宁波市中医院内网边界及互联网出口安全防护集成项目.docx
《宁波市中医院内网边界及互联网出口安全防护集成项目.docx》由会员分享,可在线阅读,更多相关《宁波市中医院内网边界及互联网出口安全防护集成项目.docx(20页珍藏版)》请在冰点文库上搜索。
宁波市中医院内网边界及互联网出口安全防护集成项目
宁波市中医院内网边界及互联网出口安全防护集成项目
特别说明:
(1)投标人所供设备的最终用户名为:
“宁波市中医院”;
(2)本次项目所有产品必须为正规渠道供货,不得提供旧货、假货、水货,项目中涉及的设备和软件必须为提供原厂质保服务;
(3)为保证服务时效性,投标人必须在宁波市地区有服务机构,投标时提供证明资料。
(4)投标方案中,投标产品的质量性能指标及服务内容不得低于参考品牌型号的质量性能指标和服务内容。
(5)投标方案应包含详细的项目集成实施方案,包括网络拓扑图设计、部署计划、安全设备策略配置与网络策略配置方案、风险控制方案与验收测试方案等。
(6)招标文件中要求应标时提供的相关材料与证明文件必须以附件方式上传,否则视同不应答。
(7)投标商需进行现场踏勘,勘察结果需要得到业主方签章确认,没有进行现场踏勘的供应商无中标资格。
踏勘截止时间:
2019年5月31日14:
30分,过时不候。
踏勘地点:
宁波市中医院二楼信息科。
联系人:
林老师。
联系方式:
87089020。
一、采购清单
序号
产品名称
技术指标
数量
单位
1
下一代防火墙A
1U机箱,千兆电口≥16;千兆Combo接口≥8;万兆光口≥2;
吞吐量≥8Gbps,最大并发连接数≥390万,每秒新建连接数≥8万。
双电源,含3年入侵防御与反病毒模块。
每台配置2个万兆多模光模块。
整机3年原厂维保。
2
套
2
下一代防火墙B
1U机箱,千兆电口≥8,千兆光口≥4;吞吐量≥8Gbps,最大并发连接数≥350万,每秒新建连接数≥7万。
含3年入侵防御与反病毒模块。
整机3年原厂维保。
1
套
3
交换机A
交换容量≥336Gbps,包转发率≥144Mpps,48个千兆电口,4个千兆SFP端口,整机3年原厂维保。
。
3
套
4
交换机B
交换容量≥336Gbps,包转发率≥108Mpps,24个千兆电口,4个千兆SFP端口。
整机3年原厂维保。
2
套
5
服务器
配置2个IntelXeonE5-2600V3系列处理器,处理器主频≥2.1GHz,每处理器不少于8个内核,L3缓存≥20MB,DDR4RDIMM≥16G,1TBSATA*2。
整机3年原厂维保。
1
套
6
IPS维保
原绿盟IPS型号NX3-N600A-C三年期软件与特征库升级。
1
套
7
安全网关新增IPS与AV模块
原安恒安全网关型号DAS-Gateway-NGFW200新增IPS与防病毒模块,包含三年期软件及特征库升级。
1
套
二、技术指标
2.1、下一代防火墙A
指标项
技术规格要求
配置要求
千兆电口≥16;千兆Combo接口≥8;万兆光口≥2;千兆WAN口≥2;SSLVPN并发数≥980;IPSecVPN隧道≥3980;虚拟防火墙数量≥95;配置1个电源,可扩展双电源;
硬件架构
设备形态1U;采用多核架构;自研芯片;
支持交流双电源;支持风扇可插拔;支持前后风道
接口要求
千兆电口≥16;千兆Combo接口≥8;万兆光口≥2;千兆WAN口≥2;USB口≥2,支持USB2.0、USB3.0
性能要求
吞吐量≥8Gbps,最大并发连接数≥390万,每秒新建连接数≥8万,IPSec吞吐量≥2.8Gbps,SSL_VPN吞吐量≥500Mbps,IPS吞吐量≥2Gbps,SSL代理吞吐量≥500Mbps
策略管控
能够基于时间、用户/用户组/安全组、应用层协议、地理位置、IP地址、端口、域名组、URL分类、接入类型、终端类型、设备组、内容安全统一界面进行安全策略配置
路由功能
支持静态路由、策略路由、RIP、OSPF、BGP、ISIS等路由协议
策略路由支持的匹配条件:
源IP/目的IP,服务类型,应用类型,用户(组),入接口,DSCP优先级。
IPV6
支持IPv6协议栈、IPV6穿越技术、IPV6路由协议(提供“IPV6ReadyPhase-2”认证证书复印件)
支持IPv6overIPv4GRE隧道,6RD隧道。
协议识别
可识别应用层协议数量≥5000种;支持识别国标SIP协议及主流安防厂家的私有协议
流量控制
可支持基于应用层协议设置流控策略,包括设置最大带宽、保证带宽、协议流量优先级等。
支持基于用户,IP的带宽保证。
支持每IP,每用户的最大连接数限制,防护服务器。
支持用户流量配额管理。
支持流量整形。
支持基于地理位置的流量和威胁分析
策略管理
支持策略的模糊查询,策略组,策略规则标签,方便策略的管理及运维。
支持将基于端口的安全策略转换为基于应用的安全策略,分析设备策略风险,及冗余策略,提供安全策略优化建议
支持与firemon对接,实现策略的命中,冗余分析及风险调优
支持与algosec对接,实现策略的命中,冗余分析及风险调优
数据安全
支持数据防泄露,对传输的文件和内容进行识别过滤,对内容与身份证、信用卡、银行卡、社会安全卡号等类型进行匹配
支持在本地部署URL服务器实现URL过滤。
支持DNS过滤,提高WEB网页过滤的性能。
支持SafeSearch,过滤掉Google搜索引擎返回的不健康的内容。
DDoS防护
支持HTTP、HTTPS、DNS、SIP等应用层Flood攻击,支持流量自学习功能,可设置自学习时间,并自动生成DDoS防范策略
支持IP信誉。
NAT
支持全面NAT功能,对多种应用层协议支持ALG功能,包括ILS、DNS、PPTP、SIP、FTP、ICQ、RTSP、QQ、MSN、MMS等。
支持源NAT自动探测并排除NAT-IP地址池中无效地址(防封杀)。
支持三元组NATsmart-fullcone。
支持源NAT地址池使用率超限告警。
入侵防御及病毒防护
基于特征检测,支持超过8000种特征的攻击检测和防御
支持基于场景进行策略入侵防御的模板定制。
支持对常见应用服务(HTTP、FTP、SSH、SMTP、IMAP)和数据库软件(MySQL、Oracle、MSSQL)的口令暴力破解防护功能。
IPS检出率获得NSS推荐级。
支持恶意域名过滤,实现对C&C进行阻断。
可以支持HTTP、FTP、SMTP、POP3、IMAP、NFS等协议的病毒防护。
加密流量安全防护
支持对HTTPS,POP3S,SMTPS,IMAPS加密流量代理解密后,并进行内容过滤,审计,安全防护。
支持基于URL分类的精细化解密,提高解密性能。
支持加密流量解密后镜像给第三方设备做审计,安全检测。
集中管理及易用性
支持防火墙向云管理平台自动注册,云管理平台对防火墙进行统一的管理及运维。
支持U盘升级,减少运维成本。
开放RESTCONF,NETCONF等北向接口,对接第三方的管理平台。
智能威胁防御
支持与云沙箱联动,实现对APT攻击的防御功能。
支持与本地沙箱联动,实现对APT攻击的防御功能。
支持防火墙与云沙箱,本地沙箱混合联动,敏感文件在本地沙箱检测,普通文件上传到云沙箱,既保护了客户敏感数据又提高了云检测能力。
支持防火墙与网络安全智能分析系统联动,做态势感知,全网威胁展示,并能针对威胁生成阻断策略。
支持防火墙与云端WEB信誉系统,文件信誉系统,IP信誉系统联动,实时阻断威胁。
支持将网络安全智能分析系统、沙箱的检测结果形成本地信誉,供防火墙查询,从而实现威胁闭环。
支持防火墙内置流探针,对网络中的流量进行采集,上送网络安全智能分析系统进行威胁分析。
上网用户认证
支持AD单点登录,Radius单点登录,NTLM认证,免认证,与认证服务器配合实现微信认证,MAC认证
支持动态安全组,对横向组织机构进行动态授权。
支持多认证域,满足多分公司独立管理,认证的述求。
支持Portal页面定制及调查问卷,进行营销推广。
可靠性
支持BFD链路检测,支持BFD与VRRP联动实现双机快速切换,支持BFD与OSPF联动实现双机快速切换
支持HA平滑升级,升级窗口中支持不同版本的软件形成双机热备。
支持跨数据中心集群,满足数据中心双活,多活场景
多出口智能选路
可根据目的地址智能优选运营商链路,支持主备接口配置以及按比例分配的负载分担方式
产品资质
具有公安部颁发的防火墙《计算机信息系统安全专用产品销售许可证》(USG6000E/V6 增强级),提供证书复印件
服务要求
要求针对宁波市中医院直接供货,提供原厂原装全新设备,不接受库存或拆机设备;要求原厂商工程师负责现场安装服务,要求提供原厂商三年保修服务
2.2、下一代防火墙B
指标项
技术规格要求
配置要求
千兆电口≥8,千兆光口≥4;SSLVPN并发用户≥95;IPSecVPN隧道≥3500;虚拟防火墙数量≥95;
硬件架构
采用非X86多核架构,支持交流双电源
接口要求
扩展插槽≥2个,最大接口数≥26个千兆接口+4个万兆接口
支持LTE4G功能,实现无线接入
支持硬件电口Bypass卡,支持≥200G硬盘
性能要求
吞吐量≥9Gbps,最大并发连接数≥350万,每秒新建连接数≥7万
策略管控
能够基于时间、用户/用户组/安全组、应用层协议、地理位置、IP地址、端口、域名组、URL分类、接入类型、终端类型、设备组、内容安全统一界面进行安全策略配置
路由功能
支持静态路由、策略路由、RIP、OSPF、BGP、ISIS等路由协议
策略路由支持的匹配条件:
源IP/目的IP,服务类型,应用类型,用户(组),入接口,DSCP优先级。
。
IPV6
支持IPv6协议栈、IPV6穿越技术、IPV6路由协议(提供“IPV6ReadyPhase-2”认证证书复印件)
支持IPv6overIPv4GRE隧道,6RD隧道。
协议识别
可识别应用层协议数量≥5000种
流量控制
可支持基于应用层协议设置流控策略,包括设置最大带宽、保证带宽、协议流量优先级等。
支持基于用户,IP的带宽保证。
支持每IP,每用户的最大连接数限制,防护服务器。
支持用户流量配额管理。
支持流量整形。
支持基于地理位置的流量和威胁分析
策略管理
支持策略的模糊查询,策略组,策略规则标签,方便策略的管理及运维。
支持将基于端口的安全策略转换为基于应用的安全策略,分析设备策略风险,及冗余策略,提供安全策略优化建议
支持与firemon对接,实现策略的命中,冗余分析及风险调优
支持与algosec对接,实现策略的命中,冗余分析及风险调优
数据安全
支持数据防泄露,对传输的文件和内容进行识别过滤,对内容与身份证、信用卡、银行卡、社会安全卡号等类型进行匹配
支持在本地部署URL服务器实现URL过滤。
支持DNS过滤,提高WEB网页过滤的性能。
支持SafeSearch,过滤掉Google搜索引擎返回的不健康的内容。
DDoS防护
支持HTTP、HTTPS、DNS、SIP等应用层Flood攻击,支持流量自学习功能,可设置自学习时间,并自动生成DDoS防范策略
支持IP信誉。
NAT
支持全面NAT功能,对多种应用层协议支持ALG功能,包括ILS、DNS、PPTP、SIP、FTP、ICQ、RTSP、QQ、MSN、MMS等。
支持源NAT自动探测并排除NAT-IP地址池中无效地址(防封杀)。
支持三元组NATsmart-fullcone。
支持源NAT地址池使用率超限告警。
入侵防御及病毒防护
基于特征检测,支持超过5000种特征的攻击检测和防御。
支持基于场景进行策略入侵防御的模板定制。
支持对常见应用服务(HTTP、FTP、SSH、SMTP、IMAP)和数据库软件(MySQL、Oracle、MSSQL)的口令暴力破解防护功能。
IPS检出率获得NSS推荐级。
支持恶意域名过滤,实现对C&C进行阻断。
可以支持HTTP、FTP、SMTP、POP3、IMAP、NFS等协议的病毒防护。
加密流量安全防护
支持对HTTPS,POP3S,SMTPS,IMAPS加密流量代理解密后,并进行内容过滤,审计,安全防护。
支持基于URL分类的精细化解密,提高解密性能。
支持加密流量解密后镜像给第三方设备做审计,安全检测。
集中管理及易用性
支持防火墙向云管理平台自动注册,云管理平台对防火墙进行统一的管理及运维。
支持U盘升级,减少运维成本。
开放Restful,Netconf等北向接口,对接第三方的管理平台。
智能威胁防御
支持与云沙箱联动,实现对APT攻击的防御功能。
支持与本地沙箱联动,实现对APT攻击的防御功能。
支持防火墙与云沙箱,本地沙箱混合联动,敏感文件在本地沙箱检测,普通文件上传到云沙箱,既保护了客户敏感数据又提高了云检测能力。
支持防火墙与大数据智能安全分析系统联动,做态势感知,全网威胁展示,并能针对威胁生成阻断策略。
支持防火墙与云端WEB信誉系统,文件信誉系统,IP信誉系统联动,实时阻断威胁。
支持将大数据智能分析系统、沙箱的检测结果形成本地信誉,供防火墙查询,从而实现威胁闭环。
支持防火墙内置流探针,对网络中的流量进行采集,上送大数据智能分析系统进行威胁分析。
上网用户认证
支持AD单点登录,Radius单点登录,NTLM认证,免认证,与认证服务器配合实现微信认证,MAC认证,短信认证。
支持动态安全组,对横向组织机构进行动态授权。
支持多认证域,满足多分公司独立管理,认证的述求。
支持Portal页面定制及调查问卷,进行营销推广。
可靠性
支持BFD链路检测,支持BFD与VRRP联动实现双机快速切换,支持BFD与OSPF联动实现双机快速切换。
支持HA平滑升级,升级窗口中支持不同版本的软件形成双机热备。
支持跨数据中心集群,满足数据中心双活,多活场景。
多出口智能选路
可根据目的地址智能优选运营商链路,支持主备接口配置以及按比例分配的负载分担方式。
产品资质
具有公安部颁发的防火墙《计算机信息系统安全专用产品销售许可证》(USG6000E/V6 增强级),提供证书复印件
服务要求
要求针对宁波市中医院直接供货,提供原厂原装全新设备,不接受库存或拆机设备;要求原厂商工程师负责现场安装服务,要求提供原厂商三年保修服务,。
2.3、交换机A
技术指标
要求
交换容量
交换容量≥336Gbps
包转发率
包转发率≥144Mpps
端口类型
48个千兆电口,4个千兆SFP端口
二层功能
支持MAC地址≥8K
支持ARP表项≥2K
支持4K个VLAN,支持VoiceVLAN,基于端口的VLAN,基于MAC的VLAN,基于协议的VLAN
支持VLAN内端口隔离
支持Smartlink
支持端口聚合,每个聚合组至少8个端口;
支持跨设备链路聚合。
三层功能
支持静态路由、RIP、RIPng、OSPF,
支持Ipv4FIB表项≥4K,
组播
支持IGMPv1/v2/v3Snooping
支持VLAN内组播转发和组播多VLAN复制
支持捆绑端口的组播负载分担
支持可控组播
基于端口的组播流量统计
安全功能
支持防止DOS、ARP攻击功能、ICMP防攻击
支持端口隔离、端口安全、StickyMAC
支持DHCPRelay、DHCPServer、DHCPSnooping支持AAA认证,支持Radius、HWTACACS、NAC等多种方式
支持CPU保护功能,支持CPU攻击防范:
支持CPCAR,支持CPU队列限速
支持基于第二层、第三层和第四层的ACL
支持IP/Port/MAC的绑定功能
可靠性
支持G.8032开放环网协议,
虚拟化
支持智能堆叠,堆叠后逻辑上虚拟为一台设备,具有统一的表项和管理,堆叠系统通过多台成员设备之间冗余备份
支持以太网电口堆叠,用网线连接实现堆叠功能
支持纵向虚拟化,作为纵向子节点零配置即插即用,
QOS
支持对端口接收报文速率和发送报文速率进行限制
支持SP、WRR、SP+WRR等队列调度算法
支持基于端口的流量监管
支持基于队列限速和端口整形的功能
管理维护
支持SNMPv1/v2/v3、Telnet、RMON
支持通过命令行、Web、中文图形化配置软件等方式进行配置和管理
支持集群管理
支持带外管理以太网口;
节能
支持802.3az能效以太网EEE,节能环保,
SDN
支持Openflow1.3标准,
资质
提供工信部入网证
服务要求
要求针对宁波市中医院直接供货,提供原厂原装全新设备,不接受库存或拆机设备;要求原厂商工程师负责现场安装服务,要求提供原厂商三年保修服务,。
2.4、交换机B
技术指标
要求
交换容量
交换容量≥336Gbps
包转发率
包转发率≥108Mpps
端口类型
24个千兆电口,4个千兆SFP
二层功能
支持MAC地址≥8K
支持ARP表项≥2K,
支持4K个VLAN,支持VoiceVLAN,基于端口的VLAN,基于MAC的VLAN,基于协议的VLAN
支持VLAN内端口隔离
支持Smartlink
支持端口聚合,每个聚合组至少8个端口;
支持跨设备链路聚合。
三层功能
支持静态路由、RIP、RIPng、OSPF,
支持Ipv4FIB表项≥4K,
组播
支持IGMPv1/v2/v3Snooping
支持VLAN内组播转发和组播多VLAN复制
支持捆绑端口的组播负载分担
支持可控组播
基于端口的组播流量统计
安全功能
支持防止DOS、ARP攻击功能、ICMP防攻击
支持端口隔离、端口安全、StickyMAC
支持DHCPRelay、DHCPServer、DHCPSnooping支持AAA认证,支持Radius、HWTACACS、NAC等多种方式
支持CPU保护功能,支持CPU攻击防范:
支持CPCAR,支持CPU队列限速
支持基于第二层、第三层和第四层的ACL
支持IP/Port/MAC的绑定功能
可靠性
支持G.8032开放环网协议,
虚拟化
支持智能堆叠,堆叠后逻辑上虚拟为一台设备,具有统一的表项和管理,堆叠系统通过多台成员设备之间冗余备份
支持以太网电口堆叠,用网线连接实现堆叠功能
支持纵向虚拟化,作为纵向子节点零配置即插即用,
QOS
支持对端口接收报文速率和发送报文速率进行限制
支持SP、WRR、SP+WRR等队列调度算法
支持基于端口的流量监管
支持基于队列限速和端口整形的功能
管理维护
支持SNMPv1/v2/v3、Telnet、RMON
支持通过命令行、Web、中文图形化配置软件等方式进行配置和管理
支持集群管理
支持带外管理以太网口;
节能
支持802.3az能效以太网EEE,节能环保,
静音无风扇
采用静音无风扇设计,环保无噪声,
SDN
支持Openflow1.3标准,
资质
提供工信部入网证
服务要求
要求针对宁波市中医院直接供货,提供原厂原装全新设备,不接受库存或拆机设备;要求原厂商工程师负责现场安装服务,要求提供原厂商三年保修服务,。
2.5、服务器
指标项
参数要求
产品要求
国产品牌
外观
2路2U机架式,可放入42U标准机柜
处理器
配置2个IntelXeonE5-2600V3系列处理器,处理器主频≥2.1GHz,每处理器不少于8个内核,L3缓存≥20MB
内存
内存类型:
ECCDDR42400MHz内存;
配置内存容量16GB;内存插槽数≥24个插槽。
存储
配置≥2块1000GB7200转3.5寸热插拔硬盘,硬盘槽位最大支持27个
磁盘阵列卡
配置独立的磁盘阵列卡,1GB缓存,支持RAID0/1/5/6/10/50/60,含超级电容
网卡
配置1块四端口千兆电口网卡
工作温度
5℃-45℃
冗余性
满配冗余风扇、冗余热插拔电源,并提供配套的电源连接线
管理维护功能
1.集成系统管理处理器支持:
自动服务器重启、风扇监视和控制、电源监控、温度监控、启动/关闭、按序重启、本地固件更新、错误日志,可通过可视化工具提供系统未来状况的可视显示;
2.具有图形管理界面及其他高级管理功能;
3.配置独立的远程管理控制端口,支持远程监控图形界面,可实现与操作系统无关的远程对服务器的完全控制,包括远程的开机、关机、重启、虚拟软驱、虚拟光驱等操作;
可维护性
可快速定位意外宕机原因,包括能够对宕机时的屏幕显示进行录像,帮助管理员精确定位故障,迅速恢复业务运行,要求提供官方支持说明和应用功能截图;支持临终录屏、录像等高级功能辅助故障诊断
支持BIOS中文界面
安全特性
国产管理芯片
服务要求
要求针对宁波市中医院直接供货,提供原厂原装全新设备,不接受库存或拆机设备;要求原厂商工程师负责现场安装服务,要求提供原厂商三年保修服务,。
三、实施及服务要求
1.本项目要求投标人在合同签订后7个工作日内到货,货物原包装进场不得启封。
2.项目报价为最终报价,包括完成采购人当前环境下的安装调试、接口对接、设备联调以及系统正常运行所需的全部工程实施费用,同时上述报价也包括相关的配套管理软件、工具、配件等全部辅助软硬件。
3.本项目实施团队不得少于3人,项目负责人须持有CISP证书、项目组成员须持有CISP或CISAW证书。
(提供有效期内证书复印件及社保缴纳证明,中标后由本人提供证书原件现场查验并签署各人员保密承诺书)
4.提供由原厂商承办的技术培训。
5.紧急情况处理:
当有紧急情况发生时,要求技术支持工程师应在0.5小时以内迅速赶到现场,备机要求2小时以内送达现场,紧急情况下解决问题的时间不应超过4个小时。
6.一般情况处理:
当其它非紧急情况发生但影响用户正常使用时,技术支持工程师应在1小时内赶到现场,正常情况下解决问题的时间不应超过8个小时。
升级会员 