流量清洗设备采购要求.doc

《流量清洗设备采购要求.doc》由会员分享，可在线阅读，更多相关《流量清洗设备采购要求.doc（4页珍藏版）》请在咨信网上搜索。

流量清洗设备采购要求 一、总体需求 为满足中国国际电子商务中心防御拒绝服务攻击的需求，现需采购流量清洗设备1套，部署于互联网出口。要求该设备部署灵活，具备光、电接口，支持串接、旁路等多种部署方式，并具备高可靠性和故障保护功能。 产品清单如下： 商品分类 参考品牌 规格型号 单位 数量 说明 千兆防DDOS攻击硬件网关系统 绿盟 ADS 1600A 台 1 流量清洗设备，同时支持串接和旁路部署模式，4个GE电口，2个SFP插槽并实配2个多模光模块，包含串接模式下电口和光口Bypass功能所需部件，交流冗余电源，无限IP许可证 千兆防DDOS攻击硬件网关系统 绿盟 NTA 1000A 台 1 流量清洗配套分析设备，支持flow格式数据分析，4个GE电口，2个SFP插槽并实配2个多模光模块，硬盘≥500G，交流冗余电源 千兆防DDOS攻击硬件网关系统 绿盟 CT 1000A 台 1 镜像流量采集预处理设备，支持镜像数据到flow格式的预处理转换，4个GE电口，2个SFP插槽并实配2个多模光模块，硬盘≥500G，交流冗余电源 二、技术要求 投标方需确保所提供产品满足以下技术要求，并保证产品的完备性，如果投标方所提供的设备（包括软/硬件和授权使用许可协议）配置存在有任何遗漏（包括产品清单中未列出而系统又必需的软/硬件和授权使用许可协议），影响到系统的完整性及可用性，则安装实施需要时投标方必须免费提供，中国国际电子商务中心将不再支付任何费用。 设备名称：流量清洗设备 数量 1套（含硬件设备及相关软件和许可协议） 部署方式 必须支持下列2种类部署方式：串联部署和旁路部署，并实配满足以下技术要求所需组配件及模块： 串联部署 对现有网络结构透明，无须变更现有二、三层网络结构，除管理接口外不需配置IP地址 支持串入1000M以太网双绞线链路，实配所需接口模块 支持串入1000M以太网多模光纤链路，实配所需接口模块 支持软件Bypass功能，管理员可通过配置界面在正常防御模式与Bypass模式间切换，切换过程小于1毫秒 支持断电Bypass功能，无论串入双绞线链路或光纤链路，切断本系统全部设备电源后均可自动转变为通路，确保网络不断线，切换时间小于3秒 旁路部署 无攻击情况下对现有网络结构无影响，数据流量不经过防护设备 支持通过BGP、OSPF、RIP等协议进行路由牵引，支持通过GRE、MPLS VPN、MPLS LSP等方式进行流量回注，使指定目的地址流量经过防护设备，其他流量的流向不发生变化 支持单臂和双臂的部署方式，采取单臂部署时，流量牵引和回注使用同一端口；采取双臂部署时，流量牵引和回注使用两个不同端口 支持通过端口镜像的方式采集原始流量进行检测分析，自动判断是否发生攻击及与攻击相关的IP地址 支持检测模块与防护模块之间的联动，由防护模块接收检测模块信息，并主动发起路由牵引和回注，同时支持与第三方流量检测设备的联动功能 性能要求 能够在千兆全双工环境中稳定工作，吞吐率≥1Gbps，转发延迟≤0.5毫秒，请提供在数据包大小为64、512和1518字节的流量下产品的吞吐量、延迟数据； 流量清洗性能≥1.4Mpps，请提供产品在遭受各类、各种规模DDoS攻击情况下新建连接成功率、已有连接保持率的测试数据 可防御IP地址数量无上限 并发连接数无上限，以防范连接耗尽和Flood类攻击 基于端口镜像的流量采集和分析能力≥1Gbps 支持集群部署方式，利用多路并行处理，提高防护的容量 支持在IPv4和IPv6协议环境中部署及防御 攻击防护功能 可防御的攻击类型至少包括： 1. Spoofed and Non-Spoofed Attacks a) TCP（syns, sync-acks, acks, fins, fragments） b) UDP（random port floods, fragments） c) UDP TCP 连接关联防护 d) ICMP（unreachable, echo, fragments） e) DNS Flood攻击防护 2. Client Attacks a) 连接耗尽防护攻击 b) HTTP Get flood 3. BGP Attacks 4. 各种混合型攻击 针对HTTP Get Flood攻击具备专门的防护手段，具备多种防护算法，能够对HTTP进行解码 具备对不同类型URL请求合法性进行验证，实行不同的防护策略，可防御CC及变种的能力 采用智能攻击流量识别的技术进行防护，不基于特定规则或特定的特征匹配，当发生未知攻击，无需专门的撰写规则即可对这些攻击进行防护 支持对用户进行分组，并对不同的组别进行独立的防护策略配置，防护群组数量≥1024 访问控制功能 提供基于源IP地址、目的IP地址、源端口、目的源口、协议类型的ACL访问控制规则 提供基于源IP地址、目的IP地址、源端口、目的源口、协议类型、TOS及接口以及对数据包负载进行匹配的模式匹配规则 提供针对目标URL的访问控制规则 流量捕获功能 可根据用户设置的源IP地址、目的IP地址、源端口、目的源口等条件捕获记录原始网络数据包，为攻击取证提供依据 日志报表功能 支持通过图形化界面对流量和攻击事件的实时监控 支持通过图形化界面对端口状态、CPU、内存等系统状态的监控 支持通过图形化界面对牵引路由表、对端路由器状态、路由协议状态等信息的监控 日志内容至少包括系统日志、用户登录及操作日志、攻击日志、流量牵引日志等，并针对攻击日志提供统计分析功能 支持日志自动导出，包括邮件、Syslog、FTP等方式 支持输出流量报表、攻击事件报表等统计报表，支持多种报表格式，支持报表自动生成和导出 管理配置功能 支持基于Console接口的本地配置管理 支持基于HTTPS的图形化界面管理和基于SSH的配置管理 支持管理员用户分级分权设置 支持配置文件的导入导出 三、服务要求 投标方须承诺提供以下服务，并给出具体的服务流程和方案。所有服务价格计入投标总价，不再收取其他费用。 1、设备安装服务 ü 投标方须提供设备的安装调试服务，时间在供货后由中国国际电子商务中心安排； ü 投标方需保证所提供产品与中国国际电子商务中心网络环境的兼容性和互操作性，如安装调试过程中出现兼容性问题，投标方需提供解决方案并负责实施，解决方案所涉及的产品及配件由投标方免费提供，不再另行收取费用。如投标方在出现兼容性问题30日内无法解决，中国国际电子商务中心有权终止合同； ü 投标方在设备安装调试过程中需充分考虑到所提供的设备与现有综合布线系统的兼容性，并免费提供设备安装实施所需的室内线缆； ü 投标方应允许招标方的工作人员参与有关的安装、测试、诊断及解决问题等各项工作，并做好知识转移工作； ü 投标方需保证提供包括设备安装手册、用户使用手册、设备维护手册、技术白皮书、技术授权书等在内的完备准确的技术资料； ü 投标方应负责在项目完成时将全部有关技术文件、设备参数配置资料、测试记录、运行操作手册、维护手册、验收报告等文档汇集成册交付招标方。 2、保修和技术支持服务 ü 投标方需提供为期5年的原厂保修和技术支持服务，服务期自项目实施完成，最终用户、集成商、设备原厂商共同在产品验收单上签字之日起计； ü 投标方提供设备原厂商盖公章的服务承诺书，提供原厂不低于7×24小时等级的备件更换服务和技术支持服务； ü 服务期内，投标方需提供7×24小时技术支持服务热线，确保能及时联系到有关技术人员，如果设备发生故障，投标方工程师在4小时内到达现场，提供现场故障诊断和故障排除服务，并按需进行维修及零部件更换等，不收取额外费用； ü 服务期内，投标方需根据用户要求，负责完成备件更换服务过程中故障设备下线及更换备件安装工作； ü 服务期内，投标方需提供产品软件版本跟踪服务，帮助消除软件隐患，包括但不限于：跟踪在用版本有无相关的新增BUG、安全漏洞，跟踪同系列更高版本软件的对比，查看是否有软硬件兼容性问题，给出相关的说明和建议等； ü 服务期内，投标方负责对产品所包含的软件及硬件固件等提供免费升级，如系统存在内在缺陷，投标方需负责解决，涉及的硬件升级应当是免费的； ü 服务期内，投标方需提供设备的安装、调试、使用、维护和升级等方面的免费咨询服务，如设备需要调整部署，投标方需派技术人员到现场协助完成相关工作； ü 本次项目所涉及到的软、硬件产品停产，投标方有责任提前6个月通知用户，并保证5年的备件供应。 3、技术培训服务 ü 投标方必须提供所投设备相关的技术培训服务，技术培训的目标是：技术人员经过技术培训，可以有效地对项目所安装的设备进行操作和维护，并进行故障诊断分析及排除。 四、资质要求 ü 投标方需要上传厂家的售后服务承诺函（中标后提供原件）