《网络安全设备一批技术规格书.docx》由会员分享,可在线阅读,更多相关《网络安全设备一批技术规格书.docx(6页珍藏版)》请在三一办公上搜索。
1、网络安全设备一批技术规格书一、设备使用条件户内式布置安装,工作环境温度:-10C+55C;相对湿度:最湿月的月平均最大相对湿度为90%(25oC),产品内部无凝结;海拔:2000米;无爆炸危险,无腐蚀性气体,无导电尘埃,无剧烈振动冲击源。二、名称数量:项目名称:网络安全设备数量:1批三、技术要求为进一步加强中煤新集公司网络安全工作,提升网络安全防御能力和技术对抗能力,现需单独部署公司服务器隔离区,并增加独立的安全设备。3.1隔离区服务器技术要求3.1.1.硬件配置2U,CPU:2颗GoId6226R2.9GHz(16C),内存:512GBDDR42933,系统盘:2*24OGBSATASSD,
2、缓存盘:2*固态硬盘-1.92T-SSD,数据盘:6*机械硬盘8T,标配盘位数:12,T4显卡1块(含显卡授权软件),电源:白金,冗余电源,接口:6千兆电口+4万兆光口(含光模块)。3.1.2服务器虚拟化模块:(每台开启2C授权)1)虚拟化软件非OEM或贴牌产品,禁止借用第三方软件的整合,以保证功能的可靠性和安全性。2)支持对平台虚拟机的精细化权限管理,可根据单个虚拟机开关机、打开控制台、删除等操作设定不同的权限,管理员也可以根据用户需求合理分配权限。3)每个虚拟机都可以安装独立的操作系统,操作系统支持需要包括WindOWs、1.inux,并且支持国产操作系统包括:红旗IinUX、中标麒麟、中
3、标普华等,便于方便部署减少运维工作量。4)为避免主机假死导致系列问题发生,支持识别假死主机并标签化为亚健康主机,通过邮件或短信告警提醒用户进行处理,并限制重要业务在亚健康主机上运行,规避风险。5)在超融合管理平台管理界面上提供虚拟机启动、挂起与恢复、重启、关闭、关闭电源、克隆、迁移、备份、模板导出、快照等功能。6)提供虚拟机回收站功能,防止因虚拟机误删除导致数据丢失,超期的文件将被自动删除。7)支持无代理跨物理主机的虚拟机USB映射,需要使用USBKEY时,无需再虚拟机上安装客户端插件,且虚拟机迁移到其它物理主机后,仍能正常使用迁移前所在物理主机上的USB资源,对于业务的自适应能力、使用便捷性
4、更佳。8)支持平台中的集群资源环境一键检测,对硬件健康、平台底层的虚拟化的运行状态和配置,进行多个维度进行检查,提供快速定位问题功能,确保系统最佳状态。3.1.3存储虚拟化模块:(每台开启2C授权)1)支持存储虚拟化功能,无需安装额外的软件,在一个统一的管理平台上使用1.icense激活的方式即可开通使用,存储虚拟化与计算虚拟化为紧耦合架构,减少底层开销,提升性能。2)支持多种硬盘状态检测监控及告警,包括“健康”状态、“亚健康”状态、“故障”状态,不同状态的硬盘在U1.上呈现不同的特征或告警,让用户能够区分处理。3)支持数据重建优先级调整,在故障数据重新恢复时,可由用户指定优先重建的虚拟机,保
5、证重要的业务优先恢复数据的安全性支持数据重建智能保护业务性能,可以对数据重建速度进行智能限速,避免数据重建过程中IO性能占用导致对业务的性能造成影响。4)支持针对亚健康盘卡慢状态自动处理,能够隔离卡慢盘实现读写切源,避免卡慢盘影响集群的性能。5)支持条带化功能,实现分布式raid。的性能提升效果,并且支持以虚拟磁盘为单位设置不同的条带数。6)为了便于部署关键业务系统,虚拟存储可支持OraCIeRAC,支持共享盘,支持向导式安装,降低部署复杂度。7)支持坏道扫描功能,由用户设置扫描的时间段定期对集群的硬盘进行扫描,及时发现潜藏的坏道。8)为保障后续硬盘可扩展性,本次要求存储虚拟化授权不受硬盘容量
6、限制,可无限支持。9)支持智能预测硬盘寿命,并预估硬盘剩余可使用时间,进行实时预警,提醒用户在寿命到期之前可实现在对业务无影响的情况下安全更换硬盘3.1.4网络虚拟化模块:(每台开启2C授权)1)虚拟路由器支持HA功能,当虚拟路由器运行的主机出现故障时,可以实现故障自动恢复,保障业务的高可靠性。2)支持对OraeIe、SqISerVer、Web1.ogiC数据库及中间件监控,实现对数据库的语句的故障定位排错,执行时延分析。3)在管理平台上可以通过拖拽虚拟设备图标和连线就能完成网络拓扑的构建,快速的实现整个业务逻辑,并且可以连接、开启、关闭虚拟网络设备,支持对整个平台虚拟设备实现统一的管理,提升
7、运维管理的工作效率。4)支持创建分布式虚拟防火墙,基于虚拟机构建安全防火墙,当虚拟机在不同的物理节点之间迁移时,安全策略随之移动。5)分布式防火墙基于监测虚机IP地址和端口进行东西向流量隔离控制,并提供实时拦截日志,以及支持“数据直通ByPaSS”功能,方便出现问题快速定位问题。6)需能够和现有的超融合平台兼容,实现集群部署,并接入现有的超融合云管平台。3. 2超融合业务交换机技术要求1)整机提供48个千兆电口,4个万兆光口;2)交换容量不低于400Gbps,转发性能不低于140MPPs;3)支持静态路由、OSPF动态路由等;4)支持STP、RSTP和MSTP协议;3.3 IPS技术要求(参考
8、品牌:天融信、绿盟、奇安信等,须与本项目WAF和现有网络主要安全设备品牌异构)1) 2U,26个千兆电接口(支持1组ByPaSS),24个千兆光口插槽;H2个扩展槽位;配置1千兆接口扩展卡:含2个千兆多模模块,支持ByPaSs;配置1块万兆接口扩展卡:2个SFP+插槽,含2个万兆多模光口SFP+模块,支持ByPaSs;冗余电源;整机吞吐率28.5GbPS最大并发连接数2200万IPS吞吐率23.2Gbps,含3年攻击检测规则库、应用识别库、地理信息库升级许可;2)支持多操作系统引导,出于安全性考虑,多系统需在设备启动过程中进行选择,不得在WEB维护界面中设置系统切换选项。3)支持直连、路由、I
9、PS监听及混合模式接入;支持设备机箱温度监视以及报警,可以自定义温度阀值。4)支持IPV6、IPv6overIPv4,IPv6和IPv4混合网络,能够在该网络环境中检测出攻击事件。5)支持流量采集功能,支持在设备界面对服务器地址、端口、以及采样百分比进行设置。6)要求能够检测包括溢出攻击类、RPC攻击类、WEBCG1.攻击类、拒绝服务类、木马类、蠕虫类、扫描类、网络访问类、HTTP攻击类、系统漏洞类等在内的超过5900+种攻击事件。7)系统支持DHCP异常包及DHCPF1.ood攻击防御;持ARP异常包及ARPF1.ood攻击防御;系统支持CC攻击防御;系统支持主机并发连接数和半连接数的限制。
10、8)支持连接数控制,并且可以选择源目的区域及源目的地址、协议类型进行控制。9)支持攻击统计展示,包括检测报文总数、发现攻击报文总数、以及攻击总数与检测总数百分比。10)系统应支持多种形式的日志存储,本地存储、发送至日志服务器、本地日志服务器双存储、自动方式判断日志服务器状态自动决定日志的记录方式。11)系统支持攻击检测日志中可以直观的展示攻击事件中的攻击特征编码;支持外发日志服务器时,自定义字符编码格式GBKUTF8o3.4 WAF技术要求(参考品牌:绿盟、天融信、奇安信等,须与本项目IPS和现有网络主要安全设备品牌异构)1) 2U,含交流冗余电源模块,2个USB接口,1个RJ45串口,2个G
11、E管理口。6个千兆电口(2路BYPASS),8个千兆光口(2路ByPaSS),1个接口扩展插槽位,硬盘1T。应用层吞吐量21Gbps,每秒最大事务处理数230,OOO1.ps,最大并发连接数2150000,每秒新建连接数210,000cps02)支持扫描防护,可以通过设置服务器应答分布统计,提供自动/手动调整扫描防护策略。3)为避免大量的然流量而造成WAF成为网络出口的瓶颈,要求产品支持可配置并发连接数阈值的紧急模式,当并发连接数超过设置阀值时,WAF自动进入紧急模式,已经代理的连接正常代理,对新增的请求不进行代理,直接转发,防止WAF成为访问瓶颈。当连接数恢复正常时,自动退出紧急模式。4)支
12、持独立的语义分析检测能力,包括SQ1.注入、命令行注入,且能够对复杂编码进行深度解析,如base64、json,PhP反序列化等。5)支持对HnP协议合法性进行验证,提供HTTP协议防护功能,支持对HTTP协议的URI、HOSTUACookieReferer,ContentAccept.Range、其他头部和参数在内的元素、参数进行检测与处理。且支持非法编码和异常上传的灵活控制与处理。6)网站为了辨别用户身份,进行会话跟踪而储存在用户本地终端上的数据做到安全防护,支持CoOkie安全机制,包括Cookie加密和Cookie签名的防护算法。7)为更加方便的对产品进行管理、运维和配置,要求产品支持
13、策略配置向导功能,支持根据用户配置的服务器信息,自动生成一套安全解决方案。8)支持扩展网页防篡改功能,支持自动监测页面被篡改情况的功能,支持视觉恢复功能,即发生网页篡改后,对外仍显示被篡改前的正常页面,并要求支持时间管理功能,可以在不同的时间段设定不同的网页篡改防护策略,能够防止网络内容被篡改。9)设备自身支持“SQ1.注入、XSS漏洞扫描”和“挂马扫描”功能。10)支持XM1.防护,包括XM1.基础校验、SChe1.na校验以及SOAP校验。11)支持暴力破解防护,可针对指定UR1.进行暴力破解防护。四、供货清单及工期要求序号设备名称技术要求数量单位1服务器详见技术要求3台2超融合业务交换机
14、详见技术要求2台3IPS详见技术要求2台4WAF详见技术要求2台2、供货周期合同签订后20日内完成供货;3、工期投标方负责所供硬件设备及系统更新的指导安装调试,在合同签订后40日内指导安装调试完成,并具备验收条件。五、设计、制造和检验标准1)需符合人体工程学设计标准及设备的设计和制造以及设备的检验应符合国家或行业现行的有关标准。2)本规格书提出的是最低限度的技术要求,并未对一切技术细节做出规定,也未充分引述有关标准和规范的条文,规划编制单位应承诺提供符合本规格书和有关国家最新法律法规的产品;3)投标方可根据自己的管理咨询经验,对本规格书提出修正方案,供招标方参考;4)在合同签订后,招标方有权提
15、出因标准、规程和规范发生变化而产生的修订要求,具体事宜由供、需双方协商确定;5)本规格书经双方确认后作为项目合同的技术附件,与合同正文具有同等效力;6)必须严格按照招标技术要求编写投标文件,如果中标技术要求低于招标技术要求,必须按招标技术要求供货和验收。六、质保1)投标方提供的产品(包括配件)必须是正规渠道全新的原装正品。2)质量保证期应为36个月。时间应从设备安装、试运行且验收合格后起计算,投标方须提供原厂项目授权和服务承诺函,提供三年软硬件质保及升级服务。3)提供现场使用维护所必须的图纸和整套设备资料;提供所必须的质量证明文件;提供3套及以上完整的书面和1套电子版安装维护使用说明书。4)在质量保证期内,对于非买方原因造成的故障,供应商负责免费提供维修服务。一般故障在接到甲方报修电话后,立即响应,如通过电话和网络一个小时内远程不能立即解决,在24小时内赶赴现场解决问题。紧急故障时乙方2小时内到达现场解决问题。