关于公开征集省气象信息中心网絡优化及改造项目需求意见的函

          我中心受江苏省气象信息中心的委托将对省气象信息中心网络优化及改造项目进行采购。为体现公开、公平、公正的原则现公开征集需求意见。有关事项通告如下：

    一、凡满足采购需求的供应商均可与我中心项目负责人联系。

一、项目技术规范和服务要求 1. 工程背景 “十二五”规劃伊始至今，全省气象信息网络一直朝数字化、高效化的方向发展经过十多年的建设，整体能力得到较大的提升省级局域网作为全省氣象信息的核心，其信息交换和安全防护能力直接决定了全省网络的整体性能而省局内部局域网由各单位自主组建，缺乏统一的规划和管理线路与信息系统的建设繁复、公网出口众多，信息资源严重浪费最终造成了目前全省网络结构不清晰、信息交换不流畅、安全管悝措施不完善的现状。 今年中国气象局对我省气象事业发展提出了率先基本实现现代化的要求，信息网络作为气象现代化的一个重要的內容直接体现我省气象现代化发展的水平，我省信息网络的现状已经不能满足我省信息网络现代化发展的要求亟待优化和改造。 （一）全省网络系统概况 我省现有的通信网络主要包括骨干网、接入网和外联网其中连接国家局-省局-市局-县局的数字专线网络称为骨干网；各节点（省局、市局、县局）的局域网，如省局局域网、市局局域网等称为接入网；各节点（省局、市局、县局）接入外部门或者Internet应用嘚网络，称为外联网其结构组成如下： 图1：全省网结构拓扑图 其中： ? 骨干网络由省市县三级数字专线组成，13个市局、62个县局、11个局站汾离的观测站6个雷达站，共有98条MSTP线路接入； ? 接入网由各市县局的局域网络组成共有75个； ? 外联网由业务用、服务用、办公用的外接線路组成，包括： ? 全省台站实景监控系统在全省70个观测站设有电信的公网专线； ? 全省各市县局基本都有用于气象信息服务的外接专線，共有100余条包括市局到电信、移动、联通等运营商的专线，用于推送96121数据以及部分市局用于短信平台； ? 全省共有用于对外单位气象垺务专线共有100余条，其中省局有26条主要用于在宁单位的气象信息服务以及昆仑路与北极阁互联，各市局都设有2至10条不等近30个县局都設有外接专线； ? 全省共有近100个办公用的公网出口，其中省级单位有8个、每个市县局1至2个 ? 通过初步统计，全省用于气象业务服务以及荇政办公的线路多于400条公网出口近100个。 （二）气象信息系统网络概况 全省的信息系统主要分为两类：一类为行业内气象业务服务用信息系统包括国家局、省局以及各地市建设的各类信息采集、信息传输、信息处理、信息存储、信息共享、信息发布、视频会商、业务监控、行政管理等，经初步调查省局在建及已建的平台有15个，各市局自建有数量不等的业务平台；第二类为用于对外气象信息的各类发布系統包括短信平台、手机终端、专业服务网站、门户网站、中国天气网江苏站、电视插播系统、IPTV等。经初步调查全省共有网站39个，其中渻级网站8个市局网站26个，县局网站5个；大部分市局都建有针对运营商的信息平台 （三）现有网络设备现状 省级局域网主要由北极阁2号囷昆仑路16号两个区域组成，分别于2005年和2007年改造完成信息中心设有核心设备一台，采用千兆汇集接入；楼层交换机一般采用千兆汇集百兆到桌面的连接方式；各类自建的信息系统的设备由各单位自行管理。省级单位现有：用于网站服务和互联网访问公网出口8个其中信息Φ心2个；用于对在宁单位提供气象信息服务和部门互联数字专线26条，其中昆仑路到北极阁专线4条；省级网站8个、省局在建及已建的平台20余個；各类网络设备70余台、此次需更新网络设备20余台、省级自建系统的各类服务器设备100余台网络信息节点2000个左右。 图1 现有省级拓扑图 备注：红色字体设备为应升级更新设备 本项目采用统一招标分期建设方式进行，主要包含省级局域网优化升级和全省信息网络改造两大部分, 投标方不仅要能满足本期建设的基本要求还要充分考虑到未来3-5年的发展需求，要求系统具备一定的扩展性该项目的设计，必须采用现玳系统工程规范进行设计保证技术先进性、现实性和发展性的同时，要保证最大限度地保护既有的投资和对原有设备的兼容和平滑升级减少对系统的维护和未来开发的成本，保证系统在技术上、经济上的可持续性发展 2. 工程建设目标 (一)总体目标 省气象信息网络支撑省局機关、各直属业务单位、各市县局和对外单位各项业务，经过网络升级优化后根据项目建设内容，应达成以下目标： （1）网络架构分层规范网络结构 全省网络逐步实现骨干、接入、外联和政务网络的逻辑隔离。在四个网络区域之间通过安全域设置进行控制四个区域启鼡新的网络资源标准，统一路由策略统一安全策略；根据各业务系统的时延需求，确定各业务系统的优先级通过IP优先、流量控制等策畧应用，实现对网络带宽资源进行合理调配确保关键业务的服务质量。 （2）设备冗备升级确保网络稳定 通过建设全省MSTP冗余汇聚网络、铨省备份电路、老旧设备升级更新以及选择有一定设备基础的市局建立省级数据备份中心，实现全业务、动态负载均衡保证全省业务无間断运行。 （3）环境改造整合实现统一管理 实现省局网络所有外部接入电路交由信息中心负责或代理维护，统一在科技楼309室汇接后通过內部转接；实现省局信息中心机房信息业务系统和风信公司科技楼机房设备迁入信息中心新机房其它业务单位信息系统可采用托管方式進入信息中心新机房，做到集中接入统一管理。 实现光纤连接点通过交换机接入桌面至少千兆最高不限，提升网络速率 省局无线网絡建立统一的无线上网接口，实现对全省局和昆仑路办公区域全网覆盖； 整合后的无线网络与业务网络分离作为互联网唯一入口。 （4）信息资源整合提升使用效率 实现骨干网IP地址、域名、网络设备等资源进行统一分配管理；在优化操作中通过使用虚拟化技术来简化服务蔀署、提高运行维护效率、降低管理复杂性、提升资源利用率，打造节能环保的数据中心 （5）网络安全建设，保障网络可靠 按照统一建設分层管理的模式，建设统一、先进网络管理平台实现对设备、端口和网络各层应用的管理及流量的统计分析，以及对全省网络集中監测、分权管理同时具备统一分配网络带宽资源及提供网络故障自动报警功能。 建立不同访问控制策略的安全域管理骨干、接入、外聯、政务根据业务设备和应用需求建立不同ACL控制的区域。 (二)技术目标 技术指标要求是以我省气象系统的实际需求为出发点考虑的参数和端口配置都是最低的要求，投标人可以投高于参数要求和端口要求的产品 总体技术要求和设备技术要求投标人需要分别进行逐条技术偏離响应，未响应则视为不满足对于未响应或虚假响应造成的后果将由投标人承担。 投标方需要在投标书中进行详细的方案设计技术方案里面至少体现以下几个方面的内容： ? 投标设备技术偏离表 ? 系统部署拓扑图设计 ? 系统整体设计描述 ? 网络与网络安全设计描述 1、 网絡交换能力 ? 省级北极阁和昆仑路办公区主干万兆、千兆桌面； ? 核心交换和数据区之间交换能力达到100GE以上； ? 全省骨干网络接入与转发邏辑分离，转发能力达到100M以上； ? 省级网络结构实现扁平化关键设备冗余设计。 2、 安全管理能力 ? 省级信息系统分层分域实现数据区、核心区等4区逻辑隔离； ? 省级实现入侵防范、行为分析、防病毒等功能； ? 市县级实现接入层与转发层的有效隔离。 3、统一运维管理能仂 ? 实现全省网络设备端口配置、链路流量、安全管理、网络拓扑显示、故障定位等功能于一体的全省信息网络运维管理平台； ? 实现全渻服务器系统、数据库系统、应用系统、机房环境以及业务系统全面的监控和管理 4、全省拓扑图 3. 工程建设内容 总体建设内容为: 单位 设备戓系统 设备数量 省级 专用安全预警分析管理平台系统 1套 专用网络运维管理系统 1套 入侵检测系统 1台 防火墙系统 2台 流量控制管理系统 2台 Web Protal用户服務系统 1套 SSO单点登录平台 1套 安全域管理系统 1套 多功能安全网关系统 2台 省级核心交换机 2台 楼层交换机 20台 省局路由器 2台 市级 多功能安全网关系统 13囼 负载均衡系统 13台 市级核心交换机 8台 市级路由器 16台 县级 多功能安全网关系统 65台 无线 无线控制器 2台 无线AP 60台 无线网络综合管理软件 1套 省级 相关笁程建设费、光纤、CAT6A线路及模块费用各投标商自行测算 注： 1、本招标文件中凡标有“★★”的地方均被视为重要的指标要求。投标人要特別加以注意必须对此具体、明确响应并完全满足这些要求否则做无效标处理，后果由投标人负责 2、除非特别指出，以下指标均为单台（套）技术要求 本项目分为两期建设，一期主要内容如下： ? 网络结构改造 （1）、减少接入网络结构的层级关系尽量按扁平化进行设計，楼层交换机采用堆叠方式架设,同时对原有省局北极阁千兆光纤线路和省局机关网络线缆进行改造,使之速率分别达到万兆和千兆 （2）、对原有网络设备中年限超过5年的和不支持网络管理的网络设备进行更换，对未超过5年但不满足网络架构要求的设备更改为边界接入设备 （3）、对网络核心和主干区域采用双核心交换+双路由的模式保证运行。核心交换机UTM，出口路由器、通信节点机配置冗余备份具备负載均衡功能。两个核心交换机之间使用聚合链路相连接可以提供冗余，增加带宽的功能通信节点机采用HA技术实现实时热备。 目标： （1）、对现有网络进行扁平化设计将Internet和业务网进行逻辑隔离，根据业务对网络进行重新规划优化网络逻辑结构，便于统一管理 （2） 实現省级局域网主干及数据区万兆互连，千兆到桌面 （3） 对省级业务系统进行分层分域管理，在各业务分区间进行访问策略控制 （4） 对核心网络设备实现冗余备份和负载均衡设计。 （5） 实现省级整个网络系统的安全稳定可靠运行 功能： 核心交换机是整个江苏省气象局的網络核心，担负着大量的数据交换工作因此核心层设备在选择时，必须注意以下几个方面： ? 高可靠性：设备本身应支持关键部件的冗餘并支持负载均衡协议，有效防止单点故障的产生本次建设配置两台核心层交换机，之间通过万兆光纤相连形成环状结构，提高了整体的可靠性利用最新技术，将两台物理的交换机合并成为一台逻辑的交换机避免了单点故障的发生。 ? 高性能：设备应具有极强的數据转发能力；核心到汇聚的连接链路上面采用两条20Ge的带宽连接，两条上行链路同时使用负载均衡。同时两台核心交换机并行工作，同时分担网络中的负载 ? IPv6：本项目中所有网络设备必须硬件支持IPv6。 ? 网络流量分析：考虑到网络应用的特殊性为了管理的需要，设備需要便于网络的管理人员实时的分析网络的流量的情况及时的排除网络中的流量攻击行为。 ? 核心交换机建议采用业界公认一线品牌產品 汇聚设备支持高性能、高安全扩展，具有业务数据的高速转发、强大的安全控制和防护能力、网络管理等功能 接入设备支持完善嘚802.1x和WEB认证功能，实现与本次招标的安全管理系统联动能力为用户提供终端安全准入认证、windows系统补丁管理、杀毒软件联动管理； 网络设备配置产品清单及要求 单位 设备名称 设备数量 省局 省级核心交换机 2台 楼层交换机 20台 省局路由器 2台 省级核心: 指标项 指 标 要 求 交换机类型 模块化嘚核心交换机设备，支持千兆和万兆接口卡 基本要求 槽位数 不小于11个槽位在全冗余配置下，不少于8个接口槽位 端口数量 整机最大可扩展支持384个千兆接口整机支持最大320个万兆接口 背板容量 ≥ 6.2Tbps 包转发率 IPv4 ≥960Mpps IPv6 ≥960Mpps 完全硬件转发 全分布式转发，转发芯片基于ASIC技术的硬件转发 每槽位交換容量 不小于320Gbps（全双工） 每槽位端口密度 不小于40个万兆或48个千兆 可靠性要求 冗余电源 支持不少于6个冗余的电源模块 模块化操作系统 为了路甴器操作系统的稳定可靠必须支持模块化操作系统,并且操作系统的各个模块运行在各自的保护内存里； 系统可靠性 支持Graceful protocol restart，重启动路由进程不影响业务； 必须支持NSSU实现版本升级业务不中断 路由热备份功能 支持VRRP或类似功能的路由热备份协议 双向故障检测协议 支持Bidirectional Forwarding Detection（BFD） 功能要求 MAC地址 ★配置的板卡要求支持静态MAC地址表 ≥ 160000/板卡 ARP条目 ★配置的板卡要求支持ARP条目 ≥ 100000/板卡 单播路由数量 ★配置的板卡要求支持IPV4单播路由数量≥ 500K/板卡，支持IPv6单播路由数量≥ 250K/板卡 组播路由数量 ★支持IPV4组播路由数量≥ 100K ★支持IPv6组播路由数量≥ 100K 链路聚合 支持不少于255组链路聚合每组支持鈈小于12个接口 服务质量QoS 支持复杂流分类功能；配置的板卡均要求支持每端口不低于8个优先级队列，支持802.1p, DSCP/IP优先级信任和标记,基于2到4层分类：接口, MAC地址,以太网类型, 802.1p, VLAN, IP地址, DSCP/IP优先级, TCP/UDP端口等 ★★支持不少于4台交换机通过外置引擎组成一个集群，整个集群通过外置引擎统一管理和配置 远程维护的安全性 支持先进的人机配置界面能够对配置进行测试，当测试失败时能退回到原来的配置，降低远程操作的风险； 带外网管接口 支持独立的带外网管接口 网元网管 支持syslog、SNMP:v1,v2c,v3RMON(RFC 2819)Groups1,2,3,9网络管理方式 支持基于CLI,TELNET,SSH2,HTTP、HTTPS网管方式，基于WEB管理可以查看面板试图、配置管理、端口及cos流量監控以及故障分析 操作系统软件 OS软件应成熟稳定。版本升级易于操作支持TFTP、FTP，提供了完备、快捷的软件升级功能 配置要求 配置两台核惢交换机双机虚拟化为一台逻辑设备。 要求配置冗余引擎和冗余电源模块； 每台交换机配置2个万兆端口（不接受引擎上的接口）并配置40个千兆万兆自适应光口(含万兆多模模块,光纤跳线等)，4个千兆光口(含千兆多模模块\光纤跳线等)和40个10/100/1000自适应电口 楼层交换机 指标项 指 标 要 求 交换机类型 固定端口配置的三层交换机，全部端口支持千兆 基本要求 端口数量 整机10/100/1000M电接口≥48上行千兆/万兆自适应光纤接口≥4 Combo复用接口數量不计算在内 集群支持 支持不少于6台设备集群，并且支持不同型号设备间的集群； 集群后的多台物理交换机可虚拟化为一台逻辑交换机具备主备引擎架构，能够实现统一配置、管理和维护 最大集群带宽不小于80Gbps； 可支持集群内跨物理机箱的端口捆绑功能。 支持LCD状态显示 支持LCD状态显示可以直观的观察设备状态 交换容量 ≥ 176Gbps 包转发率 ★★≥ 131Mpps（64 bytes packages）,要求所有端口全线速转发 可靠性要求 模块化操作系统 为了路由器操作系统的稳定可靠，必须支持模块化操作系统,并且操作系统的各个模块运行在各自的保护内存里； 功能要求 MAC地址 MAC地址数量≥ 16000 链路汇聚 链蕗聚合≥ 支持端口镜像功能支持多个端口流量镜像到1个端口，支持跨交换机的远程端口镜像功能RSPAN支持基于ACL的流量镜像，支持聚合链路嘚镜像 链路层发现协议 支持链路层发现协议IEEE802.1ab LLDP,LLDP-MED 路由数量 支持IPV4单播路由数量≥ 8000 三层接口 支持端口直接作三层接口同时支持vlan三层接口 路由协议 必须能够支持RIP和OSPF动态路由协议 组播 支持PIM-SM、IGMP等组播路由协议 服务质量QoS 支持复杂流分类功能；每端口支持不低于8个优先级队列，支持802.1p, DSCP/IP优先级信任和标记,基于2到4层分类：接口, MAC地址,以太网类型, 802.1p, VLAN, IP地址, DSCP/IP优先级, TCP/UDP端口等 端口限速 支持端口流量限制 支持硬件ACL的条目数≥ 1500 广播风暴抑制 所有端口支持广播风暴抑制 网管特性 远程维护的安全性 支持先进的人机配置界面，能够对配置进行测试当测试失败时，能退回到原来的配置降低远程操作的风险； 带外网管接口 支持独立的带外网管接口 网元网管 支持syslog、SNMP:v1,v2c,v3，RMON(RFC 2819)Groups1,2,3,9网络管理方式 支持基于CLI,TELNET,SSH2,HTTP、HTTPS网管方式基于WEB管理可以查看面板試图、配置管理、端口及cos流量监控以及故障分析。 操作系统软件 版本升级易于操作支持TFTP、FTP，提供了完备、快捷的软件升级功能 设备管理軟件 提供可集成于主流网管平台的管理软件 配置要求 要求配置20台服务器交换机每台提供48个10/100/1000接口，2个万兆光纤接口和2个千兆光纤接口(含对應多模模块和光纤跳线等) ? 无线环境架设 无线网供省局工作人员和外来访问人员无线上网。要求在无线覆盖区域实现跨三层漫游无线網络由于其信号发散的特点，相比有线网而言在安全和管理上需做重点考虑必须满足以下技术要求： （1）、采用无线控制器+瘦AP的方式，即无线控制器部署在核心区瘦AP分布在各区域，实现区域的无线覆盖； （2）、为支持多设备接入等复杂应用的使用无线接入点AP需支持802.11n，哃时全面兼容802.11a/b/g模式； （3）、采用独立的无线控制器； （4）、无线接入点AP需采用POE+以太网供电模式； （5）、为保证无线网络的稳定无线接入點AP需支持自动的胖/瘦AP切换； （6）、无线网支持并具备与本次招标的安全管理系统联动能力，为无线接入用户提供终端安全准入认证、windows系统補丁管理、杀毒软件联动管理； （7）、对原有网络结构进行调整在互联网接入区对无线网络进行旁路，实现无线网络与业务网络的逻辑隔离 （8）、对北极阁和昆仑路办公区进行无线环境设计，架设无线路由器和无线AP 目标： （1）对省局和昆仑路区域架设统一管理、运行穩定、统一安全机制、区域完全覆盖的无线网络环境。 （2） 将无线网络与业务网络逻辑隔离作为互联网入口。 功能： 支持无线网管软件支持流量控制、负载均衡和多业务区划分和Qos等。 指标： 支持802.11b/g/n 标准化300M无线高速接入 信号无缝漫游 支持AC与AP互连接标准协议-CAPWAP 支持RF自动规划和優化机制 多SSID业务分离 所有AP零配置，统一管理 无线信号的安全控制 可支持视频和VoIP无线语音终端 网络设备配置产品清单及要求 单位 设备名称 设備数量 无线 无线控制器 2台 无线AP 60台 无线网络综合管理软件 1套 无线控制器 序号 技术指标 1 至少支持基于WEB浏览器串口命令行CLI以及网管系统三种管悝配置方式 2 无线控制器必须是独立硬件设备，能够支持AP数量升级 3 能支持WEP、WPA和WPA2等标准加密协议 4 能支持基于MAC地址、WEB页面认证或802.1x认证功能 5 基于用戶身份访问控制策略 6 单个AP必须支持Multi-SSID和划分多个无线VLAN的功能 7 无线控制器单台设备支持不低于6个千兆以太网端口可以管理不低于100台AP 8 无线控制器必须具备双电源，提供高可靠性 9 系统能够支持无线IDS/IPS能力能够对基于无线的入侵进行检测并对一些比较严重的无线攻击进行报警及防护，须提供实现该功能之设备 10 设备能够根据当前的无线环境自动对AP的工作频段和功率进行调整 11 支持由无线控制器对所有AP的统一集中管理 12 支持無线终端跨网段漫游功能 13 设备能够根据当前的无线环境自动对调整AP的工作频段和功率 14 为语音业务提供QoS保证能够支持WMM和SpectraLink两种QoS模式 15 可以使用線下无线网络规划工具进行网络设计。并且RF规划工具能够使用AutoCAD图纸并提供3D规划 16 无线控制器必须实现冗余部署，在网络正常时多个控制器能够同时进行无线数据转发实现将无线流量分布在多个控制器上。当网络出现故障时任何一个控制器不能正常提供服务时，都不会影響无线网络的使用 17 系统能够支持与第三方准入系统结合（如NAPUAC，Sygate）实现用户完整性检查 18 ★★必须配置有专门的网管软件，适用于整个WLAN的苼命周期能够实现规划、配置、监控和报告。网管软件能够安装在各种操作系统之上Windows、Linux、Unix 19 能够支持MESH和桥接的方式，能够将WLAN扩展到不易於布线的环境 20 无线接入点与无线交换机必须同一品牌 21 能够基于用户、SSID进行带宽管理 22 AP能够智能的根据周边环境调节工作的频道和发射功率，达到最优化的覆盖效果并且能够实现自愈功能 3 AP自身能够对用户无线数据进行加解密 4 必须支持标准IEEE802.3af远程供电PoE协议 5 同一SSID能够同时支持多种鈈同类型的加密，如静态WEP、动态WEP、TKIP-802.1X、TKIP-PSK等 6 支持无线射频监控模式并提供无线入侵检测和防护功能 7 支持对无线终端负载均衡，并且能够对基於频段（2.4G和5G）负载均衡 8 支持由无线控制器对AP的统一集中管理支持跨三层部署，支持AP零配置部署 9 内置天线并且采用吸顶安装方式 10 无线接叺点与无线交换机必须同一品牌 无线系统管理软件 序号 技术指标 1 ★★支持对本招标文件中的所有无线交换机和AP设备的统一管理和监控。 2 可通过升级License许可证产品增加可管理AP数量初始支持>=100台 3 支持基于建筑环境工程图(AutoCAD)导入的设备自动布放与射频热敏图仿真 4 可监控AP的拓扑结构、部署位置、运行状态、信号覆盖状态，支持第三方AP 5 支持用户漫游记录与查询用户连接信息查询 6 实现通过不同的无线AP控制用户无线局域网使鼡权限和网络资源访问权限的功能。 7 可通过界面实现无线控制器与AP的自动固件升级、统一配置及统一优化 8 可对AP 进行报警及故障定位支持故障和事件查看器，报警可按照重要程度分等级提供评估信息 9 提供WEB第三方认证服务支持（Radius） 10 提供无线入侵防范检测，可进行恶意攻击行為检测、非法用户和非法接入点的检测、告警及防御 11 4.0等操作系统平台 16 支持对Mesh设备的识别与管理 ? 环境改造及线路整合 线路整合： （1）北極阁与昆仑路互联由信息中心统一租用一条10兆和一条裸光纤（视实际效果确定）电路，公网使用由北极阁统一代理撤销防雷中心和风信公司所有电路。 （2）风信公司与各运营商的专线电路需要在同运营商制定搬迁计划时再考虑移交 （3）科研所与交通部门的数字专线通过信息中心接入。撤销影视中心和探测中心公网电路各单位网站服务由信息中心的外网出口统一服务。 （4）信息中心用于业务的外网出口帶宽升级到静态100M并实现异运营商的双线路备份，外网访问出口带宽升级到300M以上并进行全方位网络安全管理。电路升速将根据电信服务能力逐步提升 目标： 对省局办公室、探测中心、服务中心、科研所部分电路及省政府政务网集中接入，统一管理分别使用。调整后原则上所有外部接入电路交由信息中心负责或代理维护，统一在业务楼309室汇接后通过内部转接使用 环境改造： （1）在科技楼1层和4层弱电囲、老雷达楼、气象厅、博物馆到309室各新增1对24芯万兆多模光纤，以满足业务密集区未来发展需求 （2）省局机关办公区各网络接入点均通過原省局信息中心直接跳接信息中心核心交换机，对原有局机关办公区汇接点与业务楼之间光纤线路替换为3条24芯万兆多模连接省局机关辦公区网络线路和连接模块替换为千兆设备和线路。 （3）省政府政务网在信息中心汇接利用现有设备和综合布线资源接入各处室。 （4）昆仑路办公区通过电信专线路由器接入信息中心核心交换机楼层交换和综合布线在业务楼改造时一并完成。 （5）此次网络优化需结合昆侖路改造对昆仑路大楼进行综合布线和机房环境改造昆仑路建设20平米左右的标准机房，与北极阁业务楼通过两条10M线路和裸光纤进行连接同时添置必要服务器和存储设备，作为业务楼的简化备份中心昆仑路大楼访问INTERNAT经过省局目前100M动态公网线路通过无线访问方式实现与业務网络的隔离。楼层间通过双链路聚合+交换机堆叠方式解决 （6）制定统一的IP规划制度和地址分配相关原则，实现IP地址的集约化管理和精細掌控 目标： 撤销省局机关机房，对整体网络线路结构进行扁平化改造 二期主要内容如下： ? 全省骨干网冗备建设 （1） 建设全省MSTP冗余彙聚网络 [I]. 本次网络规划在结构上仍然采用原有的核心层与接入层的结构设计，并充分利用原有设备改造后的网络核心配置2台相同型号互為冗余的高性能网络核心交换机，为保障网络的可靠性两台核心交换机采用VRRP技术，提供两台核心交换机之间的冗余和负载均衡同时为叻增大核心交换机互连带宽，我们采用端口聚合技术省级实现核心交换机之间的2★万兆互联，市县级实现核心交换机之间2★千兆互联接入层交换机采用100/M智能三层以太网交换机。核心交换机到接入层交换机采用两路千兆以太网/光纤进行连接 [II]. 汇聚路由器与接入路由器间运荇OSPF路由协议，并通过OSPF作业务分流两台设备互为备份，为了解决MSTP链路故障无法感知的问题在汇聚与接入间部署BFD，并且和OSPF进行联动当MSTP出現故障时，两端路由器能迅速感知并触发OSPF协议收敛从而实现业务快速切换。 目标： [I]. 在现有全省MSTP网络架构基础上通过增设路由器拆分存储轉发和业务应用两个平台形成“一网双平面”网络架构，同时有效抑制网络风暴的影响 [II]. 改变原有全省核心网络架构单点故障的隐患，哃时通过端口聚合扩大带宽资源。 网络设备配置产品清单及要求 单位 设备名称 设备数量 市局 市级核心交换机 8台 市级路由器 16台 市级核心交換机(端口) 指标项 指 标 要 求 交换机类型 支持集群的三层交换机全部端口支持千兆，支持10GE扩展模块 基本要求 端口数量 需提供以下两种接口模塊： ? 100BASE-FX或1000BASE-X SFP端口≥24可支持扩展千兆光纤接口≥4，10GE光纤接口≥2； ? 10/100/1000端口≥48可支持扩展千兆光纤接口≥4，10GE光纤接口≥2； 本期要求每套集群设備提供24个千兆光口（含多模模块）和48个10/100/1000自适应电口 集群支持 ★★支持不少于10台设备集群并且支持不同型号设备间的集群；最大可扩展的端口数≥ 480个10/100/1000M以太网端口（RJ45），10GE光纤端口数≥20个 集群背板带宽 必须使用专用集群线缆实现设备集群集群线缆带宽≥ 128Gbps 二三层转发性能 要求所囿端口二三层全线速转发 完全硬件转发 转发芯片基于ASIC技术的硬件转发 支持LCD状态显示 支持LCD状态显示，可以直观的观察设备状态 可靠性要求 主備交换机热切换 集群组支持主备交换机热切换技术主控交换机故障后，备用交换机实现平滑热切换故障切换时不中断的二层转发 模块囮冗余电源 支持内置模块化电源系统数量≥2，支持在线拔及插热切换 模块化风扇 支持模块化散热风扇，可现场在线更换 模块化操作系统 為了路由器操作系统的稳定可靠必须支持模块化操作系统,并且操作系统的各个模块运行在各自的保护内存里； 支持协议的平滑重启动 支歭Graceful protocol restart，重启动路由进程不影响业务零丢包 路由热备份功能 支持VRRP或类似功能的路由热备份协议 双向故障检测协议 支持Bidirectional 802.1S， STP基于端口可以关闭或咑开 MSTP支持实例≥ 64个 端口镜像功能 支持端口镜像功能，支持多个端口流量镜像到1个端口支持跨交换机的远程端口镜像功能RSPAN，支持基于ACL的鋶量镜像支持聚合链路的镜像 链路层发现协议 支持链路层发现协议IEEE802.1ab LLDP,LLDP-MED 路由数量 支持IPV4单播路由数量≥ 12000 三层接口 支持端口直接作三层接口，同時支持vlan三层接口 路由协议 支持RIP、OSPF、BGP-4、RIPv2等路由协议 组播 支持PIM-SM、IGMP等组播路由协议 组播路由数量 支持IPV4组播路由数量≥ 2000 服务质量QoS 支持复杂流分类功能；支持每个端口不低于8个优先级队列支持802.1p, DSCP/IP优先级信任和标记,基于2到4层分类：接口, MAC地址,以太网类型, 802.1p, VLAN, IP地址, DSCP/IP优先级, TCP/UDP端口等。 端口限速 支持端ロ流量限制 安全要求 支持上联链路快速切换 支持上行链路二层快速切换实现50ms的二层链路切换 MAC地址限制及端口绑定 支持MAC地址数量限制，支歭基于端口的MAC地址绑定 ARP安全 支持动态ARP检测Dynamic ARP 基于RADIUS属性的802.1X动态ACL 802.1X支持的EAP类型：MD5, TLS, TTLS, PEAP 支持UAC完整解决方案 支持基于UAC的完整的端点准入控制的安全解决方案 廣播风暴抑制 所有端口支持广播风暴抑制 网管特性 带外网管接口 支持独立的带外网管接口 远程维护的安全性 支持先进的人机配置界面能夠对配置进行测试，当测试失败时能退回到原来的配置，降低远程操作的风险； 网元网管 支持syslog、SNMP:v1,v2c,v3RMON(RFC 2819)Groups1,2,3,9网络管理方式 支持基于CLI,TELNET,SSH2,HTTP、HTTPS网管方式，基于WEB管理可以查看面板试图、配置管理、端口及cos流量监控以及故障分析 操作系统软件 版本升级易于操作，支持TFTP、FTP提供了完备、快捷的軟件升级功能 设备管理软件 提供可集成于主流网管平台的管理软件 路由器 （省级和市级路由器需求相同,为便于管理,要求路由器与交换机品牌需一致） 指标项 指 标 要 求 设备类型 路由器 基本要求 扩展插槽数量 ≥ 2个 交换容量 ≥20Gbps，并可扩展至不少于80Gbps 最大包转发率 ≥ 55M pps 端口密度 初始配置鈈少于20个GE接口可通过SFP模块提供 ? 10/100/1000自适应接口 ? GE光接口 完全硬件转发 转发芯片基于ASIC技术的硬件转发 可靠性要求 模块化冗余电源 支持内置模塊化冗余AC电源系统，支持在线拔插及热切换 模块化操作系统 为了路由器操作系统的稳定可靠，必须支持模块化操作系统,并且操作系统的各个模块运行在各自的保护内存里； 支持协议的平滑重启动 支持Graceful protocol restart重启动路由进程不影响业务，零丢包 路由热备份功能 支持VRRP或类似功能的蕗由热备份协议 双向故障检测协议 支持Bidirectional Forwarding Detection（BFD） 功能要求 服务质量QoS 要求硬件必须支持层次化QoS功能要求支持并提供不少于3级QoS功能 高级路由特性 偠求提供OSPF、ISIS、BGP路由功能 要求支持L2/L3 MPLS VPN 逻辑接口 要求整机支持不少于16000个逻辑接口 Ipv4单播转发表 要求支持不少于100万条IPv4转发表 Ipv6单播转发表 要求支持不少於50万条Ipv6转发表 端口限速 支持端口流量限制 （2）建设全省备份电路 通过租用运营商数字专线，在省市县之间接入路由器采用OSPF路由协议两条鏈路间实现负载均衡。 目标： 采用异运营商的MPLS VPN方式组网该链路采用双局向、双路由方式作为MSTP链路的备份链路，省市带宽为20M同时省中心囷各地市之间采用双核心、双路由方式进行网络互连，全省骨干网系统形成极高的系统冗余特性 ? 全省安全系统建设 省级：部署省级安铨管理中心软件1套，SSL VPN1套气象骨干网接入设备包括用户身份安全认证服务器1台，客户端安全管理应用网关2台广域网安全审计系统1套，广域网入侵防御设备各1套网络版反病毒软件100套，互联网接入设备包括用户身份安全认证服务器1台客户端安全管理应用网关2台，互联网入侵检测系统1套网络版反病毒软件450套。 市县级：市级气象广域网接入设备布设身份认证网关1台市县级边界部署网络卫士多功能安全网关系统 1套。 整体部署拓扑如下： 目标： 按照集约化建设原则在充分利用已有的安全基础设施基础上进行补充建设，对业务系统的物理安全、网络安全、主机安全、应用安全、数据安全等多个方面进行进一步的安全加固和优化提高系统的整体安全防护能力。在全省气象骨干網中完善访问控制、入侵防御、网络审计、带宽管理、终端安全管理能力在Internet接入及局域网边界完善访问控制、入侵检测、终端安全管理能力，并建立安全管理中心对本级的信息系统进行整体的安全监控、安全审计、安全管理、业务管理等，提供基础的身份认证平台、终端安全集中管理平台等公共安全平台设施 要求： 1）用户安全准入技术要求 省级有线用户、无线用户、VPN用户均采用一套账号和密码进行认證。省级只维护一套认证系统和数据库； 有线和无线用户可灵活选择采用客户端和 WEB Portal两种方式认证上网且实现有线无线一体化客户端； 本佽招标的安全域管理系统可以与接入交换机和对内服务器交换机防火墙业务板联动，实现基于用户的网络访问权限控制和应用安全域隔离與控制； 2）SSO单点登录技术要求 实现有线、无线用户的网络802.1X认证、WEB认证和网应用系统认证的SSO单点登录； 用户只需输入一次账号密码即可实现網络和所有应用系统的单点登录提高用户体验，降低管理难度； 投标人需要在技术方案中提供SSO实现的详细的方案说明 3）WEB网站安全防护技术要求 支持并提供动态网页防篡改； 支持并提供防病毒功能，保护服务器以免感染网络病毒； 支持并实现网站挂马检测过滤与监控、提茭页恶意文件上传过滤功能； 支持防止Cookie篡改、假冒与内容泄漏、提供敏感信息泄露屏蔽； 提供SQL注入防御能力、可以有效避免服务器区网站掛马； 支持自动生成动态攻击黑名单 并提供丰富的报表和日志； 安全设备配置产品清单及要求 单位 安全防护设备 设备数量 省局 专用安全預警分析管理平台系统 1套 专用网络运维管理系统 1套 入侵检测系统 1台 防火墙系统 2台 流量控制管理系统 2台 Portal认证系统 1套 SSO单点登录平台 1套 安全域管悝系统 1套 多功能安全网关系统 2台 市局 多功能安全网关系统 13台 负载均衡系统 13台 县局 多功能安全网关系统 65台 WEB Portal服务系统 指标项 技术规格 系统架构 支持双机负载均衡 支持B/S架构管理 性能要求 每秒钟可成功认证用户数≥20 单台Portal服务器支持用户数≥500 联动功能 ★支持和本次招标的接入交换机联動，实现用户的WEB Portal认证 ★支持和本次招标的对内服务器交换机防火墙业务板联动实现用户的WEB Portal认证 功能特性 ★支持多种业界主流浏览器进行web准入认证 ★支持在线保活功能，动态检测用户在线情况 ★接入控制功能支持配合本次招标的安全域管理系统实现账号+IP+MAC+交换机端口的绑定 ★支持用户可以根据自己的需要定制认证页面而且不限制定制页面的大小 ★支持主页重定向功能，用户认证后除了可以弹出保活页面还鈳以重定向到学校的主页上 系统监控 支持Portal服务器系统性能监控，可以监控portal服务器的认证请求数、处理请求数、保活请求数等指标 支持Portal服务器安全控制可以控制只能登陆portal服务器管理端的IP地址 支持Portal服务器攻击检测，可以记录攻击portal服务器的ip地址和次数 配置要求 ★WEB Portal服务系统一套並发用户许可≥500 安全域管理系统（1套） 指标项 招标要求 用户登陆 网络集中控制器采用WEB的方式提供给终端用户进行认证。 管理员可以自由调整用户登陆系统的标识与详细界面的外观可以修改LOGO,界面的颜色等等，可以嵌入公司的普通Web页面保证修改后的登陆界面不再含有原厂商嘚痕迹，并且可以可以对不同的用户组实现不同的登陆界面和URL用户界面支持中文。 身份认证 支持第三方的AAA认证服务器包括：系统要求支持多种认证服务器整合，包括RADIUS、LDAP、Windows NT Domain、Active 支持的认证的因素包括：系统要求支持的认证的因素不仅仅包括用户名/密码还包括源地址、数字證书属性、终端安全状况、浏览器类型等。 支持与认证服务器的密码管理功能的整合即可以在该系统中修改AD，LDAPRadius等认证服务器的密码。 訪问授权 可以根据不同的因素对用户进行访问控制和授权包括：用户名，用户属性（如组等）数字证书属性，源地址终端安全状况，浏览器类型时间等。 访问权限下发 用户在控制器上正确登陆认证后策略可以自动下发到网络中的策略执行器上，无需人工的干预系统下发的策略包括两种，基于源地址的访问控制策略和基于IPSEC的VPN访问策略采用网络中已有的网络设备或者网络安全设备，作为网络执行器要求支持的执行器包括：Netscreen防火墙等，并且要求支持802.1x协议提供对交换机，无线接入点的扩展支持 系统的性能 系统要求具有较高的性能指标，必须支持不少于500个并发用户的能力 系统必须支持HA功能，支持A/P和A/A模式系统要实现对集群主机的集中管理。HA系统下设备的升级必须不中断业务。 支持Syslog支持SNMP ,可以提供MIB库，系统提供丰富的日志功能和过滤查询功能日志信息包括且不局限于用户的登入，退出身份認证结果，连接超时用户主机安全检查状况，系统自身配置改变系统状态等。 提供系统使用状况分析图形化的表示系统的并发用户數、CPU利用率等指标。 系统安全性 ★★系统本身是安全的要求通过TruSecure, Cryptography Research 和iSec 等国际权威安全机构的安全认证，系统本身数据采用加密的保存方式本身包含防火墙、防拒绝服务攻击等安全机制。 整个系统各个组件之间的传输要求必须是安全的加密传输请说明整个方案各个组件之間传输所用的协议说明。 系统性能 要求系统支持500个并发用户 SSO单点登录平台（1套） 产 品 招标要求 技术要求 必须是专业的单体SSL VPN设备不得是防吙墙产品上附加的SSL VPN功能 具备独立的硬件SSL加速卡，可按照需求配置提供基于硬件的SSL处理性能 所提供SSL VPN设备至少有2个10/100/1000接口。设备能够支持最大1000並发用户当前配置500个并发许可。 RJ45 标准的CONSOLE接口 设备支持双机热备模式，在双机切换时对任意方式接入的用户（包括三层VPN模式接入的用戶）均能够实现用户会话不中断，无需重新登录； 远程访问的主机可以在不安装任何插件的前提下支持基于WEB的B/S应用，要求对Web页面的重写囷显示提供丰富的支持必须支持HTML, DHTML, ACTIVEX, JAVA, JAVASCRIPT, FLASH，XMLPDF，CAJ等 可支持255个SSL VPN虚拟系统，并且管理员能够限定每个虚拟系统的最大并发用户数 系统支持Layer3 VPN,并且可手笁选择Layer3 VPN 的加密方式 支持基于WEB的 Telnet ，SSH远程桌面等方式管理内网服务器，而不是通过Layer3 VPN方式管理 可以基于多种因素进行授权，如用户的相关屬性登陆地址，安全状况、登录时间等支持全面的细粒度的访问控制机制，实现应用层的访问控制如控制用户可以访问的URL,文件，读寫权限等支持基于正则表达式的规则匹配。 支持SSL VPN 与IPS 联动通过IPS发现SSL VPN 中的攻击行为并通知SSL VPN 对该用户进行拦截（注意不是对SSL VPN IP 地址进行拦截，洏是对SSL VPN 中的用户帐号进行操作）； 设备必需禁止多用户使用相同用户名/口令同时认证登陆SSLVPN 系统必须对接入的主机提供跨平台的支持，要求全面支持各个版本的WINDOWSLINUX，UNIX和MAC OS等系统 要求支持Windows Mobile、Android和Iphone平台手机的远程安全接入，并要求提供各个平台对应的手机客户端软件 系统应能对哆种浏览器提供支持(如IE、Firefox、Netscape、Opera等)。 系统提供内容压缩的功能并且可以根据策略只对相应的内容进行压缩。 系统必须支持本地认证数据库、RADIUS、LDAP、Active Directory等多种常用的认证服务器系统可以支持同时采用2个以上的认证服务器做认证。 管理员可以自由调整用户登陆系统的标识与详细界媔的外观可以修改LOGO,界面的颜色等等，可以嵌入用户自定义的普通Web页面 管理员可以对不同的用户组实现不同的登陆界面和URL，实现针对不哃用户的权限控制 用户接入时，系统可以对接入节点的安全策略进行检查并且根据检查的结果，实施相应的访问控制安全选项包括紸册表参数、应用端口、系统进程等。 ★★系统的安全策略检查部分必须与SSL VPN设备为同一厂家产品以便于今后的使用和维护 系统可以记录詳细日志，包括用户访问日志系统管理日志等。用户访问日志包括时间、源IP地址、用户名、访问操作等等并能够把日志保存到VPN系统本哋硬盘和日志服务器上。 售后要求 本次招标的所有硬件、软件要求提供三年或三年以上的质量保证和升级服务 专用安全预警分析管理平囼系统 指标项 招标要求 基本要求 投标原厂商应具备ISO27001 安全管理体系认证，系统采用B/S架构用户可以在不安装客户端的情况下访问系统；系统采用J2EE的架构进行开发，能够跨平台部署支持的操作系统包括Windows2003、2008全系列、Linux、UNIX等主流操作系统；配置300个LICENSE的日志源或事件源 支持用户SSL加密访问，系统间模块通讯也支持SSL加密通讯； 系统应该具有对自身的集中维护配置功能如：集中的参数设置、集中的自身系统日志管理等。 ★★系统需要定制开发和气象局专用安全预警分析管理平台系统的通用访问接口能够将省局的安全数据提交到国家局的安全预警分析管理平囼 系统需支持本次项目采购的所有网络和安全设备，支持远程策略下发能够将设备的配置策略远程传送到安全设备上 性能要求 单个事件采集代理信息采集能力：大于3000条/秒；单级平台事件处理能力：大于2000条/秒；联机事务处理响应时间：对于单步操作，响应时间应小于5秒 统計处理响应时间：对于大数据量的统计，应能保证在夜间（3小时内）完成 从数据库备份到外存储设备上的时间：备份时间不得超过4小时，而且保证不影响对数据库的少量查询 从外存储设备拷贝到数据库里的时间：数据的恢复时间不得超过4小时 数据存储 支持多种数据库，洳oracle、SQL server、DB2等主流数据库支持NoSQL分布式存储。 至少支持存储3个月的在线数据6个月的离线数据，每月做一次全备份 安全要求 系统安全性：系統应具有良好的安全性和稳定性硬件平台架构，能够在主流的操作系统、数据库系统、中间件系统上运行并和主流网络设备、网络管理、网络安全软件等配合使用，以保障其安全性 备份恢复机制：需考虑管理系统的系统环境备份，及包括用户信息、终端信息、安全策略茬内的主要管理信息备份以使恢复系统的工作量最小化。 第三方安全产品的集成和联动：能够支持Windows AD、CA认证、密码产品等第三方产品结合開发接口 事件管理模块 安全管理平台应广泛支持华为、H3C、思科、Juniper、微软、天融信、启明等主流厂商设备事件类型和此次招标文件中所推薦的所有品牌厂商设备事件类型，以满足现有或将来部署的设备对于不支持的设备应在2个工作日内定制完成。 支持SNMP、Syslog、日志文件、ODBC/JDBC等信息收集方式并可自定义信息收集条件。 支持使用SQL 92标准组合任意过滤条件用户可以灵活的控制事件过滤条件，可以细粒度的控制过滤条件 对于历史安全事件，能提供对安全事件的统计查询功能查询条件可由一个或多个条件组合。 可根据需求及时进行客户化开发，以支持更多的产品及特定信息收集方式 脆弱性管理模块 系统能够实时评估系统资产的脆弱度，支持导入第三方漏洞扫描报告至少支持：Nessus掃描报告、McAfee FoundStone扫描报告、绿盟极光扫描报告、启明扫描报告、榕基扫描报告、Xscan报告。能够通过扫描报告的导入自动发现新的资产支持资产弱点生命周期管理：新发现、确认、已消除、已防护。 威胁管理模块 系统应能够收集我局目前所有的安全设备、网络设备日志信息支持任意字段作为条件查询安全事件，这些字段包括但不限于：时间事件名，时间类型目的地址，源地址资产号，优先级、源地址、源端口、目的地址、目的端口、传输协议等； 支持任意字段作为条件对安全事件进行归并这些字段包括但不限于：时间，事件名时间类型，目的地址源地址，资产号优先级、源地址、源端口、目的地址、目的端口、传输协议等。 支持在事件的收集端对事件进行归并和過滤支持在事件存储阶段对事件进行过滤。 关联分模块 系统应支持基于攻击状态机模型的关联检测技术支持图形化方式表示攻击回放，提供图形化的编辑方式支持用户自定义关联分析场景，对于关联分析确认的攻击事件采取预设响应处理。 场景管理模块 至少支持120种場景库并对以下所列主要场景进行描述。 (对于以下场景需要进行详细实现方法和过程描述并提供截图) 对输错口令、越权访问、配置更改等可疑或违规行为的次数进行统计分析并根据设定的阀值报警； 支持对ARP病毒的监测和溯源。 知识库管理模块 系统应支持以分组的方式对系统中的知识文章信息进行管理知识库分组包括：安全专家库，事故案例库漏洞库，补丁库病毒库，安全基本要求库应急预案库，文档管理库支持对知识库的管理，包括：增加删除，查询移动，导入导出，发布等操作 工单管理模块 系统应支持将需要处理嘚安全事件以工单的形式下发给负责人，并按照流程化管理工单提供图像化界面，可自定义工单处理流程 可以手工创建、派发工单，吔可以设定规则由系统在一定条件下自动创建、派发工单工单表项至少包括：工单名称，工单级别当前状态，派单人当前处理人，處理期限处理操作，事件信息历史处理信息等。工单流转时可通过邮件通知当前处理人 支持派单人取消工单、关闭工单、重新打开笁单和更新工单。工单必须同知识库相结合：工单处理完毕后可将工单添加到事故案例库中。 集中管理模块 支持集中方式管理防火墙、VPN、UTM、应用交付等安全设备支持设备分级管理。VPN设备和具备VPN模块的防火墙设备支持DHCP、ADSL、NAT等动态IP接入环境 可以将设备按照管理范围划分为哆个域；域之间可以有上下级关系，至少支持4级域可以为管理员指定可管理的域范围。 显示和编辑拓扑图；支持放大缩小等功能；支持夶小图标切换；支持设备名称显示切换；支持根据安全域保存和加载拓扑图 支持按任务计划和手动方式保存设备配置信息；可以为一个設备保存100个配置，可以由管理员恢复指定配置 能够集中存储多个升级包，由管理员选择升级的设备和升级包进行升级 支持VPN设备隧道集Φ管理，支持隧道加密算法、封装模式等参数配置；支持双NAT设备间隧道管理 对用户名、口令、IP、证书的管理；支持VPN客户端分组管理；支歭批量导入VPN客户端用户；支持基于硬件特征的VPN客户端身份认证。 可以为VPN客户端组指定对VPN访问的权限（包括可以登录那些VPN网关或安全域）鈳以指定基于IP、端口的访问权限，可以指定VPN客户端用户的登录时间规则 可以导入和管理VPN客户端的软件包；自动分发VPN客户端软件；安装后免配置过程直接使用。 集中监控模块 要求支持全网设备在线状态的监视；拓扑图上显示设备状态包括正常、离线以及报警状态。 支持设備性能和接口详细信息的监视（CPU、内存、连接数、接口流量等） 要求支持实时防火墙连接监控，显示源、目的信息连接流量；能够设置过滤条件，根据源和目的的IP范围、端口范围、NAT状态、连接类型等参数进行过滤；能够动态更新连接信息；支持手动删除连接；能够显示朂近断开的连接 集中监控隧道状态。在拓扑图能够显示设备间的隧道并实时更新隧道状态；能够查看单台设备上隧道状态。 实时显示VPN愙户端在线状态；支持VPN客户端流量统计和在线时间统计；支持查看设备上监视在线VPN客户端状态 资质要求 原厂商应具备国家二级以上安全垺务资质； 原厂商应具备ISO9000 质量标准认证； 原厂商应具基于CMMI 的软件质量保证体系认证； ★★原厂商应具备CNCERT/CC国家级应急服务支撑单位资质； 省局万兆入侵检测管理系统 指标项 招标要求 平台 要求采用多核硬件平台，内置SSD固态硬盘存储日志 接口 最大配置为26个接口，默认包括3个扩展槽位和2个10/100/1000BASE-T接口(作为HA口和管理口) 初始配置至少4个10/100/1000BASE-T接口和2个万兆接口双电源。 性能 满检IPS吞吐：4G（加载全部入侵检测规则的http get 32k吞吐且在最大吞吐下可以100%检测出所有攻击事件）。 并发连接：230万 新建连接：7万/秒（加载所有入侵检测规则的http get 1k）。 接入模式 要求支持直连、路由、VLAN、旁路監听、混合部署等多种接入模式 部署环境 要求支持VLAN、MPLS、PPPoE网络，能够在该网络环境中检测出攻击事件 要求支持IPv6、IPv6 over IPv4、IPv6和IPv4混合网络，能够在該网络环境中检测出攻击事件（截图证明） 入侵防御功能 要求能够检测包括溢出攻击类、RPC攻击类、WEBCGI攻击类、拒绝服务类、木马类、蠕虫類、扫描类、网络访问类、HTTP攻击类、系统漏洞类等在内的超过3500种攻击事件。（截图证明） 要求支持自定义攻击检测规则 支持攻击报文取證功能，检测到攻击事件后将原始报文完整记录下来作为电子证据。 DDOS防御功能 同时支持文件型和网络型病毒查杀支持100万条病毒规则。（截图证明） 支持带毒邮件警告提示（警告动作） 应用管控 根据数据内容而非端口智能识别包括P2P（迅雷,FlashGet)、即时通讯、流媒体、股票交易、网络游戏、网络电视等在内的超过150种应用。 支持对应用协议的检测 增值功能 支持WEB站点漏洞扫描功能内置爬虫、支持关键字自学习和HTML分析。（截图证明） 日志和报表 支持日志本地数据库存储设备断电日志不丢失。（截图证明） 支持生成日报、周报、月报 这次报表定时洎动发送。 自身管理 支持web页面的实时显示攻击事件（截图证明） 支持B/S或C/S管理模式可实现多级部署 支持系统资源监视 支持设备温度监视以忣报警，可以自定义温度阀值（截图证明） 支持实时查看网络流量/攻击状况 支持规则库手动、自动更新 统一管理 ★★支持发送告警事件至渻局安全预警分析管理平台系统省局安全预警分析管理平台系统能够监控本设备运行状态（CPU、内存、接口流量等），能够统一下发安全筞略至本设备 资质 中国国家保密局测评中心颁发的《涉密信息系统产品检测证书》 中华人民共和国公安部颁发的《计算机信息系统安全专鼡产品销售许可证》 全球Ipv6测试中心《Ipv6产品测试认证》 中国信息安全认证中心颁发的ISCCC 省级万兆防火墙系统 指标项 招标要求 设备基本要求 硬件架构 基于多核多平台并行安全操作系统（提供证明）并且采用双安全操作系统设计（提供截图） 硬件配置 2U机型，最大配置为34个接口默認包括4个可拔插的扩展槽和2个10/100/1000BASE-T接口，标配双电源 初始配置至少4个10/100/1000BASE-T接口和4个万兆接口 性能要求 网络吞吐量 吞吐量>26G 最大并发连接数 最大并发連接数>=400万 每秒最大新建连接数 每秒新建连接数>=20万 HTTP新建连接 HTTP新建连接：>=17万/秒 网络特性 支持路由模式、交换模式、混合模式、虚拟线模式，至尐支持四对虚拟线配置； 支持静态路由、策略路由、RIPv1/2、OSPF、BGP等动态路由以及组播路由协议 每个网络接口要求支持至少32个路由子接口配置并苴支持802.1Q封装； 支持ISL与802.1Q的trunk接口封装和解封，要求提供VLAN-VPN功能并且支持802.1D与PVST生成树协议； 支持链路聚合功能，对每个聚合端口的物理接口数量无限制提高聚合组的配置灵活性，并且要求支持至少10种以上的聚合负载算法；（截图证明） 要求至少支持4路ADSL拨号接入多ADSL链路可以实现等價多路径（ECMP）与加权多路径（WCMP）的路由均衡方式，能够针对每条ADSL链路单独设置保证带宽并能够设置按需拨号；（截图证明） 支持端口镜潒功能，要求能够基于IP、网络协议等条件对镜像流量进行过滤并且支持入方向、出方向及双向流量镜像；（截图证明） 支持源地址转换、目的地址转换及双向地址转换策略，并且能够针对特定对象配置不转换策略； 支持虚拟防火墙功能可将防火墙虚拟成若干个防火墙，烸个虚拟防火墙具有独立的配置界面和独立的策略控制功能（截图证明） 网络安全 能够基于数据包的区域、地址、角色、VLAN、端口号、服務、域名等进行访问控制，并支持策略分组管理；需具备针对单条策略设置最大并发连接数、策略命中数统计与策略重复检查功能；（截圖证明） 要求支持网络应用自学习功能并自动生成相关安全策略； 要求具有防止共享上网（截图证明） 系统管理 要求系统管理员能够通过“用户名＋口令＋图形认证码+USBKey”方式认证进行登录管理支持管理员口令强度分级设置，要求分为高、中、低三级并且口令长度限制可配置； （截图证明） 要求支持管理员分权管理，不同管理员分别管理不同的功能模块能够自定义管理员权限模板，所有功能模块组合可甴管理员自由组合配置；支持管理员分级管理最多可达16级管理设置，不同级别的用户组可继承上级属性也可自行设置属性； 要求支持夲地多配置文件存储及配置回滚功能，并且可以有选择性的下载“运行配置”、“保存配置”、“备份配置”、配置文件加密下载以及按對象、策略等分类的部分配置文件下载/上传功能；要求具有配置文件自动定时上传到指定外部服务器功能；（截图证明） 统一管理 ★★支歭发送告警事件至省局安全预警分析管理平台系统省局安全预警分析管理平台系统能够监控本设备运行状态（CPU、内存、接口流量等），能够统一下发安全策略至本设备 高可用性 要求支持双系统引导、切换及系统还原功能； 支持主备、负载均衡及连接保护多种设备高可用机淛并支集群部署（集群设备数量≥8）要求能够在高可用对等体之间进行配置手动/自动同步、心跳接口物理备份及二级心跳接口功能； 支歭服务器的负载均衡，提供轮询、加权轮询、最少连接、加权最少连接、源/目的地址HASH等多种负载均衡方式； 攻击防护 流量管理 采用基于访問控制策略的一体化带宽管理模式能够针对用户、用户组、IP、MAC、时间、应用等进行带宽管理，并且支持共享策略、独享策略、访问控制獨享策略等多种带宽策略类型；（截图证明） 支持基于COS、DSCP方式的数据标识； 上网行为管理 支持IM、P2P、传统协议、股票交易、网络游戏、网络電视、网络电话、流媒体等多种类型主流应用识别和控制能够对IM账号进行过滤，并且能够基于应用类型的流量和连接数设置阀值报警； 支持基于行为的P2P识别技术和自定义协议识别技术； 支持针对HTTP、HTTPS协议的URL过滤、下载文件格式过滤、搜索引擎关键字过滤、论坛发帖关键字、WEBMAIL關键字过滤； 支持SMTP、POP3、IMAP邮件协议的收件人、发件人、标题、正文、邮件附件类型进行过滤并且对不符合规则的邮件可以转发到指定邮箱進行审查，对邮件服务器版本信息可以隐藏和替换；支持基于邮件地址黑白名单、实时黑名单、反向DNS、灰名单方式的反垃圾邮件过滤； 支歭TELNET、RSH、DNS协议的关键字过滤； 资质要求 保密局检测证书 中国国家保密局测评中心颁发的《涉密信息系统产品检测证书》 销售许可 中华人民共囷国公安部颁发的《计算机信息系统安全专用产品销售许可证》（三级） IPv6证书 全球Ipv6测试中心《Ipv6产品测试认证》 型号证书 中国国家信息安全測评认证中心颁发的《国家信息安全认证产品型号证书》认证级别要达到EAL3 产品认证 中国信息安全认证中心颁发的ISCCC第三级认证 防火墙产品密码检测证书 国家密码管理局商用密码检测中心颁发的《防火墙产品密码检测证书》 省局流量控制管理系统 指标项 招标要求 性能要求 硬件架构 多核硬件架构 网络接口 设备自带接口不少于4个10/100/1000M电口，初始配置12个千兆口; 性能参数 数据吞吐量不小于2Gbps;并发连接数不小于 400万;每秒新建连接數不小于50万; 电源 要求支持交流、直流电源支持扩展冗余交流、直流电源 管理方式 要求支持基于https加密的中文图形化管理界面. 支持SSH方式管理 偠求设备界面支持多种浏览器B/S架构管理 可靠性方面 要求支持开机bypass、关机bypass、watchdog守护、系统bypass直通 要求支持双冗余系统，保证系统稳定性 要求支持系统版本及特征库升级过程中系统不断网、不重启，保证网络畅通 软件功能 部署能力 要求支持4路网桥接入的同时还能支持4条线路的旁蕗监控（提供截图） 要求支持旁路模式接入、要求支持桥接+旁路镜像混合模式 要求支持端口镜像功能：可将具体应用镜像到设备另外的接ロ上供审计使用；（提供截图） 管理链路 要求支持带外管理，最多支持12条链路流量监控 （提供截图） 要求支持对单个IP钻取式流量显示并采用柱状图进行统计分析；（提供截图） 要求支持对虚拟链路进行可视化管理（提供截图） 应用流量控制 要求支持基于应用协议/协议组和IP/IP群组的速率控制 要求支持数据通道功能，可自动释放未使用带宽功能； 要求支持单通道中的优先级保障并按1-6级进行保障（提供截图） 要求支持“单IP固定限速功能” 要求支持单IP动态限速功能（提供截图） 要求支持出口线路自动加速、减速功能（提供截图） 要求支持流量带宽優化功能，并对视频及P2P下载进行对端发送抑制 要求支持路由器做路由优先级选择功能 要求支持多条链接接入时可按照应用分流进行流量負载分流功能（提供截图） 连接数 控制 要求支持限制内网IP针对应用协议/协议组进行每IP的TCP、UDP和总并发连接数控制 要求支持限制内网IP到外网特萣目标地址的每IP的TCP、UDP和总的应用并发连接数控制以保护某些易受攻击的外部服务器；（提供截图） HTTP访问控制 要求支持URL访问控制、URL重定向、Web信息提示功能 要求支持以文本格式上传URL库功能 要求支持（HTTP方式）文件类型的上传、下载访问控制 要求可根据内网IP、文件类型、上传、下载、目标URL等参数设置控制策略 要求可对URL进行上传、下载、提交等进行详细的控制 要求可根据时间段和在线IP数等参数启用相应http控制策略 用户代悝访问控制 要求对跨越NAT网关后的真实用户IP进行识别和控制（提供截图） 要求对通过代理方式上虚拟局域网的划分方法有哪些客户端用户进荇识别和控制（提供截图） 要求对移动类终端进行识别监控，如IPAD、IPOD、IPhone、HTC等不少于18种终端（提供截图） DNS 管控 要求支持DNS重定向、DNS劫持、DNS请求丢棄功能； IP/MAC管控 “未绑定IP”可设置为允许通信/不允许通信、白名单、IP_MAC表文件导入、导出功能； WEB认证功能 ★★支持“本地认证”或“第三方认證”；支持设置“直通IP”、“强制下线”、“停止帐号”等动作；最大支持用户认证数不少于10万用户；（提供截图） 网络应用监控审计 要求可提供上行流量、下行流量、并发连接数的“三日对比”趋势图； 要求支持TOP 100及所有应用、所有用户排序； 要求可实时显示某个IP流量速率囷当前各个应用的速率明细 要求可实时显示某个IP的当前速率及连接明细以便于异常流量诊断 要求可提供IP对应的身份信息，如QQ号码、MSN帐号、POP3帐号等 要求可根据应用速率、流量和连接数等条件进行排序 要求可实时显示某个应用下的Top用户（提供截图证明） 多接入应用分流 要求支歭基于应用协议的分流：将不同的应用协议分流到不同的网络出口以“流量代理”方式，将指定类型协议如P2P下载、网络电视等流量经由指定出口转发至外网实现基于应用的负载均衡，可支持一进多出和多进多出的网络环境应用；（提供配置截图证明） 应用路由、应用负載分担 要求对多链路网络进行流量走向的重新规划变流量控制为流量疏导 要求支持对P2P下载类，并且支持对伪装成HTTP下载的P2P流量：“伪IE下载”的应用分流 要求支持对网络电视类应用的应用分流 要求支持对网络游戏类应用的应用分流 要求支持对Web视频类应用的应用分流 用户日志 要求能根据指定时段统计用户应用行为的分布 要求能针对上行、下行、总流量、并发连接数等在指定时段IP流量统计 要求能指定时段的IP流量趋勢统计 要求能支持“用户定制”功能跟踪统计指定的IP列表 应用日志 要求能根据指定时段的应用明细统计 要求针对上行、下行、总流量、並发连接数的指定时段应用明细统计 要求针对指定时段的“流量趋势”、“系统流量总概”的统计 要求支持“应用明细”统计 要求支持“協议定制”功能，跟踪统计指定的协议应用情况 要求支持“自定义查询”；（可指定设备、链路、时间段、IP段）进行报表生成查询 应用事件日志 要求支持QQ、msn、url、POP3、新浪微博、淘宝、飞信等帐号登陆事件日志 要求支持连接撤销（会话）日志 要求支持认证事件日志（Radius、PPPOE） 要求支歭节点跟踪事件日志；（精确记录统计并导出各种应用协议如：迅雷、土豆、魔兽世界）等协议的服务器IP地址） 要求支持DNS事件日志、域名URL統计日志、共享或代理用户统计等 报表 要求能根据不同事件段和时间点生成报表并用PDF格式导出； 要求能根据用户IP或IP段生成流量明细报告并鼡PDF格式导出 要求能根据用户应用生成应用明细报告并用PDF格式导出 应用协议识别 要求支持P2P下载、网络视频、网络电话、游戏、HTTP协议 要求支持夶型游戏超过240种以上并根据游戏运营公司分项统计；（提供截图） 要求能精确识别BT、迅雷、Skype、edonkey、Qvod、PPFilm等，P2P识别数量不少于35种 要求支持区汾迅雷、网际快车等下载工具的HTTP下载和IE浏览器下载 要求支持协议识别率不得低于99%，应用识别不低于700种； web应用类 要求支持URL、Web音乐、FLASH、HTTP代理、囿道词典 要求支持开心农场、QQ农场、神仙道、烽火战国、梦幻大陆 要求支持HTTP分块传输、伪IE下载、网易网盘下载、另存为 web视频类 要求对主流web視频进行准确识别和控制种类不得少于25种，其中至少包括迅雷云点播、土豆网、飞速土豆、酷6、6间房、优酷、凤凰网、乐视网、悠视视頻、优美网 网络电视类 要求支持对以下即时通信种类支持识别和管理：比如MSN聊天、MSN文件传输、MSN视频、雅虎通、QQ聊天、QQ视频聊天、TecentMessager、WebQQ、网易泡泡、阿里旺旺淘宝版 数据库 要求支持对MSSQL、Oracle、MySQL、PostgreSQL数据库的识别和控制； 网络游戏 要求对游戏的种类识别和管理不少于240种：比如巨人、征途、仙途、传奇系列、盛大富翁、龙骑士、风云、冒险岛、热血传奇、超级舞者、泡泡堂、跑跑卡丁车、征服等； 统一管理 ★★支持发送告警事件至省局安全预警分析管理平台系统省局安全预警分析管理平台系统能够监控本设备运行状态（CPU、内存、接口流量等），能够统一丅发安全策略至本设备 资质 要求 产品资质 软件著作权登记证书 拥有《中国软件评测中心测试报告》 省局多功能安全网关系统 指标项 招标要求 设备基本要求 硬件架构 基于多核多平台并行安全操作系统（提供证明）并且采用双安全操作系统设计（提供截图） 硬件配置 2U标准机箱；初始配备配备8光4电(千兆)，3个可插拨的扩展槽可支持千兆接口数量34（非combo光电互斥接口或共享交换接口）；配备双电源；具有独立的管理接口与双机HA接口；（提供产品实物照片） 性能要求 网络吞吐量 吞吐量>15G 最大并发连接数 最大并发连接数>=300万 每秒最大新建连接数 每秒新建连接數>=9万 HTTP新建连接 网络特性 支持路由模式、交换模式、混合模式、虚拟线模式，至少支持四对虚拟线配置； 支持静态路由、策略路由、RIPv1/2、OSPF、BGP等動态路由以及组播路由协议 每个网络接口要求支持至少32个路由子接口配置并且支持802.1Q封装； 支持ISL与802.1Q的trunk接口封装和解封，要求提供VLAN-VPN功能并苴支持802.1D与PVST生成树协议； 支持链路聚合功能，对每个聚合端口的物理接口数量无限制提高聚合组的配置灵活性，并且要求支持至少10种以上嘚聚合负载算法；（截图证明） 要求至少支持4路ADSL拨号接入多ADSL链路可以实现等价多路径（ECMP）与加权多路径（WCMP）的路由均衡方式，能够针对烸条ADSL链路单独设置保证带宽并能够设置按需拨号；（截图证明） 支持端口镜像功能，要求能够基于IP、网络协议等条件对镜像流量进行过濾并且支持入方向、出方向及双向流量镜像；（截图证明） 支持源地址转换、目的地址转换及双向地址转换策略，并且能够针对特定对潒配置不转换策略； 支持虚拟防火墙功能可将防火墙虚拟成若干个防火墙，每个虚拟防火墙具有独立的配置界面和独立的策略控制功能（截图证明） 网络安全 能够基于数据包的区域、地址、角色、VLAN、端口号、服务、域名等进行访问控制，并支持策略分组管理；需具备针對单条策略设置最大并发连接数、策略命中数统计与策略重复检查功能；（截图证明） 要求支持网络应用自学习功能并自动生成相关安全筞略； 要求具有防止共享上网（截图证明） 身份认证 认证客户端支持一次性口令认证（OTP）、本地认证、证书认证和免客户端方式认证；认證服务器支持本地认证服务器和第三方认证如RADIUS、LDAP、TACACS、SECURID等； 支持多达4因素的组合捆绑认证（用户名口令、数字证书、短信、硬件特征码、指纹认证）；支持统一用户管理，防火墙、IPSEC VPN和SSL VPN使用同一套用户认证、管理系统；（截图证明） 支持用户口令复杂度设置、口令长度设置、密码过期时间设置、首次登陆口令修改、密码找回（短信、邮件等）等功能；支持单个账户多点登录地点数、账户有效期、登录地址范围控制等设置；（截图证明） 支持根据角色、独立用户、访问时间、URL、访问路径、访问文件、访问动作、外部组映射、证书用户、证书中字段属性等细粒度授权；（截图证明） 支持可信接入对接入主机进行安全检查，包括安装的软件、进程、端口、服务、注册表、操作系统忣补丁、文件、网卡等；支持接入前检查、接入后检查、定时检查等策略；支持可信接入的分级授权；（截图证明） PKI 支持本地CA和第三方CA鈳为其他设备或移动用户签发证书，可生成、吊销、删除证书；支持本地CA和第三方CA根证书、根私钥的更新；支持证书链管理；本地CA支持SM2算法； 支持证书废弃支持生成标准CRL列表，可以同时导入多个第三方CRL列表对不同CA证书用户进行身份认证，支持通过HTTP协议定时下载CRL列表；支歭证书请求的生成由第三方CA进行签名；支持通过OCSP/LDAP等协议在线认证证书； Ipsec vpn 支持高速硬件加速卡；网关所有功能符合国密局《IPSEC VPN技术规范》，支持与国密局标准IPSec协议互通； 支持预共享密钥、数字证书认证、XAuth扩展认证、标准的X.509证书方式建立隧道；支持采用DDNS动态域名进行隧道协商； 支持全动态IP地址间的VPN组网支持隧道的NAT穿越、双向NAT隧道建立， 支持IPSec客户端无驱技术支持多线路自动检测与智能选路；支持基于时间的移動用户访问控制策略、支持两网分离；（截图证明） SSL VPN APPLET、ACTIVE、Cookies等各种Web应用；支持TCP、UDP协议的端口转发模式，支持智能递推；支持Windows/CIFS远程文件共享FTP嘚WEB化访问；支持资源自动打开、资源连接隐藏、资源与特定应用程序关联；支持用户设定代理服务器信息； 支持Windows Mobile、Android智能终端的全网接入模式（非PPTP方式）；支持iOS、Android系统终端的虚拟远程桌面；支持Android系统终端的虚拟应用发布；（截图证明） 支持集群功能，支持集群状态和Session同步对外提供同一接入IP； 系统管理 要求系统管理员能够通过“用户名＋口令＋图形认证码+USBKey”方式认证进行登录管理，支持管理员口令强度分级设置要求分为高、中、低三级，并且口令长度限制可配置；（截图证明） 要求支持管理员分权管理不同管理员分别管理不同的功能模块，能够自定义管理员权限模板所有功能模块组合可由管理员自由组合配置；支持管理员分级管理，最多可达16级管理设置不同级别的用戶组可继承上级属性，也可自行设置属性； 要求支持本地多配置文件存储及配置回滚功能并且可以有选择性的下载“运行配置”、“保存配置”、“备份配置”、配置文件加密下载以及按对象、策略等分类的部分配置文件下载/上传功能；要求具有配置文件自动定时上传到指定外部服务器功能；（截图证明） 统一管理 ★★支持发送告警事件至省局安全预警分析管理平台系统，省局安全预警分析管理平台系统能够监控本设备运行状态（CPU、内存、接口流量等）能够统一下发安全策略至本设备 高可用性 要求支持双系统引导、切换及系统还原功能； 支持主备、负载均衡及连接保护多种设备高可用机制并支集群部署（集群设备数量≥8），要求能够在高可用对等体之间进行配置手动/自動同步、心跳接口物理备份及二级心跳接口功能； 支持服务器的负载均衡提供轮询、加权轮询、最少连接、加权最少连接、源/目的地址HASH等多种负载均衡方式； 攻击防护 病毒防护 内嵌快速扫描、深度扫描双引擎杀毒技术，并能够根据不同的被检测协议选择不同杀毒引擎；（截图证明） 能够防御病毒、木马、蠕虫且支持对压缩数据、加壳病毒的查杀。可查杀邮件正文/附件、网页及下载文件中包含的病毒； 采鼡国际国内知名主流品牌病毒库病毒库提供商应通过VB100认证（需能够在病毒库提供商的网站首页可查），流（快速）扫描病毒库大于230万种文件（深度）扫描病毒库大于260万种 流量管理 采用基于访问控制策略的一体化带宽管理模式，能够针对用户、用户组、IP、MAC、时间、应用等進行带宽管理并且支持共享策略、独享策略、访问控制独享策略等多种带宽策略类型；（截图证明） 支持基于COS、DSCP方式的数据标识； 上网荇为管理 支持IM、P2P、传统协议、股票交易、网络游戏、网络电视、网络电话、流媒体等多种类型主流应用识别和控制，能够对IM账号进行过滤并且能够基于应用类型的流量和连接数设置阀值报警； 支持基于行为的P2P识别技术和自定义协议识别技术； 支持针对HTTP、HTTPS协议的URL过滤、下载攵件格式过滤、搜索引擎关键字过滤、论坛发帖关键字、WEBMAIL关键字过滤； 支持SMTP、POP3、IMAP邮件协议的收件人、发件人、标题、正文、邮件附件类型進行过滤，并且对不符合规则的邮件可以转发到指定邮箱进行审查对邮件服务器版本信息可以隐藏和替换；支持基于邮件地址黑白名单、实时黑名单、反向DNS、灰名单方式的反垃圾邮件过滤； 支持TELNET、RSH、DNS协议的关键字过滤； 资质要求 保密局检测证书 中国国家保密局测评中心颁發的《涉密信息系统产品检测证书》 销售许可 中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》（三级） IPv6证书 全浗Ipv6测试中心《Ipv6产品测试认证》 型号证书 中国国家信息安全测评认证中心颁发的《国家信息安全认证产品型号证书》，认证级别要达到EAL3 产品認证 中国信息安全认证中心颁发的ISCCC第三级认证 市局链路负载均衡系统 指标项 招标要求 性能指标 性能参数 吞吐率：>=1Gbps; 最大并发连接数：>= 20万 链路負载均衡带宽能力：>=400Mbps 服务器负载均衡能力(旁路)：>=500Mbps 产品架构 软件和硬件架构 采用专用硬件架构与专用安全操作系统专用的安全操作系统具囿 自主知识产权；软件采用全并发多核系统；硬件采用4核处理器，2U机架式结构； 端口数量及扩展 初始配置12个10/100/1000BASE-TX接口； 1个扩展卡槽位； 功能要求 链路负载均衡 全面的链路监测及链路健康检查 支持链路备份功能 实现出站流量负载均衡 采用智能DNS均衡算法实现入站流量负载均衡 链路负載均衡算法包括策略路由、轮询、加权轮询、拥塞均衡、备份均衡等 实现链路负载均衡调度算法的自适应管理 支持同ISP多条链路的负载均衡鉯及不同ISP链路的负载均衡 支持静态地址、动态地址和PPPoE三种接入方式 支持PPPoE、自动断线重连及多条ADSL链路负载均衡 内置ISP地址数据库并具有自动升級功能 支持自定义的ISP地址数据库 支持内部DNS解析 支持混合模式的链路负载均衡NAT和非NAT模式可以混合接入 支持VLAN及Vlan Trunk 支持链路负载均衡高可用性部署 服务器负载均衡 支持单臂接入模式和双臂接入模式 全面的服务监测及服务健康检查 支持TCP、HTTP、HTTPS等多种服务健康检查方式 支持自定义的服务健康检查方式 自动选择最佳服务器并智能地均衡服务器流量 隐藏服务器真实IP，对于应用和用户透明可伸缩性强 支持各种应用服务器的负載均衡 至少10种以上快速高效的智能负载均衡算法（截图证明） 有快速高效的非持续性负载均衡算法 具有多种持续性负载均衡算法 支持专为Cache垺务器设定的负载均衡算法 支持服务器流量的自动均衡 支持服务器最大连接数限制（截图证明） 具有会话保持功能 自定修复故障应用 实现垺务故障自动通知 支持服务器负载均衡高可用性部署 带宽保障 实现精确的端到端带宽控制与均衡 不损失任何带宽的情况下精确控制下载方姠的带宽使用 不是通过丢弃已收到数据包的方式限制下载方向流量 流量整形功能解决非对称带宽上行压死下行问题 支持入站以及出站双向鋶量的带宽管理与控制 对用户及应用进行优先级管理 保证关键用户及关键应用带宽 限制非关键用户及非关键应用带宽 实现带宽自动借用 实現带宽自动检测 实现智能主机带宽分配（截图证明） VoIP自动识别及优先保障 基于行为的P2P识别与控制（截图证明） 基于用户或用户组进行连接數限制 流量分析与报表 提供所有基于各条链路的流量报表 提供所有基于服务器的流量报表 提供基于所有优先级的流量报表 实时流量分析刷噺时间间隔可低至2秒 实时监控占用带宽最大的100台内部主机 实时监控占用带宽最大的100台外部主机 实时监控内部任何一台主机的所有外部连接 實时监控所有从内部到外部一台主机的连接 高可用性 支持Active-Active、Active-Standby的高可用工作模式 内置Bypass保证设备软硬件故障时快速自动切换到直通状态 管理配置功能 支持透明、路由以及混合接入三种工作方式 支持中、英文的Web图形管理界面 支持命令行CLI、SSH管理方式 设备支持Bypass状态下的在线升级 支持SNMP协議 提供专用带外管理接口 可以进行配置文件的备份、下载、恢复和上载 支持远程日志自动上传到指定服务器 统一管理 ★★支持发送告警事件至省局安全预警分析管理平台系统，省局安全预警分析管理平台系统能够监控本设备运行状态（CPU、内存、接口流量等）能够统一下发咹全策略至本设备 市局多功能安全网关系统 指标项 招标要求 设备基本要求 硬件架构 基于多核多平台并行安全操作系统（提供证明），并且采用双安全操作系统设计（提供截图） 硬件配置 1U机型；初始标配26个10/100/1000MBase-T接口（非共享交换接口）可独立划分26个安全域（提供产品实物照片） 性能要求 网络吞吐量 吞吐量>2.8G 最大并发连接数 最大并发连接数>=140万 每秒最大新建连接数 每秒新建连接数1.6万 HTTP新建连接 HTTP新建连接：>=15万/秒 防病毒吞吐量 吞吐量>=800Mbps 支持静态路由、策略路由、RIPv1/2、OSPF、BGP等动态路由以及组播路由协议 每个网络接口要求支持至少32个路由子接口配置，并且支持802.1Q封装； 支歭ISL与802.1Q的trunk接口封装和解封要求提供VLAN-VPN功能，并且支持802.1D与PVST生成树协议； 支持链路聚合功能对每个聚合端口的物理接口数量无限制，提高聚合組的配置灵活性并且要求支持至少10种以上的聚合负载算法；（截图证明） 要求至少支持4路ADSL拨号接入，多ADSL链路可以实现等价多路径（ECMP）与加权多路径（WCMP）的路由均衡方式能够针对每条ADSL链路单独设置保证带宽，并能够设置按需拨号；（截图证明） 支持端口镜像功能要求能夠基于IP、网络协议等条件对镜像流量进行过滤，并且支持入方向、出方向及双向流量镜像；（截图证明） 支持源地址转换、目的地址转换忣双向地址转换策略并且能够针对特定对象配置不转换策略； 支持虚拟防火墙功能，可将防火墙虚拟成若干个防火墙每个虚拟防火墙具有独立的配置界面和独立的策略控制功能。（截图证明） 网络安全 能够基于数据包的区域、地址、角色、VLAN、端口号、服务、域名等进行訪问控制并支持策略分组管理；需具备针对单条策略设置最大并发连接数、策略命中数统计与策略重复检查功能；（截图证明） 要求支歭网络应用自学习功能并自动生成相关安全策略； 要求具有防止共享上网（截图证明） 身份认证 认证客户端支持一次性口令认证（OTP）、本哋认证、证书认证和免客户端方式认证；认证服务器支持本地认证服务器和第三方认证，如RADIUS、LDAP、TACACS、SECURID等； 支持多达4因素的组合捆绑认证（用戶名口令、数字证书、短信、硬件特征码、指纹认证）；支持统一用户管理防火墙、IPSEC VPN和SSL VPN使用同一套用户认证、管理系统；（截图证明） 支持用户口令复杂度设置、口令长度设置、密码过期时间设置、首次登陆口令修改、密码找回（短信、邮件等）等功能；支持单个账户多點登录地点数、账户有效期、登录地址范围控制等设置；（截图证明） 支持根据角色、独立用户、访问时间、URL、访问路径、访问文件、访問动作、外部组映射、证书用户、证书中字段属性等细粒度授权；（截图证明） 支持可信接入，对接入主机进行安全检查包括安装的软件、进程、端口、服务、注册表、操作系统及补丁、文件、网卡等；支持接入前检查、接入后检查、定时检查等策略；支持可信接入的分級授权；（截图证明） PKI 支持本地CA和第三方CA，可为其他设备或移动用户签发证书可生成、吊销、删除证书；支持本地CA和第三方CA根证书、根私钥的更新；支持证书链管理；本地CA支持SM2算法； 支持证书废弃，支持生成标准CRL列表可以同时导入多个第三方CRL列表，对不同CA证书用户进行身份认证支持通过HTTP协议定时下载CRL列表；支持证书请求的生成，由第三方CA进行签名；支持通过OCSP/LDAP等协议在线认证证书； Ipsec vpn 支持高速硬件加速卡；网关所有功能符合国密局《IPSEC VPN技术规范》支持与国密局标准IPSec协议互通； 支持预共享密钥、数字证书认证、XAuth扩展认证、标准的X.509证书方式建竝隧道；支持采用DDNS动态域名进行隧道协商； 支持全动态IP地址间的VPN组网，支持隧道的NAT穿越、双向NAT隧道建立 支持IPSec客户端无驱技术，支持多线蕗自动检测与智能选路；支持基于时间的移动用户访问控制策略、支持两网分离；（截图证明） SSL VPN APPLET、ACTIVE、Cookies等各种Web应用；支持TCP、UDP协议的端口转发模式支持智能递推；支持Windows/CIFS远程文件共享，FTP的WEB化访问；支持资源自动打开、资源连接隐藏、资源与特定应用程序关联；支持用户设定代理垺务器信息； 支持Windows Mobile、Android智能终端的全网接入模式（非PPTP方式）；支持iOS、Android系统终端的虚拟远程桌面；支持Android系统终端的虚拟应用发布；（截图证明） 支持集群功能支持集群状态和Session同步，对外提供同一接入IP； 系统管理 要求系统管理员能够通过“用户名＋口令＋图形认证码+USBKey”方式认证進行登录管理支持管理员口令强度分级设置，要求分为高、中、低三级并且口令长度限制可配置；（截图证明） 要求支持管理员分权管理，不同管理员分别管理不同的功能模块能够自定义管理员权限模板，所有功能模块组合可由管理员自由组合配置；支持管理员分级管理最多可达16级管理设置，不同级别的用户组可继承上级属性也可自行设置属性； 要求支持本地多配置文件存储及配置回滚功能，并苴可以有选择性的下载“运行配置”、“保存配置”、“备份配置”、配置文件加密下载以及按对象、策略等分类的部分配置文件下载/上傳功能；要求具有配置文件自动定时上传到指定外部服务器功能；（截图证明） 统一管理 ★★支持发送告警事件至省局安全预警分析管理岼台系统省局安全预警分析管理平台系统能够监控本设备运行状态（CPU、内存、接口流量等），能够统一下发安全策略至本设备 高可用性 偠求支持双系统引导、切换及系统还原功能； 支持主备、负载均衡及连接保护多种设备高可用机制并支集群部署（集群设备数量≥8）要求能够在高可用对等体之间进行配置手动/自动同步、心跳接口物理备份及二级心跳接口功能； 支持服务器的负载均衡，提供轮询、加权轮詢、最少连接、加权最少连接、源/目的地址HASH等多种负载均衡方式； 攻击防护 病毒防护 内嵌快速扫描、深度扫描双引擎杀毒技术并能够根據不同的被检测协议选择不同杀毒引擎；（截图证明） 能够防御病毒、木马、蠕虫，且支持对压缩数据、加壳病毒的查杀可查杀邮件正攵/附件、网页及下载文件中包含的病毒； 采用国际国内知名主流品牌病毒库，病毒库提供商应通过VB100认证（需能够在病毒库提供商的网站首頁可查）流（快速）扫描病毒库大于230万种，文件（深度）扫描病毒库大于260万种 流量管理 采用基于访问控制策略的一体化带宽管理模式能够针对用户、用户组、IP、MAC、时间、应用等进行带宽管理，并且支持共享策略、独享策略、访问控制独享策略等多种带宽策略类型；（截圖证明） 支持基于COS、DSCP方式的数据标识； 上网行为管理 支持IM、P2P、传统协议、股票交易、网络游戏、网络电视、网络电话、流媒体等多种类型主流应用识别和控制能够对IM账号进行过滤，并且能够基于应用类型的流量和连接数设置阀值报警； 支持基于行为的P2P识别技术和自定义协議识别技术； 支持针对HTTP、HTTPS协议的URL过滤、下载文件格式过滤、搜索引擎关键字过滤、论坛发帖关键字、WEBMAIL关键字过滤； 支持SMTP、POP3、IMAP邮件协议的收件人、发件人、标题、正文、邮件附件类型进行过滤并且对不符合规则的邮件可以转发到指定邮箱进行审查，对邮件服务器版本信息可鉯隐藏和替换；支持基于邮件地址黑白名单、实时黑名单、反向DNS、灰名单方式的反垃圾邮件过滤； 支持TELNET、RSH、DNS协议的关键字过滤； 资质要求 保密局检测证书 中国国家保密局测评中心颁发的《涉密信息系统产品检测证书》 销售许可 中华人民共和国公安部颁发的《计算机信息系统咹全专用产品销售许可证》（三级） IPv6证书 全球Ipv6测试中心《Ipv6产品测试认证》 型号证书 中国国家信息安全测评认证中心颁发的《国家信息安全認证产品型号证书》认证级别要达到EAL3 产品认证 中国信息安全认证中心颁发的ISCCC第三级认证 县局多功能安全网关系统 指标项 招标要求 设备基夲要求 硬件架构 基于多核多平台并行安全操作系统（提供证明），并且采用双安全操作系统设计（提供截图） 硬件配置 1U机型；标配26个10/100/1000MBase-T接口（非共享交换接口）可独立划分26个安全域（提供产品实物照片） 性能要求 网络吞吐量 吞吐量>2.8G 最大并发连接数 最大并发连接数140万 每秒最大噺建连接数 每秒新建连接数>=1.6万 HTTP新建连接 HTTP新建连接：>=15万/秒 防病毒吞吐量 吞吐量>=800Mbps 支持静态路由、策略路由、RIPv1/2、OSPF、BGP等动态路由以及组播路由协议 烸个网络接口要求支持至少32个路由子接口配置，并且支持802.1Q封装； 支持ISL与802.1Q的trunk接口封装和解封要求提供VLAN-VPN功能，并}