项目立项申请单.docx
《项目立项申请单.docx》由会员分享,可在线阅读,更多相关《项目立项申请单.docx(14页珍藏版)》请在冰豆网上搜索。
项目立项申请单
2018年设备购置项目立项申请单
项目名称
规格型号
数量
预算价格
(万元)
使用部门
信息安全建设
信息技术管理部
可选生产厂家或经销单位:
国产、进口
国产
申请理由:
(附:
可行性研究报告、投资估算表)
1、该项目现有数量及技术状况:
现有防火墙使用年限太久,硬件处理性能太低,已经无法满足目前网络带宽吞吐量的检测要求;并且没有入侵防御系统,规则库更新维保过期,不能发现及防御新型的各种新型攻击及病毒;现有的信息安全架构及产品,已无法满足日益严峻的信息安全防护要求。
2、配备标准:
1)安恒下一代火墙DAS-NGFW2600
2)安恒入侵防御系统DAS-IPS860
3、项目需求程度及使用后能解决的问题。
随着网络攻击技术的不断提高和网络安全漏洞的不断发现,传统防火墙技术,已经无法应对一些安全威胁和新型攻击。
安恒下一代防火墙采用先进的高性能多核架构,运行自主可控的操作系统,搭载接口丰富的硬件平台,结合智能路由等全面的网络层支撑,保障业务处理高效可靠,场景支撑灵活全面;再配备WAF级别的入侵防御系统独特实时攻击防护功能,通过径并行处理的安全检测引擎和应用识别,实现对用户、应用和内容的深入分析,为用户提供安全智能的一体化防护体系。
入侵防御系统可以深度感知并检测流经的数据流量,对恶意报文进行丢弃以阻断攻击,对滥用报文进行限流以保护网络带宽资源。
可以根据预先设定的安全策略,对流经的每个报文进行深度检测(协议分析跟踪、特征匹配、流量统计分析、事件关联分析等),如果一旦发现隐藏于其中网络攻击,可以根据该攻击的威胁级别立即采取抵御措施,这些措施包括(按照处理力度):
向管理中心告警;丢弃该报文;切断此次应用会话;切断此次TCP连接。
4、其他要求
申请部门签(章):
年月日
XXXX建设方案
一、项目背景
机场行业在快速发展的今天面临很多现实的问题。
对于繁忙的机场尤其是大型国际枢纽机场来说,挑战更是来自于方方面面,例如,严峻的安全形势、排队等待时间长、服务质量差、频繁的航班延误、机场资源的紧张以及来自高铁的竞争等内忧外患,这些问题促使机场管理人员不断地思考:
作为服务型行业,我们如何利用新的技术,使原有的管理思维方式得以改变,如何。
。
。
。
。
。
。
。
二、现状分析
。
。
。
。
。
。
。
。
四、安全阐述
数据中心在为我们工作提供极大便利的同时,也无可避免地面临着极其严峻的安全挑战。
如何保证数据中心安全可靠地运行,确保数据中心数据的完整性、准确性和可靠性,就成为了亟待解决的问题。
我们提出了。
。
。
。
。
。
。
。
。
来解决数据安全问题,后附。
。
。
。
。
。
。
。
的建设方案。
五、产品报价
产品名称
价格
。
。
。
。
。
。
。
。
方案
随着计算机技术的迅速发展。
。
。
。
。
。
。
。
。
一、项目背景
大连机场。
。
。
。
二、需求分析
当前机场。
。
。
。
所以,建立机场。
。
。
。
。
。
平台,来解决以上问题。
三、方案设计原则
四、平台整体设计要求
1、基本要求
(1)投标产品应为国内知名品牌,非OEM产品
(2)产品采用采用先进的多核网络专用架构,使用64位MIPS多核处理器,非X86的多核架构或ASIC架构
2、平台配置
2.1下一代火墙DAS-NGFW2600
网口数量
10*GE电口,2*combo口
性能
设备最大吞吐量≥2Gbps
每秒新建连接数≥3.5万
最大并发连接数≥100万
IPSecVPN隧道数≥1024
SSLVPN≥128
IPSecVPN性能≥400M
AV吞吐量≥800M
IPS吞吐量≥914M
部署模式
支持路由模式、透明(网桥)模式、混模式,支持将多个物理网口加入一个网桥中;部署模式切换无需重启设备;支持镜像和被镜像;
NAT
支持源地址转换、目的地址转换、双向地址转换、NAT44
路由支持
支持静态路由、策略路由、动态路由、ISP路由;策略路由支持七元组策略;动态路由支持RIP、OSPF等;ISP路由支持运营商地址自定义;提供web配置界面截图
VRF
接口默认属于root,创建VRF后可把接口添加到VRF内,一个接口只能属于一个VRF
不同vrf下的接口可以配置相同的ip地址
支持静态路由
链路聚合
透明、路由模式下支持将多条链路带宽进行捆绑
4G支持
支持4G扩展网卡。
支持在4G接口上运行IPSecVPN,提供web配置界面截图
IPv6
支持接入IPv6网络
支持配置基于用户和应用均为任意的7元组的IPv6策略
支持NAT64
安全通信
实际配置支持一对一、多对一、多对多等多种形式的NAT,支持H.323等应用协议ALG
实际配置支持基于用户、应用、时间对象的流量管控和策略设置,并提供截图
接口实际配置支持secondIP地址
每个接口要求支持至少200个secondIP,并提供截图
VPN
实际配置支持IPSecVPN接入,内置VPN硬件协处理器
实际配置支持DES、3DES、AES加密算法,并提供截图
IPsecVPN支持第三方对接和快速配置,自有设备对接时加密算法等参数无需配置,自动生成,仅需配置保护子网、共享密钥、IP地址,支持配置国密,提供Web界面配置截图
HA可同步IPsecVPN状态,当HA主备切换时无需VPN重建
支持统计隧道持续时间,支持统计隧道流量
支持用户强制下线
支持移动终端VPN拨入
应用协议识别
支持主流P2P、IM、在线视频、网络游戏、网络炒股等应用识别;
支持BYOD特征库,可识别ios版和安卓版移动互联网软件如微博、微信等特征,并提供web界面配置截图;
支持基于IP、端口等自定义协议服务;
应用特征库可提供在线升级和手动升级
支持智能和快速识别模式配置,要求提供web界面配置截图
流量管理
支持通道化的QoS,支持基于源地址、用户、服务、应用、时间进行带宽控制,并支持配置保障带宽、限制带宽、带宽借用、每IP带宽、带宽优先级等QoS动作,时间选择支持基于日计划、周计划、单次计划等,并提供web界面配置截图
支持4级层次化QoS、支持多级用户/用户组嵌套,提供web界面配置截图
支持用户(用户组)+应用(应用组)+时间等条件的组合进行多线路带宽管理
支持进行IP、整机会话限制,提供web界面配置截图
支持应用、用户流量统计,应用流量支持趋势图、饼状图呈现,可查看某一应用的流量趋势图和其Top流量用户,提供web界面截图
防私接路由
可识别私接主机个数,并可制定策略分别设置私接终端类型个数为阀值进行封堵,支持自定义阻断时间,同时支持基于IP及IP段配置白名单,提供Web界面配置截图
支持私接用户的PPPoE账号展现,提供Web界面配置截图
支持基于用户、MAC、终端数量的监控和搜索
用户认证功能
支持WEBPortal认证功能,支持本地认证、Radius认证、LDAP认证和LDAP用户同步,支持对接IMC、AAS、SAM等常见AAA服务器,支持配置强制重新认证间隔,支持配置认证通过后重定向URL,要求本机自身支持短信认证功能,提供web界面配置截图
支持portal服务器联动,支持radius服务器联动,支持实现NAS-Identifier(32)在无线场景携带AC名字
支持认证页面自定义
支持微信认证功能,使用微信连WiFi2.0接口,限制微信流量放通(pc和移动端,认证通过放通),支持基于http获取access_token,支持微信内部浏览器http弹portal
强制关注功能(定时检查用户是否关注公众号),提供Web界面配置截图
支持短信认证,登录后方可认证上网
支持混合认证,支持界面配置选择多种认证方式,用户可根据需要更换认证方式
用户管理
支持同步LDAP用户,支持标准AD服务器和OPENLDAP服务器的用户导入,支持针对同步的用户和用户组配置策略
支持用户批量移动功能,支持一键删除所有的用户,用户组
支持与AD的自动、手动同步用户,支持定时、配置及手动同步第三方用户
支持自定义移动用户、用户组,支持模糊搜索用户名、用户组名
应用缓存
支持文件缓存,支持安卓和IOS形式的文件,文件形式不限于视频、APP、文本文件等
服务质量管理
支持PING、TCP、DNS探测
支持接口探测、域名探测
支持自定义间隔时间探测
广告推送
支持配置在用户上网时弹出广告页面,可自定义广告图片,支持与第三方广告联动,可配置点击广告后的返回页面和广告弹出时间
链路负载均衡
支持7元组的链路负载均衡策略
支持基于域名的负载均衡策略
基于支持直连网段和特定网段的负载均衡排除
支持基于ICMP、TCP、DNS等协议的接口探测机制
DNS透明代理
支持DNS透明代理;支持DNS负载均衡;支持DNS静态域名映射;支持DNS特定域名请求转发
支持基于优先级、权重的DNS代理算法,支持静态域名配置,支持特定域名特定DNS服务器解析,静态域名和特定域名支持模糊匹配
支持DNS域名匹配顺序
支持DNS透明代理缓存管理
双机热备
支持双机热备,支持主主模式、主备模式,支持同步配置、会话、运行状态、VPN状态、特征库,支持配置抢占模式和抢占延时,支持配置HA监控接口
支持地址代理
支持非对称路由
配置管理
支持通过管理平台进行集中管理,统一升级,下发配置,收集日志
PKI
支持X.509V3数字证书,支持DER/PEM/PKCS12多种证书编码
支持内置CA,为其他设备或移动用户签发证书
支持本地CA根证书、根私钥的更新
支持在线CRL列表
系统维护
web管理界面支持Ping、Traceroute、TCPSyn诊断工具,可支持基于接口、协议、IP地址、端口、应用进行网络抓包,并可下载导出分析,提供web界面配置截图
支持命令行、界面管理端口的漂移
SNMP
支持v1、v2、v3版本,支持跨三层自学习MAC地址,支持IP、MAC绑定
系统日志
支持本地日志记录和远程日志输出;支持专用的日志审计管理软件
2.入侵防御系统DAS-IPS860
网口数量
12*GE电口,12*SFP光口
性能
设备最大吞吐量≥8Gbps
每秒新建连接数≥10万
最大并发连接数≥300万
IPSecVPN隧道数≥1024
SSLVPN≥512
IPSecVPN性能≥1.1G
AV吞吐量≥2.2G
IPS吞吐量≥2.4G
部署模式
支持路由模式、透明(网桥)模式、混模式,支持将多个物理网口加入一个网桥中;部署模式切换无需重启设备;支持镜像和被镜像;
NAT
支持源地址转换、目的地址转换、双向地址转换、NAT44
路由支持
支持静态路由、策略路由、动态路由、ISP路由;策略路由支持七元组策略;动态路由支持RIP、OSPF等;ISP路由支持运营商地址自定义;提供web配置界面截图
VRF
接口默认属于root,创建VRF后可把接口添加到VRF内,一个接口只能属于一个VRF
不同vrf下的接口可以配置相同的ip地址
支持静态路由
链路聚合
透明、路由模式下支持将多条链路带宽进行捆绑
4G支持
支持4G扩展网卡。
支持在4G接口上运行IPSecVPN,提供web配置界面截图
IPv6
支持接入IPv6网络
支持配置基于用户和应用均为任意的7元组的IPv6策略
支持NAT64
安全通信
实际配置支持一对一、多对一、多对多等多种形式的NAT,支持H.323等应用协议ALG
实际配置支持基于用户、应用、时间对象的流量管控和策略设置,并提供截图
接口实际配置支持secondIP地址
每个接口要求支持至少200个secondIP,并提供截图
IPS
支持基于源、目的、规则集的入侵检测。
支持5种自定义动作
支持软件bypass(CPUand内存高于70%)
可记录攻击日志。
支持针对Web服务器防护,包括网页防爬虫、网页防篡改、HTTPS防护、DDoS攻击防护、Web攻击过滤、漏洞防护等
系统定义超过2800条主流攻击规则,包含Backdoor、bufferoverflow、dos/ddos、im、p2p、vulnerability、scan、webcgi、worm、game。
VPN
实际配置支持IPSecVPN接入,内置VPN硬件协处理器
实际配置支持DES、3DES、AES加密算法,并提供截图
IPsecVPN支持第三方对接和快速配置,自有设备对接时加密算法等参数无需配置,自动生成,仅需配置保护子网、共享密钥、IP地址,支持配置国密,提供Web界面配置截图
HA可同步IPsecVPN状态,当HA主备切换时无需VPN重建
支持统计隧道持续时间,支持统计隧道流量
支持用户强制下线
支持移动终端VPN拨入
防私接路由
可识别私接主机个数,并可制定策略分别设置私接终端类型个数为阀值进行封堵,支持自定义阻断时间,同时支持基于IP及IP段配置白名单,提供Web界面配置截图
支持私接用户的PPPoE账号展现,提供Web界面配置截图
支持基于用户、MAC、终端数量的监控和搜索
用户认证功能
支持WEBPortal认证功能,支持本地认证、Radius认证、LDAP认证和LDAP用户同步,支持对接IMC、AAS、SAM等常见AAA服务器,支持配置强制重新认证间隔,支持配置认证通过后重定向URL,要求本机自身支持短信认证功能,提供web界面配置截图
支持portal服务器联动,支持radius服务器联动,支持实现NAS-Identifier(32)在无线场景携带AC名字
支持认证页面自定义
支持微信认证功能,使用微信连WiFi2.0接口,限制微信流量放通(pc和移动端,认证通过放通),支持基于http获取access_token,支持微信内部浏览器http弹portal
强制关注功能(定时检查用户是否关注公众号),提供Web界面配置截图
支持短信认证,登录后方可认证上网
支持混合认证,支持界面配置选择多种认证方式,用户可根据需要更换认证方式
用户管理
支持同步LDAP用户,支持标准AD服务器和OPENLDAP服务器的用户导入,支持针对同步的用户和用户组配置策略
支持用户批量移动功能,支持一键删除所有的用户,用户组
支持与AD的自动、手动同步用户,支持定时、配置及手动同步第三方用户
支持自定义移动用户、用户组,支持模糊搜索用户名、用户组名
应用缓存
支持文件缓存,支持安卓和IOS形式的文件,文件形式不限于视频、APP、文本文件等
服务质量管理
支持PING、TCP、DNS探测
支持接口探测、域名探测
支持自定义间隔时间探测
广告推送
支持配置在用户上网时弹出广告页面,可自定义广告图片,支持与第三方广告联动,可配置点击广告后的返回页面和广告弹出时间
链路负载均衡
支持7元组的链路负载均衡策略
支持基于域名的负载均衡策略
基于支持直连网段和特定网段的负载均衡排除
支持基于ICMP、TCP、DNS等协议的接口探测机制
DNS透明代理
支持DNS透明代理;支持DNS负载均衡;支持DNS静态域名映射;支持DNS特定域名请求转发
支持基于优先级、权重的DNS代理算法,支持静态域名配置,支持特定域名特定DNS服务器解析,静态域名和特定域名支持模糊匹配
支持DNS域名匹配顺序
支持DNS透明代理缓存管理
双机热备
支持双机热备,支持主主模式、主备模式,支持同步配置、会话、运行状态、VPN状态、特征库,支持配置抢占模式和抢占延时,支持配置HA监控接口
支持地址代理
支持非对称路由
配置管理
支持通过管理平台进行集中管理,统一升级,下发配置,收集日志
PKI
支持X.509V3数字证书,支持DER/PEM/PKCS12多种证书编码
支持内置CA,为其他设备或移动用户签发证书
支持本地CA根证书、根私钥的更新
支持在线CRL列表
系统维护
web管理界面支持Ping、Traceroute、TCPSyn诊断工具,可支持基于接口、协议、IP地址、端口、应用进行网络抓包,并可下载导出分析,提供web界面配置截图
支持命令行、Web界面管理
SNMP
支持v1、v2、v3版本,支持跨三层自学习MAC地址,支持IP、MAC绑定
系统日志
支持本地日志记录和远程日志输出;支持专用的日志审计管理软件
升级会员 