1、- 1 -非税收入系统财政中心端软硬件设备采购方案、 网络、安全、主机及存储设备、 网络、安全设备名称 配置 数量路由器 模块化路由器插槽数量6路由转发1Mpps支持OC3,OC12 POS/ATM端口和OC48 POS端口,支持信道化155M, 信道化2M 端口和 E1、E3端口实配E18个,配备同等数量 RJ45 to Dual BNC线缆实配GE4个支持VRRP及网关负载均衡 类似协议支持IP, IPX, AppleTalk, DLSw, SNAs等协议支持BGPv4、IS-IS、 OSPF、RIPv2.0、Policy Routing等路由协议支持MBGP 、MSDP、PIM DM/S
2、M 2.0、DVMRP、SSM(RFC3569)等组播协议支持集成操作系统的防火墙和入侵检测保护机制支持动态和超级ACL硬件支持IP ACL、IP Precedence、DSCP、COS数据流量分类防止拥塞丢包,硬件支持WRED支持SNMP v1、v2和v3网管协议网络服务质量等级管理:测量网络对任意点到任意点的延时、抖动、丢包的双向与单向的测量;支持各类应用包括HTTP,FTP,Telnet,DNS,SMTP等各类应用的网络服务质量的测量支持Netflow流量统计或类 似功能要求支持用户现有网络使用的VMPS 协议2交换机 固定端口交换机硬件方式实现基于拓扑的路由交换转发带宽32 GbpsL
3、2/L3/L4层包 转发速率38Mpps内存128MB可配置MAC地址12K实配端口:千兆以太网端口10/100/1000M 端口数量 48,千兆光 纤端口数量4(含模块)支持HSRP 及网关 负载均衡类似协议支持802.1d,802.1p/q,802.1s,802.1w,802.1x, 802.3ad,802.3ab,802.3u,802.3x,802.3z等标准协议。支持IPv6支持VRF Lite,实现单机虚拟多路由器转发支持Jumbo Frame(巨型帧),帧长9000字节7- 2 -名称 配置 数量支持网络准入控制(NAC)支持基于物理接口、VLAN内、 VLAN间和一组VLAN内的
4、根据物理地址、IP地址、端口号、应用内容等进行访问控制。提供包括DHCP Snooping,动态ARP 检查,IP源地址保护,专用VLAN,Spanning Tree的BPDU保护和Root保护等多种交换网络安全功能支持基于802.1x认证协议的多种功能:包括802.1x VLAN动态分配,802.1x客户VLAN,802.1x 端口认证,802.1x MAC地址认证等;基于用户的动态ACL下发;支持802.1x重认证,及WEB认证;支持百兆、千兆端口的链路聚合,端口的链路聚合,每组最高支持端口数为8个;支持多种服务质量技术,如DSCP,Commit Access Rate,支持AutoQoS
5、 可自动进行语音等QoS配置,端口限速粒度8K;支持SMART Port 功能,快速配置终端接入类型支持IGMP v3及IGMP v3 Snooping支持硬件设置和匹配DSCP、IP Precedence、 CoS等支持优先队列支持基于接口的流量管制(Policing)支持单向链路检测(UDLD)每个端口内置线缆时域反射检测(TDR)功能,能够检测端口所接以太网线缆的故障点位置,误差5米支持嵌入式的事件管理,可根据网络设备产生的事件自动调整网络配置;支持SNMP v1、v2和v3;支持集群(cluster),以方便管理支持本地设备的端口镜像和远程跨交换机的端口镜像技术要求支持用户现有网络使用
6、的VMPS 协议交换机 机箱式多插槽交换机插槽数量6交换容量260 GbpsL2/L3层包转发速率200 Mpps每台配备1+1冗余电源,电源支持PoE供电每台配备2个万兆光纤端口及模块(要求与用户已有Cisco6509 万兆模块10GBASE-LX4 X2 Module相匹配);96口千兆光纤端口及模块(SFP);48 口10/100/1000M 电口,支持PoE供电;支持VRRP或类似网关冗余 协议;支持快速以太网、千兆以太网和万兆以太网通道技术,要求实现跨模块捆绑机制和三层(网络层)捆绑机制,每组可捆绑最多8个千兆口;支持802.1d,802.1p/q,802.1s,802.1w,802
7、.1x, 802.3ad,802.3ab,802.3ae,802.3u,802.3x,802.3z,等标准交换协议;支持DHCP 服 务,ARP协议, IP源地址,专用VLAN,Spanning Tree2- 3 -名称 配置 数量的BPDU和Root等交换网络 安全保护功能;认证接入:支持基于用户身份的IEEE 802.1x认证支持基于用户身份进行VLAN分配支持基于用户身份进行访问过滤和QoS策略设置支持访客VLAN(Guest VLAN)支持防止或抑制分布式拒绝服务(DDoS)的攻击支持单播逆向路由检查(URPF),防止 DDOS攻击支持通过基于ACL的限速(Rate Limit),来控
8、制DDOS攻击支持IP ACL、IP Precedence、DSCP、802.1Q/p、COS数据流量分类和基于每个用户的服务质量策略防止拥塞丢包,支持WRED(RFC2309 )支持优先处理低延迟数据的排队机制LLQ/CBWFQ管理性支持全网统一网管,支持SNMPv2、SNMPv3、RMON管理协议支持本地端口镜像(SPAN)和远程跨设备的端口镜像(RSPAN ),便于连接IDS等流量分析设备。支持配置管理,故障管理,性能管理,统计管理,安全管理。管理界面:支持图形化界面,基于Web方式管理要求支持用户现有网络使用的VMPS 协议入侵防御系统接口:标配6个10/100/1000BASE-TX
9、端口,4个SFP 扩展插槽,最多扩展到26个千兆接口性能:500Mbps吞吐率。硬件架构:多核硬件高可靠性保证:提供硬件的ByPass功能,保 证用户业务的不间断正常运行攻击特征库:大于2000条的规则虚拟系统:针对不同的网络环境和安全需求,制定不同的防御规则和响应方式,每个虚拟系统分别执行不同的规则集,实现面向不同对象,执行不同策略的智能化入侵防御拒绝服务(DOS/DDOS):能对当前主流的拒绝服务做检测和阻断,例如:ARP攻击、 UDP Flooding、SYN Flooding等蠕虫(worm ):能对当前主流的蠕虫病毒做检测和阻断,例如:RedCode、Netsky、Slammer等后
10、门(Backdoor):能对当前主流的 Backdoor做检测和阻断,例如:Sub7、 Gpigeon、woodbot等木马(Trojan):能 对当前主流的木马做检测和阻断,例如:Storm 、Camsniffer2.0.1等间谍软件(Spyware):能对当前主流的WEB 攻击做检测和阻断,例如:CGI、 UniCode等自定义攻击:可以根据用户需求自行设置攻击规则,能对其他有害攻击行为做检测和阻断1- 4 -名称 配置 数量Signature升级 :支持自动升 级、手动升级原始包分析:能对原始包文进行捕获、分析、存储GUI界面:产品应当具备全中文的GUI 界面需与现有天融信TOPIDP
11、2000-TI-2230-IDP 做双机热备千兆防火墙 系统架构:软硬一体化结构,采用ASIC 专用安全硬件平台。模块化设计,实配8个10/100/1000M 接口,千兆光 纤接口数量最多可扩展至8个。支持扩展模块进行端口扩展及安全功能扩展,内置保存日志的存储介质。支持端口聚合功能,支持8个FE 口聚合及2个GE 口聚合,可以增加10/100/1000M的模块。性能:每秒新建连接数=20k,最大并发会话数不小于50万,64字节环境下任意两接口间防火墙吞吐能力不低于1G,并发VPN 隧道数不少于2k,64字节环境下任意两接口间3DES VPN吞吐能力不低于1G,系 统 支持最大的 VLAN数量=
12、1000个。访问控制及NAT 基于状态检测机制,支持对源、目的地址,源、目的端口,协议,用户, 时间的精细粒度访问控制策略的配置。路由能力:支持虚拟路由器技术,支持不小于10个虚拟路由器,支持虚拟防火墙技术,支持不小于10个虚拟防火墙, VPN能力支持L2TP VPN, IPSec VPN及 L2TP Over IPsec VPN,支持VPN 隧道通过动态路由协议自动恢复,支持冗余VPN 网关,支持IPsec VPN的NAT穿越,支持硬件加速的MD5/SHA1 摘要算法高可用性:支持Actvie/Passive 双机热备,必 须在透明、路由模式均支持,支持Active-Active负载分担,支
13、持接口 链路冗余特性,支持接口链路冗余部署,支持HA模式下的状态同步:包括Session同步,ARP Cache同步,NAT Catch同步,IPSec SA同步,支持自动配置同步。管理:管理手段支持Console,HTTP,HTTPS,Telnet,SSH及远程Modem管理,支持集中管理 ,支持策略集中配置分发,状态集中监控,日志集中收集审计,支持工业标准的SNMP 协议,支持SNMPv2c,厂商应提供其扩展的MIBs库,支持Syslog日志输出协议。可基于防火墙策略逐条打开或关闭应用层攻击防护功能,而非全局性的应用层攻击防护功能起用或关闭,支持状态签名及混合签名技术。具备远程Modem
14、管理口,具 备专用的带外管理接口。2百兆防火墙 防火墙并发连接数:=100万条。防火墙接口数:标准配置6个10/100M接口,最多可以扩展到8个接口。吞吐量:=600M。工作模式:路由、透明、混合。路由能力:支持虚拟路由器技术,支持虚拟防火墙技术,能够基于1- 5 -名称 配置 数量VLAN划分虚拟系统;能够基于物理端口划分虚拟系统;在虚拟系统资源内部分别都支持路由、透明及混合工作模式;虚拟系统资源为固定分配方式。防御攻击: 支持探测防御,包括:IP地址扫描、TCP SYN端口扫描、TCP NULL扫描、TCP XMAS扫描、 TCP FIN扫描、同时设置 SYN和FIN标志位扫描、仅设置FI
15、N标志位而未设置ACK标志位扫描、非TCP SYN标 志位扫描、 IP欺骗;支持拒绝服务攻击 防御,包括:会话表泛滥、SYN Cookie、WinNuke、 Ping of Death、Teardrop、ICMP Flood、UDP Flood、SYN Flood、Land 、SMURF 、TCP RST;支持可疑数据包检测与防御,包括:IP碎片数据包攻击、IP选项数据包攻击(记录路由选项、时间戳选项、严格源路由选项、宽松源路由选项、路由跟踪 选项)。路由:支持静态路由、动态路由。高可靠性:支持双机热备,负载均衡,支持双系 统引导,当主系 统损坏时,可以启用备用系统,不影响 设备的正常使用。要
16、求能够对升级包进行管理,即在界面中能够看到过去所升级的每一个版本,并能够通过选择恢复至过去的任意版本。支持系统资源监控,可监控:CPU 、内存、进程、接口等。支持接口流量、VPN状态等监控。千兆网闸 基于三机三系统架构:分内端机、仲裁机、外端机。标准配置2个10/100/1000M接口,内端机最多可以扩展到4个10/100/1000M接口,外端机最多可以扩展到4个10/100/1000M 接口,网络吞吐量300M实现如下功能安全上网:提供安全的上网访问,支持HTTP协议及代理等,支持TOPSEC联动协议,支持访问控制对象:源地址、目标地址、源端口、目的端口、域名、URL、访问方式、时间等,支持
17、脚本过滤:javascript 、Applet、ActiveX等,支持其他 过滤策略:文件类型、页面提交方式等,支持用户名/密码认证方式 提供安全的邮件访问,支持POP3、SMTP 协议,支持邮件主机地址过滤,支持邮件内容审计过滤,支持 发送地址、收件地址过滤,支持邮件主题过滤,支持附件传输进行控制,支持 邮件大小控制,支持邮件病毒查杀功能文件传输模块:提供安全的文件传输功能,支持FTP等文件传输协议,支持用户名/密码认证 ,支持用户名/IP-MAC绑定 文件同步模块:基于专用客户端提供安全的文件同步功能,占用系统资源少,文件交换效率高,不会频繁的进行磁盘扫描,支持windows平台和linu
18、x平台,同步 传输方向可控,双向或 单向,支持实时扫描传输,支持一对多或多对一传输,支持目 录内子目录同步,至多支持32级目录,支持中文文件名或目录同步 1- 6 -名称 配置 数量数据库访问模块:提供对多种主流数据库(SQL、ORACLE、DB2、SYBASE等)数据库系统的安全访问,支持用户查询、修改、添加、删除等操作,支持全表复制、增量更新、全表更新等,支持操作时间限制, 设定特定时间访问数据库操作 数据库同步模块:基于专用客户端与网闸安全连接方式,提供多种主流数据库(SQLS、ORACLE、DB2、 SYBASE等)的单、双向数据交换,无需修改数据库表结构,不涉及到代 码修改及二次开发
19、,同步粒度可以达到表内具体字段,支持多种增量同步方式,可分别定义增加、删除、修改的传输方式,支持异构数据结构以及代码语义的转换规则定义,并实现源数据到目标数据之间的实时数据交换,支持数据整合业务,支持数据一对一、一对多、多对多的单向或双向交换和同步,支持实时交换或定时同步的策略定义,采用XML技术,具有可配置性。可以通过标准定义、规则定义、通道定义和路由定义进行个性化的数据交换策略定义,数据库同步高可靠性,即使发生网络故障,已变化数据也不会丢失 双机热备模块:提供双机热备功能协议支持:HTTP、HTTPS 、SMTP、POP3、FTP、TELNET、SQL、ORACLE、NULL_TCP等,支
20、持 TOPSEC专用协议(与用户目前正在使用的安全产品实现最优联动),支持用户基于标准TCP、 UDP开发的自定义协议软件,无需对自定义协议软件进行二次修改开发,可以根据需求开发新的专用协议处理过滤功能需与现有天融信TOPRULES8000-TR8343 做双机热备百兆网闸 基于三机三系统架构:分内端机、仲裁机、外端机。标准配置2个10/100/M接口,内端机最多可以扩展到4个10/100M接口,外端机最多可以扩展到4个10/100M 接口,网 络吞吐量70M提供安全的上网访问,支持HTTP协议及代理等支持TOPSEC联动协议支持访问控制对象:源地址、目标地址、源端口、目的端目、域名、URL、
21、 访问方式、 时间等支持内容过滤:关键字支持脚本过滤:javascript 、Applet、ActiveX等支持其他过滤策略:文件类型、页面提交方式等支持用户名/密码认证方式 提供安全的邮件访问,支持POP3、SMTP 协议支持邮件主机地址过滤支持邮件内容审计过滤支持发送地址、收件地址过滤支持邮件主题过滤支持附件传输进行控制支持邮件大小控制1- 7 -名称 配置 数量支持邮件病毒查杀功能文件传输模块提供安全的文件传输功能,支持FTP 等文件传输协议支持用户名/密码认证支持用户名/IP-MAC绑定 文件同步模块基于专用客户端提供安全的文件同步功能,占用系统资源少,文件交换效率高,不会频繁的进行磁
22、盘扫描支持windows平台和linux平台同步传输方向可控,双向或单向支持实时扫描传输支持一对多或多对一传输支持目录内子目录同步,至多支持32级目录支持中文文件名或目录同步 数据库访问模块提供对多种主流数据库(SQL、 ORACLE、DB2、SYBASE等)数据库系统的安全访问支持用户查询、修改、添加、删除等操作支持全表复制、增量更新、全表更新等支持操作时间限制,设定特定时间访问数据库操作 数据库同步模块基于专用客户端与网闸安全连接方式,提供多种主流数据库(SQLS、ORACLE、DB2、SYBASE等)的单、双向数据交换无需修改数据库表结构,不涉及到代码修改及二次开发同步粒度可以达到表内具
23、体字段支持多种增量同步方式,可分别定义增加、 删除、修改的传输方式支持异构数据结构以及代码语义的转换规则定义,并实现源数据到目标数据之间的实时数据交换,支持数据整合业务支持数据一对一、一对多、多对多的单向或双向交换和同步支持实时交换或定时同步的策略定义采用XML技术,具有可配置性。可以通过标准定义、规则定义、通道定义和路由定义进行个性化的数据交换策略定义数据库同步高可靠性,即使发生网络故障,已 变化数据也不会丢失 双机热备模块提供双机热备功能,增加设备发生意外后的紧急响应性 协议支持HTTP、HTTPS、SMTP、POP3、FTP、TELNET、SQL、ORACLE、NULL_TCP等支持TO
24、PSEC专用协议支持用户基于标准TCP 、UDP开发的自定义协议软件可以根据需求开发新的专用协议处理过滤功能- 8 -名称 配置 数量需与现有天融信Ngfw 4000-TG-4324及天融信TOPRULES8000-TR8343实现统一管理流量监控器 实配6个10/100/1000M自适应以太网接口;并支持可扩展接口模块;支持千兆光、电接口;设备可支持双向200M(进出各自200M)的网络流量管理;通过升级的方式最高可扩展到1G(进出各自1G)网络流量管理。电源,要求配置双电源提供冗余功能;实配内置自动旁路功能,要求断电、 软硬件故障自动旁路;支持通过远程登录(命令行、图形界面)方式直接对设备
25、进行管理操作,且所有操作在设备上完成。可支持的管理方式需要有: RS-232 DB9 控制口;Web Browser(可根据不同的用户定制化不同的浏览界面);SNMP MIB II;Telnet ;支持SSL加密登录管理要求设备满足高可靠性要求,支持双机备份接入方式,双机需要内置统一的报表分析,双机系统需支持统一流量控制策略,并请详细说明其实现方式。要求设备支持连续地自动识别2-7层的网络流量并且自动加以分类,同时, 设备能够自动识别不少于600种以上常见的应用或者协议,对使用非标准端口的FTP,HTTP等流量能够正确识别;要求设备可以通过MAC地址、 802.1p/q、ISL、MPLS标记位
26、对应用流量进行分类;要求设备可以通过IP Precedence、Diff-Serv相关位或者单一IP地址、多个IP地址、IP子网等对流量进行分类;要求设备可以根据TCP 、UDP静态、动态端口对流量进行分类;尤其是基于动态端口的应用,如BitTorrent, Skype,KaZaA v1/v2, Gnutella, WinMx, eDonkey ,Half-life等, 设备应该可以自动识别,自动分类,并可以对其进行实行带宽控制;要求设备可以根据域名、URL、文件后 缀名(如“.exe、.zip、.com”),Mime类型,浏览器种类等方式 对流量进行分类;要求设备可以根据服务器的物理摆放位置
27、、流量的流向(入向/出向流)、主机列表等方式对流量进行分类;可以基于网络接口进行流量分类.要求设备可以根据专有应用,如Oracle、SNA 、Ctrix、视频会议的RTP-I、具体的视频流量、音频流量、 ICMP等进行分类;能够根据Oracle的数据库名区分应用;能够将通过Ctrix传输的应用流量自动的区分出来;要求设备支持以树型、层次化的方式直观地表现流量的分类;要求设备有详细的应用响应时间管理;可以直接提供反映应用性能的响应时延分析,分别给出网络和服务器造成的时延大小,以2- 9 -名称 配置 数量及响应时延图表;要求设备对于VoIP流量具有详细的时延、抖动、 丢包分析;要求设备具有详细的
28、网络单个IP流的分析;要求设备可以识别数据流的发起者和接受者以及使用的协议端口;要求设备可以提供TCP/IP应用的最差客户端/最差服务器分析;要求无需其它的软件或设备支持,设备本身即可生成分析图表,可根据时间精确到分钟;要求无需其它的软件或设备支持,设备本身就支持实时监测当前流量,提供实时滚动的流量曲线图,设备本身可以保存历史流量数据;要求设备本身至少可以存储两个月数据,无须额外的设备;支持集中管理与集中报表;要求设备可以使用SNMP ,XML,CSV,CGI等方式导出数据;支持HTTP、XML API 和 SNMP,可与HP Open-View , InfoVista, Concord 、A
29、prisma以及MicroMuse NetCool 管理系 统结合;要求设备支持双向流量的精确控制,在链路的任一点只需部署一台即可控制通过此链路的双向的流量;要求设备支持除了通过队列技术控制流量外,达到精确控制流量到1kbps的效果; 要求设备可以管理TCP 最大传输单元(MTU)的尺寸以控制碎片和抖动要求设备同时也应该可以针对每个“session” 的流量 进行控制和管理,执行最大、最小带宽策略;要标设备可进行流量静态分区和动态分区(自动分配给IP 或者网段固定或可变的带宽分区);设备可以根据时间段来制定策略并自动执行。要求设备可以通过软件授权的方式,支持对基于TCP协议、 HTTP协议的应
30、用进行加速;要求设备可以根据网络使用情况自调控网络策略;至少可提供 450000个并发连接数;至少可提供 2048 个流量分类数至少可提供 200000个并发IP主机数至少可提供 2048 个策略数 至少可提供20000个动态分区数(自动建立的动态带宽控制通道数量)至少可提供1024个静态分区数(可设置的静态带宽控制通道数量)应用负载均衡服务器负载均衡必须使用独立的硬件设备实配8个10/100/1000M铜线以太网接口,2个千兆光纤口内存实配4GB存储介质实配160G硬盘吞吐能力=2Gb/s2- 10 -名称 配置 数量交换背板=24Gbps最大并发连接数=800万7层性能(Requests/
31、sec)=130k4层性能(Connections/sec)=115KVLAN个数=4096支持的虚拟服务器=40000支持的真实服务器数无限制集成SSL加速, 支持 对称加解密算法,最大10,000TPS, 实配许可=500TPSSSL 并发访问=100万带宽管理支持通过优先级、队列、以及 设定基于应用的带宽限制和带宽容许,确保关键应用能够按时交付支持双机热备:提供硬件级心跳线和网络级冗余判断方式,系统切换时间200 毫秒;提供 连接会话的镜像功能,实现无缝故障切换全面的负载均衡功能。包含静态和动态负载均衡方法,可定制的基于应用层的健康检查方式,基于HTTP Cookie Insert模式的
32、会话保持方式多路连接复用将一个用户的多个请求或者多个用户的请求合成一个连接发送到服务器,减小应用服务器的压力,提升用户响应速度会话保持支持源地址、SSL会话ID、SIP协议、 HTTP Cookie内存cache系统支持采用内存来缓存静态页面, GIF,JPG,SWF等,遵循标准的 Cache协议,提高服务器的访问速度支持内置HTTP压缩卡。降低带宽消耗、 缩短最终用户在慢速/低带宽连接条件下的下载时间,缺省提供50Mbps 以上 处理能力支持Ping、 TCP、URL、ECV、基于脚本的健康检查、动态服务器响应时间等要求可以根据典型的应用进行配置和优化向导,例如:Microsoft IIS,
33、BEA Weblogic,IBM Websphere,SAP WAS等支持IPv6网络升级,以及外部IPv6用户的访问要求设备支持大流量的DOS和SYN Flood 攻击防护支持所有基于TCP/IP的协议:Spanning Tree (IEEE 802.1d)VLAN(IEEE802.1q)Trunk(IEEE802.3ad)10BASE-T/100BASE-TX (IEEE 802.3, 802.3u)SNMP (1213 MIB-II, 1643 Ethernet, 1493 Bridge)RIP v1 /v2、OSPFTFTP (RFC 783) 、Telnet(RFC 854)支持通过HTTPS 、SSH进行安全的远程管理,本地通过CONSOLE终端进行管理配置双冗余电源
