招标项目服务、商务及其他要求

东部新区教育城域网网络中心

核心交换机

一、 定位：数据中心级：100G平台；区域核心组网和数据交换；配置双引擎、冗余电源；业务插位数≥8个（每个业务插槽200G，端口线速）；具有SDN（自定义软件网络）、FCoE、虚拟化等数据中心管理功能。

二、 指标：1.采用CLOS交换架构，交换网板有独立插槽且与主控引擎、线卡硬件分离,提高设备的稳定性。
★2.主控引擎插槽≥2个，业务插槽≥8个，交换网板插槽≥4个。（投标人需提供承诺函原件并加盖投标人公章）
3.前后风道散热设计（不允许侧进风），确保与机房散热风道一致保持一致，提升散热效率。
▲4.包转发率≥25000Mpps。
5.支持设备虚拟化。
6.具有分布式MPLS功能（无需配置独立MPLS业务卡），支持L3 MPLS VPN。
7.采用模块化操作系统，支持多进程备份及ISSU不中断业务升级特性。

三、 ★端口：1.≥48个千兆电口和8个万兆光口，用于县级中心机房内网设备内联和出口设备连接。
2.冗余6个万兆光口；每台配置10个万兆LC接口模块，10km。
3.上联端口：10个万兆光口，用于与市级网络中心的城域骨干组网连接。每台配置≥4个40Gbps接口备用。每台配置连接到市核心所需的10个万兆光纤收发模块。（投标人需提供承诺函原件并加盖投标人公章）

四、 ★资质：工业和信息化部颁发的电信设备进网许可证（IPv4）（提供证书复印件，加盖投标人公章）、工业和信息化部颁发的电信设备进网许可证（IPv6）。要求：上述各证书载明的产品类别应属采购要求的类别（不能是其他类别产品）且是投标型号或投标型号所属系列（投标人需提供承诺函原件并加盖投标人公章）。

五、 ▲报告：投标人提供所投产品或所投产品型号所属系列的检测报告，检测报告具有CMA或CNAS标识。

数量：2

出口路由器

一、 定位：专业级；10G平台；独立交换网板；≥4个千兆口（实现互联网接入端口捆绑）；双管理引擎、双交换网板、1+1冗余电源；实配高性能NAT功能；万兆光口内联。

二、 指标：1.路由引擎、交换网板、业务板卡物理分离；全分布式转发处理架构；路由引擎、业务载板/模块、电源/风扇等关键部件的高可用性热插拔设计。
▲2.包转发率≥2500Mpps。
▲3.整机业务载板（母插槽）数量≥4个。
▲4.每台配置2个内联万兆接口，配置2个万兆LC接口模块，10km。5.支持并实配≥200万条NAT功能。
6.具有L2TP、IPSec VPN、GRE VPN功能。
7.具有并配置MPLS VPN、MPLS TE。

三、 ★资质：工业和信息化部颁发的电信设备进网许可证（IPv4）（提供证书复印件，加盖投标人公章）、工业和信息化部颁发的电信设备进网许可证（IPv6）。要求：上述各证书载明的产品应属采购要求的类别（不能是其他类别产品）且是投标型号或投标型号所属系列。（投标人需提供承诺函原件并加盖投标人公章）四、▲报告：投标人提供所投产品或所投产品型号所属系列的检测报告，检测报告具有CMA或CNAS标识。

数量：1

运维平台

机架式服务器1台：

一、 配置：2颗Intel Xeon处理器，≥2.9 GHz；≥16GBECC；≥6块硬盘，单盘容量2T以上 SAS硬盘；支持RAID级别：0、1、5、6、10；≥2个千兆网卡；配置操作系统及数据库。

二、 功能指标: ▲1.可对网络设备、无线设备、服务器、数据库、中间件、应用等多厂商、多版本设备及资源的统一监控和管理。系统采用模块化设计，可扩展管理机房、服务器虚拟化、存储等设备；可无缝融入日志管理、业务体验分析、分级管理、自动巡检、资产管理、网络配置管理、知识库、日志等功能模块。
2.县（市）区的运维管理平台须要与市教育局端的运维管理平台实现分级方式部署，实现运维管理数据上传，在市级运维管理平台可以无缝调用县（市）区运维管理平台数据进行呈现。
3.分级管理要求：上级对下级综合监控管理平台的级联汇总，系统能够实现下级关键数据向上的推送。级联推送内容包括：各地市重要资产信息汇总、关键告警统计汇总，KPI统计汇总、拓扑视图。支持级联视图，实现从总部到分部的多级展示，实现面向整体机构的运维展现。支持远程拓扑查看，能够对各分支机构的网络、无线、流量、存储、拓扑图等进行远程查看。支持远程报表查看，能够对各分支机构的所有报表进行远程查看，并可以对所有下级分支的告警数量、资源数量进行汇总统计。

数量：1

出口防火墙

★1.采用非X86架构，配置千兆电口≥18个，千兆光口≥16个，万兆光口≥4个，硬盘容量≥240G SSD硬盘，配置1+1冗余电源；配置2个万兆LC接口模块，10km；（投标人需提供承诺函原件并加盖投标人公章）

★2.最大吞吐量≥52Gbps，IPS吞吐量≥11Gbps，最大并发连接≥1100万，最大新建连接≥29万；IPSEC VPN隧道数≥10000，SSL VPN并发用户数≥10000；（投标人需提供承诺函原件并加盖投标人公章）

3.具有病毒防御、入侵防御、应用识别、垃圾邮件过滤、文件防泄漏、上网行为管理、APT防御、僵尸主机检测、IPSEC VPN与SSL VPN等功能；

4.具有策略路由、组播路由、静态路由、BGP、RIP、RIPNG、OSPF、OSPFv6、ISIS、ISISv6等动态路由协议（非透传）；

5.具有虚拟防火墙，支持单独为每个虚拟防火墙设置会话数、策略数、用户数、IPSECVPN隧道数、硬盘空间使用量等，进行按需分配；

6.具有并内置高度集成的一体化智能过滤引擎和技术，实现在同一条访问控制策略中配置传统的五元组信息、用户/用户组、应用、URL类型、接入类型、地理位置、终端类型、设备组、服务、时间、安全引擎（入侵、URL过滤、病毒过滤、沙箱过滤、SSL代理）的识别与控制，提供功能截图并加盖投标人公章；

7.具有服务器的负载均衡功能，提供加权轮询、最小连接数、最小RTT等多种负载均衡方式；

8.具有SYN Flood、UDP Flood、ICMP Flood、LAND攻击、Smurf攻击、Fraggle攻击、Winnuke等攻击防护；

9.具有VoIP防护，可基于SIP与SCCP协议防护，可限制SIP的注册请求，可限制SCCP的呼叫建立(提供功能截图并加盖投标人公章)；

10.具有基于应用防御、入侵防御、恶意软件防御的统计结果定义用户的信誉值；

11.具有对HTTP、FTP、SMTP、POP3、IMAP协议的应用进行病毒扫描和过滤功能；具有基于代理模式、流模式的垃圾邮件检测过滤功能；

12.具有防数据泄漏功能，能对HTTP、FTP、SMTP、POP3等协议中的敏感内容进行过滤和阻断；具有文件类型过滤功能，至少基于包括doc、docx、exe、ppt、pptx、rar、txt、xls、xlsx、pdf、zip、gzip、tar等40种以上文件类型过滤；

★13.具有独立的WAF功能模块，内置HTTP攻击特征库规则列表，至少包括SQL注入、XSS防护，支持HTTP报头的长度、cookie的个数等参数限制策略，对Web服务器进行安全防护并提供功能截图并加盖投标人公章；

★14.具有SD-WAN功能，支持基于用户、用户组的SD-WAN策略，包括多种带宽接入、带宽质量监控、链路优化、一键配置上线等，提供产品功能截图并加盖投标人公章；

★15.配置≥3年的入侵特征库、病毒库、应用识别库、垃圾邮件库、网页分类库升级服务授权，配置≥1000个IPSec VPN授权，≥1000个SSL VPN授权；（投标人需提供承诺函原件并加盖投标人公章）

★16.公安部颁发的《计算机信息系统安全专用产品销售许可证》中国信息安全认证中心颁发的《中国国家信息安全产品认证证书》。（投标人需提证书复印件件并加盖投标人公章）

数量：1

内网IPS入侵防御

★1.配置千兆电口≥18个，千兆光口≥4个，万兆光口≥2个，冗余电源；配置2个万兆LC接口模块，10km；（投标人需提供承诺函原件并加盖投标人公章）

★2.整机最大吞吐量≥20Gbps； IPS最大吞吐量≥2.5Gbps；最大并发连接数≥150万；每秒新建连接数≥56000；（投标人需提供承诺函原件并加盖投标人公章）

3.具有冗余接口功能，支持链路聚合提供物理接口高可用性方案；

4.具有主-备和主-主HA方案。双机热备要能支持多种组网形式，确保可靠性，并且数据接口和心跳线支持冗余，支持双机会话同步，实现无感知切换；

5.具有策略路由、组播路由、静态路由、BGP、RIP、RIPNG、OSPF、OSPFv6、ISIS、ISISv6等动态路由协议（非透传）；

6.具有对HTTP、FTP、SMTP、POP3、IMAP协议的应用进行病毒扫描和过滤功能，支持深达10级以上的文件压缩。可以限制过滤文件的大小，对超大文件采取“通过”或“阻止”动作；

★7.具备HTTP特征库规则列表，至少包括SQL注入、XSS防护，支持HTTP报头的长度、cookie的个数等参数限制策略对Web服务器进行安全防护（提供功能截图并加盖投标人公章）；

★8.具有ICMP攻击防御功能（能够提供检测和防御攻击者利用ICMP协议进行的扫描和攻击的行为，如ICMP Nemesis v1.1 Echo，ICMP Icmpenum v1.1.1和ICMP Webtrends Scanner）；（投标人需提供承诺函原件并加盖投标人公章）

9.具有对HTTP、FTP、SMTP、IMAP、POP3、TELNET、TCP、UDP、DNS、RPC、MSSQL、ORACLE、NNTP、DHCP、LDAP、VoIP、NETBIOS、TFTP、SUNRPC和MSRPC等常用协议及应用的攻击检测和防御功能；

★10.具有自定义IPS特征，并提供相关配置截图和指导文档有效，具备11000种以上攻击特征库规则列表，至少支持基于协议类型、操作系统、严重程度、特征名称、应用类型等方式的查询；

★11.具有IPv4和IPv6的双栈防护功能，提供功能截图并加盖投标人公章；

★12.具有基于IPv6的策略设置、内容过滤、IPS检测、代理、流控功能，提供功能截图并加盖投标人公章；

★13.配置≥3年的入侵检测防御系统特征库、病毒库、应用识别库、垃圾邮件库、网页分类库特征库升级服务授权。（投标人需提供承诺函原件并加盖投标人公章）

数量：1

分布式探针

★1.配置千兆电口≥6个，千兆光口≥4个，万兆光口≥2个，扩展插槽≥2个；配置2个万兆LC接口模块，10km；（投标人需提供承诺函原件并加盖投标人公章）

★2.配置硬盘容量≥16TB；配置1+1冗余电源；（投标人需提供承诺函原件并加盖投标人公章）

★3.最大支持10G网络流量的实时接收采集。（投标人需提供承诺函原件并加盖投标人公章）

数量：1

应用审计

1.配置万兆光口≥4个，扩展插槽≥4个，USB接口≥1个；配置硬盘容量≥1TB；配置1+1冗余电源；配置4个万兆LC接口模块，10km；

2.设备最大吞吐量≥6Gbps，最大支持并发连接数≥200万，每秒新建连接数≥5万；

3.具有网桥部署、路由模式部署、旁路部署、混合部署等功能；

4.支持本地认证、AD域认证、Radius认证、LDAP认证、POP3认证、短信认证、微信认证；支持同一portal页面内切换微信，短信，账号密码等多种认证方式；

5.支持AD、PPPoE、WEB等类型的单点登录；

6.支持定期向内网用户弹出指定的页面，作为广告营销或相关通知提醒，提供功能截图；

7.具有终端识别功能，可以识别无线终端接入设备，并进行允计或拒绝上网策略，包括IOS、 Android、 IPAD设备；

8.具有防代理功能，可检测出内网用户私接无线路由器、360WiFi等设备的共享上网行为并进行告警及阻断，提供功能截图；

9.具有流量父子通道技术，具有多级通道；支持基于线路的流控、基于应用的流控、基于URL的流控、基于IP的流控、基于用户组的流控、基于时间段的流控、基于单个用户的流控；

10.支持非标准端口URL管理、引擎搜索关键字过滤、https网页识别、关键字过滤、HTTP文件传输过滤等；

11.具有文件传输过滤功能，可识别FTP、HTTP网页的文件上传和文件下载，并对文件的上传和下载进行过滤；同时支持非标准的FTP行为的识别过滤；

12.具有黑白名单管理功能，黑名单支持流量配额、速率控制、并发会话数控制、基于时间段控制、多加倍惩罚等方式；白名单支持基于内网用户、外网IP地址、URL、即时通讯账号、时间段的白名单等方式；

13.设备内置报表中心系统，实现上网行为记录与日志的存储、查询、审计，以及报表的生成等；

14.配置≥3年的应用识别特征库、Web分类特征库升级服务授权。