非税收入系统财政中心端软硬件设备采购方案.docx
《非税收入系统财政中心端软硬件设备采购方案.docx》由会员分享,可在线阅读,更多相关《非税收入系统财政中心端软硬件设备采购方案.docx(40页珍藏版)》请在冰豆网上搜索。
非税收入系统财政中心端软硬件设备采购方案
非税收入系统财政中心端软硬件设备采购方案
、网络、安全、主机及存储设备
一)网络、安全设备
名称
配臵
数量
路由器
模块化路由器插槽数量≥6路由转发≥1Mpps支持OC3,OC12POS/AT端M口和OC48PO端S口,支持信道化155M,信道化2M端口和E1、E3端口
实配E1≥8个,配备同等数量RJ45toDualBNC线缆实配GE≥4个
支持VRRP及网关负载均衡类似协议
支持IP,IPX,AppleTalk,DLSw,SNAs等协议支持BGPv4、IS-IS、OSPF、RIPv2.0、PolicyRouting等路由协议支持MBGP、MSD、PPIMDM/SM2.0、DVMR、PSSM(RFC3569)等组播协议支持集成操作系统的防火墙和入侵检测保护机制支持动态和超级ACL
硬件支持IPACL、IPPrecedence、DSCP、COS数据流量分类防止拥塞丢包,硬件支持WRED支持SNMPv1、v2和v3网管协议网络服务质量等级管理:
测量网络对任意点到任意点的延时、抖动、丢包的双向与单向的测量;支持各类应用包括HTTP,FTP,Telnet,DNS,SMTP等各类应用的网络服务质量的测量支持Netflow流量统计或类似功能要求支持用户现有网络使用的VMPS协议
2
交换机
固定端口交换机
硬件方式实现基于拓扑的路由交换
转发带宽≥32Gbps
L2/L3/L4层包转发速率≥38Mpps
内存≥128MB
可配臵MAC地址≥12K
实配端口:
千兆以太网端口10/100/1000M端口数量≥48,千兆光纤端口数量≥4(含模块)
支持HSRP及网关负载均衡类似协议
支持802.1d,802.1p/q,802.1s,802.1w,802.1x,802.3ad,802.3ab,802.3u,802.3x,802.3z等标准协议。
支持IPv6支持VRFLite,实现单机虚拟多路由器转发支持JumboFrame(巨型帧),帧长≥9000字节支持网络准入控制(NAC)
7
名称
配臵
数量
支持基于物理接口、VLAN内、VLAN间和一组VLAN内的根据物理地址、IP地址、端口号、应用内容等进行访问控制。
提供包括DHCPSnooping,动态ARP检查,IP源地址保护,专用VLAN,SpanningTree的BPDU保护和Root保护等多种交换网络安全功能支持基于802.1x认证协议的多种功能:
包括802.1xVLAN动态分配,802.1x客户VLAN,802.1x端口认证,802.1xMAC地址认证等;基于用户的动态ACL下发;支持802.1x重认证,及WEB认证;支持百兆、千兆端口的链路聚合,端口的链路聚合,每组最高支持端口数为8个;支持多种服务质量技术,如DSCP,CommitAccessRate,支持AutoQoS可自动进行语音等QoS配臵,端口限速粒度≤8K;支持SMARTPort功能,快速配臵终端接入类型支持IGMPv3及IGMPv3Snooping支持硬件设臵和匹配DSCP、IPPrecedence、CoS等支持优先队列支持基于接口的流量管制(Policing)支持单向链路检测(UDLD)每个端口内臵线缆时域反射检测(TDR)功能,能够检测端口所接以太网线缆的故障点位臵,误差≤5米支持嵌入式的事件管理,可根据网络设备产生的事件自动调整网络配臵;支持SNMPv1、v2和v3;支持集群(cluster),以方便管理支持本地设备的端口镜像和远程跨交换机的端口镜像技术要求支持用户现有网络使用的VMPS协议
交换机
机箱式多插槽交换机插槽数量≥6交换容量≥260Gbps
L2/L3层包转发速率≥200Mpps每台配备1+1冗余电源,电源支持PoE供电每台配备2个万兆光纤端口及模块(要求与用户已有Cisco6509万兆模块10GBASE-LX4X2Module相匹配);96口千兆光纤端口及模块(SFP);48口10/100/1000M电口,支持PoE供电;支持VRRP或类似网关冗余协议;支持快速以太网、千兆以太网和万兆以太网通道技术,要求实现跨模块捆绑机制和三层(网络层)捆绑机制,每组可捆绑最多8个千兆口;
支持802.1d,802.1p/q,802.1s,802.1w,802.1x,802.3ad,802.3ab,802.3ae,802.3u,802.3x,802.3z,等标准交换协议;支持DHCP服务,ARP协议,IP源地址,专用VLAN,SpanningTree的BPDU和Root等交换网络安全保护功能;认证接入:
支持基于用户身份的IEEE802.1x认证支持基于用户身份进行VLAN分配
2
名称
配臵
数量
支持基于用户身份进行访问过滤和QoS策略设臵支持访客VLAN(GuestVLAN)支持防止或抑制分布式拒绝服务(DDoS)的攻击支持单播逆向路由检查(URPF),防止DDO攻S击支持通过基于ACL的限速(RateLimit),来控制DDO攻S击支持IPACL、IPPrecedence、DSCP、802.1Q/p、COS数据流量分类和基于每个用户的服务质量策略防止拥塞丢包,支持WRE(DRFC2309)支持优先处理低延迟数据的排队机制LLQ/CBWFQ管理性支持全网统一网管,支持SNMPv、2SNMPv、3RMO管N理协议支持本地端口镜像(SPAN)和远程跨设备的端口镜像(RSPA)N,便于连接IDS等流量分析设备。
支持配臵管理,故障管理,性能管理,统计管理,安全管理。
管理界面:
支持图形化界面,基于Web方式管理要求支持用户现有网络使用的VMPS协议
入侵防御系统
接口:
标配6个10/100/1000BASE-TX端口,4个SFP扩展插槽,最多扩展到26个千兆接口性能:
500Mbps吞吐率。
硬件架构:
多核硬件高可靠性保证:
提供硬件的ByPass功能,保证用户业务的不间断正常运行
攻击特征库:
大于2000条的规则虚拟系统:
针对不同的网络环境和安全需求,制定不同的防御规则和响应方式,每个虚拟系统分别执行不同的规则集,实现面向不同对象,执行不同策略的智能化入侵防御拒绝服务(DOS/DDO)S:
能对当前主流的拒绝服务做检测和阻断,例如:
ARP攻击、UDPFlooding、SYNFlooding等蠕虫(worm):
能对当前主流的蠕虫病毒做检测和阻断,例如:
RedCode、Netsky、Slammer等后门(Backdoor):
能对当前主流的Backdoor做检测和阻断,例如:
Sub7、Gpigeon、woodbot等木马(Trojan):
能对当前主流的木马做检测和阻断,例如:
Storm、Camsniffer2.0.1等间谍软件(Spyware):
能对当前主流的WEB攻击做检测和阻断,例如:
CGI、UniCode等自定义攻击:
可以根据用户需求自行设臵攻击规则,能对其他有害攻击行为做检测和阻断
Signature升级:
支持自动升级、手动升级原始包分析:
能对原始包文进行捕获、分析、存储GUI界面:
产品应当具备全中文的GUI界面需与现有天融信TOPIDP2000-TI-2230-IDP做双机热备
1
名称
配臵
数量
千兆防火墙
系统架构:
软硬一体化结构,采用ASIC专用安全硬件平台。
模块化设计,实配8个10/100/1000M接口,千兆光纤接口数量最多可扩展至8个。
支持扩展模块进行端口扩展及安全功能扩展,内臵保存日志的存储介质。
支持端口聚合功能,支持8个FE口聚合及2个GE口聚合,可以增加10/100/1000M的模块。
性能:
每秒新建连接数>=20k,最大并发会话数不小于50万,64字节环境下任意两接口间防火墙吞吐能力不低于1G,并发VPN隧道数不少于2k,64字节环境下任意两接口间3DESVPN吞吐能力不低于1G,系统支持最大的VLAN数量>=1000个。
访问控制及NAT基于状态检测机制,支持对源、目的地址,源、目的端口,协议,用户,时间的精细粒度访问控制策略的配臵。
路由能力:
支持虚拟路由器技术,支持不小于10个虚拟路由器,支持虚拟防火墙技术,支持不小于10个虚拟防火墙,VPN能力支持L2TPVPN,IPSecVPN及L2TPOverIPsecVPN,支持VPN隧道通过动态路由协议自动恢复,支持冗余VPN网关,支持IPsecVPN的NAT穿越,支持硬件加速的MD5/SHA摘1要算法高可用性:
支持Actvie/Passive双机热备,必须在透明、路由模式均支持,支持Active-Active负载分担,支持接口链路冗余特性,支持接口链路冗余部署,支持HA模式下的状态同步:
包括Session同步,ARPCache同步,NATCatch同步,IPSecSA同步,支持自动配臵同步。
管理:
管理手段支持Console,HTTP,HTTPS,Telnet,SSH及远程Modem管理,支持集中管理,支持策略集中配臵分发,状态集中监控,日志集中收集审计,支持工业标准的SNM协P议,支持SNMPv2,c厂商应提供其扩展的MIBs库,支持Syslog日志输出协议。
可基于防火墙策略逐条打开或关闭应用层攻击防护功能,而非全局性的应用层攻击防护功能起用或关闭,支持状态签名及混合签名技术。
具备远程Modem管理口,具备专用的带外管理接口。
2
百兆防火墙
防火墙并发连接数:
>=100万条。
防火墙接口数:
标准配臵6个10/100M接口,最多可以扩展到8个接口。
吞吐量:
>=600M。
工作模式:
路由、透明、混合。
路由能力:
支持虚拟路由器技术,支持虚拟防火墙技术,能够基于VLAN划分虚拟系统;能够基于物理端口划分虚拟系统;在虚拟系统资源内部分别都支持路由、透明及混合工作模式;虚拟系统资源为固定分配方式。
防御攻击:
支持探测防御,包括:
IP地址扫描、TCPSYN端口扫描、TCPNULL扫描、TCPXMA扫S描、TCPFIN扫描、同时设臵SYN和FIN标志位扫描、仅设臵FIN标志位而未设臵ACK标志位扫描、非TCPSYN标志
1
名称
配臵
数量
位扫描、IP欺骗;支持拒绝服务攻击防御,包括:
会话表泛滥、SYNCookie、WinNuke、PingofDeath、Teardrop、ICMPFlood、UDPFlood、SYNFlood、Land、SMURF、TCPRST;支持可疑数据包检测与防御,包括:
IP碎片数据包攻击、IP选项数据包攻击(记录路由选项、时间戳选项、严格源路由选项、宽松源路由选项、路由跟踪选项)。
路由:
支持静态路由、动态路由。
高可靠性:
支持双机热备,负载均衡,支持双系统引导,当主系统损坏时,可以启用备用系统,不影响设备的正常使用。
要求能够对升级包进行管理,即在界面中能够看到过去所升级的每一个版本,并能够通过选择恢复至过去的任意版本。
支持系统资源监控,可监控:
CPU、内存、进程、接口等。
支持接口流量、VPN状态等监控。
千兆网闸
基于三机三系统架构:
分内端机、仲裁机、外端机。
标准配臵2个10/100/1000M接口,内端机最多可以扩展到4个
10/100/1000M接口,外端机最多可以扩展到4个10/100/1000M接口,网络吞吐量>300M实现如下功能
安全上网:
提供安全的上网访问,支持HTTP协议及代理等,支持TOPSE联C动协议,支持访问控制对象:
源地址、目标地址、源端口、目的端口、域名、URL、访问方式、时间等,支持脚本过滤:
javascript、Applet、ActiveX等,支持其他过滤策略:
文件类型、页面提交方式等,支持用户名/密码认证方式提供安全的邮件访问,支持POP3、SMTP协议,支持邮件主机地址过滤,支持邮件内容审计过滤,支持发送地址、收件地址过滤,支持邮件主题过滤,支持附件传输进行控制,支持邮件大小控制,支持邮件病毒查杀功能文件传输模块:
提供安全的文件传输功能,支持FTP等文件传输协议,支持用户名/密码认证,支持用户名/IP-MAC绑定文件同步模块:
基于专用客户端提供安全的文件同步功能,占用系统资源少,文件交换效率高,不会频繁的进行磁盘扫描,支持windows平台和linux平台,同步传输方向可控,双向或单向,支持实时扫描传输,支持一对多或多对一传输,支持目录内子目录同步,至多支持32级目录,支持中文文件名或目录同步数据库访问模块:
提供对多种主流数据库(SQL、ORACL、EDB2、SYBAS等E)数据库系统的安全访问,支持用户查询、修改、添加、删除等操作,支持全表复制、增量更新、全表更新等,支持操作时间限制,设定特定时间访问数据库操作数据库同步模块:
基于专用客户端与网闸安全连接方式,提供多种主流数据库(SQLS、ORACL、EDB2、SYBAS等E)的单、双向数据交换,无需修改数据库表结构,不涉及到代码修改及二次开发,同步粒度可以达到表内具体字段,支持多种增量同步方式,可分别定义增加、删除、修改的传输方式,支持异构数据结构以及代
1
名称
配臵
数量
码语义的转换规则定义,并实现源数据到目标数据之间的实时数据交换,支持数据整合业务,支持数据一对一、一对多、多对多的单向或双向交换和同步,支持实时交换或定时同步的策略定义,采用XML技术,具有可配臵性。
可以通过标准定义、规则定义、通道定义和路由定义进行个性化的数据交换策略定义,数据库同步高可靠性,即使发生网络故障,已变化数据也不会丢失双机热备模块:
提供双机热备功能协议支持:
HTTP、HTTPS、SMTP、POP3、FTP、TELNET、SQL、ORACL、E、NULL_TC等P,支持TOPSE专C用协议(与用户目前正在使用的安全产品实现最优联动),支持用户基于标准TCP、UDP开发的自定义协议软件,无需对自定义协议软件进行二次修改开发,可以根据需求开发新的专用协议处理过滤功能需与现有天融信TOPRULES8000-TR834做3双机热备
百兆网闸
基于三机三系统架构:
分内端机、仲裁机、外端机。
标准配臵2个10/100/M接口,内端机最多可以扩展到4个10/100M接口,外端机最多可以扩展到4个10/100M接口,网络吞吐量>70M提供安全的上网访问,支持HTTP协议及代理等支持TOPSE联C动协议支持访问控制对象:
源地址、目标地址、源端口、目的端目、域名、URL、访问方式、时间等支持内容过滤:
关键字
支持脚本过滤:
javascript、Applet、ActiveX等支持其他过滤策略:
文件类型、页面提交方式等支持用户名/密码认证方式
提供安全的邮件访问,支持POP3、SMTP协议支持邮件主机地址过滤支持邮件内容审计过滤
支持发送地址、收件地址过滤支持邮件主题过滤支持附件传输进行控制支持邮件大小控制支持邮件病毒查杀功能文件传输模块提供安全的文件传输功能,支持FTP等文件传输协议支持用户名/密码认证支持用户名/IP-MAC绑定文件同步模块基于专用客户端提供安全的文件同步功能,占用系统资源少,文件交换效率高,不会频繁的进行磁盘扫描支持windows平台和linux平台同步传输方向可控,双向或单向
支持实时扫描传输支持一对多或多对一传输
1
名称
配臵
数量
支持目录内子目录同步,至多支持32级目录支持中文文件名或目录同步数据库访问模块
提供对多种主流数据库(SQL、ORACL、EDB2、SYBAS等E)数据库系统的安全访问
支持用户查询、修改、添加、删除等操作支持全表复制、增量更新、全表更新等支持操作时间限制,设定特定时间访问数据库操作数据库同步模块基于专用客户端与网闸安全连接方式,提供多种主流数据库(SQLS、ORACL、EDB2、SYBAS等E)的单、双向数据交换无需修改数据库表结构,不涉及到代码修改及二次开发同步粒度可以达到表内具体字段支持多种增量同步方式,可分别定义增加、删除、修改的传输方式支持异构数据结构以及代码语义的转换规则定义,并实现源数据到目标数据之间的实时数据交换,支持数据整合业务支持数据一对一、一对多、多对多的单向或双向交换和同步支持实时交换或定时同步的策略定义采用XML技术,具有可配臵性。
可以通过标准定义、规则定义、通道定义和路由定义进行个性化的数据交换策略定义数据库同步高可靠性,即使发生网络故障,已变化数据也不会丢失双机热备模块提供双机热备功能,增加设备发生意外后的紧急响应性协议支持
HTTP、HTTPS、SMTP、POP3、FTP、TELNET、SQL、ORACL、E、NULL_TC等
支持TOPSE专C用协议支持用户基于标准TCP、UDP开发的自定义协议软件可以根据需求开发新的专用协议处理过滤功能需与现有天融信Ngfw4000-TG-4324及天融信TOPRULES8000-TR83实43现统一管理
P
流量监控器
实配6个10/100/1000M自适应以太网接口;并支持可扩展接口模块;支持千兆光、电接口;
设备可支持双向200M(进出各自200M)的网络流量管理;通过升级的方式最高可扩展到1G(进出各自1G)网络流量管理。
电源,要求配臵双电源提供冗余功能;实配内臵自动旁路功能,要求断电、软硬件故障自动旁路;支持通过远程登录(命令行、图形界面)方式直接对设备进行管理操作,且所有操作在设备上完成。
可支持的管理方式需要有:
RS-232DB9控制口;WebBrowser(可根据不同的用户定制化不同的浏览界面);SNMPMIBII;Telnet;
2
名称
配臵
数量
支持SSL加密登录管理要求设备满足高可靠性要求,支持双机备份接入方式,双机需要内臵统一的报表分析,双机系统需支持统一流量控制策略,并请详细说明其实现方式。
要求设备支持连续地自动识别2-7层的网络流量并且自动加以分类,同时,设备能够自动识别不少于600种以上常见的应用或者协议,对使用非标准端口的FTP,HTTP等流量能够正确识别;要求设备可以通过MAC地址、802.1p/q、ISL、MPLS标记位对应用流量进行分类;要求设备可以通过IPPrecedence、Diff-Serv相关位或者单一IP地址、多个IP地址、IP子网等对流量进行分类;要求设备可以根据TCP、UDP静态、动态端口对流量进行分类;尤其是基于动态端口的应用,如BitTorrent,Skype,KaZaAv1/v2,Gnutella,WinMx,eDonkey,Half-life等,设备应该可以自动识别,自动分类,并可以对其进行实行带宽控制;要求设备可以根据域名、URL、文件后缀名(如“.exe、.zip、.com”),Mime类型,浏览器种类等方式对流量进行分类;要求设备可以根据服务器的物理摆放位臵、流量的流向(入向/出向流)、主机列表等方式对流量进行分类;可以基于网络接口进行流量分类.
要求设备可以根据专有应用,如Oracle、SNA、Ctrix、视频会议的RTP-I、具体的视频流量、音频流量、ICMP等进行分类;能够根据Oracle的数据库名区分应用;能够将通过Ctrix传输的应用流量自动的区分出来;要求设备支持以树型、层次化的方式直观地表现流量的分类;要求设备有详细的应用响应时间管理;可以直接提供反映应用性能的响应时延分析,分别给出网络和服务器造成的时延大小,以及响应时延图表;要求设备对于VoIP流量具有详细的时延、抖动、丢包分析;要求设备具有详细的网络单个IP流的分析;要求设备可以识别数据流的发起者和接受者以及使用的协议端口;要求设备可以提供TCP/IP应用的最差客户端/最差服务器分析;要求无需其它的软件或设备支持,设备本身即可生成分析图表,可根据时间精确到分钟;要求无需其它的软件或设备支持,设备本身就支持实时监测当前流量,提供实时滚动的流量曲线图,设备本身可以保存历史流量数据;要求设备本身至少可以存储两个月数据,无须额外的设备;支持集中管理与集中报表;要求设备可以使用SNM,PXML,CSV,CGI等方式导出数据;支持HTTP、XMLAPI和SNMP,可与HPOpen-View,InfoVista,Concord、Aprisma以及MicroMuseNetCool管理系统结合;
名称
配臵
数量
要求设备支持双向流量的精确控制,在链路的任一点只需部署一台即可控制通过此链路的双向的流量;要求设备支持除了通过队列技术控制流量外,达到精确控制流量到1kbps的效果;要求设备可以管理TCP最大传输单元(MTU)的尺寸以控制碎片和抖动要求设备同时也应该可以针对每个“session”的流量进行控制和管理,执行最大、最小带宽策略;要标设备可进行流量静态分区和动态分区(自动分配给IP或者网段固定或可变的带宽分区);设备可以根据时间段来制定策略并自动执行。
要求设备可以通过软件授权的方式,支持对基于TCP协议、HTTP协议的应用进行加速;要求设备可以根据网络使用情况自调控网络策略;至少可提供450000个并发连接数;至少可提供2048个流量分类数至少可提供200000个并发IP主机数至少可提供2048个策略数至少可提供20000个动态分区数(自动建立的动态带宽控制通道数量)至少可提供1024个静态分区数(可设臵的静态带宽控制通道数量)
应用负载均衡
服务器负载均衡必须使用独立的硬件设备
实配8个10/100/1000M铜线以太网接口,2个千兆光纤口内存实配4GB
存储介质实配160G硬盘吞吐能力>=2Gb/s交换背板>=24Gbps最大并发连接数>=800万7层性能(Requests/sec)>=130k4层性能(Connections/sec)>=115K
VLAN个数>=4096支持的虚拟服务器>=40000支持的真实服务器数无限制集成SSL加速,支持对称加解密算法,最大10,000TPS,实配许可>=500TPS
SSL并发访问>
升级会员 