1、流量清洗设备采购要求一、总体需求为满足中国国际电子商务中心防御拒绝服务攻击的需求,现需采购流量清洗设备 1 套,部署于互联网出口。要求该设备部署灵活,具备光、电接口,支持串接、旁路等多种部署方式,并具备高可靠性和故障保护功能。产品清单如下:商品分类 参考品牌 规格型号 单位 数量 说明千兆防 DDOS攻击硬件网关系统绿盟 ADS 1600A 台 1 流量清洗设备,同时支持串接和旁路部署模式,4 个 GE 电口,2 个 SFP 插槽并实配 2 个多模光模块,包含串接模式下电口和光口 Bypass 功能所需部件,交流冗余电源,无限 IP 许可证千兆防 DDOS攻击硬件网关系统绿盟 NTA 1000
2、A 台 1 流量清洗配套分析设备,支持flow 格式数据分析,4 个 GE 电口,2 个 SFP 插槽并实配 2 个多模光模块,硬盘500G,交流冗余电源千兆防 DDOS攻击硬件网关系统绿盟 CT 1000A 台 1 镜像流量采集预处理设备,支持镜像数据到 flow 格式的预处理转换,4 个 GE 电口,2 个 SFP插槽并实配 2 个多模光模块,硬盘500G,交流冗余电源二、技术要求投标方需确保所提供产品满足以下技术要求,并保证产品的完备性,如果投标方所提供的设备(包括软/硬件和授权使用许可协议)配置存在有任何遗漏(包括产品清单中未列出而系统又必需的软/硬件和授权使用许可协议) ,影响到系统
3、的完整性及可用性,则安装实施需要时投标方必须免费提供,中国国际电子商务中心将不再支付任何费用。设备名称:流量清洗设备数量 1 套(含硬件设备及相关软件和许可协议)必须支持下列 2 种类部署方式:串联部署和旁路部署,并实配满足以下技术要求所需组配件及模块:对现有网络结构透明,无须变更现有二、三层网络结构,除管理接口外不需配置 IP 地址支持串入 1000M 以太网双绞线链路,实配所需接口模块部署方式串联部署支持串入 1000M 以太网多模光纤链路,实配所需接口模块支持软件 Bypass 功能,管理员可通过配置界面在正常防御模式与 Bypass 模式间切换,切换过程小于 1 毫秒支持断电 Bypa
4、ss 功能,无论串入双绞线链路或光纤链路,切断本系统全部设备电源后均可自动转变为通路,确保网络不断线,切换时间小于 3 秒无攻击情况下对现有网络结构无影响,数据流量不经过防护设备支持通过 BGP、OSPF、RIP 等协议进行路由牵引,支持通过 GRE、MPLS VPN、MPLS LSP 等方式进行流量回注,使指定目的地址流量经过防护设备,其他流量的流向不发生变化支持单臂和双臂的部署方式,采取单臂部署时,流量牵引和回注使用同一端口;采取双臂部署时,流量牵引和回注使用两个不同端口支持通过端口镜像的方式采集原始流量进行检测分析,自动判断是否发生攻击及与攻击相关的 IP 地址旁路部署支持检测模块与防护
5、模块之间的联动,由防护模块接收检测模块信息,并主动发起路由牵引和回注,同时支持与第三方流量检测设备的联动功能能够在千兆全双工环境中稳定工作,吞吐率1Gbps,转发延迟0.5 毫秒,请提供在数据包大小为 64、512 和 1518 字节的流量下产品的吞吐量、延迟数据;流量清洗性能1.4Mpps,请提供产品在遭受各类、各种规模 DDoS 攻击情况下新建连接成功率、已有连接保持率的测试数据可防御 IP 地址数量无上限并发连接数无上限,以防范连接耗尽和 Flood 类攻击基于端口镜像的流量采集和分析能力1Gbps支持集群部署方式,利用多路并行处理,提高防护的容量性能要求支持在 IPv4 和 IPv6
6、协议环境中部署及防御可防御的攻击类型至少包括:1. Spoofed and Non-Spoofed Attacksa) TCP(syns, sync-acks, acks, fins, fragments)b) UDP(random port floods, fragments)c) UDP TCP 连接关联防护d) ICMP(unreachable, echo, fragments) e) DNS Flood 攻击防护2. Client Attacksa) 连接耗尽防护攻击b) HTTP Get flood3. BGP Attacks4. 各种混合型攻击针对 HTTP Get Flood 攻
7、击具备专门的防护手段,具备多种防护算法,能够对 HTTP 进行解码具备对不同类型 URL 请求合法性进行验证,实行不同的防护策略,可防御 CC 及变种的能力采用智能攻击流量识别的技术进行防护,不基于特定规则或特定的特征匹配,当发生未知攻击,无需专门的撰写规则即可对这些攻击进行防护攻击防护功能支持对用户进行分组,并对不同的组别进行独立的防护策略配置,防护群组数量1024访问控制功能 提供基于源 IP 地址、目的 IP 地址、源端口、目的源口、协议类型的 ACL 访问控制规则提供基于源 IP 地址、目的 IP 地址、源端口、目的源口、协议类型、TOS 及接口以及对数据包负载进行匹配的模式匹配规则提
8、供针对目标 URL 的访问控制规则流量捕获功能 可根据用户设置的源 IP 地址、目的 IP 地址、源端口、目的源口等条件捕获记录原始网络数据包,为攻击取证提供依据支持通过图形化界面对流量和攻击事件的实时监控支持通过图形化界面对端口状态、CPU、内存等系统状态的监控支持通过图形化界面对牵引路由表、对端路由器状态、路由协议状态等信息的监控日志内容至少包括系统日志、用户登录及操作日志、攻击日志、流量牵引日志等,并针对攻击日志提供统计分析功能支持日志自动导出,包括邮件、Syslog、FTP 等方式日志报表功能支持输出流量报表、攻击事件报表等统计报表,支持多种报表格式,支持报表自动生成和导出支持基于 C
9、onsole 接口的本地配置管理支持基于 HTTPS 的图形化界面管理和基于 SSH 的配置管理支持管理员用户分级分权设置管理配置功能支持配置文件的导入导出三、服务要求投标方须承诺提供以下服务,并给出具体的服务流程和方案。所有服务价格计入投标总价,不再收取其他费用。1、设备安装服务 投标方须提供设备的安装调试服务,时间在供货后由中国国际电子商务中心安排; 投标方需保证所提供产品与中国国际电子商务中心网络环境的兼容性和互操作性,如安装调试过程中出现兼容性问题,投标方需提供解决方案并负责实施,解决方案所涉及的产品及配件由投标方免费提供,不再另行收取费用。如投标方在出现兼容性问题30 日内无法解决,
10、中国国际电子商务中心有权终止合同; 投标方在设备安装调试过程中需充分考虑到所提供的设备与现有综合布线系统的兼容性,并免费提供设备安装实施所需的室内线缆; 投标方应允许招标方的工作人员参与有关的安装、测试、诊断及解决问题等各项工作,并做好知识转移工作; 投标方需保证提供包括设备安装手册、用户使用手册、设备维护手册、技术白皮书、技术授权书等在内的完备准确的技术资料; 投标方应负责在项目完成时将全部有关技术文件、设备参数配置资料、测试记录、运行操作手册、维护手册、验收报告等文档汇集成册交付招标方。2、保修和技术支持服务 投标方需提供为期 5 年的原厂保修和技术支持服务,服务期自项目实施完成,最终用户
11、、集成商、设备原厂商共同在产品验收单上签字之日起计; 投标方提供设备原厂商盖公章的服务承诺书,提供原厂不低于 724 小时等级的备件更换服务和技术支持服务; 服务期内,投标方需提供 724 小时技术支持服务热线,确保能及时联系到有关技术人员,如果设备发生故障,投标方工程师在 4 小时内到达现场,提供现场故障诊断和故障排除服务,并按需进行维修及零部件更换等,不收取额外费用; 服务期内,投标方需根据用户要求,负责完成备件更换服务过程中故障设备下线及更换备件安装工作; 服务期内,投标方需提供产品软件版本跟踪服务,帮助消除软件隐患,包括但不限于:跟踪在用版本有无相关的新增 BUG、安全漏洞,跟踪同系列
12、更高版本软件的对比,查看是否有软硬件兼容性问题,给出相关的说明和建议等; 服务期内,投标方负责对产品所包含的软件及硬件固件等提供免费升级,如系统存在内在缺陷,投标方需负责解决,涉及的硬件升级应当是免费的; 服务期内,投标方需提供设备的安装、调试、使用、维护和升级等方面的免费咨询服务,如设备需要调整部署,投标方需派技术人员到现场协助完成相关工作; 本次项目所涉及到的软、硬件产品停产,投标方有责任提前 6 个月通知用户,并保证5 年的备件供应。3、技术培训服务 投标方必须提供所投设备相关的技术培训服务,技术培训的目标是:技术人员经过技术培训,可以有效地对项目所安装的设备进行操作和维护,并进行故障诊断分析及排除。四、资质要求 投标方需要上传厂家的售后服务承诺函(中标后提供原件)
