采购清单及技术指标要求.docx
《采购清单及技术指标要求.docx》由会员分享,可在线阅读,更多相关《采购清单及技术指标要求.docx(29页珍藏版)》请在冰豆网上搜索。
采购清单及技术指标要求
采购清单及技术指标要求
一、网络设备
(1)核心交换机数量2台
技术指标项
指标要求
★基本要求
模块化交换机,插槽数≥8,且均为标准尺寸槽位
★可靠性
支持电源2+1等多种电源冗余方式;支持双引擎;
★路由协议
支持静态路由,支持IPv4及IPv6多种动态路由协议,包括RIP、OSPF、ISIS、BGP等。
★热插拔
单板支持热插拔功能,并且对其它单板上运行的业务无影响
★背板带宽
≥1.8Tbps
★交换容量
≥1.44Tbps
★转发性能
≥540Mpps
★配置要求
1、千兆SFP接口≥24个;千兆以太网电口≥48个,所有板件要求支持MPLS功能
2、原厂多模光模块≥12
3、配置2+1电源、双冗余引擎
二层特性
支持IEEE802.1Q(VLAN)
支持IEEE802.1d(STP)/802.1w(RSTP)/802.1s(MSTP)
支持BPDU保护、Root保护、环路保护
支持BDPUTunnel
支持IEEE802.1ad(QinQ)和增强型灵活QinQ
支持端口镜像和跨板的端口镜像
支持支持STP,RSTP和MSTP
VLAN
支持Access、Trunk、Hybrid方式
支持VLAN交换
MAC地址
支持MAC地址自动学习和老化
支持静态、动态、黑洞MAC表项
支持源MAC地址过滤
支持基于端口和VLAN的MAC地址学习限制
组播
支持IGMP及IGMPSnooping功能
支持IGMP快速离开机制
支持组播查询
支持组播ACL
MPLS
支持MPLS
支持MPLSTE
支持MPLSVPN/VLL/VPLS
支持MPLSOAM
QoS
支持2到4层的802.1P优先等级
支持基于标准、扩展等多种ACL
支持流量监管(CAR)
支持Remark、Schedule等动作
支持流量整形(TrafficShapping)
支持队列调度机制,包括PQ+DRR、PQ+WRR等
支持拥塞避免机制,包括Tail-Drop、WRED
系统管理
支持Console、AUX、Telnet、SSH等终端服务
支持SNMPv1/v2/v3等网络管理协议
支持通过FTP、TFTP方式上载、下载文件
支持BootROM升级和远程在线升级
支持热补丁
支持用户操作日志
安全机制
支持IEEE802.1x
支持Radius/HWTACACS
支持命令行采用分级保护方式,防止未授权用户的非法侵入,为不同级别的用户有不同的配置权限
支持受限的IP地址的Telnet的登录和口令机制
支持IP地址、VLANID、MAC地址和端口等多种组合绑定
支持广播报文抑制、大流量攻击抑制、DOS攻击抑制、SYNFlood/UDPFlood攻击抑制
(2)三层千兆交换机数量12套
技术指标项
指标要求
★背板交换容量
≥240Gbps
★转发性能
≥60Mpps
★扩展性
支持双万兆接口扩展
★路由协议
硬件支持IPv4和IPv6多种路由协议,包括RIPV1/2
OSPF、IS-IS、BGP
★配置要求
千兆电口≥24个;千兆SFP接口≥4个;多模光模块≥2个;千兆RJ45电接口模块≥2个。
配双冗余电源。
MAC地址表
支持32K个MAC地址
支持静态、动态、黑洞MAC地址
支持MAC地址自动学习和老化
支持源MAC地址过滤
VLAN
支持4K个VLAN
支持基于端口、基于MAC、基于协议、基于IP子网的VLAN
支持基于策略的VLAN
支持QinQ,灵活QinQ
支持VoiceVLAN、GuestVLAN、SuperVLAN
支持1:
1和N:
1VLAN交换功能
可靠性
支持SmartLink树型拓朴和SmartLink多实例,提供主备链路的毫秒级保护
支持RRPP和RRPP多实例
支持BFDForOSPF/ISIS/VRRP/PIM协议
支持STP/RSTP/MSTP
支持BPDU保护、根保护和环回保护
MCE
支持MCE
组播
支持IGMP、IGMPSnooping
支持快速离开机制
支持组播VLAN
支持VLAN内组播转发和组播多VLAN复制
支持基于端口的组播流量统计
ACL/QoS
支持L2(Layer2)~L4(Layer4)包过滤功能
支持对端口接收报文的速率和发送报文的速率进行限制
支持报文重定向
支持双速三色CAR功能
支持灵活的队列调度算法,可以同时基于端口和队列进行设置
支持报文的802.1p和DSCP优先级重新标记
支持基于队列的Shapping功能
支持基于端口的流量监管
安全特性
用户分级管理和口令保护
支持IEEE802.1X认证,支持单端口最大用户数限制
支持防止DoS、ARP攻击功能
支持IP、MAC、端口的组合绑定
支持端口隔离
支持MAC地址黑洞
支持MAC地址学习数目限制
支持AAA认证,支持Radius、TACACS+等多种方式
支持SSHV2.0
支持CPU保护功能
管理维护
支持用Telnet,Console口进行配置
支持SNMPv1/v2/v3,WEB网管
支持RMON
支持HGMP集群管理
支持Ping、Tracert
支持虚拟电缆检测VCT;
支持以太网OAM
支持端口镜像和远程端口镜像
支持Telnet远程配置、维护;
支持系统日志、分级告警
(3)三层百兆交换机数量5台
技术指标项
指标要求
★背板交换容量
≥64Gbps
★转发性能
≥9.6Mpps
★路由协议
硬件支持IPv4和IPv6多种动态路由协议,包括包括RIPV1/2、OSPF等。
★配置要求
百兆电口≥24个;千兆Combo口≥2个;千兆SFP接口≥2个
MAC地址表
MAC地址表≥16K
支持MAC地址自动学习和老化
支持静态、动态、黑洞MAC表项
支持源MAC地址过滤
VLAN
支持≥4K个VLAN
支持GuestVLAN、VoiceVLAN、SuperVLAN
支持基于MAC、协议、IP子网的VLAN
支持QinQ、灵活QinQ功能
支持1:
1VLAN交换功能
可靠性
支持SmartLink树型拓朴和SmartLink多实例,提供主备链路的毫秒级保护
支持RRPP和RRPP多实例
支持STP/RSTP/MSTP
支持BPDU保护、根保护和环回保护
组播
支持1K的组播组
支持IGMPSnooping和快速离开机制
支持组播VLAN和跨VLAN组播复制
支持捆绑端口的组播负载分担
基于端口的组播呼叫接纳控制功能(组播CAC)
基于端口的组播流量统计
QoS/ACL
支持对端口接收和发送报文的速率进行限制
支持报文重定向
支持CAR功能
每端口支持8个优先级队列
支持WRR、DRR、WRR+SP、DRR+SP等队列调度算法
支持报文的802.1p和DSCP优先级重新标记
支持L2到L4包过滤功能,提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口、协议、VLAN的非法帧过滤功能
支持基于队列的Shapping功能
支持基于端口的流量监管
安全特性
用户分级管理和口令保护
支持IEEE802.1X认证,支持单端口最大用户数限制
支持防止DoS、ARP攻击功能
支持IP、MAC、端口的组合绑定
支持端口隔离
支持MAC地址黑洞
支持MAC地址学习数目限制
支持AAA认证,支持Radius、TACACS+等多种方式
支持SSHV2.0
支持CPU保护功能
管理与维护
支持MFF
支持自动配置功能
支持虚拟电缆检测(VirtualCableTest);
支持以太网OAM(802.3ah和802.1ag)
支持端口镜像和RSPAN(远程端口镜像)
支持SNMPv1/v2/v3;
支持RMON
支持iManager网管系统
支持集群管理HGMP
支持SSHV2
支持Telnet远程配置、维护;
支持系统日志、分级告警
防雷能力
所有业务端口具有防雷能力
注:
所投网络设备必须为同一品牌,网络设备中涉及的模块必须与所投网络设备品牌一致,须提供网络设备原厂商针对本项目的授权函以及原厂商三年保修和7*24售后服务承诺函原件,不提供者作废标处理
二、入侵保护系统数量1台
指标
技术指标项
要求
设备要求
专用的硬件和软件保障
产品采用多核处理器的硬件平台架构,专用的安全操作系统具有自主知识产权。
★端口数量和扩展能力
机架式结构:
最大配置为26个接口,包括4个SFP口(含4个原厂SFP光模块)和6个10/100/1000BASE-T接口(可作为HA口和管理口),其中靠右则的4个接口支持Bypass
★系统吞吐量
不少于10G
攻击规则库
支持4000条以上的攻击事件
★配置要求
需为入侵保护系统专门配置至少3个月的日志审计系统。
该系统需包含一台机架式服务器和相关正版操作系统和日志数据库系统软件。
工作模式
网络接入
透明,路由,IDS监听,混合
防火墙
访问控制
基于状态检测的动态包过滤
基于源/目的IP地址、端口、协议、时间的访问控制
支持报文合法性检查,支持IP/MAC绑定
NAT
支持双向NAT,支持动态地址转换和静态地址转换
支持协议包括H.323、SIP、FTP、RTSP、SQL*NET、MMS、RPC、TFTP、PPTP等
木马(Trojan)
具备丰富的木马特征库,能识别包括灰鸽子、PCShare、Gh0st、上兴、Byshell、Npch、Downloader等多种热点木马及其变种,以及识别多种网页挂马攻击
RPC
能对当前主流的RPC漏洞攻击做检测和阻断,例如:
RPC0x82-dcomrpc_usermgret、RPCImmunity_svchostkill等
系统漏洞(vulnerability)
支持识别针对FTP、Netbios、IMAP、Samba等应用安全漏洞的攻击
拒绝服务(DOS/DDOS)
能对当前主流的拒绝服务做检测和阻断,例如:
WinNUKE攻击、UDPFlooding、SYNFlooding等
溢出(bufferoverflow)
支持识别多种IIS、Apache、RPC、Oracle、SQL等应用系统类溢出攻击
HTTP
能对当前主流的HTTP类攻击做检测和阻断,例如:
HTTPApache批处理文件漏洞、Apache2.0.39及以前版本存在目录遍历漏洞、Cart32管理员口令泄露漏洞等
自定义攻击
可以根据用户需求自行设置攻击规则,能对其他有害攻击行为做检测和阻断
应用监控
P2P应用
支持识别BT、迅雷、Napster、Popo、Kazaa等P2P类应用
IM
支持识别QQ、MSN、ICQ、UC以及GoogleTalk等IM类应用
游戏
支持识别魔兽世界、征途、劲舞团、跑跑卡丁车、梦幻西游以及QQ游戏等网络游戏
异常流量
能对设备的异常流量进行分析、阻断
入侵防御
引擎
支持路由、交换、直连、IDS监听四种模式
支持基于源、目的、规则集、动作的入侵检测规则
支持策略改变引擎自动重起
DDOS防御
非法报文攻击:
land、Smurf、Pingofdeath、winnuke、tcp_sscan、ip_option、teardrop、targa3、ipspoof
统计型报文攻击:
Synflood、Icmpflood、Udpflood、Portscan、ipsweep
支持主机连接数和半连接数的限制
动作
支持阻断drop,检测到策略中设置的数据后,丢弃报文
支持报警Alert,检测到策略中设置的数据后,进行报警
支持TCPReset,向攻击者发TCPReset包
支持日志Log,检测到攻击事件后记录日志
支持防火墙联动,与防火墙联动,仅限IDS模式运行
报表
Webui支持实时显示按发生次数累计的攻击事件排名
支持Top10攻击者、Top10被攻击者、Top10事件统计报表
支持按时间统计的IPS流量报表
支持选定时间、网络攻击分类的统计报表
支持日报、周报、月报、季报等统计报表
支持报表输出,输出格式可以为PDF、DOC、HTML格式
规则库维护
支持自定义规则库导入、导出
支持系统规则库手动、自动升级
系统规则
预置系统规则集包含认证类、木马类、拒绝服务类、即时通讯类、p2p类、溢出攻击类、扫描类、系统漏洞类、webcgi类、蠕虫类、游戏类、HTTP攻击类、RPC攻击类、高风险类、中风险类、低风险类和所有事件等
自定义规则
支持自定义规则,支持自定义规则集
网络适应性
路由
支持静态路由
支持基于源/目的地址、接口、Metric的策略路由
支持Vlan路由,能够在不同的VLAN虚接口间实现路由功能
ARP
支持ARP代理、ARP学习,可设置静态ARP
高可用性
双机热备
支持双机热备(Active-Active模式)
支持连接、配置同步
Bypass
提供专业的硬件ByPass功能,保证网络通畅
负载均衡
支持轮询、加权轮叫、最少连接、加权最少链接等多种服务器负载均衡方式
备份系统
支持备份系统,主系统破坏后可以通过备份系统启动运行
系统管理
管理方式
支持WEB图形配置、命令行配置,支持本地配置、远程配置
支持基于SSH、SSL的安全配置
SNMP
支持SNMP的v1、v2、v2c、v3版本
与当前通用的网络管理平台兼容,如HPOpenview等
丰富的私有MIB系统信息
监控和报警
支持网络接口、CPU利用率、内存使用率等
支持邮件、SNMP、控制台等多种组合报警方式
日志
支持Welf、Syslog等多种日志格式的输出
支持通过第三方软件来查看日志
其它
系统升级,支持远程维护和系统升级
系统升级,支持TFTP、FTP、HTTP方式升级
配置恢复,可进行配置文件的备份、下载、删除、恢复和上载
资质要求
销售许可
中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》
型号证书
中国国家信息安全测评认证中心颁发的《国家信息安全认证产品型号证书》
软件著作权登记证
入侵防御系统的计算机软件著作权登记证书
保密局检测证书
中国国家保密局测评中心颁发的《涉密信息系统产品检测证书》
★授权与保修
原厂商针对本项目的授权函以及原厂商三年保修和7*24售后服务承诺函原件
三、千兆防火墙数量4台
技术指标项
要求
系统架构
★采用专用硬件架构与专用安全操作系统,基于操作系统内核的会话检测技术,专用的安全操作系统具有自主知识产权,硬件设备可以机架安装。
★采用双安全操作系统,防止配置不当或防火墙系统故障造成的网络中断,充分保证了系统的稳定性。
★软件采用模块化结构设计,可以根据需要组合,可以扩展IPSECVPN,SSLVPN,防病毒等功能。
性能指标
★机架式结构;最大配置26个接口,包括3个可插拨的扩展槽,配置4个千兆SFP(含4个原厂SFP光模块)和6个10/100/1000BASE-T电接口。
要求接口支持STP协议。
★网络吞吐量不少于5G
最大并发连接数不少于200万
每秒最大新建连接数不少于5万
★配置要求
需为防火墙专门配置至少3个月的日志审计系统。
该系统需包含一台机架式服务器和相关正版操作系统和日志数据库系统软件。
FW功能参数
工作模式支持透明、路由、透明及路由混合模式
支持单对单、单对多、多对多的地址转换功能
支持路由、透明模式下的虚拟系统功能,支持NAT模式下的虚拟系统功能
支持每个虚拟系统具备独立的管理权限、安全策略,且虚拟系统间互不干扰
可对DMZ区服务器实现保护,如替换服务器(FTP、SMTP、POP3、telnet,HTTP)的BANNER信息
支持支持对HTTP、SMTP、POP3、FTP等协议的深度内容过滤;支持对移动代码如Javaapplet、Active-X、VBScript、Javascript的过
动态端口支持协议:
H.323、SIP、FTP、RTSP、SQL*NET、MMS、RPC、TFTP,并对其实现安全控制
支持服务器负载均衡功能,在没有专业均衡设备的条件下,通过防火墙实现多台服务器的性能叠加
支持多链路备份功能,以实现链路层高可用性
支持H.323/SIP的高可用性
支持策略路由,可基于源地址选择路由
支持动态路由协议RIP/OSPF/BGP等
支持MPLS网络数据的安全控制
支持使用一次性口令认证(OTP)、本地认证、双因子认证(SecureID)以及数字证书(CA)等常用的安全认证方、支持RADIUS、TACACS/TACACS+、LDAP、域认证等安全认证方式;
IPS功能
支持基于源IP地址、目的IP地址、源端口、目的端口、时间、用户、文件、网址、关键字、邮件地址、脚本、MAC地址等多种方式进行访问控制
支持对HTTP、SMTP、POP3、FTP等协议的深度内容过滤,支持URL、关键字过滤
支持对移动代码如Javaapplet、Active-X、VBScript、Jscript、Javascript的过滤
动态端口支持协议:
H.323、SIP、FTP、RTSP、SQL*NET、MMS、TFTP、RPC(msrpc,dcerpc)等
支持MSN、QQ、新浪UC、阿里旺旺、googletalk等InstantMessenger通信,并可以对于这些应用进行登陆限制,支持根据登陆等帐号进行登陆限制
支持对MSN,QQ等IM应用通信的连接统计,支持对指定IP地址的IM应用通信的连接统计
可限制BT,eMule,eDonkey、讯雷等多种P2P应用,可以统计P2P流量和连接数,可以控制P2P流量的带宽
可实现静态或自动的IP/MAC绑定
可以识别并阻断以下攻击行为:
land、Smurf、Pingofdeath、winnuke、tcp_sscan、ip_option、teardrop、targa3、ipspoof、Synflood、Icmpflood、Udpflood、Portscan、ipsweep等
VPN功能(IPSEC)
支持标准IPSEC、IKE协议;
支持与防火墙、SSLVPN统一的认证体系,支持本地认证、双因子认证(SecureID)以及数字证书(CA)等常用的安全认证方、支持RADIUS、TACACS/TACACS+、LDAP、域认证等安全认证方式;
支持IPSEC隧道内多播协议;
支持IPSEC隧道内多媒体、OSPF协议穿越;
支持多路VPN隧道间备份、负载均衡;
支持最新国密办SCB2加密卡,VPN客户端需支持SCB2的KEY;
支持链路叠加、支持手工及智能选路;
可扩展支持5000以上隧道数;
VPN功能(SSL)
支持全面的客户端接入安全控制;
支持角色分组的可信接入;
支持PDA的安全接入;
支持B/S,C/S应用系统的安全转发;
可扩展支持1500以上并发用户数;
支持CleanedVPN,能对隧道内数据进行病毒查杀和内容过滤。
AV功能
可过滤HTTP,FTP,POP3,SMTP,IMAP协议的病毒,并支持40万种以上的病毒
非法报文攻击过滤:
land、Smurf、Pingofdeath、winnuke、tcp_sscan、ip_option、teardrop、targa3、ipspoof;统计型报文攻击:
Synflood、Icmpflood、Udpflood、Portscan、ipsweep;
SYN代理:
对来自定义区域的SynFlood攻击行为进行阻断过滤;可通过设置端口和阀值阻断CC攻击;
★支持病毒库的在线自动更新。
资质要求
中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》
中国人民解放军信息安全测评认证中心颁发的《军用信息安全产品认证证书B级》
中国国家保密局测评中心颁发的《涉密信息系统产品检测证书》
中国信息安全评测中心颁发的《信息技术产品安全评测证书级别:
EAL3》
国家版权局颁发的专用安全操作系统计算机软件著作权登记证书
★授权与保修
原厂商针对本项目的授权函以及原厂商三年保修和7*24售后服务承诺函原件
四、网管软件
技术指标项
要求
网络管理
开发语言
先进体系结构
JAVA语言,提供多平台开发接口
运行环境
跨平台
Windows、Unix、Linux
管理对象
全方位的管理对象
网络设备、服务器、数据库、中间件、PC机、安全系统、安全分析、IDS入侵检测、防火墙、网闸、防病毒、一机两用、UPS、空调、门禁、供电、无线设备、打印机和外设、负载均衡、防火防水等各个系统和设备。
★配置要求
充分的管理节点数和设备类型。
必须对用户现有的所有服务器和网络及网络安全设备以及本次采购的所有设备实现有效的全面管理。
背板系统
背板系统
网管软件提供真实设备背板(支持背板定制,要求对于以上配置要求所涉及的设备的背板定制全部免费)。
找到设备之间连接端口,可以自动识别设备端口情况。
能够知道网络中最主要的设备瓶颈具体是在哪台设备,哪个端口/链路,哪个性能指标
产品体系结构
Web浏览器/应用服务器(B/S)
提供全面的B/S管理系统和报表系统,全平台客户可以根据用户的权限随时察看网页格式的报表,拓扑图,告警信息,设备状态等重要信息
拓扑管理
拓扑发现从三层核心设备开始
支持全局共同体名和指定设备共同体名。
支持常规发现算法和CDP发现算法,根据环境不同可以调整PING的并发数、设备检查模式、ICMPECHO和SNMPGET的超时时间和重试次数,保证发现的完整。
支持自定义发现范围,可以通过搜索深度、指定子网、过滤设备功能。
要求实现对配置要求中所涉及的所有设备的拓扑管理。
★支持多全局共同体名
提供多全局共同体名,一次配置共同体名,导出就满足以后拓扑的自动发现,可以设置共同体名使用的优先级
★拓扑发现准确性
发现准确性很好,全面支持国内外多种厂商设备自动发现。
在拓扑图上可以点击整体查看某设备属性CPU,内存和设备运行时间,利用率折线图。
拓扑图设备自动排列
★示意拓扑
提供完善的拓扑编辑功能,打印预览、打印、显示比例调整、全屏显示、自动排列、指定核心排列、资源搜索、拓扑详细信息统计、隐藏和显示网元、拓扑属性、新增和删除网元、新增和删除链路、新建删除保存拓扑。
★IP逻辑拓扑
提供基于三层的逻辑管理视图,IP逻辑子网视图,方便用户对子网划分清晰明了的管理
分级展开
支持直接分级展开下联设备,设备下联PC和所有下联PC,在拓扑图上可以直接查询
报表和性能分析
报表系统功能
提供自动生成全系列网络运行报表系统,对设备、服务、端口、链路性能指标提供当前,当日和历史性能的图形化分析。
Excel格式导出、网页形式B/S结构自动生成、当前故障一览表、当日告警一览表、历史异常一览表
TOPN性能分析功能
提供对CPU,内存和链路具有TOPN排列功能,能够知道网络中最主要的设备瓶颈具体是在哪台设备,哪个端口/链路,哪个性能指标
告警功能
告警规则
用户可以灵活的设置告警规则、告警方式和告警时间等
★告警规则批量设置功能
升级会员 