數(shù)據(jù)機房網(wǎng)絡與安全建設需求

數(shù)據(jù)機房網(wǎng)絡與安全建設需求一、項目背景為保障網(wǎng)絡和各應用系統(tǒng)的平滑遷移，本次新建機房配套新增部分網(wǎng)絡匯聚和接入交換機（TOR交換機）。同時，為確保新建數(shù)據(jù)中心滿足信息系統(tǒng)等級保護2.0的安全要求規(guī)范，在利用原中心機房安全產品的基礎上，新增防挖礦行為及攻擊封禁裝置、兩校區(qū)邊界防火墻、數(shù)據(jù)中心防火墻等安全設備，進一步提升網(wǎng)絡安全防范能力。新機房的建設采用TOR和匯聚交換機結合的組網(wǎng)模式。簡化布線的同時，靈活將服務器及業(yè)務系統(tǒng)分區(qū)部署。在利舊原有網(wǎng)絡安全設備基礎上，提升近年來影響嚴重的網(wǎng)絡安全防護能力，包含惡意挖礦專項封禁裝置，滿足挖礦整治政策要求，盡可能杜絕校內挖礦行為；加強校區(qū)安全隔離問題，新增邊界安全隔離防火墻，對兩校區(qū)間的數(shù)據(jù)傳輸做雙向控制及防護；部署數(shù)據(jù)中心機框式下一代防火墻，提高整個數(shù)據(jù)中心及數(shù)據(jù)中心中各個業(yè)務分區(qū)安全監(jiān)測及安全防御的能力。詳細建設清單及服務需求見下。二、需求清單（一）產品清單序號名稱指標要求數(shù)量單位1TOR交換機（24電口10G上行）交換容量590Gbps，整機轉發(fā)性能220Mpps；24個千兆電口，4個萬兆光口；支持單端口MAC地址用戶數(shù)4k；支持靜態(tài)路由、RIP、OSPF；支持-10℃-55℃寬溫工作；無風扇設計；支持識別終端接入IP、MAC、端口等信息，并關聯(lián)用戶身份；支持對病毒的網(wǎng)絡層傳播行為進行溯源及阻斷，防止內網(wǎng)病毒擴散；支持防IP掃描、防UDP端口掃描、防TCP端口掃描等異常行為；支持“肉雞”源主機的溯源及阻斷;支持IP仿冒、MAC仿冒溯源與阻斷。72臺2TOR安全交換機（48電口10G上行）交換容量590Gbps，整機轉發(fā)性能250Mpps；48個千兆電口，4個萬兆光口；支持單端口MAC地址用戶數(shù)4k；支持靜態(tài)路由、RIP、OSPF；支持-10℃-55℃寬溫工作；支持識別終端接入IP、MAC、端口等信息，并關聯(lián)用戶身份支持對病毒的網(wǎng)絡層傳播行為進行溯源及阻斷，防止內網(wǎng)病毒擴散；支持防IP掃描、防UDP端口掃描、防TCP端口掃描等異常行為；支持“肉雞”源主機的溯源及阻斷；支持IP仿冒、MAC仿冒溯源與阻斷；10臺3TOR交換機（24萬兆光口100G上行）交換容量3.6Tbps，包轉發(fā)率1400Mpps；固化24個SFP+光口，4個100G光口(100G光口支持1分4，4個25G或者4個10G)，自帶模塊化可熱插拔冗余雙電源；支持多虛一虛擬化技術，將多臺物理設備虛擬化為1臺邏輯設備；最大功耗≤250W；支持RIPv1/v2、OSPFv2、IS-IS、BGP4、VRRP；支持RIPng、IS-ISV6、OSPFv3、BGP4+forIPv6、VRRPv3；支持CPU負載保護，支持電源、風扇、CPU溫度檢測告警。19臺448萬兆匯聚交換機交換容量4.8Tbps，包轉發(fā)率2000Mpps；固化48個SFP+光口，4個100G光口，2個40G光口，自帶模塊化可熱插拔冗余雙電源；支持多虛一虛擬化技術，將多臺物理設備虛擬化為1臺邏輯設備；最大功耗≤320W；支持RIPv1/v2、OSPFv2、IS-IS、BGP4、VRRP；支持RIPng、IS-ISV6、OSPFv3、BGP4+forIPv6、VRRPv3；支持CPU負載保護，支持電源、風扇、CPU溫度檢測告警。5臺5萬兆多模光模塊多模萬兆光模塊（配套千兆TOR使用）456個6挖礦專項封禁裝置適用于重大保障或HW期間可直接封禁攻擊源對一切地址的訪問，將應急處置裝置部署于防火墻前端，建立分級阻斷能力，保障用戶業(yè)務系統(tǒng)的安全運行，也可以與威脅大數(shù)據(jù)分析平臺感做聯(lián)動，通過威脅情況，及時阻斷挖礦等攻擊行為，做到網(wǎng)絡安全的關口前移，防患于未然。2臺7邊界防火墻雙電源，千兆電口≥8個，萬兆光口≥12個，接口擴展槽位≥2個，支持擴展4個電口，4個光口，4個萬兆光口，1端口40G以太網(wǎng)光接口，網(wǎng)絡吞吐≥30Gbps，應用層吞吐≥10Gbps，并發(fā)連接數(shù)≥1000萬，新建連接≥25萬；包含入侵防御及病毒庫3年升級授權；支持安全域隔離功能，支持包過濾策略功能，能夠針對源地址、目的地址、MAC、應用、服務、時間等多維度進行安全策略控制。1臺8機框式安全網(wǎng)關高端機框式安全網(wǎng)關，配置雙引擎，雙電源；,配置下一代防火墻業(yè)務板卡一塊（40G吞吐）；接口配置：8個千兆電口、8個千兆光口，48個萬兆光口；包含入侵防御及病毒庫3年升級授權；支持安全域隔離功能，支持包過濾策略功能，能夠針對源地址、目的地址、MAC、應用、服務、時間等多維度進行安全策略控制，內置VPN加密功能，提供遠程VPN接入功能。1臺9集成服務完成本次新機房所有網(wǎng)絡、安全設備的網(wǎng)絡規(guī)劃、拓撲規(guī)劃以及安裝部署（包括新舊設備）。對新機房的5組冷通道，100個機柜的網(wǎng)絡設備和安全的調試。依據(jù)投標方案，在規(guī)定時間內對原機房的網(wǎng)絡、安全進行整體遷移和重構，包含運營商鏈路遷移、業(yè)務系統(tǒng)平滑遷移。且在遷移完成后駐點保障新機房的網(wǎng)絡設備、安全設備穩(wěn)定運行不少于30個工作日。1項（二）產品技術參數(shù)要求2.1TOR交換機（24電口10G上行）指標技術規(guī)格要求產品性能交換容量≥590Gbps，整機轉發(fā)性能≥220Mpps，以官網(wǎng)公布信息為準，如有雙重指標X/Y，以小指標X為準；端口要求整機可用端口數(shù)≥28，其中千兆電口≥24，萬兆光口≥4MAC地址用戶數(shù)要求設備單端口支持的MAC地址用戶數(shù)≥4k。路由協(xié)議支持靜態(tài)路由、RIP、OSPF。工作溫度為保障設備環(huán)境適應能力，要求設備支持-10℃-55℃寬溫工作。風扇為保障設備穩(wěn)定性，要求采用無風扇設計認證及安全特性支持識別終端接入IP、MAC、端口等信息，并關聯(lián)用戶身份支持對病毒的網(wǎng)絡層傳播行為進行溯源及阻斷，防止內網(wǎng)病毒擴散。支持防IP掃描、防UDP端口掃描、防TCP端口掃描等異常行為。支持“肉雞”源主機的溯源及阻斷。支持IP仿冒、MAC仿冒溯源與阻斷。支持識別IPC等啞終端設備類型，并支持開啟終端安全功能，只允許特定類型的設備接入網(wǎng)絡。網(wǎng)絡管理支持中文管理界面、WEB管理接口、SNMPv1/v2/v3質保提供原廠三年質保。2.2TOR安全交換機（48電口10G上行）指標技術規(guī)格要求產品性能交換容量≥590Gbps，整機轉發(fā)性能≥250Mpps，以官網(wǎng)公布信息為準，如有雙重指標X/Y，以小指標X為準。端口要求整機可用端口數(shù)≥52，其中千兆電口≥48，萬兆光口≥4MAC地址用戶數(shù)要求設備單端口支持的MAC地址用戶數(shù)≥4k。路由協(xié)議支持靜態(tài)路由、RIP、OSPF。工作溫度為保障設備環(huán)境適應能力，要求設備支持-10℃-55℃寬溫工作。認證及安全特性支持識別終端接入IP、MAC、端口等信息，并關聯(lián)用戶身份支持對病毒的網(wǎng)絡層傳播行為進行溯源及阻斷，防止內網(wǎng)病毒擴散。支持防IP掃描、防UDP端口掃描、防TCP端口掃描等異常行為。支持“肉雞”源主機的溯源及阻斷。支持IP仿冒、MAC仿冒溯源與阻斷。支持識別IPC等啞終端設備類型，并支持開啟終端安全功能，只允許特定類型的設備接入網(wǎng)絡。網(wǎng)絡管理支持中文管理界面、WEB管理接口、SNMPv1/v2/v3質保提供原廠三年質保。2.3TOR交換機（24萬兆光口100G上行）指標技術規(guī)格要求產品性能交換容量≥3.6Tbps，整機轉發(fā)性能≥1400Mpps，以官網(wǎng)公布信息為準，如有雙重指標X/Y，以小指標X為準。端口要求整機固化1/10GSFP+端口≥24個，40G/100GQSFP28端口≥4個；路由協(xié)議支持IPv4和IPv6的三層路由功能，支持靜態(tài)路由、RIP、OSPF、BGP數(shù)據(jù)中心特性支持二層VxLAN、三層VxLAN、EVPN生成樹支持STP、RSTP、MSTP、DHCP支持DHCPClient、DHCPRelay、DHCPSnooping虛擬化支持多虛一虛擬化技術，將多臺物理設備虛擬化為1臺邏輯設備ACL支持基于VLAN、MAC地址、IP地址、TCP/UDP端口號等ACLVLAN支持基于端口的VLAN、支持QinQ、支持MACVLAN組播支持GMRP、IGMP、PIM-SM、PIM-SSM、PIM-DM等ARP支持靜態(tài)表項、免費ARP支持標準代理ARP和本地代理ARP支持ARPanti-attack支持ARP源抑制、ARP源地址檢查、ARP一鍵綁定、授權ARP鏡像支持端口鏡像和流鏡像網(wǎng)絡管理支持中文管理界面、WEB管理接口、SNMPv1/v2/v3質保提供原廠三年質保。2.448萬兆匯聚交換機指標技術規(guī)格要求產品性能交換容量≥4.8Tbps，整機轉發(fā)性能≥2000Mpps，均以官網(wǎng)公布信息為準，如有雙重指標X/Y，以小指標X為準。端口要求整機固化1/10GSFP+端口≥48個，40GQSFP+端口≥2個，QSFP2840G/100G端口≥4個；路由協(xié)議支持IPv4和IPv6的三層路由功能，支持靜態(tài)路由、RIP、OSPF、BGP數(shù)據(jù)中心特性支持二層VxLAN、三層VxLAN、EVPN生成樹支持STP、RSTP、MSTP、DHCP支持DHCPClient、DHCPRelay、DHCPSnooping虛擬化支持多虛一虛擬化技術，將多臺物理設備虛擬化為1臺邏輯設備ACL支持基于VLAN、MAC地址、IP地址、TCP/UDP端口號等ACLVLAN支持基于端口的VLAN、支持QinQ、支持MACVLAN組播支持GMRP、IGMP、PIM-SM、PIM-SSM、PIM-DM等ARP支持靜態(tài)表項、免費ARP支持標準代理ARP和本地代理ARP支持ARPanti-attack支持ARP源抑制、ARP源地址檢查、ARP一鍵綁定、授權ARP鏡像支持端口鏡像和流鏡像網(wǎng)絡管理支持中文管理界面、WEB管理接口、SNMPv1/v2/v3質保提供原廠三年質保2.5萬兆多模光模塊指標項指標要求設備要求SFP萬兆多模光模塊，850nm，0.3km，LC接頭質保產品提供三年質保。2.6挖礦專項封禁裝置指標項指標要求設備性能最高支持1000萬條IPv4地址封禁策略,1000萬條IPv6地址封禁策略；400萬條策略的基礎上新增策略配置生效時間小于500毫秒。最大安全業(yè)務處理能力≥40Gbps。硬件要求2U設備；支持冗余雙電源；萬兆光口≥4個；千兆電口≥4；支持接口擴展，擴展插槽≥5個，整機最多可支持20個萬兆光口。部署方式支持透明方式部署，不增加三層網(wǎng)絡轉發(fā)節(jié)點黑白名單支持基于業(yè)務保護的黑白名單機制，黑白名單可通過單個IP，連續(xù)IP等多種格式進行配置。為防止雙向攻擊事件，黑白名單中的IP對于源IP或目的IP均可匹配生效?？焖偬幹弥С值刂穾鞂牍δ埽梢绘I對地址庫中的地址進行封禁或放通。支持對地址庫總數(shù)量的統(tǒng)計功能支持對地址庫中的IP進行精細化檢索支持基于組的策略配置管理，支持對組內IP進行一鍵阻斷或放通。IP封禁狀態(tài)查詢可通過設備頁面查看當前被封禁IP地址、封禁動作生效時間、封禁總包數(shù)等狀態(tài)信息。支持對統(tǒng)計信息進行刷新清零信譽機制支持基于攻擊IP歷史行為智能定義IP信譽值，自動生成封禁時間策略。API接口可提供RESTful接口，對接第三方平臺。第三方平臺可直接對應急處置裝置下發(fā)策略。導入導出封禁策略支持導入導出，可靈活的將用戶或第三方惡意IP地址庫進行導入。高可靠性支持雙機熱備雙活方式部署，并在因上下游設備導致同一流量出方向與入方向路徑不一致的環(huán)境中，不影響業(yè)務流量正常轉發(fā)。支持雙機配置同步，在任何一臺設備上對策略的操作都會自動同步到另外一臺設備上。設備自身帶有bypass功能。質保硬件產品提供五年質保，涉及的病毒庫、特征庫免費升級三年。2.7邊界防火墻指標項指標要求硬件及性能參數(shù)具備千兆電口≥8個，萬兆光口≥12個，支持擴展槽≥2個，高度≤1U，雙電源；整機吞吐量≥40Gbps，每秒新建連接數(shù)≥35萬，最大并發(fā)連接數(shù)≥1200萬；硬件要求2U設備；支持冗余雙電源；萬兆光口≥4個；千兆電口≥4；支持接口擴展，擴展插槽≥5個，整機最多可支持20個萬兆光口。應急運維為便于運維，硬件面板應支持專門的一鍵重啟按鍵，必要時可在不登錄設備的情況下一鍵重啟設備。地址轉換支持NAT地址轉換，支持源目的地址轉換，目的地址轉換和雙向地址轉換；可靠性為保證業(yè)務連通性，設備在特征庫升級時不影響系統(tǒng)轉發(fā)；IPv6/IPv4互訪支持IPv6與IPv4互訪；智能安全策略生成支持自動生成安全策略。統(tǒng)一管理平臺可通過對流量日志的統(tǒng)計整理，自動生成安全策略，并下發(fā)給防火墻設備，提高運維人員工作效率；部署模式支持二層模式（透明模式）、三層模式（路由和NAT模式）和混合模式；訪問控制策略訪問控制策略支持基于源/目的IP，源/目的端口，源/目的區(qū)域，用戶（組），應用/服務類型的細化控制方式；故障定位支持通過命令行的方式對設備內部數(shù)據(jù)流進行分析，可快速定位造成故障的防火墻內部功能模塊，便于進行故障排查；長鏈接支持基于不同安全策略設定會話長連接老化時間；鏈路聚合支持鏈路聚合功能、接口狀態(tài)同步功能；路由協(xié)議支持靜態(tài)路由、等價路由，支持RIP、RIPng；OSPFv2/v3動態(tài)路由協(xié)議；虛擬化支持多虛一部署，可將兩臺物理設備虛擬化成一臺邏輯上的設備；配置回滾支持配置回滾，并可對比回滾前后配置文件中的不同；安全策略冗余分析支持對安全策略進行冗余分析，并支持按不同時間段篩選未匹配的策略功能，且可以對其進行禁/啟用或者刪除操作；可靠性為保證業(yè)務連通性，設備在特征庫升級時不影響系統(tǒng)轉發(fā)；IPv6/IPv4互訪支持IPv6與IPv4互訪；攻擊防護支持Land、Smurf、Fraggle、WinNuke、PingofDeath、TearDrop、IPSpoofing攻擊防護；支持SYNFlood、ICMPFlood、UDPFlood、ARPFlood攻擊防護，支持IP地址掃描，端口掃描防護，支持ARP欺騙防護功能、支持IP協(xié)議異常報文檢測和TCP協(xié)議異常報文檢測；入侵防御入侵防護漏洞規(guī)則特征庫數(shù)量在6000條以上，入侵防護漏洞特征具備中文相關介紹，包括但不限于漏洞名稱，危險等級，對應CVE編號；支持自定義特征，可基于方向、協(xié)議、字符串、正則表達式、源端口、目的端口等維度進行特征自定義，并可自行設置特征嚴重等級（警告、一般、嚴重、致命、廢除），滿足用戶定制化需求；病毒防護檢測到病毒后的操作支持阻斷，記錄殺毒日志；支持對HTTP，F(xiàn)TP，SMTP，POP3協(xié)議進行病毒文件檢測；內置專業(yè)病毒特征庫，特征數(shù)量不少于10000條，用戶可以根據(jù)自身的安全需求設置高、中、低三種流行度規(guī)則，可以設置告警、阻斷、郵件病毒替換、TCPReset等方式進行防御，并且用戶可以自定義配置告警推送內容流量清洗支持對信任區(qū)域主機外發(fā)的異常流量進行檢測，如ICMP，UDP，SYN，DNSFlood等DDoS攻擊行為；管理權限分級支持管理員權限分級，支持安全管理員、審計員、系統(tǒng)管理員三種權限；質保提供五年質保、三年入侵防御及病毒庫升級授權。2.8機框式安全網(wǎng)關指標項指標要求硬件要求雙引擎、雙電源、業(yè)務槽位數(shù)≥4;接口要求8個千兆電口、8個千兆光口，48個萬兆光口；體系架構采用專用的硬件平臺，需采用CLOS架構的機框式產品;安全處理性能整機支持最大安全能力160Gbps，本次配置一塊40Gbps吞吐下一代防火墻板卡；端口聚合支持同一塊板卡、跨板卡的鏈路聚合；設備管理支持主機和業(yè)務模塊統(tǒng)一IP管理和統(tǒng)一的配置界面，支持統(tǒng)一網(wǎng)管功能。地址轉換支持NAT地址轉換，支持源目的地址轉換，目的地址轉換和雙向地址轉換；業(yè)務流量管理可以按需定義業(yè)務流，并指定流量經過的業(yè)務模塊?？煽啃詾楸ＷC業(yè)務連通性，設備在特征庫升級時不影響系統(tǒng)轉發(fā)；IPv6/IPv4互訪支持IPv6與IPv4互訪；虛擬化支持多虛一虛擬化、一虛多虛擬化部署。網(wǎng)絡特性支持三層接口、Acess接口及Trunk接口。智能安全策略生成支持自動生成安全策略。統(tǒng)一管理平臺可通過對流量日志的統(tǒng)計整理，自動生成安全策略，并下發(fā)給防火墻設備，提高運維人員工作效率；部署模式支持二層模式（透明模式）、三層模式（路由和NAT模式）和混合模式；訪問控制策略訪問控制策略支持基于源/目的IP，源/目的端口，源/目的區(qū)域，用戶（組），應用/服務類型的細化控制方式；故障定位支持通過命令行的方式對設備內部數(shù)據(jù)流進行分析，可快速定位造成故障的防火墻內部功能模塊，便于進行故障排查；長鏈接支持基于不同安全策略設定會話長連接老化時間；鏈路聚合支持鏈路聚合功能、接口狀態(tài)同步功能；路由協(xié)議支持靜態(tài)路由、等價路由，支持RIP、RIPng；OSPFv2/v3動態(tài)路由協(xié)議；虛擬化支持多虛一部署，可將兩臺物理設備虛擬化成一臺邏輯上的設備；配置回滾支持配置回滾，并可對比回滾前后配置文件中的不同；安全策略冗余分析支持對安全策略進行冗余分析，并支持按不同時間段篩選未匹配的策略功能，且可以對其進行禁/啟用或者刪除操作；攻擊防護支持Land、Smurf、Fraggle、WinNuke、PingofDeath、TearDrop、IPSpoofing攻擊防護；支持SYNFlood、ICMPFlood、UDPFlood、ARPFlood攻擊防護，支持IP地址掃描，端口掃描防護，支持ARP欺騙防護功能、支持IP協(xié)議異常報文檢測和TCP協(xié)議異常報文檢測；入侵防御入侵防護漏洞規(guī)則特征庫數(shù)量在6000條以上，入侵防護漏洞特征具備中文相關介紹，包括但不限于漏洞名稱，危險等級，對應CVE編號；支持自定義特征，可基于方向、協(xié)議、字符串、正則表達式、源端口、目的端口等維度進行特征自定義，并可自行設置特征嚴重等級（警告、一般、嚴重、致命、廢除），滿足用戶定制化需求；病毒防護檢測到病毒后的操作支持阻斷，記錄殺毒日志；支持對HTTP，F(xiàn)TP，SMTP，POP3協(xié)議進行病毒文件檢測；內置專業(yè)病毒特征庫，特征數(shù)量不少于10000條，用戶可以根據(jù)自身的安全需求設置高、中、低三種流行度規(guī)則，可以設置告警、阻斷、郵件病毒替換、TCP