)的文件传输行为进行文件类型和文件内容过滤,投标文件需提供支持文件类型和内容过滤的应用列表及对应的设备配置截图
要求所支持识别的文件类型不少于100种,文件类型识别基于文件特征而非扩展名,更改文件扩展名后仍可有效识别
要求能够对doc/docx/xls/xlsx/txt等不少于15类文件的内容进行关键字过滤
外发内容审计
可对至少10种电子邮件应用(WebMail)、25种论坛发帖应用(非HTTP-Post)进行外发内容审计
流量管理
★支持精细化流量管理功能,可配置主通道、子通道、微通道3层嵌套的流量管理策略,投标文件需提供可体现多级通道流量管理的设备配置截图
网络攻击防护
可防护ICMPScan/TCPScan/UDPScan等扫描攻击,SYNFlood/ICMPFlood/UDPFlood/DNSFlood等拒绝服务攻击,以及TearDrop/LAND/WinNuke/Smurf/Fraggle/PingOfDeath等异常数据包攻击。
会话连接控制
支持配置基于源地址、目的地址、协议、端口的并发会话数控制策略,要求上述元组可在一条规则中同时调用
支持限制每IP发起的每秒新建会话数及每秒数据包数(指数据包的数量,非并发连接数),可配置免受控白名单
病毒查杀
可防护网络病毒,至少内置2种病毒查杀引擎,用户可通过配置自行选择
★支持病毒云查杀,病毒查杀云支持私有云和公有云,用户可通过配置自行选择,投标文件需提供选择云查杀引擎的设备配置截图
★能够对HTTP/FTP/POP3/SMTP/IMAP五种协议进行病毒查杀,投标文件需提供开启上述五种协议病毒查杀的设备配置截图
网址过滤
★网址分类库规模大于3000万条,投标文件需提供所投产品生产厂商最近12个月内的网址分类库更新记录(包括更新日期、网址条目总数及新增、修改、删除的网址条目数)
支持URL云服务,设备可与云服务器联动查找本地未识别的URL
网络异常感知
可汇总统计全网流量,可进行动态的风险评估并提供全网风险系数值
能够基于连接数和流量值对风险系数较高的流量进行单独的排名统计
★可分别对单位时间内连接数、流量值激增或骤减幅度最大的应用进行排名统计,并提供连接数、流量的变化百分比,投标文件需提供能够体现应用、IP流量变化幅度及排名的设备截图
安全事件分析
★设备投标文件需提供关联分析面板,可将Top应用、Top威胁、TopURL分类、Top源地址、Top目的地址等信息关联,并支持以任意元素为过滤条件进行数据钻取,投标文件需提供包含上述信息的关联分析面板设备截图
可提供关联的威胁事件日志,系统可自动将产生威胁事件的连接经过防病毒、防漏洞、防间谍软件、URL过滤、文件过滤等安全模块检查的日志集中显示
安全策略管理
可在单条策略中启用病毒防护、入侵防御、网址过滤、文件过滤、文件内容过滤等安全功能选项
可单独评估每条策略的风险系数,提供各策略所允许的高风险应用流量处理建议,并支持一键阻断高风险应用
配置备份恢复
★支持系统配置的备份和恢复,并可单独导入地址转换(NAT)配置和策略配置,投标文件需提供NAT和策略单独导入的设备截图
管理权限设置
★管理方式支持三权分立管理,支持定义具有全部权限的管理员,仅具有策略变更权限的管理员和仅具有日志审计权限的管理员,投标文件需提供体现不同管理员权限的管理员列表设备截图
设备管理方式
支持加密的WebUI和CLI管理,且支持网页命令行管理(WebUI中内嵌CLI管理界面)
威胁感知系统联动
★可与方案中配置的网络威胁感知系统联动,将本地终端产生的异常行为、攻击活动等数据上报至网络威胁感知系统,网络威胁感知系统可实时监控网络内的攻击事件并预警可疑的受感染主机
终端安全软件联动
支持与本方案中配置的桌面杀毒或终端管理软件联动,可根据终端系统补丁安装、安全软件运行等状态,动态控制其网络访问权限
兼容性
★此产品需经过我校测试通过或中标后按照此参数进行测试,如有不满足做虚假应标处理。
资质要求
公安部网络安全保卫局颁发的《计算机信息系统安全专用产品销售许可证》(万兆三级)(投标时提供复印件加盖厂商公章)
国家信息安全漏洞共享平台(CNVD)用户组成员
安全产品通过赛可达实验室“东方之星”认证
5、网站防篡改系统;
详细参数要求:
指标项
指标要求
网站恢复
网页防篡改系统
网页防篡改系统综合支持Windows、linux、AIX系统网站防篡改
网页防篡改客户端在卸载时,需要有验证才可以卸载,保证客户端自身安全性
支持对网页防篡改客户端和的自动探测功能
采用基于文件过滤驱动保护技术、事件触发机制相结合方式
支持文件多线程同步,并可以设置文件同步时间周期、发布时间周期等时间设置
异地备份,两台服务器之间文件同步时,需要使用专用端口进行加密传输
支持IIS、Weblogic、Websphere、Apache、Tomcat等
应支持支持超过40GB以上网页防篡改保护和恢复功能,以适应客户业务发展需要
支持内核控制、本地备份、异地备份多种安全网页防篡改组合模式
系统可以从本地或异地备份文件夹自动同步到监测目录中
系统支持主/备目录和主/备服务器两种备份模式
提供网页防篡改的发布模式,能和主流的CMS系统集成进行内容发布,提供32、64位系统集成
支持对网站服务器的CPU、内存、收包量、发包量等信息进行实施监控
日志系统
备份日志
支持对日志进行手工备份、自动备份、恢复等功能
系统审计
对与系统自身安全相关的下列事件产生审计记录:
管理员登陆后进行的操作行为;对安全策略进行添加、修改、删除等操作行为;对管理角色进行增加、删除和属性修改等操作行为;对其他配置参数的设置或更新等行为
支持对网页篡改、添加、删除进行日志记录,并针对文件、进程、攻击类型进行详细记录
告警系统
多种告警方式
支持syslog、邮件等多种告警方式
管控及网络适应能力
部署能力
系统支持
监控平台支持windows版本系统平台安装
部署方式
旁路部署方式,支持监控平台和客户端进行正常通信即可
集中监控
集中管理
防篡改监控平台支持对统一监管平台进行远程管理、策略下发和日志收集
系统管理
系统管理
支持分级分权管理,支持License控制。
系统诊断
支持远程技术支持信息提取
支持ping,tcpdump,ifconfig,urltest等调试方式
兼容性
兼容性
★提供与我校现有网络环境中服务器的兼容性证明
★此产品需经过我校测试通过或中标后按照此参数进行测试,如有不满足做虚假应标处理。
资质要求
公安部网络安全保卫局颁发的《计算机信息系统安全专用产品销售许可证》(万兆三级)(投标时提供复印件加盖厂商公章)
国家信息安全漏洞共享平台(CNVD)用户组成员
安全产品通过赛可达实验室“东方之星”认证
6、服务器配件
(a)服务器CPU
IntelXeon(至强)E56202.4GHZCPU1个
IntelXeon(至强)E74202.13GHZCPU1个
IntelXeon(至强)E5-2603v21.8GHZCPU1个
(b)服务器内存
PC2-5300DDR28GBECC校验内存16根
1067MHZDDR34GBECC校验内存12根
1600MHZDDR38GBECC校验内存8根
(c)交换机模块
SFP-GE-LX-SM1310A光纤模块10个
二、其他要求
1、核心交换机和磁盘存储设备需提供三年免费上门维修服务(含配件);
2、网络安防生产厂商需提供