No.

项目

工作说明

1-1

网络入侵防护系统IPS(1台)

1、标准机架式硬件，2U，支持冗余电源，转速7200转/分钟4T机械硬盘，提供≥4个10/100/1000M电口（2路Bypass），提供≥4个千兆SFP光口，提供≥2*扩展槽位，2*USB接口，1*RJ45串口，2*千兆电口(管理*1,热备*1)，含液晶屏，CPU：i5 8400；内存：32G；

2、应用层吞吐量≥2Gbps,网络层吞吐量≥11Gbps。

3、支持流式防病毒、启发式防病毒（文件还原技术），且病毒库在900万以上。支持HTTP、FTP、SMTP、POP3、IMAP、NFS、SMB2、工控（IEC-61850、IEC 60870）等协议。

4、系统支持基于信誉的僵尸网络检测能力，具备可以持续升级的信誉库，通过信誉库内的恶意网站IP、C&C服务器地址的信誉值执行相应的防护动作。

5、系统需提供入侵规则分类，帮助更便捷的制定防护策略。如勒索、挖矿、SQL注入、XSS注入、webshell、命令代码执行、内存破坏、类型混淆、反序列化、信息泄露、目录遍历、文件操作漏洞、注入攻击、重定向漏洞、CSRF、僵木蠕、拒绝服务、弱口令、欺骗劫持、扫描类攻击等。

6、系统支持URL分类本地库和云端查询能力，可实现高风险、不良网站的过滤，规范上网行为。可提供本地搜索，手动研判可疑URL。

7、主机*1，冗余电源，入侵检测防护模块（规则库）升级授权≥3年，机械硬盘≥4T万兆光模块≥4

8、系统应提供DoS/DDoS攻击防护能力，支持PING/UDP/SYN/ACK/DNSReply/DNSReqFlood，支持TCPPortScan/UDPPortScan,支持PINGSweep，支持ARPSpoof以及HTTPGET/HTTPPOSTFLood等常见的DoS/DDoS的攻击

9、系统应提供敏感数据保护功能，能够识别、阻断、告警超过阈值的敏感数据信息，其中敏感数据包括身份证号、银行卡、电话号码等，且支持自定义敏感数据

10、系统应能识别主流的应用程序，识别不少于6000个应用。支持至少5G应用，支持PFCP、NAS、HTTP2、S1AP、MML等协议；至少20种工控协议，如IEC、DNP3等协议

11、维保应急：三年的入侵检测防护授权。三年软件及硬件维保；工程师7*24H响应，设备出现问题工程师2小时内到现场。设备出现严重故障无法使用时，由备机库发出一台不低于同型号备机替换周转，4小时内到达现场。客户设备维修完成上架后，返回备机。

1-2

WEB应用防护系统WAF（1台）

1、2U,含交流冗余电源模块,2*USB接口,1*RJ45串口,2*GE管理口。4*GE电口(BYPASS),4*千兆光口，2个接口扩展插槽位，可购买千兆（光、电）、万兆光链路扩展板卡。CPU：inteli510400，内存：128GSSD，硬盘：转速7200转/分钟，1TSATA

2、应用层吞吐量≥3Gbps。

3、提供针对主流Web服务器及插件的已知漏洞防护。Web服务器应覆盖主流服务器：apache、tomcat、lightpd、NGINX、IIS等插件应覆盖:dedecms、phpmyadmin、PHPWind、shopex、discuz、ecshop、vbulletin、wordpress等，提供Java反序列化漏洞（Jboss）防护规则。

4、提供对HTTP协议合法性进行验证，支持对HTTP协议的URI、HOST、UA、Cookie、Referer、Content、Accept、Range、其他头部和参数在内的元素、参数进行检测与处理。且支持非法编码和解码的灵活控制与处理。

5、提供基于规则和语义分析的检测引擎，提升SQLi和CMDi和CODEi检测精度

6、提供HTTP访问控制功能，可以提供针对HTTP元素和客户端的组合访问控制策略。支持对多种HTTP方法执行访问控制，包括：GET、POST、HEAD、PUT、DELETE、MKCOL、COPY、MOVE、OPTIONS、PROPFIND、PROPPATCH、LOCK、UNLOCKTRACE、SEARCH、CONNECT。

7、提供基于五元组（源IP地址、目的IP地址、源端口、目的端口、协议类型）及接口的网络层访问控制功能

8、主机*1，冗余电源，规则模块升级授权≥3年，硬盘≥4T，万兆光模块≥2

9、基于规则和语义分析的检测引擎，提升SQLi和CMDi和CODEi检测精度

10、提供对注入（包括SQL注入、LDAP注入、XPATH注入及命令行注入）、XSS、SSI指令、路径穿越、远程文件包含、WebShell防护

11、提供对HTTP站点和HTTPS站点提供服务器探测功能

12、提供自定义HTTPS监听端口，不完全依赖缺省的443端口

13、提供HTTPS国密算法

14、维保应急：3年规则升级；硬件设备36个月维保；工程师7*24H响应，设备出现问题工程师2小时内到现场。设备出现严重故障无法使用时，由备机库发出一台不低于同型号备机替换周转，4小时内到达现场。客户设备维修完成上架后，返回备机。

1-3

三层25G交换机（2台）

1、配置≥48个25G SFP28，≥6个100GEQSFP28

2、CPU和LSW要求国产化

3、支持静态路由、RIPV1/2、OSPF、IS-IS、BGP、RIPng、OSPFv3、BGP4+、ISISv6

4、支持IPv4路由表项≥256K，提供权威第三方测试报告

5、支持IPv6路由表项≥80K，提供权威第三方测试报告

6、支持统一用户管理功能，支持802.1X/MAC等多种认证方式

7、支持横向堆叠，主机堆叠数不小于9台

8、支持NetStream

9、支持本地管理和云盒两种方式，可以通过云管理平台对交换机进行云端配置、监控、巡检等，减少部署和运维的投入，降低网络的OPEX，提供权威第三方测试报告

10、以灵活定义自己的逻辑拓扑、SLA需求、可靠性和安全等级，以满足不同业务、行业或用户的差异化需求。

11、冗余电源、40G堆叠线缆*1、万兆光模块≥2,千兆光模块≥2，25G光模块≥10。

12、维保应急：软硬件设备36个月维保；工程师7*24H响应，设备出现问题工程师2小时内到现场。设备出现严重故障无法使用时，由备机库发出一台不低于同型号备机替换周转，4小时内到达现场。客户设备维修完成上架后，返回备机。

1-4

千兆交换机

(2台)

1、交换容量≥1.2Tbps，提供官网截图

2、包转发率≥460Mpps，提供官网截图

3、为了提高设备可靠性，支持模块化可插拔双电源

4、配置48个10/100/1000Base-T以太网端口，4个万兆SFP+端口

5、支持业务扩展插槽数≥1，扩展支持8个SFP+端口，整机最大支持12个万兆SFP+端口

6、整机缓存≥128MB

7、支持静态路由、RIPV1/2、OSPF、IS-IS、BGP、RIPng、OSPFv3、BGP4+、ISISv6

8、支持SNMPv1/v2/v3、Telnet、RMON、SSH，支持VLAN条目数≥4000

9、支持Telemetry技术，实时采集设备数据并上送至网络分析组件平台，通过智能故障识别算法对网络数据进行分析，精准展现网络实时状态，及时定界故障以及故障发生原因，精准保障用户体验

10、配置冗余电源，万兆光模块≥4个

11、维保应急：软硬件设备36个月维保；工程师7*24H响应，设备出现问题工程师2小时内到现场。设备出现严重故障无法使用时，由备机库发出一台不低于同型号备机替换周转，4小时内到达现场。客户设备维修完成上架后，返回备机。

1-5

负载均衡（1台）

1、提供≥16*10/100/1000M电口，4*千兆SFP插槽，6*万兆SFPP插槽，4*Combo口，2*可选扩展插槽，4*风扇，

2、网络层吞吐量≥6Gbps,最大并发连接数≥500万,新建连接数≥9万

3、提供以下协议的ALG功能，包括但不限于DNS、RTSP、PPTP、SCCP、XDMCP、FTP、RSH、NBT、SCCP、H323、SQLNET、MGCP、SCTP、SIP

4、提供RIP、OSPF、BGP等路由协议以及各自的IPv6版本

5、提供多种链路检测方法，能够通过ICMP、UDP、TCP、FTP、DNS、HTTP、RADIUS、SSL、HTTPS、TCP half-open、SNMP-DCA、RADIUS-ACCOUNT等方式监控链路的连通性

6、当内网用户访问某一个特定地址时，根据本链路当前到达此目的地址的实际链路状态进行调度，而不是依据固定的静态算法

7、提供基于目的地址、源+目的地址的会话保持，使每个用户访问同一个业务保持在相同链路上，避免由于链路切换造成业务访问失败

8、提供DDNS，动态更新DNS服务器上域名和IP地址之间的对应关系，保证通过域名解析到正确的IP地址。

9、通过ICMP、TCP、DNS等方式，检验SNAT地址池中的地址有效性，避免出口SNAT池中地址被意外封杀后仍然被使用造成网络访问中断

10、提供包括轮询、加权轮询、随机、最小连接、加权最小连接、带宽、最大带宽、源IP地址哈希、源IP地址和端口哈希、目的IP地址哈希、基于实服务器优先级调度、带宽算法、最大带宽算法、最快响应算法、动态反馈、HTTP哈希、HTTPCARP哈希、源IP地址CARP哈希、源IP地址和端口CARP哈希、目的地址CARP哈希、加权最小连接（基于成员）、最快响应（基于成员）、UDP强制负载分担（基于SIP的负载分担）、基于源地址调度、本地优先级等服务器负载均衡算法

11、提供并实配TCP连接复用，减少服务器侧的TCP新建压力

12、提供SSL卸载，可以将客户端的HTTPS请求解密为HTTP明文请求发送给服务器，减轻服务器加解密压力

13、提供ICMP-Flood防护、UDP-Flood防护、SYN-Flood防护、Land、Smurf、Fraggle、PingofDeath、TearDrop、IPSpoofing、IP分片报文、DNSQueryFlood、TCP报文标志位不合法、超大ICMP报文、地址扫描、端口扫描等攻击防范

14、实配：冗余电源、硬盘480G≥2，万兆光模块≥5

15、维保应急：软硬件设备36个月维保；工程师7*24H响应，设备出现问题工程师2小时内到现场。设备出现严重故障无法使用时，由备机库发出一台不低于同型号备机替换周转，4小时内到达现场。客户设备维修完成上架后，返回备机。

1-6

服务器配件-10个

MegaRAIDSAS9460-16i支持raid模式支持直通模式，36个月维保

服务器配件-10个

MegaRAIDSAS9460-8i支持raid模式支持直通模式，36个月维保

服务器配件-10个

服务器硬盘背板-后置的小盘背板，36个月维保

服务器配件-80个

64GDDR4-2933MHZECC-RDIMM，36个月维保

服务器配件-20个

SamsungSASSSDPM1643SeriesMZILT3T8HALS00007(3.84TB,2.5-inch)，36个月维保

服务器配件-10个

浪潮双口25Gbps_2Port_LC_Intel_E810网卡，36个月维保

服务器配件-20个

SFP_WTD_LC_IN-SP251SRLC_25G_SFP28_MM，36个月维保

2-1

超融合云统一管理平台软件

超融合云统一管理平台软件（数量20CPU）

(1)包括了计算、存储、网络虚拟化软件，管理平台，容器管理平台，和企业级云管平台。

(2)虚拟化软件将私有云中的各种资源池化，提高利用率。

(3)在云管平台中，包括了面向管理员的云运维管理平台，和面向项目组的云自助门户。

原厂License+原厂Production服务三年：

7*24小时原厂技术支持，非OEM产品及技术支持。且含产品更新及升级

超融合、云统一管理平台构筑技术要求：

（1）为了保护既有投资，本期项目利旧10台物理服务器通过软、硬件改造，构建新的基础云平台资源池。扩容基础云平台资源池需要通过计算、存储和网络虚拟化软件将上述资源池化，标准化。扩容资源池可以和北京现有基础云资源池有效整合。多资源池可以协同工作，工作负载可以在不同资源池的集群间在线迁移。迁移的工作负载所有配置、策略保持不变，自动化的脚本可共用。

(2)为了避免给公司带来的安全风险，扩容基础云平台资源池必须具备同时支持管理传统虚拟机应用和云原生容器应用的能力。在一个管理平台中，管理员可以方便的对虚拟机和K8S集群进行生命周期管理，创建虚拟机和K8S所需资源，并且实现对资源的分配和隔离。基础云平台具备K8S集群的生命周期管理能力，包括集群的创建、升级、扩容和删除等，支持多K8S集群；容器运行于虚拟化之上，提供完整的容器网络和存储方案，满足容器的高性能和隔离性要求；构建企业级的镜像仓库，在业务上线前，镜像必须进行安全扫描。

（3）扩容资源池支持被现有基础云运维和管理平台纳管。扩展现有基础云运维平台监控范围，除传统基础架构作为监管范围外，支持将操作系统和应用纳入监控管理范围；支持数据中心内跨集群的动态智能工作负载管理以提升应用性能；优化现有基础云运维平台定制化仪表盘内容，提供实时容量、性能、告警等内容的大屏展示。

(4)为了保障平台的安全性，新、旧资源池支持构建统一的安全基线，包括但不限于，账号配置安全、口令配置安全、授权配置、日志配置、IP通信配置，支持同样的模版和网络安全配置。当虚拟机在不同数据中心迁移时，策略会随虚拟机漂移，无需重新配置。

（5）扩容基础云平台通过软件定义网络技术，提供完整的网络功能，网络拓扑可以随应用的变更非常方便的修改，无需在物理网络设备上配置。扩容基础云平台具备和现有基础云平台网络二层打通的能力，为未来将多个私有云在数据层和业务层打通，构建多活数据中心提供网路扩展能力，使业务具有抵抗数据中心级别故障的能力，进一步提高业务连续性。

(6)扩容基础云资源池具备云自助门户改造能力，实现服务自动化交付。未来项目组可根据发布的服务进行申请所需要的服务，包括应用所需的资源、策略和安全配置。基础云平台进行自动化交付改造时无需再购买额外软件许可。

（7）扩容的基础云平台必须配套3年7*24原厂技术支持，任何第三方包括OEM都不能被认定为原厂商。实施服务和供货周期要求

2-2

虚拟化平台用备份软件

功能描述：

1、全局可视化企业级监控软件，提供从应用到系统的可视化完整的容量规划和故障分析；

2、应用感知的备份恢复，即时虚拟机