项目名称：郑州市教育局机房网络设备升级改造

项目名称：郑州市教育局机房网络设备升级改造内容摘要：

应支持可以对网络进行 SNAT、 DNAT 进行访问过滤限制； 根据自动学习流量特征库，智能化进行流量拦截； 自动设置智能拦截评估时间，并自定义智能拦截规则； 根据流量拦截，自动生成防御列表，并智能化保护网站服务器，隐藏网站服务器； 应支持支持虚拟化网站环境并进行防护，对虚拟化网站群进行防护； 应支持中间件、负载均衡服务器网站环境，对网站群访问负载均摊进行防护； 应支持多域名网站整体防护，对范围域名网站进行网站防护； 应支持对云计算下网站进行网站防护； 清洗 可以与抗 DDOS 设备进行联动，支持 TCP Flood 防护；支持 HTTP Flood指标项 参数要求 防护； 应支持应用层 CC 攻击流量清洗； 应支持 synProxy、 synflood、 udpflood、 icmpflood 攻击流量清洗； 支持对 TCP、 UDP、 ICMP 流量限制； 支持对服务器在线连接数流量限制； 支持对服务器新建连接数流量限制； 二、产品管理与系统安全性 （ 1）统一监管 能够通过统一可视化管理设备进行日志收集、策略下发、综合分析、树形管理结构； 能够实时与可视化管理设备进行运行状态汇报工作； 可以与云安全中心联动，可通过移动终端 APP（支持 android和 iPhone客户端）管理设备，实时监测设备的工作状态，查看日志，备份配置； （ 2）账户管理与认证 支持三权分立管理，必须有管理员账户、审计管理员、配置管理员； 支持虚拟化管理划分，虚拟多个 系统进行设备划分管理； 支持超时重新认证机制并能够定义用户认证尝试的最大允许失败次数； （ 3）管理界面 支持 SSL 的 Web 页面、 SSL、 Console、 Webshell 多种方式，并进行相应管理限制； 支持中、英文管理界面； （ 4）系统诊断 支持 ping、 tcpdump、 ifconfig、 url 测试等网络工具； 支持远程技术支持信息提取； 支持 SSH 远程连接设置，无需登录第三方设备即可实现设置 SSH 远程自动连接支持服务； （ 1）冗余功能 应支持双机热备，主 /主模式、主 /备模式； 支持多种双机备份机 制，需支持 VRRP 协议、 VRRP 组管理，并且支持心跳线模式，使用专用 HA 口； 支持冗余双系统技术，保证软件不停机； （ 2） Bypass 方案 网络接口内置 failopen 特性，产品出现故障时，能自动转变成通路，不影响流量正常传输； 支持软件 BYPASS 功能，系统软件故障时，系统自动实现旁路保护，避免网络中断等事故的发生 △售后 原厂安装实施服务：产品安装、调试和使用服务，含 3 小时内的现场产品使用培训。 售后维保：提供原厂商针对本项目的三年质保服务承诺函 ,包含软件更新服务、产品保修服务、远程支持服 务。 应急服务：出现故障 1 小时内远程应急响应解决，如不能及时远程指标项 参数要求 解决， 4 小时内安排技术人员到现场应急。 备机服务：设备如需返厂维修设备， 24 小时内提供备机。 网站监测服务：对郑州市现代教育信息技术中心所有对外访问网站、应用进行 7*24 小时安全检测； 安全云监护服务：远程监控用户环境中的 WAF 及其防护对象，提供WAF 设备的故障监测与排查服务。 1流量清洗系统扩容 项目 指标项 参数要求 系统要求 系统结构 整个系统由两个部分组成：数据采集探针、监控分析服务。 部署要求 为方便灵活部署，系统必须支持探针和监控分析端集成一体化以及分布式采集两种部署模式； 网络数据采集必须采取旁路部署的方式以避免影响网络拓扑结构及稳定性。 硬件要求 接口规格 系统整机最大可支持千兆数据采集接口数量不少于 16 个； 系统整机最大可支持 万兆数据采集 SFP+接口数量不少于 8个。 冗余电源 支持冗余电源。 功能要求 *总体要求 实现与华为 AntiDDoS8080 设备无缝对接 （提供对接测试截图） 要求根据实际需要定制开发。 智能数据采集 支持通过旁路方式 7*24 小时持续采集分 析监控网络关注位置的原始数据包； 支持将对原始数据包的实时分析的流量与安全分析元数据发送给监控分析服务器进一步处理； 支持同时采集、保存、分析原始数据包、网络设备的流信息、网元设备的 snmp 信息等网络数据源； 报文采集，支持 10Gbps 网络流量线速采集与处理。 网络可视化 支持实时发现与监控网络中的主机、协议、业务、流量； 展示任意网络节点间的互联关系、数据类型、流量总量、流量方向、告警、网络异常等信息 ； 提供 TOP 告警、 TOP 地址、应用协议分布、流量趋势等报表。 性能 分析 提供最差性能分析，包括：应用性能、服务器性能、客户端性能、流动性能、应用服务器性能等 ； 提供访问量最大服务器、响应量最大服务器的分析 ； 提供所有应用分析、所有服务器分析、所有客户端分析、所有流动分析、所有应用服务器分析，参数包括：应用、响应时间 毫秒、峰值响应时间 毫秒、响应、响应成功、响应失败、超时、重传数据包丢失、请求数总量、新建会话数。 △ DDOS 攻击检测 提供攻击和异常的详细分析，包括： DDOS 攻击、协议比例、流量分布、流量超常、蠕虫、网络误用等。 提供对指定时间的网络回溯分析， 输出：行为趋势、 TCP IP 分析以及详细项目 指标项 参数要求 信息 ； 支持与第三方设备尤其是华为 DDOS 清洗设备联动清洗攻击流量。 △ 调查回溯 基于时间段、 IP 地址、端口、协议、网络范围查看流量情况； 基于时间段、 IP 地址、端口、协议、网络范围查看服务性能情况。 △ 安全告警 提供全部告警总览，输出： 24 小时告警等级分布、类型分布、告警趋势 ；支持通过图形界面、邮件告警；通过 Syslog向第三方网管或 SEIM 平台告警。 智能报表 应支持针对告警趋势、异常趋势、流量趋势、告警详情等不 同视角提供月、周、日级的智能 报表以便总结改进。 1反黄过滤设备 项目 指标项 参数要求 物理性能 *接口要求 不少于 8 个千兆电口， 8 个千兆光口， 4 个万兆光口（含 4个万兆多模模块）， 1 个 RJ45 串口， 2 个 USB 接口；配置不少于两路 bypass 模块； *性能要求 七层吞吐量≥ 10Gbps；并发会话≥ 2,560,000；用户规模≥50000 人； 部署方式 部署模式 支持网关、网桥、旁路模式；支持网关网桥混杂部署，修改 工作模式不需重启设备； 高可用性 必须支持一台设备为主机另一台设备为备机的热备方式部署； 网关管理 管 理界面 支持 SSL 加密 WEB 方式、 SSH 命令行方式管理设备； 必须支持简体中文、英文操作界面切换。 分级管理 不同用户组的管理权限支持分配给不同管理员； 中心管理 支持加入公安部网监部门指定厂商的集中管理平台集中管控；支持多台设备通过统一平台集中管理、集中配置等。 网络功能 DNS 配置 具有 DNS 透明代理功能，并且缓存 DNS 记录，加速用户 DNS解析； 智能 DNS 支持智能 DNS（均衡算法支持按照权重、上行流量、下行流量、总流量）； △负载均衡 支持多链路之间的负载均衡功能（支持固定指派、 源目 IP轮询、上行流量、下行流量、总流量负载以及最佳路径等多种算法）； 支持多 PPPoE 出口的链路负载均衡； 系统内置电信、移动、网通、铁通四大 ISP 地址表，可根据链路类型配置路由； 持续路由 支持数据报文的持续路由配置； IPv6 支持 IPV6 地址、静态路由以及防火墙功能。 安全防护 防范 DOS 攻击 必须能识别并封堵来自于内网或外网的 DOS 攻击； 项目 指标项 参数要求 防 ARP 欺骗 必须能防范三层网络环境中的 ARP 欺骗问题； 病毒查杀 必须支持 HTTP 下载、 FTP 下载、 POP SMTP 杀毒； 支持对 HTTP、 FTP 等下载中启用文件类型杀毒； 病毒库支持通过服务器或本地加载病毒库方式定期升级； 实时监控 设备资源信息 提供丰富的在线监控信息：如 CPU 使用率、内存使用率、活跃会话信息、在线用户信息、在线认证用户信息、磁盘信息，物理接口流量走势、应用排名、应用分组排名、用户排名、网站访问排名、应用协议流水信息、网站访问流水信息、流量监控、活跃用户等，全面显示当前网络状态和用户活动状况。 服务的实时监控 实时所有服务、活跃服务、服务趋势图、服务组趋势图等实时监控信息； 用户的实时监控 提供单独的页面显示当 前网络活动频繁的用户信息和具体流量信息、新建会话信息、活跃会话信息；可深入查询用户使用的服务信息，并可将异常用户直接进入黑名单或者强制下线； 上网行为监控 实时显示设置过滤条件的用户上网行为监控，支持手动设置 刷新时间； 递进式查询 能够进行层层深入的递进式查询，获取某应用对应的用户，或某用户使用网络应用的情况，便于对网络使用现状进行深入分析。 用户管理 本地认证 支持触发式 WEB 认证，静态用户名密码认证等； 支持绑定 IP 认证、绑定 MAC 认证， IP/MAC 绑定认证、及绑定 VLAN 认证等； 支持通过 SNMP 服务器跨三层获取 MAC 地址； 支持手机短信认证、二维码认证、微信认证； 新用户认证 新用户可以 IP 地址作为用户名、 MAC 地址、 VLAN ID、主机名作为用户名； 支持 AD、 PPPOE、 WEB、 HTTP Portal、 H3C IMC/CAMS、城市热点等系统进行认证单点登录，简化用户操作； 可强制指定用户、指定 IP 段的用户必须使用单点登录； 临时用户认证 支持临时用户自动创建、审批； 支持临时用户自动申请，帐户有效期过后自动失效强制用户下线； 支持临时用户页面显密、短信通知、二维码扫描、邮件推 送密码等方式认证索密 认证失败 支持为认证失败用户提供基本网络访问权限机制； 支持为认证失败用户提供自定义网络访问权限机制； 认证后页面跳转 认证成功的用户支持页面跳转：跳转到用户原本输入的 URL地址；跳转到管理员指定的 URL 地址；跳转到该用户上网信息以及注销页面。 终端管理 系统识别 支持识别终端操作系统版本识别以及准入控制； 支持 Windows Windows2020 操作系统识别、控制 项目 指标项 参数要求 文件识别 支持识别终端硬盘指定目录下的文件情况，并制定违规操作 （删除该文件或禁止用户上网）； 进程 识别 支持识别终端系统后台运行的进程信息，并制定违规操作（终止该进程或禁止用户上网）； 注册表识别 支持识别终端系统注册表中指定的表项和键值，并制定违规 操作（删除表项或禁止用户上网）； 终端提醒 支持定期把 HTTP 流量重定向到指定公告页面提醒终端用户；支持定制公告推送页面的时间间隔；支持定制公告推送页面的频率；支持定制公告推送页面的内容。 终端准入 支持 win 8 64 位操作系统， 支持禁止不满足终端检查要求的用户访问互联网； 应用控制 应用控制 设备内置应用识别规则库，支持超过 500 种以上 的应用，并保持每个星期更新一次，保证应用识别的准确率； 支持根据 IP、端口、协议等自定义应用规则； 支持根据不同的应用类型或具体的某种应用设置允许或拒绝； 即时通讯 支持 MSN、 、飞信、 Yahoo、 WangWang、 ICQ 等国内外主流的聊天软件，可以分别控制其登陆与聊天行为； 其他类别 支持 P2P、流媒体、炒股软件、网上银行、网络游戏、网络电话、远程控制等应用识别； ISA 代理识别 针对 ISA 代理服务器在代理部署模式下，数据被重新封装进行专门的配置部署，可以识别被 ISA 重新封装的数据 代 理控制 不允许使用外部 HTTP 代理；不允许使用外部 Sock4/5 代理； 不允许在 HTTP,SSL 一些的标准端口上使用其他协议； （比如在 80 端口上传输非 HTTP 协议数据，在 443 端口上传输非 HTTPS 协议数据等） 防共享控制 具有防共享上网功能，可检测内网私设路由器、无线路由等物理共享行为，并惩罚该用户； 惩罚机制跟黑名单加倍惩罚机制联动； 上网行为管理 静态 URL 库 设备内置海量预分类的 URL 地址库，支持根据 URL 类别实现URL 过滤； SSL 加密识别 可以对加密网页、加密网页邮件内容、加密的 SSL 邮件客户端内容做识别审计； 自定义 URL 设备支持管理者自定义新的 URL 地址和 URL 分类； 关键字过滤 支持 HTTP 搜索引擎、网页上传、网页内容的关键字过滤； 网页过滤 全面记录内网用户向公网 BBS、论坛、博客等发表的帖子内容及附件，还提供对帖子的。