1、附件 1 新沂市国土资源局信息化建设暨“一张图”工程招标技术要求货物需求一览表和技术规格设备名称 数量核心交换机 1 台分支交换机 2 台数据库审计设备 1 台上网行为管理 1 台网络设备终端准入设备 1 台数据库服务器 2 台刀片机箱管理中心 1 台服务器刀片计算节点 4 台存储设备 存储设备 1 套操作系统 1 套网络版杀毒软件 1 套软件网络管理运维软件 1 套配件 跳线 15 根存储设备扩容 硬盘 6 块数据迁移 数据迁移服务 1 套1、核心交换机 指标项目 技术要求背板容量3Tbps交换容量1.92Tbps包转发率1440Mpps业务槽位3支持独立双主控整机万兆端口密度=36 个支持
2、全分布式转发支持无源背板支持风扇冗余,支持风扇模块分区管理,支持风扇自动调速整机提供整机高度数据电源要求 支持分区供电,颗粒化电源,支持 N+N 电源冗余(AC 和 DC 均支持)支持标准 SFP, XFP, SFP+模块(支持标准 SFP, XFP)万兆单板端口密度40模块要求千兆单板光接口密度=48单板要求 要求所有配置单板能进行 IPV4,IPV6,MPLS VPN 线速转发支持静态 MAC;支持 DHCP Client, DHCP Server,DHCP Relay;支持 Option 82;支持 4K VLAN;支持 1:1,N:1 VLAN mapping;支持端口 VLAN,协议
3、 VLAN,IP 子网 VLAN;支持 Super VLAN;支持 Voice VLAN;支持 IEEE 802.1d(STP)、 802.w(RSTP)、 802.1s(MSTP)二层功能支持 VLAN 内端口隔离;支持端口聚合;支持 1:1, N:1 端口镜像;支持流镜像;支持远程端口镜像(RSPAN) ;支持 ERSPAN, 通过 GRE 隧道实现跨域远程镜像;支持 VCT,端口环路检测;支持静态路由ARP16K支持 RIP V1、V2, OSPF, IS-IS,BGP支持 IP FRR;支持路由协议多实例;支持 GR for OSPF/IS-IS/BGP;支持策略路由;所有实际配置板卡
4、 支持 MPLS 分布式处理,全线速转发支持 MPLS TE路由特性支持 L3 VPN支持 SP, WRR,DWRR,SP+WRR, SP+DWRR 调度方式;QoS 支持双向 CAR;提供广播风暴抑制功能;支持 WRED;支持 DHCP Snooping trust, 防止私设 DHCP 服务器;支持 DHCP snooping binding table (DAI, IP source guard), 防止ARP 攻击、DDOS 攻击、中间人攻击;支持 BPDU guard, Root guard;支持 802.1X;MAC 地址认证安全性支持硬件防火墙插卡;支持硬件 IPsec VPN
5、插卡;访问控制 支持基于第二层、第三层和第四层的 ACL;支持双向 ACL;支持 VLAN ACL 和 Ipv6 ACL;支持 IP/Port/MAC 的绑定功能;支持独立的硬件监控模块, 实现对单板、风扇和电源配电模块的管理、监控和维护,满足电信级可靠性的要求支持软件环网保护技术,可与其他厂商设备混合组网,要求倒换时间50ms支持硬件 OAM,保证设备高可靠性可靠性支持 IP 快速重路由增值业务 支持防火墙插卡,负载均衡板卡,网流分析插卡等支持 IGMP Snooping V1,V2,V3支持 PIM-SM/DM/SSM组播支持 MLD V1,V2;IGMP Proxy;支持 SNMP V1
6、/V2/V3、Telnet、RMON、SSHV2支持通过命令行、中文图形化配置软件等方式进行配置和管理支持 NQA支持基于 Ipv6 的管理;支持集群管理;管理协议支持热补丁设备维护 支持自动配置绿色环保 支持能效以太网功能,IEEE 802.3az时钟特性 主控板支持时钟能力;同步以太网;成熟度 在网运行超过 2 年配置要求 单主控双电源,36 端口千兆电口,12 端口千兆光口(配置 12 个多模模块)保修服务 要求 4 年原厂 724 小时上门保修服务2、分支交换机 指标项目 技术要求交换容量 交换容量208Gbps 转发性能 转发性能42Mpps硬件尺寸要求 设备为 1U 盒式设备,满足
7、 600mm 深机柜要求端口类型需同时满足1、24*10/100/1000BASE-T2、4*1000Base-X电源数量 内置模块化电源,支持外部 RPS 电源,形成冗余备份节能要求 支持端口休眠功能;支持 EEE;链路层与接口功能 支持端口聚合,每个聚合组至少 8 个端口。二层功能MAC 地址8K;支持静态 MAC;支持 4K VLAN;支持 QinQ; 灵活 QinQ;支持 1:1,N:1 VLAN mapping;支持端口 VLAN,协议 VLAN,IP 子网 VLAN;支持 Super VLAN;支持 Voice VLAN;支持组播 VLAN;支持 IEEE 802.1d(STP),
8、 802.w(RSTP), 802.1s(MSTP);支持 VLAN 内端口隔离;支持 Smart link;RRPP 多实例;支持 LLDP;支持 VCT,端口环路检测;支持 Jumbo9K;三层功能 支持 IPv4 IPv6 静态路由,路由条数 16 条镜像功能支持多个物理端口的流量镜像到一个端口;支持流镜像;支持远程端口镜像(RSPAN) ;访问控制支持基于第二层、第三层和第四层的 ACL;支持双向 ACL;支持 VLAN ACL 和 IPv6 ACL;支持 IP/Port/MAC 的绑定功能;QoS至少具备 8 个队列;支持 SP, DWRR,SP+DWRR 调度方式;支持双向端口限速
9、,限速粒度 8K;提供广播风暴抑制功能;双向流限速;安全功能支持 DHCP Snooping trust, 防止私设 DHCP 服务器;支持 DHCP snooping binding table (DAI, IP source guard), 防止 ARP攻击、DDOS 攻击、中间人攻击;支持 BPDU guard, Root guard;支持用户间的二层隔离,用于减轻网关 ARP 处理负担,降低网关受 ARP 攻击的风险;支持 802.1X; 可靠性支持 ETH OAM: 802.1ag, 802.3ah;链路检测并倒换时间小于 50ms;支持环网保护技术,可与其他厂商设备混合组网,要求倒
10、换时间50ms; 管理协议 支持 SNMP V1/V2/V3、Telnet、RMON、SSHV2;支持通过命令行、Web、中文图形化配置软件等方式进行配置和管理;支持 NQA;支持集群管理;支持带外管理以太网口设备维护 支持自动配置保修服务 要求 4 年原厂 724 小时上门保修服务3、数据库审计设备指标项目 技术要求4 个 10/100/1000M 自适应以太网电口,8 个 SFP 插槽硬件要求存储空间:320G处理能力不小于 2000Mbps性能要求审计事件记录速度3000 条/秒部署方式支持多点管理模式;不需要安装额外的管理软件;不需要单独的管理设备;系统采用专用硬件架构与专用安全操作系
11、统;专用的安全操作系统具有自主知识产权;双操作系统冷备支持。当常用系统出现故障可以使用备用系统恢复。系统相关使用分布式存储方式,不使用数据库存储审计结果,可以保证审计结果不丢失。采用旁路部署方式对原有网络不造成影响,网络审计产品的故障不影响被审计系统的正常运行。采用 B/S 管理方式无需在被审计系统上安装任何代理无需单独的数据中心一台设备完成所有工作部署管理无需额外安装管理端软件数据库审计支持Oracle 数据库审计、SQL-Server 数据库审计、DB2 数据库审计、Informix 数据库审计、Sybase 数据库审计。用户可自定义告警规则,方便发现违规操作;可以针对所有审计结果的属性配
12、置告警规则,规则支持与或关系、正则匹配、范围匹配、名单列表匹配等多种方;支持数据库账号登陆成功、失败的审计数据库安全支持原始数据包留存4、上网行为管理设备项目 指标项目 技术要求吞吐量 90Mb并发会话数 120,000基本要求用户规模 400 人支持数据库绑定变量审计,支持访问数据库的源主机名、源主机用户的审计内置 SQL 语法解析器,可分析 SQL 语句的操作类型,操作对象等信息;同时支持正则与非正则方式;支持自定义 SQL 语法解析规则,可以分析用户特有 SQL 操作可审计 SQL 操作的客户端名称支持内网主机扫描,可自动发现 IP 与主机对应关系可导入 IP 与用户对应关系支持实名审计
13、,可以定位审计事件到人支持 IP 归属地审计,可以定位事件到 IP 所在地,并提供地图展示功能支持自定义审计界面,方面用户直接审计关心的事件审计能力支持数据采集规则定义,对于不关心的数据可以不采集,有效保证系统审计的稳定性与针对性。支持自定义多维度统计分析场景支持统计分析的下钻与上卷事件实时统计,查看统计结果时快速返回,操作人员无需等待统计分析统计结果以饼图、柱图展示,可导出统计结果报表基于流的流量分析,提供收集 netflow 信息的能力可以对接口、传输协议、应用协议、应用协议组、源目的地址、源目的端口进行统计分析,可以多条件组合分析。支持流量趋势分析支持流量分析的下钻与上卷流量分析支持 I
14、P 分组流量统计Syslog 告警SNMP trap 告警邮件告警支持旁路阻断响应方式支持 topsec 联动协议保修服务 要求 4 年原厂 724 小时上门保修服务设备接口 4 个千兆电口 1 个 RJ45 串口硬盘 500GB内存 1GBBYPASS 支持电源 单电源网关模式 支持网关模式,支持 NAT、路由转发、DHCP 等功能;网桥模式 支持网桥模式,以透明方式串接在网络中;旁路模式 支持旁路模式,无需更改网络配置,实现上网行为审计;多路桥接 必须支持多路桥接功能,至少支持四进四出四网桥模式;部署方式多主模式 必须支持两台及两台以上设备同时做主机的部署模式;管理界面 支持 SSL 加密
15、 WEB 方式、SSH 命令行方式管理设备;分级管理 不同用户组的管理权限支持分配给不同管理员;集中管理 多台设备支持通过统一平台集中管理、集中配置等;被控设备加入统一平台必须支持以硬件证书验证身份;告警管理 支持攻击、泄密告警,危险行为告警、邮件延迟审计告警等;关闭网管 在网关重启操作中支持关闭网关;加密连接 必须具有 IPSec VPN 远程加密访问和连接的模块,并能提供 IPSec VPN 客户端授权远程接入访问;排障工具 提供图形化排障工具,便于管理员排查策略错误等故障;网关管理上网故障排除系统支持开启直通后,流量控制模块依然生效,避免全部数据直通导致线路流量过大;设备资源信息 提供设
16、备实时 CPU、内存、磁盘占有率、会话数、在线用户数、系统时间、网络接口等信息;流量状态 实时提供用户流量排名、应用流量排名、所有线路应用流速趋势、流量管理状态、连接监控信息;安全状态 实时显示当天的安全状况,最后发生安全事件的时间、类型、总次数、源对象,帮助管理员管理内网安全;实时监控上网行为监控 实时显示设置过滤条件的用户上网行为监控,支持手动设置刷新时间;本地认证 支持触发式 WEB 认证,静态用户名密码认证等;第三方认证支持 LDAP、Radius、POP3、Proxy 等第三方认证;支持 ISA lotus ldapnovel ldaporacle、sql server、db2、my
17、sql 等数据库等第三方认证;双因素认证 必须支持以 USB-Key 方式实现双因素身份认证;IP、MAC 认证 支持 IP 认证、MAC 认证,及 IP/MAC 绑定认证等;新用户认证根据新用户的源 IP 网段实现:1. 新用户差异化账户创建规则;2. 新用户差异化自动分组规则;3. 新用户差异化认证规则;4. 新用户差异化 IP、MAC 绑定规则;公用账户 支持多人使用同一帐号登录,且支持重复登陆检测机制;账户有效期 指定账户支持有效期限制,并支持自动过期;用户管理单点登录 支持 AD、POP3、Proxy、PPPOE、 H3C cmas、锐捷 sam 系统等单点登录,简化用户操作;可强制
18、指定用户、指定 IP 段的用户必须使用单点登录;强制 AD 认证 指定用户必须用 AD 域账户登录操作系统,否则禁止上网;安全组嵌套同步 支持 AD 安全组嵌套同步;认证失败 支持为认证失败用户提供基本网络访问权限机制;页面跳转认证成功的用户支持页面跳转:1. 跳转到用户原本输入的 URL 地址;2. 跳转到管理员指定的 URL 地址;3. 跳转到该用户上网信息排行页面;4. 跳转到注销页面;认证后公告 支持向认证通过的用户显示指定网页;帐户导入支持从本地导入和扫描导入,支持以文本导入帐户/分组/IP/MAC/描述/密码等信息;支持从 LDAP 服务器导入账户及分组信息;组织结构 用户分组支持
19、树形结构,支持父组、子组、组内套组等;用户状态查询 支持用户登录时间、注销时间、在线时长的查询;上网时长统计与控制支持通过排除非人为流量产生的上网时长,对用户终端上网时长的统计和控制;应用程序使用时长统计支持在安装准入客户端下,对用户终端当前程序占用时间并定期上报给网关设备;系统识别 支持识别终端操作系统版本、系统补丁安装情况; 文件识别 支持识别终端硬盘指定目录下的文件情况;进程识别 支持识别终端系统后台运行的进程信息,防止间谍软件的运行; 注册表识别 支持识别终端系统注册表中指定的表项和键值;自定义识别 支持终端调用管理员指定脚本/程序以满足个性化检查要求;终端管理终端准入 支持 win
20、7 64 位操作系统,支持在旁路模式部署下生效;支持禁止不满足终端检查要求的用户访问互联网;静态 URL 库 网关内置海量预分类的 URL 地址库;URL 智能识别必须支持未知网页的自动识别与分类;必须支持根据用户训练的关键字自动分类未知网页;必须支持根据用户训练的网址自动分类未知网页;必须支持自动学习出现错误后的回滚功能;必须支持允许管理员手工调整智能学习结果;SSL 加密网页 识别并过滤 SSL 加密的钓鱼网站、金融购物网站、非法网站等;自定义 URL 网关支持管理者自定义新的 URL 地址和 URL 分类;关键字过滤 过滤同时匹配三个以上关键字的搜索行为;过滤同时匹配三个以上关键字的网页
21、访问行为;网页过滤支持根据访问的 URL、网页关键字进行网页过滤,支持设置拒绝以IP 访问网页行为;支持在放行 URL 时,自动放行主域名的子链接中被禁止的网站,保证网页显示完整;网页行为管理发帖管理 过滤同时匹配三个以上关键字的网络发贴行为;必须支持允许用户浏览帖子但不准发贴功能;SSL 发帖管理 必须支持基于关键字过滤 SSL 加密的论坛、BBS 上的发贴行为;外发文件告警支持根据外发文件类型、关键字等条件的过滤告警,支持对HTTP、FTP、Email 附件方式外发文件的识别、报警、过滤等管理措施;扩展名识别 支持基于外发文件的扩展名识别外发文件类型;无扩展名识别 必须能识别删除扩展名的外
22、发文件类型并报警;改扩展名识别 必须能识别篡改扩展名的外发文件类型并报警;压缩识别 必须能解压压缩文件后再识别内含真实文件类型并报警;文件行为管理加密识别 必须能识别加密文件外发行为并报警;地址过滤 支持根据发件人地址过滤外发邮件;附件过滤支持基于扩展名过滤含指定文件类型的邮件外发行为;支持识别删除文件扩展名的邮件附件外发行为并报警;支持识别篡改文件扩展名的邮件附件外发行为并报警;支持识别附件压缩包内文件类型的邮件外发行为并报警;支持识别附件为加密文件的邮件外发行为并报警; 关键字过滤 过滤同时匹配三个以上关键字的邮件外发行为;Webmail 管理 必须支持允许用户登录 Webmail 收邮件
23、,而禁止发送 Webmail 邮件的功能;延迟审计支持延迟缓存外发问题邮件,人工审核后再外发;支持根据收件人地址、邮件大小、附件个数、关键字等延迟审计指定邮件;SSL 邮件管理 必须能基于关键字、发件人地址等识别和过滤使用邮件客户端外发 SSL 加密邮件的行为;加密 Webmail管理必须能够基于关键字识别和过滤使用 SSL 加密的 Webmail 邮箱外发邮件的行为;外发垃圾邮件过滤 必须能识别和过滤内网用户外发垃圾邮件的行为;邮件行为管理接收垃圾邮件过滤 必须能识别和过滤外网向内网用户发送垃圾邮件的行为;规则总量 支持 850 种以上网络主流应用,1500 条以上规则;IM 识别必须能识别
24、:51 挂挂、chikka、Digsby、Doshow、Gizmo、IceChat、ispeak、KC 网络电话、KuBao、Miranda、PaLTALK、raketu、TeamSpeak、XChat、阿里旺旺、百度 Hi、慧聪发发、歪歪语音等;游戏识别必须能识别:UU 棋牌、赤壁、春秋 Q 传、封神榜、华夏、黄金岛、机战、口袋西游、路尼亚战记、梦幻龙族、墨香、千年、热舞派对、神鬼传奇、生死格斗、盛大富翁、水浒 Q 传、唐人游戏、特种部队、天龙八部、天下贰、武林外传、星尘传说、英雄岛、诛仙、卓越之剑等;应用行为管理流媒体识别必须能识别:FastTV、NETiTV、ppFilm、PPRich、
25、QVOD、STV、VGO、蚂蚁电视、猫眼电视、球皇等;炒股识别必须能识别:MSN 炒股、ok178 彩票、安信行情、操盘手、大智慧、方正证劵、股道、股票行情、仟家信、申银万国 E 通、双子星绿色通道、文华财经、银河证券、中投证劵、中信建投等;远程控制与木马识别识别:Byshell、Cybernetic、DG RAT、FreeRat、暗组、炽天使、海盗远控、木马帝国、上兴、DameWare、NetOp、Radmin、TeamView、波尔、灰鸽子等;网银识别识别:招商银行、建设银行、农业银行、交通银行、工商银行、华夏银行、中信银行、中国银行、民生银行、上海浦东银行、深圳发展银行、广东发展银行、中
26、国光大银行、兴业银行、北京银行等;P2P 识别 识别:BT、BTCommet、eMule、Kugou、电骡、Foxy 等 P2P 应用;应用智能识别 支持应用更新版本后的主动识别和控制; 代理识别必须能封堵浏览器配置公网代理服务器的行为;必须能封堵用户安装代理软件代理他人上网的行为;必须能封堵自由门、无界浏览器、IPN 等加密代理行为; 规则自定义 允许管理员根据 IP、端口、协议特征字段、等自行添加识别规则;时间控制 支持基于时间段控制用户的上网权限;时间配额 支持对单个用户/用户组设置一天内总上网时长;连接控制 支持限制指定用户最大并发连接数;上网时间提醒 用户指定应用上网时长超过预设阈值
27、后,网关自动提醒该用户;上网流速提醒 用户指定应用上网流速超过预设阈值后,网关自动提醒该用户;策略复用 上网策略对象与用户无关联,同一条上网策略可复用、重用;策略有效期 必须支持上网策略对象的自动过期功能;排除 IP 不控制、不监控目标为排除 IP 的上网行为;上网权限管理排除域名 不控制、不监控目标为排除域名的上网行为;智能流控 支持管理员自定义带宽占用阀值,当带宽资源充足时,智能调整流控策略,避免因流控而带来的带宽资源浪费;多线路技术 网关必须能同时连接多条外网线路,且支持多条线路流量复用和智能选择流速最快线路的技术; 虚拟多线路 必须支持将多条外网线路虚拟映射到设备上,实现对多线路的分别流控; 父子通道 必须支持流量父子通道技术,且至少支持三级父子通道;应用流控 支持基于应用类型划分与分配带宽;网站流控 支持基于网站类型划分与分配带宽;文件流控 支持基于文件类型划分与分配带宽;时间控制 支持基于时间段的带宽划分与分配策略;目标 IP 流控 支持基于访问行为的目标 IP 实现带宽划分与分配;上网流量管理流量配额 支持对单个用户用户组设置日流量、月流量配额功能;上网安全管理上网安全桌面支持在默认桌面上虚拟出一个新的桌面,在虚拟桌面中上网,在推出安全桌面后,一切还原到干净的默认桌面,防止 PC 和内网中毒;支持通过设置安全桌面和默认桌面网络访问权限,实现互联网和
