數(shù)據(jù)機房網(wǎng)絡(luò)與安全建設(shè)需求

數(shù)據(jù)機房網(wǎng)絡(luò)與安全建設(shè)需求一、項目背景為保障網(wǎng)絡(luò)和各應(yīng)用系統(tǒng)的平滑遷移，本次新建機房配套新增部分網(wǎng)絡(luò)匯聚和接入交換機（TOR交換機）。同時，為確保新建數(shù)據(jù)中心滿足信息系統(tǒng)等級保護2.0的安全要求規(guī)范，在利用原中心機房安全產(chǎn)品的基礎(chǔ)上，新增防挖礦行為及攻擊封禁裝置、兩校區(qū)邊界防火墻、數(shù)據(jù)中心防火墻等安全設(shè)備，進一步提升網(wǎng)絡(luò)安全防范能力。新機房的建設(shè)采用TOR和匯聚交換機結(jié)合的組網(wǎng)模式。簡化布線的同時，靈活將服務(wù)器及業(yè)務(wù)系統(tǒng)分區(qū)部署。在利舊原有網(wǎng)絡(luò)安全設(shè)備基礎(chǔ)上，提升近年來影響嚴重的網(wǎng)絡(luò)安全防護能力，包含惡意挖礦專項封禁裝置，滿足挖礦整治政策要求，盡可能杜絕校內(nèi)挖礦行為；加強校區(qū)安全隔離問題，新增邊界安全隔離防火墻，對兩校區(qū)間的數(shù)據(jù)傳輸做雙向控制及防護；部署數(shù)據(jù)中心機框式下一代防火墻，提高整個數(shù)據(jù)中心及數(shù)據(jù)中心中各個業(yè)務(wù)分區(qū)安全監(jiān)測及安全防御的能力。詳細建設(shè)清單及服務(wù)需求見下。二、需求清單（一）產(chǎn)品清單序號名稱指標要求數(shù)量單位1TOR交換機（24電口10G上行）交換容量590Gbps，整機轉(zhuǎn)發(fā)性能220Mpps；24個千兆電口，4個萬兆光口；支持單端口MAC地址用戶數(shù)4k；支持靜態(tài)路由、RIP、OSPF；支持-10℃-55℃寬溫工作；無風(fēng)扇設(shè)計；支持識別終端接入IP、MAC、端口等信息，并關(guān)聯(lián)用戶身份；支持對病毒的網(wǎng)絡(luò)層傳播行為進行溯源及阻斷，防止內(nèi)網(wǎng)病毒擴散；支持防IP掃描、防UDP端口掃描、防TCP端口掃描等異常行為；支持“肉雞”源主機的溯源及阻斷;支持IP仿冒、MAC仿冒溯源與阻斷。72臺2TOR安全交換機（48電口10G上行）交換容量590Gbps，整機轉(zhuǎn)發(fā)性能250Mpps；48個千兆電口，4個萬兆光口；支持單端口MAC地址用戶數(shù)4k；支持靜態(tài)路由、RIP、OSPF；支持-10℃-55℃寬溫工作；支持識別終端接入IP、MAC、端口等信息，并關(guān)聯(lián)用戶身份支持對病毒的網(wǎng)絡(luò)層傳播行為進行溯源及阻斷，防止內(nèi)網(wǎng)病毒擴散；支持防IP掃描、防UDP端口掃描、防TCP端口掃描等異常行為；支持“肉雞”源主機的溯源及阻斷；支持IP仿冒、MAC仿冒溯源與阻斷；10臺3TOR交換機（24萬兆光口100G上行）交換容量3.6Tbps，包轉(zhuǎn)發(fā)率1400Mpps；固化24個SFP+光口，4個100G光口(100G光口支持1分4，4個25G或者4個10G)，自帶模塊化可熱插拔冗余雙電源；支持多虛一虛擬化技術(shù)，將多臺物理設(shè)備虛擬化為1臺邏輯設(shè)備；最大功耗≤250W；支持RIPv1/v2、OSPFv2、IS-IS、BGP4、VRRP；支持RIPng、IS-ISV6、OSPFv3、BGP4+forIPv6、VRRPv3；支持CPU負載保護，支持電源、風(fēng)扇、CPU溫度檢測告警。19臺448萬兆匯聚交換機交換容量4.8Tbps，包轉(zhuǎn)發(fā)率2000Mpps；固化48個SFP+光口，4個100G光口，2個40G光口，自帶模塊化可熱插拔冗余雙電源；支持多虛一虛擬化技術(shù)，將多臺物理設(shè)備虛擬化為1臺邏輯設(shè)備；最大功耗≤320W；支持RIPv1/v2、OSPFv2、IS-IS、BGP4、VRRP；支持RIPng、IS-ISV6、OSPFv3、BGP4+forIPv6、VRRPv3；支持CPU負載保護，支持電源、風(fēng)扇、CPU溫度檢測告警。5臺5萬兆多模光模塊多模萬兆光模塊（配套千兆TOR使用）456個6挖礦專項封禁裝置適用于重大保障或HW期間可直接封禁攻擊源對一切地址的訪問，將應(yīng)急處置裝置部署于防火墻前端，建立分級阻斷能力，保障用戶業(yè)務(wù)系統(tǒng)的安全運行，也可以與威脅大數(shù)據(jù)分析平臺感做聯(lián)動，通過威脅情況，及時阻斷挖礦等攻擊行為，做到網(wǎng)絡(luò)安全的關(guān)口前移，防患于未然。2臺7邊界防火墻雙電源，千兆電口≥8個，萬兆光口≥12個，接口擴展槽位≥2個，支持擴展4個電口，4個光口，4個萬兆光口，1端口40G以太網(wǎng)光接口，網(wǎng)絡(luò)吞吐≥30Gbps，應(yīng)用層吞吐≥10Gbps，并發(fā)連接數(shù)≥1000萬，新建連接≥25萬；包含入侵防御及病毒庫3年升級授權(quán)；支持安全域隔離功能，支持包過濾策略功能，能夠針對源地址、目的地址、MAC、應(yīng)用、服務(wù)、時間等多維度進行安全策略控制。1臺8機框式安全網(wǎng)關(guān)高端機框式安全網(wǎng)關(guān)，配置雙引擎，雙電源；,配置下一代防火墻業(yè)務(wù)板卡一塊（40G吞吐）；接口配置：8個千兆電口、8個千兆光口，48個萬兆光口；包含入侵防御及病毒庫3年升級授權(quán)；支持安全域隔離功能，支持包過濾策略功能，能夠針對源地址、目的地址、MAC、應(yīng)用、服務(wù)、時間等多維度進行安全策略控制，內(nèi)置VPN加密功能，提供遠程VPN接入功能。1臺9集成服務(wù)完成本次新機房所有網(wǎng)絡(luò)、安全設(shè)備的網(wǎng)絡(luò)規(guī)劃、拓撲規(guī)劃以及安裝部署（包括新舊設(shè)備）。對新機房的5組冷通道，100個機柜的網(wǎng)絡(luò)設(shè)備和安全的調(diào)試。依據(jù)投標方案，在規(guī)定時間內(nèi)對原機房的網(wǎng)絡(luò)、安全進行整體遷移和重構(gòu)，包含運營商鏈路遷移、業(yè)務(wù)系統(tǒng)平滑遷移。且在遷移完成后駐點保障新機房的網(wǎng)絡(luò)設(shè)備、安全設(shè)備穩(wěn)定運行不少于30個工作日。1項（二）產(chǎn)品技術(shù)參數(shù)要求2.1TOR交換機（24電口10G上行）指標技術(shù)規(guī)格要求產(chǎn)品性能交換容量≥590Gbps，整機轉(zhuǎn)發(fā)性能≥220Mpps，以官網(wǎng)公布信息為準，如有雙重指標X/Y，以小指標X為準；端口要求整機可用端口數(shù)≥28，其中千兆電口≥24，萬兆光口≥4MAC地址用戶數(shù)要求設(shè)備單端口支持的MAC地址用戶數(shù)≥4k。路由協(xié)議支持靜態(tài)路由、RIP、OSPF。工作溫度為保障設(shè)備環(huán)境適應(yīng)能力，要求設(shè)備支持-10℃-55℃寬溫工作。風(fēng)扇為保障設(shè)備穩(wěn)定性，要求采用無風(fēng)扇設(shè)計認證及安全特性支持識別終端接入IP、MAC、端口等信息，并關(guān)聯(lián)用戶身份支持對病毒的網(wǎng)絡(luò)層傳播行為進行溯源及阻斷，防止內(nèi)網(wǎng)病毒擴散。支持防IP掃描、防UDP端口掃描、防TCP端口掃描等異常行為。支持“肉雞”源主機的溯源及阻斷。支持IP仿冒、MAC仿冒溯源與阻斷。支持識別IPC等啞終端設(shè)備類型，并支持開啟終端安全功能，只允許特定類型的設(shè)備接入網(wǎng)絡(luò)。網(wǎng)絡(luò)管理支持中文管理界面、WEB管理接口、SNMPv1/v2/v3質(zhì)保提供原廠三年質(zhì)保。2.2TOR安全交換機（48電口10G上行）指標技術(shù)規(guī)格要求產(chǎn)品性能交換容量≥590Gbps，整機轉(zhuǎn)發(fā)性能≥250Mpps，以官網(wǎng)公布信息為準，如有雙重指標X/Y，以小指標X為準。端口要求整機可用端口數(shù)≥52，其中千兆電口≥48，萬兆光口≥4MAC地址用戶數(shù)要求設(shè)備單端口支持的MAC地址用戶數(shù)≥4k。路由協(xié)議支持靜態(tài)路由、RIP、OSPF。工作溫度為保障設(shè)備環(huán)境適應(yīng)能力，要求設(shè)備支持-10℃-55℃寬溫工作。認證及安全特性支持識別終端接入IP、MAC、端口等信息，并關(guān)聯(lián)用戶身份支持對病毒的網(wǎng)絡(luò)層傳播行為進行溯源及阻斷，防止內(nèi)網(wǎng)病毒擴散。支持防IP掃描、防UDP端口掃描、防TCP端口掃描等異常行為。支持“肉雞”源主機的溯源及阻斷。支持IP仿冒、MAC仿冒溯源與阻斷。支持識別IPC等啞終端設(shè)備類型，并支持開啟終端安全功能，只允許特定類型的設(shè)備接入網(wǎng)絡(luò)。網(wǎng)絡(luò)管理支持中文管理界面、WEB管理接口、SNMPv1/v2/v3質(zhì)保提供原廠三年質(zhì)保。2.3TOR交換機（24萬兆光口100G上行）指標技術(shù)規(guī)格要求產(chǎn)品性能交換容量≥3.6Tbps，整機轉(zhuǎn)發(fā)性能≥1400Mpps，以官網(wǎng)公布信息為準，如有雙重指標X/Y，以小指標X為準。端口要求整機固化1/10GSFP+端口≥24個，40G/100GQSFP28端口≥4個；路由協(xié)議支持IPv4和IPv6的三層路由功能，支持靜態(tài)路由、RIP、OSPF、BGP數(shù)據(jù)中心特性支持二層VxLAN、三層VxLAN、EVPN生成樹支持STP、RSTP、MSTP、DHCP支持DHCPClient、DHCPRelay、DHCPSnooping虛擬化支持多虛一虛擬化技術(shù)，將多臺物理設(shè)備虛擬化為1臺邏輯設(shè)備ACL支持基于VLAN、MAC地址、IP地址、TCP/UDP端口號等ACLVLAN支持基于端口的VLAN、支持QinQ、支持MACVLAN組播支持GMRP、IGMP、PIM-SM、PIM-SSM、PIM-DM等ARP支持靜態(tài)表項、免費ARP支持標準代理ARP和本地代理ARP支持ARPanti-attack支持ARP源抑制、ARP源地址檢查、ARP一鍵綁定、授權(quán)ARP鏡像支持端口鏡像和流鏡像網(wǎng)絡(luò)管理支持中文管理界面、WEB管理接口、SNMPv1/v2/v3質(zhì)保提供原廠三年質(zhì)保。2.448萬兆匯聚交換機指標技術(shù)規(guī)格要求產(chǎn)品性能交換容量≥4.8Tbps，整機轉(zhuǎn)發(fā)性能≥2000Mpps，均以官網(wǎng)公布信息為準，如有雙重指標X/Y，以小指標X為準。端口要求整機固化1/10GSFP+端口≥48個，40GQSFP+端口≥2個，QSFP2840G/100G端口≥4個；路由協(xié)議支持IPv4和IPv6的三層路由功能，支持靜態(tài)路由、RIP、OSPF、BGP數(shù)據(jù)中心特性支持二層VxLAN、三層VxLAN、EVPN生成樹支持STP、RSTP、MSTP、DHCP支持DHCPClient、DHCPRelay、DHCPSnooping虛擬化支持多虛一虛擬化技術(shù)，將多臺物理設(shè)備虛擬化為1臺邏輯設(shè)備ACL支持基于VLAN、MAC地址、IP地址、TCP/UDP端口號等ACLVLAN支持基于端口的VLAN、支持QinQ、支持MACVLAN組播支持GMRP、IGMP、PIM-SM、PIM-SSM、PIM-DM等ARP支持靜態(tài)表項、免費ARP支持標準代理ARP和本地代理ARP支持ARPanti-attack支持ARP源抑制、ARP源地址檢查、ARP一鍵綁定、授權(quán)ARP鏡像支持端口鏡像和流鏡像網(wǎng)絡(luò)管理支持中文管理界面、WEB管理接口、SNMPv1/v2/v3質(zhì)保提供原廠三年質(zhì)保2.5萬兆多模光模塊指標項指標要求設(shè)備要求SFP萬兆多模光模塊，850nm，0.3km，LC接頭質(zhì)保產(chǎn)品提供三年質(zhì)保。2.6挖礦專項封禁裝置指標項指標要求設(shè)備性能最高支持1000萬條IPv4地址封禁策略,1000萬條IPv6地址封禁策略；400萬條策略的基礎(chǔ)上新增策略配置生效時間小于500毫秒。最大安全業(yè)務(wù)處理能力≥40Gbps。硬件要求2U設(shè)備；支持冗余雙電源；萬兆光口≥4個；千兆電口≥4；支持接口擴展，擴展插槽≥5個，整機最多可支持20個萬兆光口。部署方式支持透明方式部署，不增加三層網(wǎng)絡(luò)轉(zhuǎn)發(fā)節(jié)點黑白名單支持基于業(yè)務(wù)保護的黑白名單機制，黑白名單可通過單個IP，連續(xù)IP等多種格式進行配置。為防止雙向攻擊事件，黑白名單中的IP對于源IP或目的IP均可匹配生效?？焖偬幹弥С值刂穾鞂?dǎo)入功能，可一鍵對地址庫中的地址進行封禁或放通。支持對地址庫總數(shù)量的統(tǒng)計功能支持對地址庫中的IP進行精細化檢索支持基于組的策略配置管理，支持對組內(nèi)IP進行一鍵阻斷或放通。IP封禁狀態(tài)查詢可通過設(shè)備頁面查看當(dāng)前被封禁IP地址、封禁動作生效時間、封禁總包數(shù)等狀態(tài)信息。支持對統(tǒng)計信息進行刷新清零信譽機制支持基于攻擊IP歷史行為智能定義IP信譽值，自動生成封禁時間策略。API接口可提供RESTful接口，對接第三方平臺。第三方平臺可直接對應(yīng)急處置裝置下發(fā)策略。導(dǎo)入導(dǎo)出封禁策略支持導(dǎo)入導(dǎo)出，可靈活的將用戶或第三方惡意IP地址庫進行導(dǎo)入。高可靠性支持雙機熱備雙活方式部署，并在因上下游設(shè)備導(dǎo)致同一流量出方向與入方向路徑不一致的環(huán)境中，不影響業(yè)務(wù)流量正常轉(zhuǎn)發(fā)。支持雙機配置同步，在任何一臺設(shè)備上對策略的操作都會自動同步到另外一臺設(shè)備上。設(shè)備自身帶有bypass功能。質(zhì)保硬件產(chǎn)品提供五年質(zhì)保，涉及的病毒庫、特征庫免費升級三年。2.7邊界防火墻指標項指標要求硬件及性能參數(shù)具備千兆電口≥8個，萬兆光口≥12個，支持擴展槽≥2個，高度≤1U，雙電源；整機吞吐量≥40Gbps，每秒新建連接數(shù)≥35萬，最大并發(fā)連接數(shù)≥1200萬；硬件要求2U設(shè)備；支持冗余雙電源；萬兆光口≥4個；千兆電口≥4；支持接口擴展，擴展插槽≥5個，整機最多可支持20個萬兆光口。應(yīng)急運維為便于運維，硬件面板應(yīng)支持專門的一鍵重啟按鍵，必要時可在不登錄設(shè)備的情況下一鍵重啟設(shè)備。地址轉(zhuǎn)換支持NAT地址轉(zhuǎn)換，支持源目的地址轉(zhuǎn)換，目的地址轉(zhuǎn)換和雙向地址轉(zhuǎn)換；可靠性為保證業(yè)務(wù)連通性，設(shè)備在特征庫升級時不影響系統(tǒng)轉(zhuǎn)發(fā)；IPv6/IPv4互訪支持IPv6與IPv4互訪；智能安全策略生成支持自動生成安全策略。統(tǒng)一管理平臺可通過對流量日志的統(tǒng)計整理，自動生成安全策略，并下發(fā)給防火墻設(shè)備，提高運維人員工作效率；部署模式支持二層模式（透明模式）、三層模式（路由和NAT模式）和混合模式；訪問控制策略訪問控制策略支持基于源/目的IP，源/目的端口，源/目的區(qū)域，用戶（組），應(yīng)用/服務(wù)類型的細化控制方式；故障定位支持通過命令行的方式對設(shè)備內(nèi)部數(shù)據(jù)流進行分析，可快速定位造成故障的防火墻內(nèi)部功能模塊，便于進行故障排查；長鏈接支持基于不同安全策略設(shè)定會話長連接老化時間；鏈路聚合支持鏈路聚合功能、接口狀態(tài)同步功能；路由協(xié)議支持靜態(tài)路由、等價路由，支持RIP、RIPng；OSPFv2/v3動態(tài)路由協(xié)議；虛擬化支持多虛一部署，可將兩臺物理設(shè)備虛擬化成一臺邏輯上的設(shè)備；配置回滾支持配置回滾，并可對比回滾前后配置文件中的不同；安全策略冗余分析支持對安全策略進行冗余分析，并支持按不同時間段篩選未匹配的策略功能，且可以對其進行禁/啟用或者刪除操作；可靠性為保證業(yè)務(wù)連通性，設(shè)備在特征庫升級時不影響系統(tǒng)轉(zhuǎn)發(fā)；IPv6/IPv4互訪支持IPv6與IPv4互訪；攻擊防護支持Land、Smurf、Fraggle、WinNuke、PingofDeath、TearDrop、IPSpoofing攻擊防護；支持SYNFlood、ICMPFlood、UDPFlood、ARPFlood攻擊防護，支持IP地址掃描，端口掃描防護，支持ARP欺騙防護功能、支持IP協(xié)議異常報文檢測和TCP協(xié)議異常報文檢測；入侵防御入侵防護漏洞規(guī)則特征庫數(shù)量在6000條以上，入侵防護漏洞特征具備中文相關(guān)介紹，包括但不限于漏洞名稱，危險等級，對應(yīng)CVE編號；支持自定義特征，可基于方向、協(xié)議、字符串、正則表達式、源端口、目的端口等維度進行特征自定義，并可自行設(shè)置特征嚴重等級（警告、一般、嚴重、致命、廢除），滿足用戶定制化需求；病毒防護檢測到病毒后的操作支持阻斷，記錄殺毒日志；支持對HTTP，F(xiàn)TP，SMTP，POP3協(xié)議進行病毒文件檢測；內(nèi)置專業(yè)病毒特征庫，特征數(shù)量不少于10000條，用戶可以根據(jù)自身的安全需求設(shè)置高、中、低三種流行度規(guī)則，可以設(shè)置告警、阻斷、郵件病毒替換、TCPReset等方式進行防御，并且用戶可以自定義配置告警推送內(nèi)容流量清洗支持對信任區(qū)域主機外發(fā)的異常流量進行檢測，如ICMP，UDP，SYN，DNSFlood等DDoS攻擊行為；管理權(quán)限分級支持管理員權(quán)限分級，支持安全管理員、審計員、系統(tǒng)管理員三種權(quán)限；質(zhì)保提供五年質(zhì)保、三年入侵防御及病毒庫升級授權(quán)。2.8機框式安全網(wǎng)關(guān)指標項指標要求硬件要求雙引擎、雙電源、業(yè)務(wù)槽位數(shù)≥4;接口要求8個千兆電口、8個千兆光口，48個萬兆光口；體系架構(gòu)采用專用的硬件平臺，需采用CLOS架構(gòu)的機框式產(chǎn)品;安全處理性能整機支持最大安全能力160Gbps，本次配置一塊40Gbps吞吐下一代防火墻板卡；端口聚合支持同一塊板卡、跨板卡的鏈路聚合；設(shè)備管理支持主機和業(yè)務(wù)模塊統(tǒng)一IP管理和統(tǒng)一的配置界面，支持統(tǒng)一網(wǎng)管功能。地址轉(zhuǎn)換支持NAT地址轉(zhuǎn)換，支持源目的地址轉(zhuǎn)換，目的地址轉(zhuǎn)換和雙向地址轉(zhuǎn)換；業(yè)務(wù)流量管理可以按需定義業(yè)務(wù)流，并指定流量經(jīng)過的業(yè)務(wù)模塊。可靠性為保證業(yè)務(wù)連通性，設(shè)備在特征庫升級時不影響系統(tǒng)轉(zhuǎn)發(fā)；IPv6/IPv4互訪支持IPv6與IPv4互訪；虛擬化支持多虛一虛擬化、一虛多虛擬化部署。網(wǎng)絡(luò)特性支持三層接口、Acess接口及Trunk接口。智能安全策略生成支持自動生成安全策略。統(tǒng)一管理平臺可通過對流量日志的統(tǒng)計整理，自動生成安全策略，并下發(fā)給防火墻設(shè)備，提高運維人員工作效率；部署模式支持二層模式（透明模式）、三層模式（路由和NAT模式）和混合模式；訪問控制策略訪問控制策略支持基于源/目的IP，源/目的端口，源/目的區(qū)域，用戶（組），應(yīng)用/服務(wù)類型的細化控制方式；故障定位支持通過命令行的方式對設(shè)備內(nèi)部數(shù)據(jù)流進行分析，可快速定位造成故障的防火墻內(nèi)部功能模塊，便于進行故障排查；長鏈接支持基于不同安全策略設(shè)定會話長連接老化時間；鏈路聚合支持鏈路聚合功能、接口狀態(tài)同步功能；路由協(xié)議支持靜態(tài)路由、等價路由，支持RIP、RIPng；OSPFv2/v3動態(tài)路由協(xié)議；虛擬化支持多虛一部署，可將兩臺物理設(shè)備虛擬化成一臺邏輯上的設(shè)備；配置回滾支持配置回滾，并可對比回滾前后配置文件中的不同；安全策略冗余分析支持對安全策略進行冗余分析，并支持按不同時間段篩選未匹配的策略功能，且可以對其進行禁/啟用或者刪除操作；攻擊防護支持Land、Smurf、Fraggle、WinNuke、PingofDeath、TearDrop、IPSpoofing攻擊防護；支持SYNFlood、ICMPFlood、UDPFlood、ARPFlood攻擊防護，支持IP地址掃描，端口掃描防護，支持ARP欺騙防護功能、支持IP協(xié)議異常報文檢測和TCP協(xié)議異常報文檢測；入侵防御入侵防護漏洞規(guī)則特征庫數(shù)量在6000條以上，入侵防護漏洞特征具備中文相關(guān)介紹，包括但不限于漏洞名稱，危險等級，對應(yīng)CVE編號；支持自定義特征，可基于方向、協(xié)議、字符串、正則表達式、源端口、目的端口等維度進行特征自定義，并可自行設(shè)置特征嚴重等級（警告、一般、嚴重、致命、廢除），滿足用戶定制化需求；病毒防護檢測到病毒后的操作支持阻斷，記錄殺毒日志；支持對HTTP，F(xiàn)TP，SMTP，POP3協(xié)議進行病毒文件檢測；內(nèi)置專業(yè)病毒特征庫，特征數(shù)量不少于10000條，用戶可以根據(jù)自身的安全需求設(shè)置高、中、低三種流行度規(guī)則，可以設(shè)置告警、阻斷、郵件病毒替換、TCP