北票市职教中心辽宁省职业教育改革发展示范学校Word文档格式.docx
《北票市职教中心辽宁省职业教育改革发展示范学校Word文档格式.docx》由会员分享,可在线阅读,更多相关《北票市职教中心辽宁省职业教育改革发展示范学校Word文档格式.docx(142页珍藏版)》请在冰点文库上搜索。
2U机架式,6个千兆电口,2个千兆SFP插槽。
支持2000人同时上网,可实现网站访问、BBS/留言、网络游戏、下载、各种股票流量、即时消息、邮件等的分析记录与控制管理。
套
具体功能需求见附表3
网络检测工具
光纤、双绞线等测试仪
网络搭建与应用实训设备
串口控制服务器、拓扑连接器、三层交换机、二层交换机、路由器、防火墙等
具体功能需求见附表4
附表1交换机的详细功能需求
实质性要求即重要指标用★标注,★标注项不得负偏离,如果负偏离,则投标文件无效
配置要求:
交换机8台,硬件保修服务3年,与本次招标其它产品为同一品牌。
功能项
技术参数
交换性能
★背板带宽≥256Gbps(提供网站链接及截图)
★包转发率≥150Mpps(提供网站链接及截图)
整机
★单台配置≥48个10/100/1000M电口,≥4个SFP口,≥1个带外网管端口(提供前面板截图),实配千兆多模光纤模块2块
防雷
支持内置防雷技术,业务端口最大提供6KV防雷能力,使设备有效抵御雷击,(提供第三方测试报告);
噪音等级
噪音等级符合国家标准GB3096-2008《声环境质量标准》中0类噪音标准,(提供第三方测试报告)
节能环保
遵循IEEE802.3az(能效以太网)标准,交换机端口空闲时降低能耗,正常传输数据时恢复供电,(提供第三方测试报告)
支持风扇自动调速、温度告警
支持LEDShut-off(提供第三方测试报告)
安全
支持ARP防御功能,当报文数量超过阈值后,禁止用户接入网络,防止非法用户进行ARP扫描;
ARP网关防护功能,交换机丢弃收到源地址为网关地址的报文,防止ARP网关欺骗;
访问管理功能,在交换机的接口上绑定IP和MAC,只允许绑定列表里的设备访问网络,(提供第三方测试报告);
支持端动态ARP检测功能,从源头防止ARP欺骗,(提供第三方测试报告)
防DOS攻击,CPU防护
防DOS攻击功能,当网络中出现源IP地址与目的IP地址相同的DOS攻击时,交换机不受影响,正常工作;
12、CPU保护功能,通过对送往CPU的各类报文进行限速设置,防止网络中针对CPU的攻击,(提供第三方测试报告);
认证
支持标准802.1X认证,;
支持WebPortal认证,(提供第三方测试报告)
访问控制列表
三层交换机支持IPv4vlanACL,IPv4ACL策略可直接应用到vlan上,对进入vlan的数据进行过滤;
支持IPv6vlanACL,IPv6ACL策略可直接应用到vlan上,对进入vlan的数据进行过滤,支持IPv6port-rangeACL,(提供第三方检查报告);
断电告警
支持断电告警,(提供第三方测试报告)
QinQ
支持灵活QinQ功能(提供第三方测试报告)
多对一vlan
支持多对一vlan,节省vlan资源(提供第三方测试报告)
镜像
支持多session镜像功能,单台设备同时配置多个镜像会话,且多个镜像会话同时工作,支持CPU镜像,支持远程镜像功能(提供第三方测试报告)
IPv6DHCP
内置IPv6DHCPServer,可对用户分配IPv6地址,支持IPv6SAVI功能;
(提供第三方测试报告)
DHCPSnooping
DHCPSnoopingpervlan功能,可基于vlan开启DHCPSnooping功能,(提供第三方测试报告)
组播
支持IGMPv1/v2/v3snooping、IGMPFastleave
支持MLDv1/v2snooping
支持组播VLAN、IPv4/IPv6DCSCM
支持IPv4/IPv6授控组播特性(提供第三方测试报告)
子网流量工程
支持增强型多vlan子网流量工程,(提供第三方测试报告)
sFlow
支持是功能sFlow(提供第三方测试报告)
OAM
支持以太网OAM功能(提供第三方测试报告)
G.8032
支持G.8032功能(提供第三方测试报告)
系统功耗
★≤37W(提供网站链接及截图)
其它
CE认证,FCC认证,电信设备进网许可证,软件著作权证
附表2防火墙的详细功能需求
防火墙1台,硬件保修服务3年,与本次招标其它产品为同一品牌。
指标项
具体要求
1、基本要求
★功能要求
必须具备:
SSLVPN功能、防火墙功能、入侵防御(IPS)功能、防病毒(AV)功能、带宽(流量)管理功能、上网行为管理功能的纯硬件网络安全设备。
但是所有功能必须满足下面的性能要求指标项
专有硬件平台
采用非X86多核架构,处理器为多核心以上并行处理CPU,
操作系统
要求具备自主研发的多核并行安全操作系统
★电源
双冗余热插拔电源
★端口数量
要求提供16×
GE+8×
SFP接口。
(要求提供产品外观图证明最大接口数),所有端口必须能够自定义局域网口和广域网口)
USB接口
USB接口≥1个,用于外接移动硬盘存储日志,系统升级
2、性能要求
(要求提供原厂商彩页证明和原厂商官方网站证明)
★防火墙吞吐量
≥5Gbps
★最大并发会话数
≥200万
★每秒新建会话数
≥30000
★入侵防御(IPS)吞吐量
≥800Mbps
防病毒(AV)吞吐量
≥500Mbps
IPsecVPN吞吐率
≥1.5Gbps,(采用AES256+SHA-1)
最大IPSECVPN隧道数
≥2000条
SSLVPN用户
最大支持2000个并发用户
虚拟系统个数
≥50个
3、设备特性要求
端口镜像
支持将任意接口数据完全镜像到设备自身的其余接口,用于抓包分析。
(要求提供产品界面截图)
接入模式
支持透明、路由、混合、旁路四种工作模式
链路负载均衡
支持出站就近负载均衡技术,可动态探测链路响应速度并选择最优链路进行转发(要求提供产品界面截图);
基于多出口的DNS透明代理;
支持SmartDNS,ISP动态探测,
支持服务器的负载均衡
支持链路ping、应用端口等方式探测服务器状态(要求提供产品界面截图)
DNS防护
必须支持DNS透明代理;
必须支持DNS代理黑白名单功能,用户可通过该功能过滤域名查询请求,保护DNS服务
VPN支持
支持支持GRE和GREoverIPSec、IPSECVPN、SSLVPN、L2TPVPN,智能终端支持Android版APP,支持苹果和安卓系统的XauthVPN。
NAT
要求必须支持NATfullcone模式,求必须支持NAT的端口扩展技术,要求必须支持多对多的NAT,且公网地址池可选择逐一使用和同时使用两种模式.
ARP欺骗防护
支持免费ARP广播,ARP客户端认证(基于PKI技术)防止ARP攻击和ARP病毒
路由协议
支持常见的静态路由
必须支持OSPF、OSPFv3、BGP、BGP+、RIPv1/v2、RIPng(动态路由协议非透传)支持策略路由、支持ISP路由并内置多运营商路由表
支持BFDforStatic/OSPF/BGP
必须支持基于会话的原路回包功能,可设置优先于路由策略而通过会话表中的入接口进行回包。
必须支持基于角色、用户、用户组的策略路由。
支持基于非固定端口的应用决定下一跳的策略路由(应用引流)
支持VRouter功能,同时系统支持50个VRouter(多VR)
支持ISP服务商路由(提供预定义和自定义的)
支持虚拟防火墙,最大可支持50个虚拟防火墙
高可用性(HA)
支持AP模式,AA模式,且透明模式下可支持AP模式
802.3ad链路聚合
透明、路由模式下支持将多条链路带宽进行捆绑
Virtualwire
支持虚拟线技术(Virtualwire)和Vlan标签转换技术。
4、访问控制(防火墙)功能
抗DDOS攻击
可抵御DNSQueryFlood、Synflood、udpflood、icmpflood、pingofdeath、smurf、winnuke、等攻击,会话控制(基于源/目的/Service),基于安全区段和Profile的安全防护
ALG应用
要求支持H.323、SIP、FTP、TFTP、RSH、RTSP、SQLNet、HTTP、MS-RPC、PPTP/GRE、SUN-RPC等应用
访问控制
可按照应用、时间、用户帐号、IP地址、服务端口、物理端口等方式对数据进行访问控制
会话控制
必须支持会话控制功能,要求能够基于源、目的、应用协议三种条件做会话数限制
必须支持会话控制功能,要求能够限制会话新建速率
Web页面关键字加权过滤
支持对某一关键字出现指定次数后方进行过滤
策略管理
支持对防火墙策略命中次数的统计功能
用户认证
支持Radius认证、LDAP认证和MSAD认证,并支持LDAP和AD用户的批量自动导入
5、SSLVPN功能
★用户认证
支持双因素认证(用户名/口令+USB-Key)
硬件特征码绑定
支持客户端硬件特征码绑定认证
★定制网页
支持登陆SSLVPN后自动打开可客户化定制的网页
客户端检测
必须支持对登录SSLVPN的用户端系统进行端点安全检查,至少包括指定文件、指定进程、系统补丁、浏览器版本、杀毒软件等方面。
支持多种认证方式,包括本地认证、ActiveDirectory、LADP、Radius
角色控制
支持基于角色的访问控制
短信认证
支持短信口令认证功能
接入线路选择
多出口链路下支持选择最快响应链路建立SSL连接
用户认证自修改
支持本地用户修改密码功能
6、IPSECVPN功能
互通性
严格遵循RFC国际标准,支持的算法:
DES、3DES、AES128、AES192、AES128、AES256,SHA-256、SHA-512等,并支持NAT穿越。
网络兼容性性
可于主流VPN设备互通
隧道应用识别
支持对VPN隧道中的应用进行控制
★快速部署
支持速连VPN部署技术,中心端自动下发配置到分支设备而无需手工配置
实现方式
基于策略的VPN和基于路由的VPN
7、入侵防御(IPS)功能
入侵防御技术
具有自主知识产权的检测引擎,具备基于协议异常、会话状态和七层应用行为等的攻击识别功能
特征规则
内置IPS特征库,特征规则数量超过3000条。
协议分析
支持对HTTP、SMTP、POP3、FTP、Telnet、VLAN、MPLS、ARP、TCP、UDP、RPC、GRE等多种协议的分析
防护攻击类型
在保障合法应用正常运转的前提下,提供对网络病毒、蠕虫、间谍软件、木马后门、刺探扫描、暴力破2解等恶意流量的检测和阻断
有效抵御SQL注入、XSS注入,外链检查、CC防护等
8、防病毒(AV)功能
病毒库升级
内置病毒(AV)特征库,病毒库可以在线更新、本地更新
模式
支持路由、透明、混合等各种工作模式下的网络病毒检测,
支持无IP地址的透明桥下的网络病毒检测模式,
支持VPN模式下的病毒扫描
应用类型
可对HTTP、FTP、SMTP、POP3、IMAP等协议的应用进行文件的病毒扫描和过滤
9、带宽(流量)管理功能
应用流量可视化
可按照应用分类进行流量监控并提供实时的图形化监控报表
QoS策略
必须支持基于安全域、用户、ip地址以及7层应用进行保证带宽,最大带宽的控制,支持针对7层应用的优先级转发控制
多层QoS功能
多层QoS功能要求包含应用QoS和IPQoS是两个独立的数据流控制功能,应用QoS下可以嵌套IPQos策略;
IPQoS可以嵌套应用QoS。
弹性QoS功能
必须支持弹性带宽功能,可自定义阀值来上弹或回收带宽,充分利用网络带宽资源
应用特征库
内置应用特征库,要求可升级。
应用程序特征库不少于1300种,智能终端应用不少于200种。
(提供应用程序数量证明的界面截图)
10、上网行为管理功能
Web分类管理
支持2000万以上分类web页面库,且支持自定义URL分类过滤
网页关键字过滤和审计
支持包含关键字的邮件标题、邮件正文进行过滤,可审计用户、关键字、邮件发件人、收件人、发件时间等信息
邮件关键字过滤和审计
支持根据邮件附件的文件类型进行过滤,可审计用户、关键字、邮件发件人、收件人、发件时间等信息
QQ账号审计
支持对QQ的上下线进行审计,可审计QQ账号
WEB论坛过滤和审计
支持包含关键字的论坛发帖或者微博内容进行过滤,可审计用户、关键字、论坛发帖或发微博时间
白名单
可设置白名单,白名单内的用户免于过滤和审计
实名制审计
可实现与外置第三方认证计费系统对接,至少支持深澜和城市热点对接成功。
11、管理功能
SNMP
SNMPV1/V2/V3
管理方式
支持http和https两种方式web管理,console、telnet、SSH管理,支持针对电信的TR069管理口
配置文件保存
支持10个配置文件并存,并支持配置回滚(要求提供产品界面截图)
管理界面
中、英文操作界面(要求提供产品界面截图)
统计
要求支持基于IP地址的流量统计功能,包括5分钟和24小时统计
要求支持基于应用的流量统计功能,包括5分钟和24小时统计
要求支持基于IP地址的会话统计,包括5分钟和24小时统计
要求支持基于应用的会话统计,包括5分钟和24小时统计
要求支持自定义统计功能
12、IPV6功能
功能支持介绍
IPv6邻居发现协议、IPv6SNMP管理、IPv6路由配置、IPv6DNS配置、IPv6策略配置、IPv6ALG配置、IPv66to4隧道配置、IPv64to6隧道配置、NAT-PT配置、NAT64和DNS64配置
13、资质要求
公安部销售许可证
具备公安部颁发的《计算机信息系统安全专用产品销售许可证》
防火墙EAL3+资质
中国信息安全测评中心颁发《信息技术产品安全测评证书》
防火墙保密局资质
国家保密科技测评中心颁发《涉密信息系统产品检测证书》
防火墙军用信息安全资质
中国人民解放军信息安全测认证中心《军用信息安全产品认证证书》
信息安全产品认证证书
中国信息安全认证中心颁发的《中国国家信息安全产品认证证书》
IPV6Ready测试中心认证
要求通过全球IPV6测试中心的“Ipv6Ready”认证,并提供认证证书
电信入网许可
中华人民共和国工业和信息化部颁发的《电信设备进网许可证》
软件著作权
防火墙系统计算机软件著作权登记证
防火墙CE认证
附表3网络行为管理设备的详细功能需求
硬件设备1台,硬件保修服务3年,与本次招标其它产品为同一品牌。
功能要求
基本要求
硬件规格
★2U可上架标准设备,千兆电口≥6,千兆SFP接口≥2,存储空间≥1T
性能要求
★吞吐量≥1800Mbps,最大并发连接数≥5,000,000,每秒新建连接数≥120,000,并发用户数≥5000
部署方式
路由部署
支持路由模式,提供路由转发、NAT、DHCP、即插即用等功能;
网桥部署
支持网桥模式,以透明方式串接在网络中;
旁路部署
支持旁路模式,无需更改网络配置,实现网络行为审计和部分控制功能;
双机热备(HA)
支持两台设备同时做主机的部署模式;
混杂部署
★必须支持路由、网桥混杂部署,串联、旁路混杂部署;
集中管理
支持分布式部署,上级设备统一下发策略,并监控下级所有设备状态;
下级设备定时上传分支机构的日志记录;
支持界面
我的导航
★必须支持“我的导航”功能,用户创建常用菜单的快捷方式在“我的导航”页面中,提高使用效率。
安装向导
★必须支持安装向导功能,用户可以按照设备提示进行产品配置;
动态页面
系统所有页面动态生成,提高了产品的安全性;
在线帮助
支持在线帮助文档功能;
系统状态监控
设备资源状态监控
提供设备实时CPU、内存、硬盘占用率、会话数、系统时间、网络接口及各接口流量走势等信息;
多CPU状态监控
★必须支持多核并行处理下,多CPU的状态监控;
系统信息
提供设备主机名、系统时间、版本、运行时间、未读报警信息数量、审计数据保存期限等信息;
系统服务状态
★必须提供系统服务状态;
★必须支持对系统各项服务进行启动或停止;
在线用户
提供当前在线用户信息;
提供在线用户的会话信息;
提供在线用户的应用排行;
支持手动控制用户下线;
★必须支持控制在线用户的临时锁定功能,并且可定义锁定时间;
流量状态
提供实时、15分钟内、本日、本月、本年以及自定义时间段的用户流量排名、应用流量排名等;
报警信息
提供报警信息的查询;
系统管理
系统时间设置
支持手动更改系统时间;
支持通过NTP自动同步时间;
必须支持集中管理部署模式设置;
bypass功能
支持软件bypass功能,保障设备故障时,不影响网络使用;
双机热备
支持双机热备的自动切换链路;
支持抢占模式和非抢占模式;
系统备份与恢复
支持恢复出厂设置;
支持手工备份;
必须支持远程备份;
FTP备份;
支持指定数据库备份;
支持审计数据日志的存储期限配置,如过了这个时间新日志则覆盖旧的日志;
外接日志中心
★必须支持外接数据库,要求审计数据可直接存储到外围数据库服务器上;
系统升级
支持URL分类库、应用识别库自动在线升级;
支持升级日志查询;
支持本地升级URL分类库、应用识别库、软件版本、系统平台;
多角色管理
★必须支持添加多个管理员,不同用户组的管理权限必须支持分配给不同管理员;
★必须支持浏览、添加、修改、删除、使能、执行六种操作权限;
多语言界面
支持中文,英文等多语言界面
报警功能
支持报警日志语言的设置;
必须支持多邮箱接受报警信息;
支持网页报警和邮件报警;
支持ARP欺骗等网络流量异常报警;
提供报警日志查看;
系统日志
支持系统管理日志查询;
支持管理日志维护;
网络管理
路由设置
支持静态路由、策略路由设置;
PPPoE拨号
必须支持PPPoE拨号功能;
VLAN
支持VLAN穿越;
支持NAT地址转换功能;
DHCP功能
支持DHCP功能;
即插即用
★必须支持即插即用功能。
无论用户原有IP是固定还是动态,是正确还是错误,插上网线就可以上网;
IP/MAC绑定
支持单地址和批量地址自动探测功能,并可实现IP、MAC自动绑定;
必须支持跨三层的IP、MAC绑定
要求支持防护ARP攻击。
ACL访问控制
支持基于源IP、源MAC、源端口、目的IP、目的MAC、目的端口、时间等进行访问控制设置。
用户管理
用户识别
支持按IP进行识别、按MAC进行识别;
★必须支持PPPoE用户的识别;
三层交换机联动配置
支持与三层交换机的联动功能,使系统能够审计到跨三层设备的MAC地址
认证黑白名单
支持认证IP及网段设置;
支持免认证IP、网段以及免认证服务器设置;
上网认证
支持触发式WEB认证,除免认证用户外,其他用户必须经过认证后才可上网;
支持Radius、LDAP、windows域等第三方认证;
认证重定向
支持认证重定向功能,必须支持向认证通过的用户显示指定的URL地址或网页,自动重定向到单位的公告通知网站等;
账号导入
支持递增方式的帐户导入功能;
支持批量导入审计用户;
支持系统自动搜索局域网内的所有用户并自动按部门归类;
计费管理
计费功能
★必须支持计费策略设置;
★必须支持费用结算功能;
★必须支持结算时间设置;
★必须支持用户缴费功能;
★必须支持费用结算和用户缴费日志的查看;
★必须支持预付费和后付费管理;
★必须支持在指定时间段内,上网最大流量、最长时间以及最高金额的限制;
★必须支持欠费处理设置;
★必须支持用户上网的认证计费功能,必须支持按流量,时间,包日,包月多种策略进行计费;
带宽流量管理
内外网口划分
能够根据接口明确区分内、外网 ;
接口流量
能够根据接口设置流入、流出带宽大小;
针对用户流控
支持基于用户(用户组)或IP(IP组)进行带宽控制;
针对应用流控
支持基于应用(应用组)类型进行带宽控制 ;
时间控制
支持基于时间段的带宽控制;
连接数限制
★必须支持通过连接数数量进行带宽控制;
连接速率限制
★必须支持通过连接速率进行带宽控制;
下发
支持策略的下发功能;
带宽租借
支持带宽租借功能。
即,在保证带宽和最大带宽的前提下,结合应用优先级的控制,高优先级可以租借低优先级通道的带宽,从而保证带宽得到合理、高效的使用。
带宽平均分配
支持带宽平均分配。
即,每一个内网或应用用户平均分配带宽。
带宽共享
支持带宽共享。
即,每一个内网或应用组下的所有用户共享分配的带宽。
流量预分配
支持为用户预先分配流量大小,超过流量限制则禁止上网;
上网时长预分配
支持为用户预先分配上网时间,超过该时长限制则禁止上网;
应用识别
识别的网络应用种类
必须支持16大类,325种
升级会员 