IT基础设施采购与集成技术需求书.doc

IT基础设施采购与集成技术需求书1.1 项目背景国家免疫规划工作是卫生防病工作的重要组成部分，我国自实行儿童免疫规划以来，疫苗针对传染病的控制工作取得了显著成绩，为加速乙肝控制，使所有新生儿都有机会获得乙型病毒性肝炎（以下简称乙肝）疫苗预防接种，我国政府决定于2002年起将乙肝疫苗纳入儿童免疫规划。为推动西部省份和其他省份贫困地区乙肝疫苗预防接种和安全注射工作，中央财政安排专项资金，同时，争取到全球疫苗免疫联盟（GAVI）和儿童疫苗基金在此领域的合作项目资金。随着经济的发展，免疫规划信息化工作的发展呈现出发展不平衡格局，中西部大部分地区免疫规划服务和管理工作仍停留在简单、落后的手工登记、统计分析等的“原始”时代。随着扩大国家免疫规划工作的实施（国家免疫规划疫苗由7种增加到14种），传统落后的免疫规划信息管理方式已难以适应免疫规划实际工作的需要。流动人口的剧增，群众预防接种意识的增强，为国家免疫规划工作带来了新的难题，对免疫规划管理工作提出了更高的要求。按照卫生部部署，中国疾病预防控制中心于2004年开始建设儿童预防接种信息管理系统，为免疫规划监测信息收集奠定了一定的基础。但由于国家级信息管理平台容量有限，已无法承载目前儿童预防接种管理信息，对未来免疫规划监测的巨大信息的收集和管理更是难以为继。因此，实现国家免疫规划信息网络管理已势在必行，这不仅可以提高预防接种门诊的工作效率、工作质量和管理水平，也是流动儿童的更科学、规范管理有效手段。为落实疫苗流通和预防接种管理条例和预防接种工作规范有关要求，规范预防接种工作行为和信息管理，建立和完善适合新形势发展的全国儿童预防接种信息化管理系统，方便儿童接受免疫服务，根据卫生部关于儿童预防接种信息报告管理工作规范（试行）通知 (卫疾控发2006512号)的要求精神，并根据目前免疫规划信息化发展现状，优先开展国家级免疫规划数据中心建设，完成国家级数据中心基础设施建设以及国家级应用系统平台的建设和部署，完善接种点业务信息管理系统，并为全国数据分中心建设和分级管理奠定基础。1.2 总体业务目标（一）建立预防接种异常反应监测信息管理系统，及时收集和报告疫苗接种后异常反应个案，实现对预防接种异常反应个案信息的动态追踪和管理，为疫苗安全性评价提供重要的信息依据。（二）开发构建支持分级预防接种信息管理系统，收集、汇总、分析预防接种报告统计数据，为国家免疫规划提供决策支持信息依据。（三）通过升级完善接种点业务信息管理系统，逐步实现以接种点个案为基础的预防接种电子化业务管理，逐步扩大预防接种点信息系统的覆盖面。1.3 建设原则（一）总体规划，分步实施免疫规划信息管理系统在国家十二五医改信息化工程公共卫生信息体系建设框架下规划，GAVI项目优先解决总体规划中国家信息管理平台建设等内容。（二）标准统一，资源共享规划统一的业务逻辑架构，建立分级管理的信息系统，实现内外部信息共享。（三）分类建设，逐步到位分类建设数据中心：国家级中心、省级中心（已建8个省、在建7个省，其它省份先期由国家代管），有条件地区建立地、市级数据中心。优先完成国家级数据中心信息平台建设，开发和完善免疫规划信息管理系统。1.4 建设现状目前，昌平新址园区配置核心交换机一台，通过汇聚交换机连接到核心交换机，WEB服务器主要采用刀片服务器，数据库服务器采用小型机，配置两套磁盘阵列，同时配置光纤交换机和虚拟带库。防火墙采用二级异构架构设计，在一级防火墙开启了IPSEC-VPN功能，实现二级院所固定办公地点访问中心协同办公系统，同时在一级防火墙DMZ区域部署了SSL-VPN设备，通过SSL-VPN主要实现移动用户通过SSL-VPN访问业务应用系统及远程维护功能。随着目前业务系统需求不断增加，目前仅购买了200并发用户，无法满足国家级用户访问业务系统需求，亟待扩充。昌平新址核心机房供电系统设计为一级负荷，为保证供配电系统安全可靠，在实际使用中采用双回路供电系统。电源取自综合大楼总配电室的低压母线，其中UPS电源所需容量为两路250KVA进线（一用一备），两路进线互投后供UPS系统；空调动力部分所需容量为一路200KVA进线。机房采用2台200KVA UPS和6组共计198块电池，每台UPS配置为15分钟不间断供电能力。网络及服务器项目建设后，机房中供电系统使用已基本趋于饱和，特别是32A供电线路（部署小型机使用）已全部使用，本次项目的中标方需对供电系统进行扩容改造。二、建设目标与内容2.1 本项目建设目标为实现GAVI项目免疫规划信息化建设的总体业务目标，国家CDC计划在昌平新址园区系统环境下建设国家免疫规划信息管理系统，做为国家公共卫生信息系统的重要组成部分。其中包括网络系统、服务器系统、存储系统、通讯线路以及机房环境扩容等IT基础设施建设，利用虚拟化、模块化、层次化架构设计整合有效资源，满足免疫规划信息管理系统的应用部署，建立数据交换平台，并与具备条件的省份实现数据交换的网络功能，为国家级免疫规划数据中心的建立提供安全、高效、稳定的IT基础网络环境。2.2 本项目建设内容本项目主要包括以下五个方面的建设内容。（1）网络系统按照“中国疾病预防控制中心新址信息系统建设项目”网络系统总体规划与设计要求，在符合网络整体构架设计的前提下，通过对国家疾控中心网络基础设施的补充与完善，构建满足免疫规划信息管理系统的运行环境。具体建设内容为：汇聚交换机、防火墙（一级、二级）、负载均衡（链路、应用）、防DDoS攻击、SSL VPN的设备采购与集成。（2）服务器系统充分考虑GAVI项目的业务需求及发展趋势，采用虚拟化、模块化及层次化架构设计，构建起与其他应用系统相对独立的免疫规划信息管理系统。具体建设内容为：刀片服务器（WEB服务器、应用服务器）、UNIX服务器（应用服务器、数据库服务器），以及硬件管理控制设备的采购及集成。（3）存储系统满足GAVI项目免疫规划信息管理系统数据存储与分析要求，并充分考虑3-5年内的发展情况，建立统一的存储备份系统。具体建设内容为：磁盘阵列、SAN光纤交换机、存储备份管理软件及服务器的设备采购与集成。（4）通讯线路租用为保障互联网接入线路稳定可靠，设计采用多个互联网服务运营商（ISP）链路接入方式。本项目租用两条互联网线路，通过链路负载均衡系统实现双线路接入，为GAVI项目免疫规划信息管理系统提供良好的互联网服务。每条互联网线路设计租用不同的基础电信运营商，每条线路带宽至少为50Mbit/s。 （5）机房环境配合本项目新购设备在核心机房内的安装与部署，按照昌平新址机房环境的实际使用情况，对机房内的UPS供电、综合布线、机柜、地板承重等相关内容进行改造、升级及扩容，从而达到系统上线运行所需动力环境要求，并考虑一定的资源预留。本次应扩充UPS主机（200KVA）一台，电池（100AH/12V）99块，32A空开40个。三、总体设计规划根据免疫规划信息管理系统建设需求及昌平新址园区网总体规划，结合免疫规划信息管理系统局域网、广域网及业务系统现状，采用模块化、层次化结构建设全国数据中心及其外联网，同时考虑容灾系统建设需求。下图为昌平园区整体规划图，图中红色方框部分为本项目免疫规划信息管理系统应用及部署区域。图2：昌平新址园区网络系统总体架构设计示意图（1）外联网外联网的设计应该充分考虑业务系统对外提供服务的高可靠性、高性能和安全性的需求。具体要求包括：构建外联网的网络构架。业务系统对外提供服务设计采用双ISP线路接入，通过部署链路负载均衡设备实现双线路接入。构建外联网的安全架构。包括防火墙系统二级异构结构，部署外联网服务器负载均衡系统、VPN系统；部署外联网汇聚交换机及WEB服务器。（2）数据中心按照免疫规划业务需求对数据中心服务器系统、存储系统、备份系统等进行规划设计满足数据中心高可靠性、高性能和安全性的需求。（3）省级广域网接入利用现有全国视频会议系统SDH专线，与已具备条件的省份建立数据交换平台网络互连。（4）容灾系统投标人在本项目方案设计中，需考虑系统架构的合理性及设备选型的兼容性，设备选型需支持同步、异步、快照等磁盘阵列复制功能，确保在容灾中心建设时进行有效资源整合与数据统一管理。四、项目集成内容与要求本项目设备采购清单见附件1，设备具体性能参数见附件2。投标人应按照本需求书中设备技术性能参数要求逐条做出实质性响应，并根据本需求书的建设内容及集成设计需求，做出具体的集成内容和建设方案。本需求书中采购设备类型和数量为用户方的基本需求，在此基础上，投标人还应根据机房环境及条件、网络实际部署情况等，列出其他设备的采购清单和报价。如：KVM、PDU、光缆等辅助设备设备及材料。本项目集成的区域包括：外联网区域和全国业务数据中心区域，以及利用广域网基础设施建立数据交换平台，与具备条件的省份实现数据交换的网络功能。本项目要求与总控中心集成，在总控中心初步建立起统一的设备操控台，至少要实现系统管理员对本次新建的IT基础设施的远程操作。投标人应充分考虑用户目前SSL-VPN实际情况，实现全国业务与中心业务SSL-VPN用户集中统一管理。投标人需要结合用户实际情况，完成主机和存储虚拟化环境搭建，建立数据中心统一的主机资源池、存储资源池，并实现对虚拟化环境集中监控管理。本次需通过存储虚拟化技术实现昌平中心各阵列之间的统一逻辑视图、统一管理框架及统一划分使用的存储资源池。投标人需根据用户的实际情况，结合本项目所投产品的类型和技术特点，提供容灾解决方案。本项目要求投标人在投标书中做出合理的项目实施计划和进度、项目阶段验收与总验收方案、参与项目建设的人员名单等材料。投标人应在投标书中做出明确的系统运行维护与升级服务的承诺。投标人项目集成费用应包括：设备报价、辅助设备材料费、设备原厂服务费、系统升级维护费、技术培训费、总体集成费，投标时需分列报出。投标人应配合应用系统集成商，完成应用系统安装部署时所需的设备调试工作。五、项目进度与技术培训5.1 项目集成实施进度要求（1）项目启动时间：合同签署后，15天内启动集成项目管理；（2）设备到货时间：合同签订生效之日起60天内；（3）设备安装调试时间：自设备到货清点调试合格之日起15天内；（4）初验时间：设备安装调试完毕之日起15天内组织验收；（5）系统试运行时间：系统经初步验收合格后，连续运行30天无重大故障；（6）终验时间：系统试运行期满起15天内组织验收。5.2 项目验收在验收阶段，将按照系统集成需求规格说明书，组织验收小组进行功能和性能的验收测试。从所采购设备和系统集成的功能性、稳定性、安全性、可维护性及系统文档、管理规范等方面组织全面验收。验收测试安排分为系统初验、系统试运行和系统终验。5.3 技术培训1）现场培训在设备安装部署、调试及故障处理过程中，对数据中心相关管理人员进行现场培训，熟悉现场安装环境、体系架构、设备操作及日常维护工作，便于管理人员日常维护管理。2）集中培训培训内容：与本项目建设、管理、日常维护有关的网络、安全、服务器及存储系统培训，要求各项培训为设备原厂商提供的专业知识培训。培训对象：疾控中心及部分省市数据中心的网络管理人员、安全管理人员、系统管理人员。培训人数：不少于30人。培训学时：网络与安全：不少于24学时；服务器与存储：不少于36学时。投标人在投标文件中提供集中培训的课程内容与安排、培训地点，搭建实验环境，指定授课教师。在培训过程中因租用教室与设备、聘请教师、打印材料等所产生的全部费用由投标人承担。培训费用单列，并计入总价，同时应提供分项的明细报价。六、技术支持与售后服务6.1 质量保证期1）质量保证期（免费保修期）为本项目最终验收合格且甲方向乙方出具书面合格证明之日起36个月。2）服务要求在质量保证期间，提供724小时技术支持和服务。服务方式应包括但不限于：电话技术服务、远程技术支持服务、现场技术服务、定期巡查服务、系统性能优化、技术升级服务等。用户将根据情况有权要求投标人提供相应的服务。3）维护响应时间如系统出现故障，应提供724小时的技术支持与服务，中标人必须在1小时内对用户所提出的维护要求作出实质性响应。如需要到现场处理，中标人指派专业技术人员必须在接到保障4小时内到达维护现场并解决问题，直到故障得到解决为止。如设备出现问题不能及时解决时要提供相应的备份设备保证用户使用。投标人须认真理解上述服务要求，详细列出36个月免费质量保证期内售后服务方案、服务承诺、系统应急方案。在服务方案中须明确说明服务人员配置、服务流程设置、服务文档种类、服务响应时间逐年列出费用，并计入投标报价。一经应答将作为合同的一部分。6.2 其他技术支持与服务质量保证期后如继续提供相关服务，为用户提供质量保证期结束后完整的服务维修计划，包括服务内容、响应时间、服务方式、费用核算、质量保障等。有关费用另行协商，不计入本次招标报价，但须提供质量保证期后如继续提供服务的费用取费占总投标价的百分比。第35页附件1：设备采购清单序号类别标识名称用途单位数量一、网络设备1汇聚交换机WL-1-1外联网汇聚交换机用于外联网与核心网络连接台22WL-1-2数据中心汇聚交换机用于数据中心与核心网络连接台23防火墙WL-2-1一级防火墙（千兆）用于外联网安全防护台34WL-2-2二级防火墙（万兆）用户数据中心安全防护台25负载均衡WL-3-1链路负载均衡用于两条通信线路接入及实现智能DNS选路功能台26WL-3-2应用负载均衡用于门户服务器负载均衡台27防DDoS攻击WL-4-1防DDoS攻击用于业务系统安全防护台28SSL VPNWL-5-1SSL VPN用于用户对业务系统安全访问台2二、服务器设备1刀片服务器FW-1-1WEB服务器用于业务系统提供WEB服务台30FW-1-2应用服务器用于业务系统应用系统建设台302UNIX服务器FW-2-1应用服务器用于业务系统应用系统建设台2FW-2-2数据库服务器1用于业务系统数据库系统建设台2FW-2-3数据库服务器2用于业务系统数据库系统建设台23管理控制单元FW-3-1管理控制单元用于统一管理UNIX服务器套2三、存储设备1磁盘阵列CC-1-1磁盘阵列用于业务系统数据存储备份套12NAS网关CC-1-2NAS网关用于数据归档套13SAN交换机CC-2-1SAN交换机用于业务系统服务器与存储设备连接台24存储备份管理软件CC-3-1存储备份管理软件用于存储系统数据备份管理套1四、通信线路租用1通信线路TX-1-1数据中心互联网线路1用于数据中心的互联网接入服务兆50TX-1-2数据中心互联网线路2用于数据中心的互联网接入服务兆50五、机房基础设施1不间断电源JF-1-1数据中心UPS用于数据中心电源改造和扩容套12机柜JF-2-1网络机柜用于数据中心网络设备部署台33JF-2-2服务器机柜用于数据中心服务器设备部署台44综合布线JF-3-1综合布线用于数据中心服务器接入网络套1注 1、网络设备、服务器设备、存储设备（第一、二、三项）应提供3年原厂售后服务，服务级别为724要求，并出具原厂盖章的服务承诺函。2、第四项“通信线路租用”中两条线路必须为不同基础电信运营商提供的线路。3、第五项“机房基础设施”中包含机房供电系统改造，满足网络、服务器及存储设备部署与运行，并提供相应的电路冗余与扩容能力。4、设备采购类型和数量为本项目基本需求，投标人应做出符合需求的详细设备清单和分项报价。在此基础上，投标人还应根据机房环境及条件、网络实际部署情况等，列出其他设备的采购清单，并在集成费中包含相应报价。如：KVM、PDU、光缆等辅助设备及材料。5、投标人需提供针对第一项 “网络设备”第1-2项产品的由工业和信息化部（原信息产业部）颁发的电信设备进网许可证。6、投标人需提供针对第一项 “网络设备”第3-4项产品对应的中国信息安全产品认证中心颁发的中国强制产品认证证书3C证书、公安部颁发的计算机信息系统安全专用产品销售许可证和国家版权局颁发的计算机软件著作权登记证书。7、投标人需提供针对第一项 “网络设备”第7项产品对应的公安部颁发的计算机信息系统安全专用产品销售许可证。8、投标人需提供针对第一项 “网络设备”第8项产品对应的公安部VPN安全网关三级销售许可证。附件2：技术性能参数表（一）网络设备（1）外联网汇聚交换机（WL-1-1）指标项指标要求扩展插槽数量6（扩展插槽为不包括引擎模块插槽的业务模块插槽）交换容量720Gbps整机包转发能力400MppsL2/L3层包转发速率IPv4：完全硬件转发，450MppsIPv6：支持硬件转发，225Mpps转发架构实配为全分布式转发处理架构，满足ipv4、ipv6等业务全分布式转发处理支持端口类型支持光纤万兆以太网，整机万兆太网端口数可扩展到48个；单槽位万兆端口数8个；整机10/100/1000M自适应以太网端口数可扩展至288个；支持万兆端口通道化技术，并支持跨板卡及跨交换机的端口捆绑；支持128个端口聚合组二层特性支持802.1d,802.1p/q,802.1s,802.1w,802.1x, 802.3ad，802.3ab，802.3ae，802.3u，802.3x，802.3z，协议；支持本地和跨交换机的远程Port Mirroring(端口镜像)技术。三层特性支持多种路由协议，包括BGP4、OSPF、RIP V2、ISIS等；IPv6支持IPv6静态路由、RIPng、OSPFv3、IS-ISv6、BGP4+；支持IPv6的策略路由，支持VRRPv3；支持IPv6 NAT，支持NAT-PT支持IPv4向IPv6的过渡技术，包括：IPv6手工隧道、6to4隧道、ISATAP隧道、GRE隧道、IPv4兼容自动配置隧道。QoS每端口支持8个优先级队列，3个丢弃优先级，支持SP、WRR、SP+WRR三种队列调度算法；支持精细化的流量监管，粒度可达8kbps；支持802.1p、TOS、DSCP、EXP优先级映射。维护性支持在线状态检测功能；支持1:N镜像功能；支持Vlan镜像功能。支持端口镜像和跨板端口镜像安全特性支持IP+MAC+PORT组合安全绑定；支持灵活的ACL策略，可以对流量首先进行包过滤策略，然后再对流量进行策略路由等ACL动作应用；支持用户分级管理和口令保护；支持SSHv2、SNMPv3；实际配置要求（每台）扩展插槽6（扩展插槽为不包括引擎模块插槽的业务模块插槽）交换容量720Gbps主控交换引擎1万兆多模（XFP/XFP+）光口2千兆多模（SFP）光口4810/100/1000M RJ-45电口96注 所有光口配置相应的光纤模块（2）数据中心汇聚交换机（WL-1-2）指标项指标要求扩展插槽数量8（扩展插槽为不包括引擎模块插槽的业务模块插槽）交换容量1.4TbpsL2/L3层包转发速率560Mpps转发架构实配为全分布式转发处理架构，满足ipv4、mpls、ipv6等业务全分布式转发处理支持端口类型支持光纤万兆以太网，整机万兆太网端口数可扩展到128个；单槽位万兆端口数16个；整机10/100/1000M自适应以太网端口数可扩展至384个；支持万兆端口通道化技术，并支持跨板卡及跨交换机的端口捆绑；支持128个端口聚合组，支持链路聚合+ECMP情况也可以对报文均匀分担，即等价路由的链路是由聚合链路组成情况下的报文分担。二层特性支持802.1d,802.1p/q,802.1s,802.1w,802.1x, 802.3ad，802.3ab，802.3ae，802.3u，802.3x，802.3z，协议；支持本地和跨交换机的远程Port Mirroring(端口镜像)技术。三层特性支持多种路由协议，包括BGP4、OSPF、RIP V2、ISIS等；高可靠性通过虚拟交换机技术（两台交换机虚拟成一台逻辑交换机技术），实现两台交换机的高可用性和可靠性。 IPv6支持IPv6静态路由、RIPng、OSPFv3、IS-ISv6、BGP4+；支持IPv6的策略路由，支持VRRPv3；组播支持PIM-DM、PIM-SM、PIM-SSM、MSDP、MBGP 、Any-RP、IGMPv1/v2/v3等协议；支持PIM6-DM、PIM6-SM、PIM6-SSM、MLDv1/v2等协议；组播表项16K。QoS每端口支持8个优先级队列，3个丢弃优先级，支持SP、WRR、SP+WRR三种队列调度算法；支持精细化的流量监管，粒度可达1kbps；支持802.1p、TOS、DSCP、EXP优先级映射。维护性支持在线状态检测功能；支持1:N镜像功能；支持Vlan镜像功能。支持端口镜像和跨板端口镜像安全特性支持IP+MAC+PORT组合安全绑定；支持灵活的ACL策略，可以对流量首先进行包过滤策略，然后再对流量进行策略路由等ACL动作应用；支持用户分级管理和口令保护；支持SSHv2、SNMPv3；主要配置要求（每台）扩展插槽8（扩展插槽为不包括引擎模块插槽的业务模块插槽）交换容量1.4Tbps电源模块双电源 (220V)主控交换引擎1万兆多模（XFP/SFP+）光口16千兆多模（SFP）光口4810/100/1000M RJ-45电口96注 所有光口配置相应的光纤模块（3）一级防火墙（WL-2-1）指标指标项规格要求设备基本要求异构要求必须与二级防火墙产品异构，即与二级防火墙为不同厂商的产品专用的硬件和软件保障采用专用硬件架构与专用安全操作系统；专用的安全操作系统具有自主知识产权。双操作系统采用双安全操作系统，防止配置不当或防火墙系统故障造成的网络中断，充分保证了系统的稳定性。端口数量和扩展能力当前配置至少支持8个光口和4个电口，并且具有端口扩展能力，支持单独的HA口 支持双电源扩展支持双电源扩展性能要求网络吞吐量18G 延迟不大于9us最大并发连接数不少于220万每秒最大新建连接数不少于6万VPN最大隧道数10000条功能要求灵活的接入方式支持路由、透明以及混合接入模式。强大的访问控制支持基于源IP地址、目的IP地址、源端口、目的端口、时间、用户、文件、网址、关键字、邮件地址、脚本、MAC地址等多种方式进行访问控制；支持对协议的深度内容过滤，支持URL、关键字过滤；动态端口支持协议过滤支持即时通信软件，并可以对于这些应用进行登陆限制,支持根据登陆等帐号进行登陆限制；可限制P2P应用，可以统计P2P流量和连接数，可以控制P2P流量的带宽；可实现静态或自动的IP/MAC绑定。完善的网络地址转换能力可以支持正向、反向地址/端口转换、双向地址转换等，能够提供完整的地址转换解决方案。多种身份认证方式支持多种身份认证技术，包括Radius/OTP/LDAP/TACACS+/SecuID/数字证书/本地认证等。完善的路由功能支持静态和动态路由，动态路由包括：RIP和OSPF动态路由协议； 链路备份支持链路备份，在多条网络出口之间进行自动切换；高可用性支持双机热备功能，包括主备模式(A/S)，主主模式(A/A)支持VRRP协议；支持对服务器的负载均衡；对长连接的提供全面的解决方案；强大的抗攻击能力支持与主流入侵检测产品进行联动； 端口阻断：根据数据包的来源和数据包的特征进行阻断；告警能力支持告警信息分类、分级；当发生安全事件的时候支持以邮件、声音、SNMP、控制台等方式告警。管理功能可以提供多种方式的管理界面远程集中监控管理功能； 完善的日志审计功能日志分级、分类；提供多种日志存储方式，可以缓存在设备本地，也可以将日志输出；具有完善的日志收集、传输、存储、分析、报告等能力。 VPN功能要求算法提供高加密强度，支持硬件加密卡提供的专用128位加密算法。 认证支持基于证书的认证，证书遵循X.509证书体系，可自建CA，也支持第三方CA； 网络适用性支持NAT穿越。支持DDNS支持DDNS功能，可以在用户的网络环境中没有任何一个合法地址的情况下建立VPN 隧道。（4）二级防火墙（WL-2-2）指标项指标要求基本要求产品架构具有国内自主知识产权,硬件平台采用多核方式设计硬件配置端口数量实配4个101001000MBase-T千兆端口，可扩展千兆电口10个 实配2个XFP万兆端口，每个万兆端口采用独立的模块设计电源要求热插拔双冗余电源性能要求网络吞吐量20Gbps最大并发连接数800万每秒新建连接数20万/秒功能要求接入方式防火墙系统支持对复杂环境的接入，包括路由、透明以及混合接入模式。双系统支持多系统启动，支持备份克隆系统，提高系统可靠性，并可任意选择启动顺序。控制粒度支持基于源/目的IP地址、协议、源/目的端口、时间、IP分片、IP优先级、Tos字段等安全选项进行细粒度策略控制。流量可视化支持在web上基于时间、应用、空间（安全域、网络接口）、用户等多个维度的实时和历史统计信息。用户可以根据不同纬度的组合选择查询，并提供管理界面截图。网络地址转换能力支持多种网络地址转换，包括：（1）源网络地址转换（2）目的网络地址转换（3）双向地址转换（4）端口映射（5）支持动态地址转换和静态地址转换，并支持多对一、一对多和一对一等多种方式的地址转换。流量拥塞管理支持每个IP内部根据协议带宽限制；支持基于物理接口/应用的速率控制；保证带宽控制、最大带宽限制、优先级控制；支持弹性带宽，在网络空闲时间自动为内网用户增加可用带宽.支持IP、应用、角色方式的套嵌分层管理抗应用攻击可抵抗包括Web cc攻击、http get/DNS query flood、SQL注入等攻击；抗流量型攻击可抵抗包括syn flood、udp flood、icmp flood、arp flood、frag flood、stream flood等攻击抗常见攻击抗常见攻击，包括ipspoof、sroute、land、TCP标志位攻击、fraggle攻击、winnuke、queso、sf_scan等实施控制管理员分级支持数字证书认证方式，支持管理员权限分级。报警和审计支持设备内存储和专用事件分析服务器两种日志管理方式。支持分级报警，可以根据条件对日志进行过滤、查询。支持设备物理端口镜像, 支持将采集的流统计数据以netflow或者syslog的形式发给第三方的服务器。双机热备支持主主、主备两种模式；双机热备切换小于1秒，并支持配置同步、session同步；支持通过设备面板的HA指示灯查看HA状态。防火墙负载均衡支持多重冗余协议，实现链路备份、端口备份、热备份、集群备份等；支持多WAN口备份和负载均衡；支持基于802.3ad标准的多端口聚合；IPv6功能支持地址自动配置功能，并支持IPv6/v4双协议栈功能管理模式支持命令行CLI（CONSOLE、SSH ）、集中管理控制台（SNMP）以及WEB的管理方式。系统监控可通过设备管理界面监控CPU、内存、会话数、网口等状态，可以监控用户访问流量统计数据日志审计功能可详细记录防火墙上曾经发生过的事件（配置管理、运行信息、网络攻击、端口扫描等）。日志分为多个功能分组，具备导出功能，格式支持SYSLOG。日志审计功能可在防火墙或远程日志服务器完成 。（5）链路负载均衡（WL-3-1）指标项指标要求品牌要求必须为独立、专业的负载均衡产品，不考虑交换机或路由器加负载均衡模块方式实现内存实际配置8G存储介质80G吞吐能力8Gb/s VLAN个数4096IP路由表项无限制。四层处理能力175,000 连接/秒。七层处理能力220,000请求/秒。最大并发连接数8,000,000产品功能要求必须同时具备丰富的应用负载均衡功能，通过单台设备即可同时完成服务器负载均衡、链路负载均衡以及全局负载均衡功能链路健康检查链路数量无限制。支持丰富的健康检查算法，包括基于丰富的协议健康检查，且支持全路径健康检查方式，无跳数限制。出站负载均衡算法支持丰富的出向链路负载均衡(Outbound)算法，应包括但不限于以下算法：轮询算法、加权轮询算法、静态地址表匹配算法。支持出站SNAT的会话保持功能。入站负载均衡算法支持丰富的入向链路负载均衡(Inbound)算法，应包括但不限于以下算法：轮询算法、加权轮询算法、最小连接数、静态地址表匹配，基于网络丢包率，基于Local DNS跳数和网络延迟，基于链路QoS，基于SNMP的自定义等算法进行智能DNS解析。支持入站会话保持算法。DNS功能支持可实现Full DNS 功能，满足如下要求：支持标准DNS设备工作模式，包括：可作为智能DNS服务器，可作为DNS服务器代理，可作为最终DNS解析设备，可作为DNS转发器（DNS Forwarder）；支持标准的DNS记录类型，至少包括：A记录，MX记录，NS记录，PRT记录，SVR记录，CNAME记录，SOA记录，AAAA记录；支持DNS递归查询；支持DNS缓存功能，可缓存外部DNS返回记录条目；服务器负载功能支持必须支持四到七层服务器负载均衡功能SSL 支持可对SSL流量进行加密和解密。 内置SSL卸载专用硬件加速卡或加速芯片。SSL处理能力 15,000 事务/秒 API接口提供API接口，可以通过API对设备当前的配置进行查询、变更、删除等操作。高可用支持Active-Active及Active-Standby冗余方式；提供硬件级心跳线和网络级冗余判断方式,系统切换时间20毫秒；提供连接会话的镜像功能，在切换过程中长连接不会中断，实现无缝故障切换。支持的网络协议支持TCP/IP协议：IEEE 802.1d、IEEE802.1q 、IEEE802.3ad、 IEEE 802.3, 802.3u、IEEE 802.3z等；支持RMON 、SNMP V2/V3、RIP v1 /v2、OSPF v1/v2、BGP、TFTP (RFC 783)、BootP (RFC 1542) 、BootP (RFC 951) 。支持VLAN情况支持802.1q标准封装协议。安全的管理支持基于SSL加密协议的Web HTTPS和SSH方式的远程管理方式，进行安全的配置管理。支持Console和SNMP协议的管理。带宽管理支持通过优先级、队列、以及设定基于IP、端口、应用的带宽限制和带宽容许，确保关键应用能够按时交付IP版本支持IPv4和IPv6主要模块配置要求（每台）电源模块2个，支持冗余电源10/100/1000M以太网端口8千兆位多模光纤端口4产品要求与应用负载均衡为同一品牌（6）应用负载均衡（WL-3-2）指标项指标要求品牌要求必须为独立、专业的负载均衡产品，不考虑交换机或路由器加负载均衡模块方式实现内存实际配置16G存储介质160G吞吐能力20Gb/s 最大并发连接数8,000,000HTTP压缩6G/s （标配 50M/s）VLAN个数4096IP路由表项无限制。四层处理能力240,000 连接/秒七层处理能力220,000 请求/秒负载均衡算法支持丰富的负载均衡算法，如轮询、加权轮询、最小连接数、最快响应时间、哈希、Cookie。支持通过可编程方式自定义负载均衡算法。会话保持技术支持丰富的四、七层会话保持功能，包括但不限于：源地址、目的地址、Cookie、Hash、SSL Session ID等多种会话保持技术。支持通过可编程方式自定义会话保持算法。服务器健康检查支持丰富的健康检查方法，包括但不限于：ICMP、TCP、UDP、HTTP、HTTPS、FTP、SNMP、DNS等多种服务器健康检查方式。支持通过脚本编写自定义的健康检查方式。对于一个目标可捆绑多个健康检查方法，可设定健康指标，则只要有任意两个或以上健康检查方法报告正常则认为此目标可用。支持的虚拟服务器数量 无限制。Real Server无限制。SSL 支持可对SSL流量进行加密和解密。 内置SSL卸载专用硬件加速卡或加速芯片。SSL处理能力 20,000 事务/秒，本次产品需要实配20000TPS500,000 最大并发SSL会话数 2 Gbps 最大对称加解密流量TCP连接优化支持TCP卸载功能，并提供连接复用技术以节省服务器资源。 Cache功能设备必须支持内存级别的Cache功能，无需添加其它硬件即可实现，能够使用设备内存作为HTTP等访问内容的缓存，且最少支持4GB 内存Cache API接口提供API接口，可以通过API对设备当前的配置进行查询、变更、删除等操作。高可用支持Active-Active及Active-Standby冗余方式；提供硬件级心跳线和网络级冗余判断方式,系统切换时间20毫秒；提供连接会话的镜像功能，在切换过程中长连接不会中断，实现无缝故障切换。支持的网络协议支持TCP/IP协议：IEEE 802.1d、IEEE802.1q 、IEEE802.3ad、 IEEE 802.3, 802.3u、IEEE 802.3z等；支持RMON 、SNMP v2/v3、RIP v1 /v2、TFTP (RFC 783)、BootP (RFC 1542) 、BootP (RFC 951) 。支持VLAN情况支持802.1q标准封装协议。安全的管理支持基于SSL加密协议的Web HTTPS和SSH方式的远程管理方式，进行安全的配置管理。支持Console和SNMP协议的管理。带宽管理支持通过优先级、队列、以及设定基于IP、端口、应用的带宽限制和带宽容许，确保关键应用能够按时交付IP版本支持IPv4和IPv6 DDoS攻击防护支持对SYN Flood，ACK Flood等常见DDoS攻击的防护。主要模块配置要求（每台）电源模块2个，支持冗余电源10/100/1000M以太网端口8千兆位光纤端口4万兆位光纤端口2产品要求与链路负载均衡为同一品牌（7）防DDoS攻击（WL-4-1）指标项指标要求基本要求产品定位产品必须是专业的抗拒绝服务攻击硬件设备,具备国内自主知识产权。硬件配置端口数量不少于4个10/100/1000M电口，和10个SFP端口,同时可用端口数不小于14个。电源要求双冗余电源MTBF不少于100000小时性能要求攻击处理能力至少保证6G SYN/UDP/ICMP flood攻击流量下正常连接建立率100%,原连接保持率100%吞吐量1OG最大并发连接数300万扩展能力支持万兆扩展模块延迟小于20us功能要求接入方式支持透明串行接入，无需更改网络结构。抗蠕虫攻击具备识别和拦截blaster、nachi、nimda、codered、sasser等蠕虫病毒功能抗应用攻击可抵抗包括Web cc攻击、http get/DNS query flood、SQL注入等攻击。抗流量型攻击可抵抗包括syn flood、udp flood、icmp flood、arp flood、frag flood、stream flood等攻击。抗常见攻击抗常见攻击，包括ipspoof、sroute、land、TCP标志位攻击、fraggle攻击、winnuke、queso、sf_scan等实施控制。抗拒绝服务攻击支持对Land、Teardrop、Ping of death和Smurf等常见DoS攻击的检测和过滤。防端口扫描能够防止主机和端口扫描。异常流量管理支持SNMP Trap、Syslog等方式进行事件报警，便于管理员及时掌握网络安全状态；支持流量阻断功能，拦截恶意攻击流量，保障业务系统的可用性；支持限流功能，合理优化网络带宽，提高带宽利用率；支持带宽管理功能，能够保证重要业务的优先级，支持保证带宽、最高带宽和优先级设定；支持连接数管理，能够从连接数的角度保证重要业务的网络资源；应用协议识别P2P下载：包括迅雷、BT、eDonkey、eMule等常见P2P下载软件；P2P视频播放：包括PPLive、QQLive、PPStream等常见P2P视频播放软件；IM即时通讯软件：包括QQ、MSN等常用IM软件；能够识别多种在线游戏与炒股软件，需提供界面截图。管理员分级提供账号管理、策略管理、审计管理等权限角色报警和审计提供安全审计、日志分析、安全报警等功能，记录网络访问详细信息，为事后追踪提供数据基础，支持管理员手工校时和时间服务器等方式。高可靠性支持双机热备，主从设备切换时间小于1秒; 支持多机集群，集群设备间支持状态表同步。管理模式支持命令行CLI（CONSOLE、SSH ）、集中管理控制台（SNMP）以及WEB的管理方式。日志审计功能提供可以定制的审计报表模板，可以针对访问行为、攻击、流量信息、安全设备管理信息等各类日志生成分析报表，报表支持表格和多种图形表现形式。支持对访问流量、攻击日志进行TOP10统计分析。对于攻击日志，支持按照攻击事件、源地址、被攻击主机进行统计分析，发现攻击源和被攻击主机。对于攻击日志，可以生成攻击事件趋势分析图、TOP10攻击事件趋势分析图、攻击源地址趋势分析图、TOP10攻击源地址趋势分析图、被攻击主机趋势分析图、TOP10被攻击主机趋势分析图。（8）SSL VPN（WL-5-1）指标项指标要求硬件配置网络接口不少于4个SFP插槽，不少于6个10/100/1000M自适应电口电源冗余双电源性能指标吞吐量不小于500Mbps转发时延小于0.3ms实际配置并发SSL用户数1000最大支持并发SSL用户数5,000功能要求SSL协议采用应用层数据处理和加密封装，支持基于高安全的SSL协议建立网关对网关的访问隧道,禁止网络层数据转发。对于C/S应用在终端访问主机无需安装虚拟网卡驱动，以减少对终端用户操作系统的影响。应用支持B/S应用访问：访问Web应用时，免客户端、免控件，实现100零客户端。只要web浏览器支持HTTPS协议就可访问，对终端的主机操作系统和硬件没有要求。C/S应用访问：支持各种静态和动态协议应用。全面支持Windows各版本操作系统的PC机，包含64位的Win7操作系统。支持虚拟DNS功能。管理员安全支持管理员权限分级功能，对于每个功能模块可配置管理员可读、可写、无权三种权限。网络功能支持端口映射功能，包括直接映射、单项SSL映射和双向SSL映射方式。用户认证支持多种认证方式，包括口令、动态令牌、证书、电子钥匙、短信、匿名、动态验证码等。支持标准第三方PKI/CA、支持OSCP、CRL等证书校验手段。支持与活动目录(AD)、LDAP、Radius、TACACS认证服务器联动。支持缓存第三方认证服务器帐号功能。支持证书交互功能。访问控制动态权限管理：可根据用户、角色、时间、网络位置、认证方式、终端状况等因素，选择赋予用户权限，并予以严格执行。登录控制支持登录页面下载工具功能。支持登录页面文字，LOGO，整个页面风格定制功能单点登录SSO支持多Web应用的单点登录功能，可支持NTLM、FORM、BASIC等多种口令提交方式。支持CS服务的单点登录。支持一对多点的主从帐号对应。服务应用账号信息存储于网关，而非客户端中。终端安全支持终端检测功能，不符合注入策略拒绝接入。包括操作系统、补丁、进程、网络端口、系统服务、硬盘文件、注册表等。支持帐号与主机硬件特性绑定功能，支持自动绑定。支持终端注销后，清除访问痕迹功能。日志审计支持本地日志、第三方日志存储，日志下载功能。支持日志分类功能。支持日志查询功能，根据日志级别、日志类别、时间段、关键字等因素进行查询