网络安全设备购置项目新媒体部分采购项目采购需求货物类模板Word文件下载.docx

1、人民币 279.79万元12. 项目履约时间合同签订后30天内交货，60天内完成安装调试及管理集成并具备验收条件。13. 项目履约地点XX市XXXX号第二部分 技术和服务需求一、 项目概述说明项目背景执行依据项目目标项目内容在企业互联网出口部署上网行为管理设备，加强内部员工通过企业网接入环境上互联网的审计和管控。在两个IDC机房部的业务系统互联网链路上署防DDoS攻击系统缓解来自互联网对各项网络服务的攻击压力，保障安全机制的有效性，保证业务的连续性。为了提升业务平台的处理能力增加4台负载均衡设备，构成可扩展、可管理的应用交付集群系统；每个负载均衡节点设备须配置足够的SSL连接卸载能力，提升服务

2、器的处理能力；并由供货单位提供技术集成服务，在zabbix 或Nagios开源网管平台上，编制脚本实现设备的容量和状态监控，并配合Vmware虚拟化管理平台实现自动化资源调配。对办公区1进行企业无线改造，更换原有Aruba AC3400，将AC 由单机架构升级为高可用架构，增加AP的布点并优化，由供货单位负责安装和优化服务，满足办公区的无线接入分区管理，终端监控，传输安全的需要；实现在AC端，运维人员可以观察现场的无线覆盖热力分布图，以便快速定位终端和排除通讯故障。对办公区2的原有胖AP报废处理，替换为瘦AP（室内型）,两地可使用统一软件进行集中设备管理、接入密码管理、访问控制策略管理。瘦AP

3、（室内型）安装相关工作由供货单位负责。项目范围上网行为管理设备1台，防Ddos攻击系统2台，负载均衡设备4台，AP安全接入控制器4台 设备的供货、安装调试与提供系统集成服务和售后服务；提供30台瘦AP（室内型） 的供货、现场部署安装和无线网络覆盖调优。需求分析设备供应商负责产品的安装与调试，并确保性能和功能满足业务需求；所有的设备应同时支持IPV4/IPV6工作模式；安全设备满足等保三级相关要求；负载均衡设备、防DDos攻击系统，AP安全接入控制器均需采用高可用性架构。与前期项目的关系对办公区1进行企业无线改造时，原有无线覆盖系统的情况如下：原办公区1已有AC 1台，型号：Aruba AC34

4、00，配置了30个授权许可，已经部署瘦AP（室内型）25台，型号 Aruba AP105；以上设备已经部署使用了5年，目前仍然在用。二、 技术需求（一） 集成需求不作为打分项，供服务要求集成标准参考。需求说明业务需求每个负载均衡节点设备须配置足够的SSL连接卸载能力，提升服务器的处理能力。我台业务系统的基础架构通过Vmware的Vsphere实现了虚拟化，并利用Zabbix、Nagios 开源系统搭建的网管平台，用以采集虚拟化平台、负载均衡设备的运行信息，监测设备的性能压力，虚拟化平台的容量储备；负载均衡设备需要与网管平台进行管理集成，实现通过预定义脚本自动化完成资源的调整和部署迁移。办公区1

5、原使用Aruba AC3400 AP接入控制器 1台（30AP授权）、AP105 瘦AP（室内型）25个搭建的无线网络已经使用了5年，需要进行设备更新、布点扩容和无线覆盖优化，同时解决IPv6支持、存在覆盖盲区、通讯效果差、授权不够、故障定位不准的问题。根据等保三级的要求，在两个IDC机房部的业务系统互联网链路上署防DDos攻击系统，构成一个高可用性集群，缓解来自互联网对各项网络服务的攻击压力，保障安全机制的有效性，保证业务的连续性。每个负载均衡节点设备须配置足够的SSL连接卸载能力；并由供货单位提供技术集成服务，对办公区2的原有胖AP替换为瘦AP（室内型）,办公区1和办公区2两地可使用统一软

6、件进行集中管理设备、管理接入密码、管理安全策略、管理无线信道优化。瘦AP（室内型）及AP控制器的安装调试相关工作由供货单位负责。技术需求开发接口程序：利用负载均衡设备提供API 接口，与招标方使用Zabbix、Nagios 开源系统搭建的网管平台进行系统集成。 实现负载均衡设备配置自动化适应功能：利用负载均衡设备提供可编程流量管理工具和内置的对主流应用如Weblogic，IIS，SAP、Oracle Application Server、SharePoint、VMware View的配置模板、实现脚本自动化调用的功能。编写自动配置脚本的模板按客户的场景要求，编写不小于15种的配置模板，供使用人

7、参考。实现现场无线覆盖质量的可视化管理：利用AP 安全接入控制器的无线覆盖可视化管理功能导入AUTOCAD 的建筑平面图，在平台图上显示实际布防的AP 的无线覆盖场强分布图（热力图）。系统需求防DdoS攻击系统部署在电信IDC机房，使用1GbE 的光接口。负载均衡设备使用10GbE *2 接口，连接到核心交换机。上网行为管理设备部署在企业网的互联网出口，使用1GbE 光口连接。原有25个Aruba AP 105（室内型瘦AP（室内型）可利旧使用，如需要布线施工，由供应商负责，不破坏原装修标准。无线覆盖系统的安全性和通信质量满足使用方要求。（二） 采购产品一览表货物名称是否为核心产品单位数量产地

8、1上网行为管理设备是台国产2防DDoS攻击系统3负载均衡设备4AP安全接入控制器5瘦AP（室内型）30产品信息以本表为准；未按本表要求投标的供应商，投标将被拒绝。（三） 产品清单及指标要求重要性分为“”、“#”和一般无标示指标。代表最关键指标，不满足该指标项将导致投标被拒绝，#代表重要指标，无标识则表示一般指标项。“证明材料要求”项可填“是”和“否”。填“是”的，投标人须提供包含相关指标项的证明材料，证明材料可以使用生产厂家官方网站截图或产品白皮书或第三方机构检验报告或其他相关证明材料。未提供有效证明材料或证明材料中内容与所填报指标不一致的，该指标按不满足处理。1、 上网行为管理设备重要性指标

9、项指标要求证明材料要求基本要求硬件标准1U机架设备，X86架构，配置4个千兆电口、2个千兆光口，并含不少于2个高速USB2.0接口，至少1个RJ45串口性能支持互联网出口带宽200Mbps，支持人数1200，并发连接数12万部署方式部署模式支持网关模式、网桥模式、旁路部署三种方式多主机支持两台及两台以上设备同时做主机的部署模式用户管理本地认证支持触发式WEB认证，静态用户名密码认证等6认证集成支持LDAP、Radius、POP3、Proxy等第三方认证7#令牌支持支持以USB-Key方式实现双因素身份认证；8信息绑定支持绑定IP认证、绑定MAC认证，及IP/MAC绑定认证等9MAC 信息采集支

10、持通过SNMP服务器跨三层获取MAC地址10MAC异动监控支持当用户MAC地址变动时，需要重新认证11多终端处理同一个账号，支持与指定数量的多个终端进行自动绑定；12短信认证支持短信认证方式，用户输入手机号作为用户名，通过短信猫或短信平台发送验证码13单点登录集成支持radius、AD、POP3、Proxy、PPPOE、 H3C IMC/CAMS、锐捷 SAM、城市热点等系统进行认证单点登录，简化用户操作14用户信息呈现用户分组支持树形结构，支持父组、子组、组内套组等15失效时间控制支持用户登录时间、注销时间、在线时长的查询16支持自动注销指定时间内无流量的已认证用户17支持冻结认证失败次数超

11、过最大值的用户，在冻结时间结束后恢复登录18终端管理支持识别终端操作系统版本、系统补丁安装情况；19支持识别终端硬盘指定目录下的文件情况20支持识别终端系统后台运行的进程信息，防止间谍软件的运行；21支持识别终端系统注册表中指定的表项和键值22支持终端调用管理员指定脚本/程序以满足个性化检查要求23支持禁止不满足终端检查要求的用户访问互联网应用管理24应用分类支持根据标签选择应用，标签分类至少包含安全风险、高带宽消耗、发送电子邮件、降低工作效率、外发文件泄密风险、主流论坛和微博发帖6大类25应用识别设备内置应用识别规则库，支持超过4700条应用规则数，支持超过2100种以上的应用，660种以上

12、移动应用，并保持每两个星期更新一次，保证应用识别的准确率26移动应用控制支持对移动应用的细分权限控制，微信：微信网页版、微信传文件、微信朋友圈、微信游戏。移动QQ：QQ传文件、QQ视频语音等，提供技术白皮书或功能截图。27白名单功能支持基于用户组、终端类型、位置、SSID的QQ白名单功能。28网络边界合规检查设备能够发现私接路由（或者共享软件等）共享网络的行为29报表定制支持报表订阅，自定义报表流量控制流控策略支持在不同线路上，根据不同的应用、用户/用户组、位置、终端类型来保证或者限制流量31支持将多条外网线路虚拟映射到设备上，实现对多线路的分别流控32#能够实时看到各级流控通道的状态：包括所

13、属线路、瞬时速率、通道占用比例、用户数、保证带宽、最大带宽、优先级，启用状态等33P2P抑制提供通过抑制P2P的上行流量，来减缓P2P的下行流量压力的功能。提供技术白皮书或功能截图。34配额管理支持对单个用户/用户组、位置、终端类型等设置日流量、月流量配额功能2、 防DDoS攻击系统设备要求操作系统采用专用硬件架构与专用安全操作系统；机架设备标准机架式硬件规格2U机型，最大配置不小于24个接口，扩展槽位不少于2个，提供2个作为HA口和管理口，不少于4个10/100/1000BASE-T接口（支持Bypass）和4个SFP插槽。标配双冗余电源。性能要求最大清洗能力最大清洗能力 不小于2Gbps小

14、包防御能力（64字节/pps）小包防御能力（64字节/pps）296万pps最大并发连接数最大并发连接数100万工作模式可选工作模式支持在线串接、旁路检测和旁路清洗三种工作模式。支持透明部署、旁路回注、旁路下注、主备、负载、集群等设备联动支持清洗设备、检测设备的联动支持第三方检测设备联动IPv6/IPv4双栈支持IPv4/IPv6双栈方式流量清洗功能数据采集方式可支持镜像、分光、NetFlow等方式进行数据采集自学习支持针对防护对象的自学习功能支持针对学习周期自定义支持学习结果自动/手动方式配置防护规则流量异常检测支持对异常流量的检测，bps、pps、会话数等格式。网络层清洗网络层清洗包括但不

15、限于：IP Fragment Flood、ICMP FLOOD、UDP FLOOD、UDP碎片防护、TCP SYN FLOOD、TCP ACK FLOOD、TCP RST FLOOD、TCP FIN FLOOD、慢速连接耗尽等。HTTPS协议清洗HTTPS协议清洗支持在IPv6/IPv4双栈协议下的HTTPS协议的DDOS的防护，包括但不限于：SSL DOS、httpsclienthelloflood攻击等。HTTP协议清洗支持HTTP协议的防护，包括但不限于：HTTP GET FLOOD、HTTP POST FLOOD、HTTP代理攻击。HTTP协议清洗支持自定义HTTP验证码图片；HTTP

16、协议清洗最少支持4种认证算法，包括：js自动验证、cookie验证等。SIP协议清洗支持在IPv6/IPv4双栈协议下的SIP协议的清洗防护，包括但不限于：SIP FLOOD、sipregisterflood攻击。NTP协议清洗支持NTP协议的防护，包括但不限于：NTP REQUEST FLOOD、NTP REPLY FLOOD攻击等。DNS协议清洗支持DNS协议的防护，如：DNS QUERY FLOOD、DNS REPLY FLOOD 、DNS NXDomain FLOOD、DNS投毒攻击等。攻击工具防护支持对annoymous攻击工具的防护；支持常见开源攻击工具的防护， Windows操作

17、系统下、Unix/linux操作系统；支持对僵尸工具的防护过滤器过滤器支持基于IP、TCP、UDP、ICMP、HTTP、HTTPS、DNS、SIP 、NTP、OTHER等协议的自定义报文特征过滤。过滤器支持丢弃、丢弃黑名单、白名单、限速的等动作。过滤器支持基于http协议字段的过滤，可过滤字段包括但不限于：URI、User-Agent、URI-GET、URI-POST、Referer、Cookie等。源认证支持对真实源的有效认证黑白名单支持IP地址静态黑白名单功能，支持IP地址动态黑白名单功能，支持IP地址黑白名单的导入、导出功能。35抓包溯源支持抓包溯源与指纹提取，针对抓包文件可以进行攻击源

18、IP溯源36支持抓包任务管理，可定义抓包数量、协议、源/目的IP、源/目的端口及采样比。37支持抓包文件管理和查询，可以支持针对防护对象，时间，类型的抓包文件查询，并支持抓包文件下载和解析。38抓包方式自动抓包：支持攻击时、流量异常时自动抓包留存电子凭证、并支持自定义抓包数量39可手动抓包40路由牵引支持静态路由流量牵引41支持动态路由PBR、BGP、OSPF路由牵引。42牵引可控自动流量牵引模式下，流量的牵引在web界面可实现手动可控。43流量回注流量回注：支持策略路由（PBR）回注、GRE隧道回注、MPLS LSP回注、二层回注、MPLS VPN回注等。系统管理44日志本地存储支持日志本地

19、数据库存储，设备断电日志不丢失。45支持日志满额停止写入46支持日志满额转储数据为多种格式，包括但不限于：支持csv格式、HTML格式、XML等转储格式47日志分类支持流量日志、攻击日志、牵引日志、联动日志、系统日志等等，并详细记录日志的时间、状态、攻击源等48日志导出格式日志导出格式：支持CSV、XML、Html等49报表格式报表格式：excel、pdf、word、html等格式50报表类型支持日报、周报、月报等51报表类型支持可针对防护对象、报表内容、报表导出条件等可选择性导出报表。52报表格式自定义报表格式自定义支持报表logo、页眉、标题等自定义53威胁分析威胁分析支持对防护对象、攻击

20、IP、攻击事件的top 10排名的分析表54流量分析流量分析支持对防护对象、目的IP的top 10排名的分析表55连接分析连接分析支持对连接状态、协议、ip、端口等56报表实施监控支持防护对象流量TopN排名57支持防护对象攻击TopN排名58支持设备状态信息（cpu利用率，内存利用率，磁盘利用率）的图表显示，并且可以详细设置报警阀值59支持链路流量的实时显示60支持针对攻击威胁分析的实时和历史记录61接口状态、链路状态、进程状态监控等62管理方式支持基于B/S架构的管理模式63支持WEB、SSH、telnet等方式管理64支持https的加密的安全登陆方式65统一平台管理系统支持统一平台管理

21、，在集群部署时支持对多台设备的集中管理，日志收集，运行状态监控，策略下发等66防护对象自学习设备可以自动学习防护的对象ip，并添加到默认防护对象，不需要手动一个个添加防护对象；67二级防护对象针对每个分组可以纵向深层次配置不同的二级防护对象68针对二级防护对象可详细设置私有策略，并可以继承一级防护策略69支持SNMP支持SNMP 的v1 、v2 、v2c 、v3版本。70告警内容支持针对设备管理硬件状态、系统状态、攻击信息、通讯错误信息、验证容错信息等告警信息71告警方式支持邮件告警，包括但不限于：多个收件人地址、邮件主题自定义、服务器地址、服务器端口、身份认证、发件人等项的设置72支持声音告

22、警，包括但不限于对声音的频率、发声长度、次数、声音间隔等的自定义73支持Netbios告警74支持统一管理平台告警75系统诊断支持Ping、traceroute、tcp、http、dns等命令自检测76网络终端WEB页面支持内置网络终端登录77WebAPI开发接口支持第三方数据的 API开发接口，可基于数据做二次开发3、 负载均衡设备网络接口千兆端口8个万兆端口2个CPU4核CPU，支持多核CPU并行处理技术内存16GB存储介质硬盘500GB冗余设计关键部件冗余设计，支持热插拔冗余电源吞吐量10Gbps最大并发连接10,000,000四层处理能力150K CPS七层处理能力425K RPS最大

23、SSL TPS 2K Key4500最大SSL TPS 1K Key最大SSL加密吞吐量8Gbps最大SSLVPN用户数5000最大压缩性能背板带宽56Gbps独立管理子系统提供独立于业务处理系统以外的管理子系统，配备独立的CPU、内存和存储介质，提供独立的管理网口，实现无人值守远程维护多重引导支持四个以上的多重引导，便于软件版本升级在线升级支持在线升级功能，并支持基于Web的升级方式系统冗余支持Active-Active及Active-Standby冗余方式；提供专用的硬件串口级心跳线和网络级冗余判断方式；提供连接会话的镜像功能，实现无缝故障切换；支持多台设备的N+M集群方式。负载均衡功能可编程流量管理管理界面提供基于某种编程语言（如TCL语言）自定义的流量控制方法，可通过自编程方式实现灵活的流量处理手段。支持负载均衡、DNS处理、用户认证、NAT、路由转发、会话保持等功能的可编程控制。如支持，请详细描述提供的可编程语言的操作指导手册。API接口支持工业标准的SOAP API接口，实现与第三方管理软件的无缝集成。自动化脚本调用根据特定的统计事件或周期性执行自定义脚本，比如在设备出现问题的情况下，自动收集故障信息并发送给指定的服务器。服务器负载均衡完善的第四/七层交换功能，支持可定制的基于应用层的健康检查方式，支持基于IP