数据中心超融合平台及网络安全建设需求

数据中心超融合平台及网络安全建设需求序号名称功能参数数量/单位预算金额（元）硬件类1超融合平台超融合平台硬件设备硬件参数：1、规格：2U机架式；2、CPU：≥2颗处理器，单颗处理器核心数16核、处理器主频2.4GHZ；3、内存：≥8*32GBDDR43200Mhz；4、存储：支持盘位数12块，本次配置系统盘：2*120GB企业级SSD；缓存盘：2*960G企业级SSD；数据盘：6*6Tb企业级；5、网络：4千兆电口+2万兆光口；6、电源：提供冗余白金电源；7、三年硬件上门保修服务。3套2存储交换机1U机架可管理交换机，端口：≥12个万兆光口，≥12个千兆电口；交换容量≥1.28Tbps/12.8Tbps，包转发率≥480Mpps；支持全端口线速转发；

配置满足超融合平台使用需求的光纤模块及跳线；三年软件升级和硬件质保服务；2台3业务管理交换机1U机架可管理交换机；≥24个千兆电口，≥4个万兆光口；交换容量≥432Gbps/4.32Tbps，包转发率≥156Mpps/168Mpps；支持全端口线速转发；5、配置满足超融合平台使用需求的光纤模块及跳线；三年软件升级和硬件质保服务；2台4下一代防火墙1、专业下一代防火墙，ARM架构CPU，国产操作系统；2U标准机架设备，接口≥1个管理口+5个千兆电口+4个千兆光口+4个万兆光口，冗余电源；主机内存大小≥16G，硬盘容量≥128GSSD；出于安全性考虑，面板不可配置液晶屏；包含三年软件升级与硬件质保服务。2、性能指标：网络层吞吐量≥39Gbps，应用层吞吐量≥9Gbps，并发连接数≥4000万，每秒新建连接数≥23万；3、产品支持聚合接口功能，最多支持将4个物理接口聚合成一个更高性能的逻辑链路接口。产品支持静态路由、策略路由和多播路由协议，并支持BGP、RIP、OSPF等动态路由协议。4、产品支持IPv4/IPv6双栈模式，实现网络与其他支持IPv4或IPv6协议的主机进行正常通信。5、产品具备Web应用攻击检测引擎，支持文件包含攻击、抵御注入式攻击（包含SQL注入、系统命令注入）、信息泄露攻击、跨站脚本（XSS）、网站扫描、WEBSHELL后门攻击、跨站请求伪造、目录遍历攻击、WEB整站系统漏洞等应用层攻击行为，安全特征规则超过3320种。6、产品具备至少对ARPFlood、ICMPFlood、SYNFlood、DNSFlood、UDPFlood等泛洪类攻击防护的能力，并支持IP地址扫描和端口扫描攻击防护。7、产品具备入侵防御检测引擎，支持对各类漏洞利用攻击进行检测与防护，产品支持超过7200种特征规则数量；支持僵尸网络检测功能，防止失陷主机威胁内网扩散。8、产品支持对多重压缩文件的病毒检测能力，支持不小于12层压缩文件病毒检测与处置。9、产品支持服务器自动侦测功能，采用双向流量检测技术识别网络中的服务器对象。10、产品支持在单条安全策略中可同时启用入侵防御、防病毒、URL过滤、文件过滤、Web应用防护等安全功能，简化安全策略部署。11、产品支持应用控制策略生命周期管理，一个界面包含安全策略的变更时间、变更类型和策略变更用户，并对变更内容记录日志，方便安全策略管控。1台5负载均衡设备1、标准2U机架设备，采用CPU和国产操作系统，设备接口≥6个千兆电口、≥4个千兆光口、≥2个万兆光口；系统内存≥16GB；存储容量≥240G；四层吞吐量≥10Gbps；四层并发连接数≥18000000；四层新建连接数≥10万CPS；七层新建连接数≥7万RPS；包含三年软件升级与硬件质保服务。2、部署模式：支持串接部署方式和旁路部署方式，支持三角传输模式；3、支持轮询、加权轮询、按主机加权轮询、加权最小连接、按主机加权最小连接、动态反馈、最快响应、加权最小流量、按主机加权最小流量、加权源IP哈希、带宽比例、哈希、首个可用、优先级等算法；4、支持基于五元组条件（源IP地址，源端口，目的IP地址，目的端口，传输层协议号）来进行出站访问的流量调度分发；5、支持基于管理员自定义的时间计划来进行出站访问的流量调度分发；6、支持基于应用协议的智能选路，能对网银、游戏、视频等流量进行调度；7、支持HTTP被动健康检查，可配置指定检查URL、响应状态码、响应超时时间、统计时间以及可设置异常URL上限，并且能开启/关闭调试日志功能；8、支持TCP被动健康检查，可配置统计时间、监视类型、保护时间等，并且能开启/关闭调试日志功能；9、节点支持域名和IP两种形式，支持根据DNS应答的TTL值和指定时间作为DNS查询间隔；10、支持基于HTTP请求和应答的改写，请求支持改写URI、插入头部、删除头部、改写头部和内容改写等方法；应答支持插入头部、改写头部、内容改写和返回自定义内容等方法；11、支持标准的DNS服务，支持正向解析和反向解析功能，支持常用的记录类型，包括A、AAAA、CNAME、DNAME、MX、NS、TXT、PTR、SRV、DS、CAA、HINFO和NAPTR等；12、支持DNS缓存，可配置全局缓存最小时间和最大时间，并可设置MSG缓存大小、RR缓存大小、密钥缓存大小、否定记录缓存大小和否定记录最大缓存时间；13、IPv6改造方案能够解决天窗问题，支持一条策略匹配多个外链网站，同时外链和网站子链发生修改时支持自动识别并做主动修改，不允许通过人工解析配置的方式解决天窗问题；14、内置完备的IP地址库，无需手动导入并支持自动全网更新，可查看并编辑各国家、国内各省份的IP地址段和国内各大运营商IP地址段，并可灵活匹配IP地址库进行流量调度分发，实现链路负载功能15、支持链路负载投屏展示，能够分别基于链路监测、应用选路和ISP流量进行投屏展示分析。链路监测展示链路的健康状态、上下行带宽、总带宽、新建连接数、并发连接数和吞吐量；应用选路展示基于应用分类选择相应链路的示意图；ISP展示基于运营商分类选择链路的示意图。1台6机柜42U机柜，规格600*1000*2000mm(宽度、深度、高度)含8位10A机柜PDU电源插座*21台软件类7超融合软件一、计算服务器虚拟化软件（6颗CPU授权，3年升级服务）1、支持对超融合平台的硬件进行监控和大屏展示，包含CPU，内存，网卡，硬盘，存储，RAID等硬件健康检测，便于及时发现问题并提供相应异常检测项的恢复指导建议；2、支持平台中的集群资源环境一键检测，对硬件健康、平台底层的虚拟化的运行状态和配置，进行多个维度进行检查，提供快速定位问题功能，确保系统最佳状态运行；3、提供热添加CPU、内存、磁盘、网卡的功能，无需中断或停机即可实现虚拟资源的在线添加；4、支持漏洞及版本信息巡检、推送补丁及升级信息，并支持补丁管理、更新、回滚等功能；5、支持在本地管理平台实现对VMwarevCenter中的虚拟机备份，并能够在超融合平台实现VMware虚拟机的启动恢复；支持双向迁移，可将VMware虚拟机在运行状态下迁移到超融合平台上，也可将超融合平台上的虚拟机在运行状态下迁移到VMwarevCenter的集群中，迁移结束后可选择自动或手动重启虚拟机；6、虚拟机可安装独立的操作系统，并具备良好兼容性，支持操作系统Linux、红旗linux、中标麒麟、中标普华等；7、虚拟机资源告警项支持虚拟机CPU利用率、内存利用率、虚拟机单网口链接session数过高、虚拟机过期时间等，并可检测异常状态持续时间，支持检测虚拟机镜像文件损坏、备份失败、虚拟机与外部网络不通等监控告警，用户可自定义告警项并支持通过邮件和短信进行告警；8、支持点击还原按钮，还原回收站列表指定项，可恢复30天内已删除的虚拟机，可以查看回收站列表项信息，包括名称、描述、存储和删除时间和保留时间；9、为了更好的保护用户数据，支持设置定期全量备份、增量备份，支持用户灵活配置备份策略，支持将虚拟机的备份文件定期归档到第二存储；10、支持IO重试，当存储出现故障导致虚拟机无法读取存储数据时，可自动挂起虚拟机以避免业务损失；11、支持自动收集相关组件的日志、告警，提供告警合并和日志审计功能；12、管理平台支持扩展同品牌的存储虚拟化、网络功能虚拟化、虚拟应用防火墙、虚拟应用交付、SSLVPN软件、数据库审计软件等功能组件，并统一管理；二、存储虚拟化软件（6颗CPU授权，3年升级服务）1、支持存储虚拟化功能，在统一管理平台上使用License激活的方式即可开通使用，存储虚拟化与计算服务器虚拟化为紧耦合架构，减少底层开销，提升性能；2、支持标准的iSCSI协议，允许外部物理主机或应用通过标准的iSCSI接口访问虚拟存储，实现ServerSAN、IP-SAN、FC-SAN、NAS的融合。通过iSCSI透传/非透传指令使虚拟机支持存储裸设备映射（RDM），可以将存储设备上的LUN直接映射给虚拟机使用；3、支持存储分卷功能，以物理主机为单位划分为不同的存储卷，可将集群内全闪存的节点组成一个高性能存储池，满足高性能应用需求，将混闪节点组成一个大容量存储池，满足低性能大容量应用需求；所有类型不同性能磁盘均可支持分区，包含SSD，SAS，SATA，NL-SAS等；4、支持为虚拟磁盘配置不同的存储策略以满足特定场景的需求,如系统盘和数据盘选择高性能策略,备份盘选择低性能策略；5、支持数据自动重建机制，当主机或者磁盘故障后，自动利用集群内空闲磁盘空间，将故障数据重新恢复，且重建速度最快可达30min/TB，快速恢复副本的完整性和冗余度，确保用户数据的可靠性和安全性；6、支持数据重建智能保护业务性能，可以对数据重建速度进行智能限速，避免数据重建过程中IO性能占用导致对业务的性能造成影响；7、支持数据重建智能保护业务性能，可以对数据重建速度进行智能限速，避免数据重建过程中IO性能占用导致对业务的性能造成影响；8、支持多种克隆方式，实现虚拟机秒级启动，可根据需求选择克隆方式，包括节省空间的基于源虚拟机镜像文件生成链接克隆虚拟机、和保证业务高性能的基于源虚拟机镜像文件生成链接克隆虚拟机后进行源虚拟机数据的完整拷贝；9、为了便于部署关键业务系统，虚拟存储可支持OracleRAC，支持共享盘，及共享块设备，支持向导式安装，降低部署复杂度；10、支持多种硬盘状态检测监控及告警，包括“健康”状态、“亚健康”状态、“故障”状态，不同状态的硬盘在UI上呈现不同的特征或告警，让用户能够区分处理。11、支持坏道修复功能，发现坏道后，主动修复坏道区域的数据，及时恢复数据副本的冗余性；当硬盘的坏道数过多，系统能自动将该盘的数据迁移至其他健康的硬盘上，保障数据的安全；12、分布式存储性能随存储节点数增加线性增长，能够提供百万级IOPS和12GB/s以上的带宽能力；三、网络虚拟化软件（6颗CPU授权，3年升级服务）1、通过License激活的方式，实现网络虚拟化功能（分布式虚拟交换机、虚拟路由器、虚拟应用防火墙、虚拟应用负载均衡），支持Vxlan网络和现有的Vlan网络对接，实现虚拟化平台与原有网络的兼容性；2、在管理平台上通过拖拽虚拟设备图标和连线即可完成网络拓扑的构建，快速实现整个业务逻辑，可以便捷的连接、开启、关闭虚拟网络设备，支持对整个平台虚拟设备的统一的管理；3、持链路聚合，为网络中的每个虚拟机提供内置的网络故障切换和负载均衡能力，实现更高的硬件可用性和容错能力；4、支持ACL功能，通过ACL来控制虚拟机之间的网络访问能力，进而保障部署在虚拟机上的业务资源的安全性；支持根据报文的源和目的IP地址信息、源和目的IP地址及源和目的端口制定匹配规则；5、分布式防火墙基于监测虚机IP地址和端口进行东西向流量隔离控制，并提供实时拦截日志，以及支持“数据直通ByPass”功能，方便出现问题快速定位问题；6、提供虚拟路由器、虚拟交换机等设备的连通性探测功能，方便在虚拟化环境中进行相应的故障排除和恢复，能够定位到出现故障的虚拟网络设备，方便快速排查问题保障业务的高连续性；7、支持主动探测业务系统，实时监控业务可用性，监控策略包括HTTP、FTP、POP3、SMTP、自定义端口协议等，当业务出现故障时，可通过多种方式（短信、邮箱）告知管理员进行排障；四、云计算管理平台软件（6颗CPU授权，3年升级服务）1、与底层资源池部分的（计算虚拟化、存储虚拟化、网络虚拟化）均为同一厂商，并扩展同品牌网络和安全虚拟化（虚拟应用防火墙、虚拟应用负载均衡等）功能组件，以保障平台的扩展性和兼容性；2、支持通过连通域实现跨地域的多集群管理；3、支持大屏展示便于客户直观查看虚拟化资源池的使用情况和健康状态，包括集群资源情况，各主机资源使用情况，存储资源池的IO次数、IO速率、IO时延、存储命中率、主机命中率，以及集群故障与告警，支持Top5主机CPU和内存利用率、Top5虚拟机CPU和内存利用率信息大屏展示等；4、支持主备切换，当主平台发生故障时，能够切换到备平台，保障云平台稳定运行；5、支持上传或利用现有云主机创建镜像，可对镜像进行管理、关联资源池等操作，可通过镜像实现一键快速创建云主机及安全组件；6、支持对Oracle单机和RAC的自动化部署、RAC自动切换、备份与恢复、监控报表、手动和自动巡检等运维管理功能；7、支持纳管主流第三方虚拟化平台，可对VMware集群进行统一纳管，对VMware虚拟机进行新建、删除、编辑、开关机、分配到租户、远程登录控制台等操作；也对VMware资源进行计量计费、租户划分、工单审批等操作；五、远程接入服务1、超融合平台提供1年60个SSLVPN并发接入使用授权。2、支持用户终端登录前、登陆后的安全性检测，检测范围包括：用户接入IP、接入时间、接入线路IP、进程、文件、注册表、操作系统、识别终端，可以检测出客户端是否安装指定的防火墙或杀毒软件；3、支持PC终端使用Linux等主流操作系统来登录SSLVPN系统，并完整支持该操作系统下的各种IP层以上的B/S和C/S应用；支持Android等操作系统的智能手机、PDA、平板电脑（PAD）等移动终端的SSLVPN接入；移动端（Android）支持通过PPTP、L2TPVPN方式接入；4、支持终端使用包括IE6、7、8、10、11或其他IE内核的浏览器，以及最新版本的非IE内核浏览器登录SSLVPN系统，登录后可完整支持各种IP层以上的B/S和C/S应用；5、支持智能递推技术，针对多外链的门户网站进行动态嗅探页面内的链接并完成资源自动授权，防止资源漏访；支持Web参数修正，可针对Flash、Java、Applet、或视频播放器对象所引用资源路径进行修正，避免无法播放的问题；6、支持针对不同的web页面进行数据优化，支持动态压缩技术，基于数据流进行压缩，减少不必要的数据传输；7、提供环境检测、自动修复工具，支持对操作系统的环境兼容性一键检测能力，以及对检测结果进行一键修复的能力，避免由于用户操作系统环境存在问题影响SSLVPN的使用，减轻运维工作；1套8终端检测与响应软件1、纯软件交付，包含管理控制中心及终端客户端软件。提供1个控制中心、500个PC端授权、10个服务器端授权。包含3年软件升级服务。2、采用B/S架构，具备终端安全可视、终端统一管理、统一威胁处置、统一漏洞修复、威胁响应处置、日志记录与查询等功能。3、提供勒索病毒整体防护体系入口，直观展示最近七天勒索病毒防护效果，包括已处置的勒索病毒数量、已阻止的勒索病毒行为次数、已阻止的未知进程操作次数、已阻止的暴力破解攻击次数。4、支持全网风险展示，包括但不限于未处理的勒索病毒数量、暴力破解数量、WebShell后门数量、高危漏洞及其各自影响的终端数量，支持展示全球热点风险事件在网内终端的爆发情况，及时了解、处置网内终端的热点风险事件，并显示影响终端数量。5、支持跳转链接至云端安全威胁响应系统，针对已发生的病毒的基本信息，影响分析（攻击态势分析、影响地区分布）、威胁分析等。6、支持全网视角的终端资产统一清点，清点信息包括操作系统、应用软件、监听端口和主机账户，其中操作系统、应用软件和监听端口支持从资产和终端两个视角进行统计和展示。7、支持客户端的错峰升级或灰度升级，可根据实际情况控制客户端同时升级的最大数量，避免大量终端程序同时更新造成网络拥堵或I/O风暴。8、资产管理：支持对系统账号信息进行梳理，了解账号权限分布概况以及风险账号分布情况，可按照隐藏账号、弱密码账号、可疑root权限账号、长期未使用账号、夜间登录、多IP登录进行账号分类查看，支持统计最近一年未修改密码的账户。9、暴力破解检测：统计单个攻击源及分布式攻击源的暴力破解检测，支持按照RDP、SMB和SSH类型进行封堵并自定义爆破阈值，可对封停时间进行自设置。10、终端合规检查：一键式操作对指定终端/终端组进行合规性检查，包括身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范，对不合规的检查项提供设置建议，并可视化展示终端的基线合规检查结果；一键式操作对指定Linux终端/终端组进行合规性检查，包括身份鉴别、访问控制、安全审计、SSH策略检测、入侵防范、恶意代码防范，对不合规的检查项提供设置建议，并可视化展示终端的基线合规检查结果。1套9日志审计系统1、软件部署方式提供，可与本次新建超融合平台无缝兼容，部署于本次新建超融合平台，至少具有50个主机审计许可证书并可按需扩展，含三年软件升级服务。2、支持主动、被动相结合的数据采集方式，支持通过Agent采集日志数据，支持通过syslog、SNMPTrap、JDBC、WMI、webservice、FTP、文件\文件夹读取、Kafka等多种方式完成日志收集；3、支持通过正则、分隔符、json、xml的可视方式进行自定义规则解析，支持对解析结果字段的新增、合并、映射。4、支持对每个日志源设置过滤条件规则，自动过滤无用日志，满足根据实际业务需求减少采集对象发送到核心服务器的安全事件数，减少对网络带宽和数据库存储空间的占用。5、支持通配符、范围搜索、字段等多种输入方式、搜索框模糊搜索、指定语段进行语法搜索；可根据时间、严重等级等进行组合查询；可根据具体设备、来源/目的所属（可具体到外网、内网资产等）、IP地址、特征ID、URL进行具体条件搜索；支持设置定时刷新频率，根据刷新时间显示实时接入日志事件。6、支持将检索查询的条件收藏为查询模版，支持查询模版创建、导入导出、删除功能，支持历史搜索记录功能；7、支持以TLS加密方式进行日志传输，支持对日志传输状态、最近同步时间等进行监控，可统计每个日志源的今日传输量和传输总量。8、支持自定义审计规则与关联规则，支持网站攻击、漏洞利用、C&C通信、暴力破解、拒绝服务、主机脆弱性、主机异常、恶意软