政府电子政务外网和专网参数.docx
《政府电子政务外网和专网参数.docx》由会员分享,可在线阅读,更多相关《政府电子政务外网和专网参数.docx(32页珍藏版)》请在冰豆网上搜索。
政府电子政务外网和专网参数
网络设备清单
电子政务外网设备清单
名称
数量
单位
电子政务外网路由器
2
台
数据中心交换机
2
台
城域网入侵检测
1
台
城域网汇聚交换机
1
台
城域网上网行为管理
1
台
电子政务外网出口防火墙
1
台
接入单位防火墙
70
台
接入单位出口路由器
70
台
运维管理系统
1
套
万兆单模模块
10
个
千兆单模模块
70
个
电子政务内网设备清单
名称
数量
单位
政务内网接入路由器
100
台
内网核心交换机
1
台
内网出口路由器
1
台
万兆多模模块
4
块
千兆单模模块
108
块
万兆单模模块
1
块
服务器部分
产品
数量
单位
应用服务器
6
台
数据库服务器
2
台
1、电子政务外网路由器(2台)
技术指标
参数要求
★设备架构
支持控制平面和转发平面分离
支持母板+子卡的结构,同一块母板上应可同时混插POS接口、GE接口以提高接口的利用率
★业务插槽数
整机框业务槽位数≥16,不含主控、交换网板槽位
★交换容量
≥71.5T
★包转发率
≥12000Mpps
关键部件冗余
主控、交换网板、电源等关键部件冗余配置
路由协议
支持RIP、OSPF、BGP-4、IS-IS等路由协议
链路层协议
支持PPP、MP、HDLC等链路层协议
支持ETHERNE、TMSTP等链路层协议
MPLS
支持分布式L3MPLSVPN,支持跨域MPLSVP(NOption1/2/3)
组播VPN
要求实配置MPLSVPN组播功能板卡或license
★虚拟化
支持N:
1虚拟化。
支持将两台物理设备虚拟化为一台逻辑设备,虚拟组内可以实现一致的转发表项,统一的管理,跨物理设备的链路聚合
GREVPN
支持GRE,为保证性能,本次要求实配VPN功能板卡或license
Netstream
硬件支持分布式Netstream功能,要求实配支持NetStream功能license
NAT
硬件支持分布式NAT功能,本次要求实配NAT功能板卡或license.
支持EasyIP、静态NAT转换、动态NAT转换等多种方式;支持NAT多实例、VPNNAT、丰富的NATALG、NAT日志与用户行为审计等功能
接口类型
支持10GE、100GE、155M/622M/2.5G/10GPOS、155M/622MATM、
E1接口、155M/622MCPO、SRPR等广域网接口
电源系统
支持内置交流电源,不能配置外置交流电源
认证
提供工信部入网许可证复印件
★服务
提供厂商3年维保服务、提供厂商针对此项目的授权书、提供厂商服务承诺函
配置要求
冗余主控,冗余电源,万兆以太网光接口≥2个,千兆以太网光口≥16个,千兆以太网电口≥4个
万兆单模光模块4个
2、数据中心交换机(2台)
技术指标
参数要求
交换架构
支持多级交换架构,采用控制、数据、业务相分离的全分布式架构,具备独立的主控引擎、具备独立的业务引擎、具备独立的交换网板、具备独立的接口单元,主控引擎、业务引擎、交换引擎、接口单元均硬件槽位分离
槽位数
主控板槽位数≥2;业务板槽位数≥10;交换网板槽位数≥4,
性能
交换容量≥256T;包转发率≥67500M
供电系统
主机支持直流及交流电源模块,非外置电源框扩展,电源可以实现M+N冗余
主控引擎
主控引擎1+1冗余,主控故障或切换时设备最大转发性能不受任
何影响,所有主控引擎必须支持热插拔
交换网板
所有交换网板必须为独立形态(非主控集成),占用专用的硬件槽位
★虚拟化功能
支持N:
1虚拟化功能,可将N(N≥2)台物理设备虚拟成一台逻辑设备,支持跨设备链路聚合,单一IP管理,统一的路由管理
支持1:
N虚拟化功能,可将一台物理设备虚拟成多台逻辑设备,逻辑设备之间硬件独立且物理隔离,支持在N:
1虚拟化环境下同时实现1:
N虚拟化功能
支持纵向虚拟化功能,支持将汇聚和接入设备通过纵向虚拟化技
术形成一台纵向逻辑虚拟设备,相当于把接入设备作为一块远程接口板加入核心设备,在支持在持在N:
1虚拟化环境下同时实现纵向虚拟化功能
★数据中心特性
支持FCoE功能,实现数据中心前端数据网络和后端存储网络架构的融合,统一进行配置和管理
支持EVB功能,将虚拟机产生的网络流量上传至与服务器相连的
物理交换机进行处理,提高对虚拟机的管理能力
支持数据中心大二层网络技术TRILL或相同的其他数据中心大二层技术,构建高效的大二层网络,适应虚拟化环境下的数据中心建设
★数据中心互联
技术
支持Overlay虚拟化网络技术,可以实现VXLAN,NVGR,ESTT等任何一种技术标准,实现应用在网络上的承载,并能够与其他网络业务分离
支持数据中心跨站点二层互联技术,让连接到IP核心网的数据中心站点间能够实现二层互通
路由协议
支持IPv4静态路由、RIPV1/V2、OSPF、BGP等,支持IPv6静态路由、RIPng、OSPFv3、BGP4+等
MPLSVPN
支持P/PE功能,支持L3MPLSVPN,支持分层VPLS,以及QinQ+VPLS接入,支持VPLS,VLL
安全特性
支持基于标准、扩展、VLAN的ACL;支持MAC认证、802.1X认证、Portal认证;支持IP地址、VLANID、MAC地址和端口等多种组合绑定
设备管理
支持SNMPv、1SNMPv、2SNMPv、3RMON等网络管理协议,并且支持通过网管软件远程进行设备软件升级、配置等
资质证书
提供中华人民共和国工业和信息化部电信管理局入网证复印件
要求设备生产商具有TL9000通信行业质量证书、ISO9001管理体
系和ISO14001环境证书复印件,加盖制造厂商公章
配置要求
双主控、冗余电源、冗余交换网板;万兆以太网光接口≥8个,千兆以太网光口≥40个,千兆以太网电口≥48个
3、城域网入侵检测(1台)
技术指标
参数要求
硬件架构
基于专业多核硬件平台,非X86硬件平台,需提供多核CPU名称和型号,作为验收依据
★端口
千兆以太网光口≥8个,千兆以太网电口≥16个;扩展槽位≥1个;
★产品性能
开启防护策略后整机吞吐量≥3G并发连接数≥30万新建连接数≥8万支持虚拟IPS,数量不少于4实配病毒查杀能力、流量控制能力、URL过滤能力、攻击防护能力
入侵防御功能
攻击特征库数量≥3000+、病毒特征库数量≥8000+、支持的协议识别数量≥800+,提供设备界面截图证明
支持深入七层的分析检测技术,能检测防范的攻击类型包括:
蠕虫/病毒、木马、后门、DoS/DDoS攻击、探测/扫描、间谍软件、网络钓鱼、利用漏洞的攻击、SQL注入攻击、缓冲区溢出攻击、协议异常、IDS/IPS逃逸攻击等
支持P2P、IM、视频等网络滥用协议的检测识别,支持的网络滥用协议至少包括迅雷、BT、eDonkey/eMule、Kugoo下载协议、多进程下载协议(网络快车、网络蚂蚁)等P2P应用,MSN、QQ、ICQ等IM应用,PPLive、PPStream、HTTP下载视频文件、沸点电视、QQLive等网络视频应用;可在识别的基础上对这些应用流量进行阻断或限流
★支持专业防病毒功能,集成第三方专业防病毒厂商的专业病毒库,提供针对IPS产品的与专业防病毒厂商的合作证明
支持URL过滤功能,可以自定义需要过滤的URL规则,URL过滤可以基于时间、主机,能够精细到单一IP地址。
支持IP碎片重组、TCP流重组、会话状态跟踪、应用层协议解码等数据流处理方式
采用全面深入的分析检测技术,结合模式特征匹配、协议异常检测、流量异常检测、事件关联等多种技术,能识别运行在非标准端口上的协议,准确检测入侵行为
IPS检测到攻击报文或攻击流量后,支持阻断、限流、捕获原始报文等常规响应方式
IPS检测到攻击报文或攻击流量后,支持隔离、Web重定向等响应方式,以实现第一时间隔离有安全威胁的主机,需提供配置界面截图
IPS支持对不同的网段运用不同的入侵防御策略
IPS可以针对不同的IP或IP网段应用不同的网络滥用带宽控制策略,针对不同网段应用不同的网络滥用带宽控制策略
可以识别并检测802.1Q、MPLS、QinQ、GRE等特殊封装的网络报文
支持特征库的手动、自动升级,特征库升级后设备无须重启即可生效
产品自带支持12路防护授权,若防护路数为收费授权获得,请实配满足12路要求
对多台分布式部署的场景,提供管理软件实现对多台分布式部署的IPS设备进行集中管理
支持攻击特征库的手动、自动升级,提供设备管理截图
支持病毒特征库的手动、自动升级,提供设备管理截图
资质要求
具有中国信息安全认证中心的《中国国家信息安全产品认证证
书》,提供有效证书的复印件
具有《入侵抵御系统软件著作产权证书》,提供有效证书复印件
获得微软MAPP认证,可提前获得微软操作系统等软件的漏洞信息,要求提供通过MAPP认证的网页链接
通过国际权威安全组织CVE(CommoVulnerabilities&Exposures,通用漏洞披露组织)兼容性认证,以具有更全面的系统漏洞安全防护功能,要求提供IPS产品的CVE兼容性认证证书
必须具有安规、电磁兼容标准认证《CE认证》证书,提供有效证书的复印件。
IPS厂商必须具有《ISO9001质量管理体系认证》,提供有效证书复印件。
IPS厂商必须具有《ISO14001体系认证》,提供有效证书复印件。
厂商必须通过CMMI4认证以保障产品代码质量与稳定性,提供证书复印件
4、城域网汇聚交换机(1台)
技术指标
参数要求
系统架构
采用多级交换架构,能够配置独立的交换网板与独立的主控板,交换网板与主控板硬件槽位分离
冗余
控制引擎、电源以及交换网板支持冗余
插槽数量
整机业务插槽数量≥10个
性能要求
交换容量≥256Tbps,包转发率≥67500Mpps
虚拟化功能
支持N:
1虚拟化,将多台物理设备虚拟化为1台逻辑设备,且设
备虚拟化后能完全作为1台设备来统一配置管理
路由协议
支持ICMPv6、DHCPv、6ACLv6、OSPFv3、RIPng、BGP4+、IS-ISv6、ISATAP、6to4隧道、IPv6和IPv4双栈
MPLSVPN
支持P/PE、L3MPLSVPN、L2VPN、MCE、LDP协议
网流分析
支持Netstream或Netflow的网络流量分析功能
★纵向虚拟化
支持在纵向维度上支持异构虚拟化,将核心和接入设备通过纵向虚拟化技术形成一台纵向逻辑虚拟设备,做到设备统一管理、配置
SDN/OPENFLOW
支持OPENFLOW1.标3准、支持多控制器、支持多表流水线、支持Grouptable、支持Meter
★云数据中心化功能
支持数据中心大二层技术TRILL(多链路透明互联)协议可使三层路由技术IS-IS(中间系统到中间系统)直接应用到二层网络中,保持数据转发性能
支持1:
N的虚拟化,即把一台交换机虚拟成N台互相独立的虚拟交换机,虚拟出的每台交换机之间物理隔离、安全隔离,拥有独立的硬件资源和管理权限
支持EVB(EdgeVirtualBridging),通过VEPA(VirtualEthernetPortAggregator)技术将虚拟机的网络流量上传至与服务器相连的物理交换机进行处理
支持FCOE,使数据中心LAN网络和存储网络通过FCoE和CEE的部署,实现数据中心前端网络和后端网络架构的融合
多业务特性
支持硬件无线控制器业务模块
支持防火墙业务模块
支持IPS入侵防御业务模块
支持LB负载均衡业务模块
★服务
提供厂商3年维保服务、提供厂商针对此项目的授权书、提供厂商服务承诺函
★其它要求
所有证明文件须加盖厂商公章
为方便管理,所投网络产品须同一品牌
★配置要求
单台配置冗余主控,独立交换网板≥1个,冗余电源;千兆光口≥
64个,千兆电口≥24个,万兆光口≥8个,千兆单模光纤模块
70个,千兆多模光纤模块2个
5、城域网上网行为管理(1台)
技术指标
参数要求
硬件构架
非X86等工控机架构,多核架构设计
业务接口
存储介质
千兆以太网电接口≥16个
千兆以太网光接口≥4个
实配500G硬盘,实现本地日志存储
电源
本次配置内置冗余电源
产品性能
最大并发连接数≥200万适用用户规模≥5000人整机吞吐量≥8Gbps
3G支持
支持3G扩展,支持电信、联通等主流3G网卡。
支持3G接口的常在线和按需上线模式,并支持在3G接口上运行IPSecVPN,提供web配置界面截图;
应用协议识别
支持主流P2P、IM、在线视频、网络游戏、网络炒股等应用识别;支持BYOD特征库,可识别ios版和安卓版移动互联网软件如微博、微信等特征,并提供web界面配置截图;
支持基于IP、端口等自定义协议服务;
应用特征库可提供在线升级和手动升级
URL过滤
内置URL分类库,支持约100个URL分类,URL库可在线升级支持自定义URL过滤,并支持URL的模糊匹配,提供web界面配置截图;
可广泛识别恶意网站、违法网站;
行为分析与审
计
支持自定义关键字对象,在应用控制的时候可选择“包含”、“不包含”、“等于”、“不等于”四种匹配模式,匹配类型包含关键字和数字,提供web界面配置截图;
支持即时通讯应用管控的精细化管理,可管控“位置分享”、“朋友圈”、“附近的人”、“朋友圈”、“摇一摇”、“漂流瓶”、“收发文件”、“收发消息”、“视频语音”、“登陆注销”等行为,并提供web配置界面截图;
支持P2P应用管控的精细化管理,可管控“下载”、“代理”、“Kad网络连接”、“Ed2k网络连接”、“UPnP协议”、“DHT网络连接”、“连接请求”等行为,并提供web配置界面截图;
支持网络社区应用管控的精细化管理,可管控“举报”、“收藏”、“私信”、“@”、“赞”、“删除”、“搜索”、“关注”、“转发”、“评论”、“发表”、“注销”、“登陆”等行为,并提供web配置界面截图;
支持股票应用的行情和交易特征,并可以将股票软件的行情和
交易进行区分管控,提供web界面配置截图;
支持收集流量日志,记录IP地址、应用、上下行流量、总流量、产生时间等详细信息,并提供web配置界面截图;
支持收集网站访问日志,记录用户所有访问网站行为;支持收集搜索引擎日志,记录用户的搜索内容;支持收集IM通讯软件日志,记录用户登陆、注销、收发消息、收发文件等行为;支持收集邮件日志,记录邮件发件人、收件人、主题、正文、附件等信息,并提供web界面配置截图;
流量分析
支持连续自动识别及自动分类基于7层网络流量;
支持实时和历史监控各链路上行/下行流量,带宽,在线用户数,
TOPN用户/应用深度流量分析;
能够查看指定时间段内、指定用户/用户组/应用/应用组的带宽、流量、连接数;
支持应用、用户查看的深度查看,可查看源/目的地址,协议类
型、端口号、并将应用与用户深度关联;
支持基于接口、安全域、IP地址、用户、应用、服务、时间等元
安全功能
素的安全策略,并在同一条安全策略中集成应用过滤、URL过滤、
IPSecVPN功能,提供web界面配置截图;
实配标准的IPSecVPN功能,支持NAT穿越、DPD、动态地址协商、域名协商,支持野蛮模式、主模式,支持AES、DES、3DES等主流算法,支持HubSpoke组网及VPN隧道状态监控,提供web界面配置截图;
支持端口扫描防护、IP扫描防护、防护pingofdeath、landbase、teardrop、winnuke、smurf等异常包攻击、防SYN/UDP/ICMP/DNSflood攻击、攻击黑名单等功能,提供web界面配置截图;
流量管理
支持通道化的QoS,支持基于源地址、用户、服务、应用、时间进行带宽控制,并支持配置保障带宽、限制带宽、带宽借用、每IP带宽、带宽优先级等QoS动作,时间选择支持基于日计划、周计划、单次计划等,并提供web界面配置截图;
支持4级层次化QoS、支持多级用户/用户组嵌套,提供web界面配置截图;
支持用户(用户组)+应用(应用组)+时间等条件的组合进行多线路带宽管理;
支持进行IP、整机会话限制,提供web界面配置截图;
WEBPotal认证
支持WEBPortal认证功能,支持本地认证、Radius认证、LDAP认证,支持选择同一用户是否允许在多个客户端同时登陆,支持配置强制重新认证间隔,支持配置认证通过后重定向URL,提供web界面配置截图;
部署模式
支持透明模式、透明模式和混合模式
路由支持
支持静态路由、策略路由、RIP、OSPF、ISP路由,其中ISP路由支持自定义,并可提供基于应用的策略路由;
配置管理
支持中文Web界面管理及命令行管理,支持基于SSL协议的远程安全管理;
★服务
提供厂商3年维保服务、提供厂商针对此项目的授权书、提供厂商服务承诺函。
6、政务外网出口防火墙(1台)
技术指标
参数要求
硬件架构
采用非X8664位多核高性能处理器和高速存储器,主控模块内存≥16G
端口要求
千兆以太网光口≥8个,千兆以太网电口≥16个,万兆以太网光口≥2个
整机最大可扩展接口数量8SPF+20GE
扩展要求
扩展槽位≥1个,可扩展4GEBypass功能接口,硬盘扩展≥500G
产品性能
最大并发连接数≥1000万每秒新建连接数≥100K整机吞吐量≥10Gbps
SSLVPN并发用户支持并配置4K个
可靠性要求
支持VRRP的链路备份
支持IPSecVPN的IKE状态同步
基本功能
支持安全区域管理,可基于接口、VLAN划分安全区域
ASPF状态检查
支持、SMTP、RTSP、H323协议簇的状态报文过滤,支持时间段安全策略设置
支持基于用于、应用的多维安全策略配置,并提供一体化安全策略配置模板(单条策略融合IPS、AV、ACG等多业务)
支持智能安全策略功能(iPolicy),实现策略冗余检测、策略匹配优化建议、整网安全策略自动生成及推荐
支持基于CPU、内存等硬件划分资源的完全虚拟化SOP,可分配吞吐量、新建、并发,虚拟防火墙数量≥32个
免费支持高性能IPSec、L2TP、GREVPN功能
能够实现与L2TPoverIPSec与安卓、ISO系统自带VPN组件对接
支持AV病毒防护、IPS深度安全防护功能
支持应用层防护:
入侵防御、带宽管理
支持URL过滤、反垃圾邮件及敏感信息防泄漏功能
支持链路负载均衡功能、服务器负责均衡功能
支持IPv6:
IPV6状态防火墙、IPV6动态路由协议、IPV6攻击防范、IPV6虚拟防火墙、IPV6管理、NAT64\DS-LITE等过渡技术
支持静态路由、RIPv1/2、OSPF、ISIS、BGP、策略路由等
支持Syslog、NAT转换、攻击防范、黑名单等日志支持流量监控日志支持二进制格式日志、支持用户行为流日志支持高性能二进制SYSLOG日志,日志对新建性能影响小于10%
必须支持一对一、地址池等NAT方式
必须支持NAT444、FullconeNAT、NAThairpin、两次NAT、双向NAT
必须支持多种应用协议,如、RAS、HWC、CSIP、ICMP、DNS、PPTP、NBT的NATALG功能
支持一个公网IP地址NAT无限连接支持策略NATALG功能支持NAT二进制日志
支持应用层过滤,必须支持JavaBlocking、ActiveX过滤,支持FTP协议深度检测,支持FTP命令字过滤,支持URL过滤
能够防范DOS/DDO攻S击:
Land、Smurf、Fraggle、WinNuke、PingofDeath、TearDrop、IPSpoofing、SYNFlood、ICMPFlood、UDPFlood、HTTPFlood(cc)攻击、ARP欺骗、TCP报文标志位不合法、超大ICMP报文、地址扫描的防范、端口扫描的防范
智能管理
支持统一管理软件,可实现全网拓扑管理
风险地图显示
攻击溯源功能
整网流量安全图表可视化,流量基线
部署模式
支持路由模式、透明模式和混杂模式
电源
实配内置双交流电源
配套管理
支持SNMPv、1SNMPv2、CSNMPv,3
支持CONSOL、ETELNET、SSHV1.5管理方式
支持NTP时间同步
支持TR069协议,BIMS管理
7、接入单位防火墙(70台)
技术指标
参数要求
硬件架构
采用非X8664位多核高性能处理器和高速存储器
端口要求
千兆以太网光口≥2个,千兆以太网电口≥10个
产品性能
最大并发连接数≥50万IPSecVPN并发连接数≥800每秒新建连接数≥30K整机吞吐量≥1Gbps
可靠性要求
支持VRRP的链路备份
支持IPSecVPN的IKE状态同步
基本功能
支持安全区域管理,可基于接口、VLAN划分安全区域
ASPF状态检查
支持、SMTP、RTSP、H323协议簇的状态报文过滤,支持时间段安全策略设置
支持基于用于、应用的多维安全策略配置,并提供一体化安全策略配置模板(单条策略融合IPS、AV、ACG等多业务)
支持智能安全策略功能(iPolicy),实现策略冗余检测、策略匹配优化建议、整网安全策略自动生成及推荐
支持基于CPU、内存等硬件划分资源的完全虚
升级会员 