网络加固项目需求

网络加固项目需求一、建设背景医院网络加固项目一期；工期：合同签订后3个月内完成；二、建设内容序号名称数量1内网汇聚交换机2台2外网汇聚交换机1台348口内网接入交换机12台424口外网接入交换机6台548口POE接入交换机6台6无线AC控制器2台7无线AP2台8放装AP7台9无线面板AP39台10院区互联交换机6台11互联防火墙6台12防火墙及杀毒软件授权扩容1项13院区互联集成服务1项14无线集成服务1项三、技术参数1、内网汇聚交换机功能项技术指标基本要求交换容量≥76Tbps，转发性能≥57600Mpps，官网有两个指标的以小的为准；配置≥2个全宽主控；千兆电接口≥48个，万兆光接口≥48个；万兆单模光模块≥48，万兆多模光模块≥8；业务槽位数≥6个；电源模块数量≥2个；硬件可靠性支持主控板、风扇、电源冗余，主控板主备切换无丢包；所有单板支持热插拔；板卡拓展支持40G/100G混合板：8*40G+8*100G；支持10GEPONOLT接口；安全能力支持硬件独立安全业务插卡如：支持FW防火墙和IPS业务卡；VxLAN支持VxLAN，能够实现基于IPv4/IPv6的VxLAN二三层互通（包括分布式网关或集中式网关），支持VxLANOAMping和tracert；支持VxLAN分布式Anycast网关，VxLANFabric的自动化部署，VxLANBridgeDomain(BD)数量为16K；虚拟化支持4框虚拟化技术、一虚多技术、支持多虚一技术和一虚多技术的配合使用；安全特性支持256位全端口MACSEC加密；FCoE支持FCoE功能；环网能力支持EERN环网，多园区增强环网，10G速率环网亚毫秒级故障切换；融合能力支持融合AC功能，无需额外配置单独硬件，在交换机上实现对AP的接入控制和管理，有线无线用户的统一认证管理；支持内置智能图形化管理功能，对于下联设备具备统一管理的功能，能够通过图形化界面对组内设备进行配置文件一键下发；对拓扑内的设备或设备组批量进行版本升级；时钟支持基于1588v2、802.1AS、st2059-2和aes67-2015协议的PTP功能；MPLS支持MPLSL2VPN、VPLS、L3VPN、TE及MCE功能；支持VLL；IPV6支持RIPng、OSPFv3、BGP4+、IS-ISv6协议；节能支持802.3az标准节能规范；部件共享支持与现网S7506X框式汇聚交换机部件共享，当部件板卡出现故障，两处设备可以自由调配板卡，相互兼容，保障业务的连续性；质保授权提供不少于五年原厂质保服务；2、外网汇聚交换机功能项技术指标基本要求交换容量≥38Tbps，转发性能≥36000Mpps，官网有两个指标的以小的为准；主控板卡≥2块；千兆电接口≥48个,万兆光接口≥48个;万兆单模光模块≥48；业务槽位数≥3个；电源模块数量≥2个；硬件可靠性支持主控板、风扇、电源冗余，主控板主备切换无丢包；所有单板支持热插拔；板卡拓展支持40G/100G混合板：8*40G+8*100G；支持10GEPONOLT接口；安全能力支持硬件独立安全业务插卡如：支持FW防火墙和IPS防火墙业务卡；VxLAN支持VxLAN，能够实现基于IPv4/IPv6的VxLAN二三层互通（包括分布式网关或集中式网关），支持VxLANOAMping和tracert；支持VxLAN分布式Anycast网关，VxLANFabric的自动化部署，VxLANBridgeDomain(BD)数量为16K；虚拟化支持4框虚拟化技术、一虚多技术、支持多虚一技术和一虚多技术的配合使用；安全特性支持256位全端口MACSEC加密；FCoE支持FCoE功能；环网能力支持EERN环网，多园区增强环网，10G速率环网亚毫秒级故障切换；融合能力支持融合AC功能，无需额外配置单独硬件，在交换机上实现对AP的接入控制和管理，有线无线用户的统一认证管理；支持内置智能图形化管理功能，对于下联设备具备统一管理的功能，能够通过图形化界面对组内设备进行配置文件一键下发；对拓扑内的设备或设备组批量进行版本升级；时钟支持基于1588v2、802.1AS、st2059-2和aes67-2015协议的PTP功能；MPLS支持MPLSL2VPN、VPLS、L3VPN、TE及MCE功能；支持VLL；IPV6支持RIPng、OSPFv3、BGP4+、IS-ISv6协议；节能支持802.3az标准节能规范；质保授权提供不少于五年原厂质保服务；3、48口内网接入交换机功能项技术指标基本要求交换容量≥430Gbps，转发性能≥160Mpps，官网有两个指标的以小的为准；千兆电接口≥48个，万兆光接口≥4个；安全启动支持安全启动，在系统启动过程中支持安全检测，防止对系统镜像进行修改和伪造数据；三层功能支持IPv4静态路由、RIPv1/v2；支持IPv6静态路由、RIPng；支持OSPFv1/v2，OSPFv3；端口镜像支持本地端口镜像和远程端口镜像，支持流镜像；管理能力支持通过命令行、Web、中文图形化配置软件等方式进行配置和管理；内置网络运维软件，与上行设备互联实现统一界面管理；防雷功能支持10KV防雷能力；质保授权提供不少于五年原厂质保服务；4、24口外网接入交换机功能项技术指标基本要求交换容量≥330Gbps，转发性能≥125Mpps，官网有两个指标的以小的为准；千兆电接口≥24个，千兆光接口≥4个；安全启动支持安全启动，在系统启动过程中支持安全检测，防止对系统镜像进行修改和伪造数据；三层功能支持IPv4静态路由、RIPv1/v2；支持IPv6静态路由、RIPng；支持OSPFv1/v2，OSPFv3；端口镜像支持本地端口镜像和远程端口镜像，支持流镜像；管理能力支持通过命令行、Web、中文图形化配置软件等方式进行配置和管理；内置网络运维软件，与上行设备互联实现统一界面管理；防雷功能支持10KV防雷能力；质保服务提供不少于五年原厂质保服务；5、48口POE接入交换机功能项技术指标基本要求转发性能≥680Gbps，转发性能≥200Mpps，官网有两个指标的以小的为准；千兆电接口≥48个，万兆光接口≥6个；冗余双电源；支持POE功能；POE能力支持PoE(802.3af)/POE+(802.3at)供电标准，单端口最大输出30W；USB接口USB接口≥1个；软件规格整机最大路由地址表≥12K；安全启动支持安全启动，在系统启动过程中支持安全检测，防止对系统镜像进行修改和伪造数据；三层功能支持IPv4静态路由、RIPv1/v2；支持IPv6静态路由、RIPng；支持OSPFv1/v2，OSPFv3；端口镜像支持本地端口镜像和远程端口镜像，支持流镜像；管理能力支持通过命令行、Web、中文图形化配置软件等方式进行配置和管理；内置网络运维软件，与上行设备互联实现统一界面管理；防雷功能支持10KV防雷能力；质保授权提供不少于五年原厂质保服务；6、无线AC控制器功能项详细技术参数基本要求支持控制AP最大数量≥768个；AP管理授权≥128个；集中转发性能≥20Gbps；千兆GE端口≥16个，千兆SFP端口≥8个，万兆光口≥2个；双电源冗余供电；组网能力控制器支持融合部署轻量化5G核心网，包括UDM、AUSF、AMF、SMF、UPF等网元，遵循3GPP标准，为用户组建5G专网；CAPWAP隧道双栈CAPWAP隧道同时支持IPv4和IPv6双栈，支持用户地址和隧道地址任意选择使用IPv4或IPv6，灵活组合使用；protal认证黑白名单防护支持在portal认证时基于源/目的地址配置白名单(放行规则)功能，允许终端在认证前访问指定的网络；支持Portal认证基于源/目的地址配置黑名单(阻断规则)功能，禁止终端在Portal认证成功后访问指定的网络；认证满足Portal在线用户与DHCP租约联动功能：AC满足根据DHCP租约信息联动Portal用户自动下线，可以提高DHCP地址池的利用率，降低Portal重复认证开销；满足Portal用户分类计费功能：AC、AP满足精细化管理认证用户，无线控制器对接入用户（比如Portal认证）进行IPV4、IPv6分类分网段计费；策略转发双网关功能满足策略转发双网关，方便总部分支网络用户远程办公，同时减少ACAP中间链路资源占用，设备满足同一SSID终端的内网业务AC集中转发处理，外网业务AP本地转发；无线漫游支持AC内漫游，支持跨AC间漫游，支持跨VLAN的三层漫游；支持基于802.11k/802.11v/802.11r协议的智能漫游；可靠性支持雷达检测SSID逃生功能：AC、AP支持SSID自主逃生，当AP射频检测到雷达信号时，会将本射频的SSID迁移到其他射频，保障关键业务正常通信；支持MAC认证逃生功能：AC、AP支持MAC认证逃生功能，为提高无线网络认证可靠性，无线控制器支持MAC认证逃生功能；支持Dot1x认证逃生功能：AC、AP支持Dot1x认证逃生功能，为提高无线网络认证可靠性，无线控制器支持Dot1x认证逃生功能；兼容性要求本次投标产品需要支持管理现网的无线APWTU430H、WTU430-IOT、WTU430-EI设备；可对现网无线AP下发配置、射频\t"/item/%E6%97%A0%E7%BA%BF%E6%8E%A7%E5%88%B6%E5%99%A8/_blank"智能管理、接入安全控制等功能进行管理；质保授权提供不少于5年原厂质保服务；7、无线AP功能项技术指标基本要求SFP+/SFP自协商端口≥2个，兼容千兆以太网口模块；千兆以太网口≥2个；千兆电口≥24个，满足对AP供电，最大可满足24个，可用多台设备满足；为了保证网络兼容性，要求与现网AP统一接受同一台无线AC控制器管理；物联网下行口满足物联网扩展，满足≥5个外置物联网模块链式扩展；风扇设计要求所投设备采用无风扇静音设计；管理端口管理端口≥2或console口≥1个；带外管理口≥1个；质保授权提供不少于五年原厂质保服务；8、放装AP功能项详细技术参数基本要求整机协商速率≥2.9Gbps，其中5G射频速率≥2.4G，2.4G速率≥0.575G；采用整机双频4流设计，可同时工作在802.11a/b/g/n/ac/acwave2/ax模式；为了保证网络兼容性，要求与现网AP统一接受同一台无线AC控制器管理；接口设计10M/100M/1000M电口≥3个，其中一个IOT接口，可扩展物联网；设备形态设备为放装形态；安装方式满足壁挂、吸顶和面板安装方式；物联网扩展能力至少满足≥5个外置物联网模块链式扩展；AirtimeFairnessATF(AirtimeFairness，发送时间公平性)技术通过转移部分慢速设备的服务时间给快速设备，优化等待时间，使高协议终端可以充分利用空口，降低了低协议终端对高协议终端的影响，提高了无线网络的整体传输速度和性能；PING时延测试5GHz和2.4GHz射频上行ping包1000个测试，5GHz平均时延≤1.6ms，2.4GHz平均时延≤2.4ms；国产品牌终端应用加速和双WiFi在网络拥塞情况下，通过对终端发送的报文进行识别，在多业务并行处理时，可以对关键业务（如视频会议、时延敏感类游戏等）优先处理从而实现应用加速，同时双WiFi功能对链路可靠性的提升，保证了用户使用体验；故障链路检测支持WLAN上行链路检测功能，实时监测上行链路的可行性，当上行链路不可达时，将射频关闭，避免终端连接到不可用的网络；当上行链路恢复时，射频自动开启，无线终端可以正常接入；黑洞检测在自动功率调整基础上，支持检测信号覆盖黑洞功能，并对AP功率做出修正，保证处于特殊位置的终端接收到增强的AP信号，保证体验；质保授权提供不少于五年原厂质保服务；9、无线面板AP功能项详细技术参数基本要求整机协商速率≥1.7Gbps，其中5G射频速率≥1.2G，2.4G速率≥0.575G；采用整机双频4流设计，可同时工作在802.11a/b/g/n/ac/acwave2/ax模式；为了保证网络兼容性，要求与现网AP统一接受同一台无线AC控制器管理；设备尺寸为了安装方便，美观融入环境，要求设备尺寸为标准86mmx86mm尺寸；接口设计10/100/1000Mbps(GE)千兆接口≥2个，其中一个IOT接口，可扩展物联网；物联网扩展能力至少满足5个外置物联网模块链式扩展；融合壳体满足AP与物联网模块通过GE网线连接，并通过外设设备合二为一，对外呈现一个方装AP形态；吸顶或壁挂安装；故障链路检测支持WLAN上行链路检测功能，实时监测上行链路的可行性，当上行链路不可达时，将射频关闭，避免终端连接到不可用的网络；当上行链路恢复时，射频自动开启，无线终端可以正常接入；黑洞检测在自动功率调整基础上，支持检测信号覆盖黑洞功能，并对AP功率做出修正，保证处于特殊位置的终端接收到增强的AP信号，保证体验；空口优化满足基于空口利用率的SSID自动隐藏功能，当空口繁忙程度达到或超过配置的阈值时，SSID自动隐藏，为用户提供稳定可靠的无线服务；质保授权提供不少于五年原厂质保服务；10、院区互联交换机功能项技术指标基本要求交换容量≥2.4Tbps，转发性能≥660Mpps，官网有两个指标的以小的为准；实配100/1000Base-T电接口≥28个，1/10GE光接口≥8个，100/1000Base-XSFPcombo接口≥4个，扩展插槽≥1个；支持双电源，风扇模块≥2个；安全能力设备支持防火墙模块，保障网络信息安全；拓展能力要求设备支持不同种类的业务插卡，如10G/5G/2.5G/1G电接口卡、万兆SFP+光接口板卡、40GE光接口板卡、25GESFP28接口板；M-LAG支持跨设备链路聚合技术DRNI/M-LAG；三层功能支持IPv4静态路由、RIPv1/v2；支持IPv6静态路由、RIPng；支持IPv6手动隧道、6to4隧道和ISATAP隧道；端口镜像支持本地端口镜像和远程端口镜像，支持流镜像；管理能力支持通过命令行、Web、中文图形化配置软件等方式进行配置和管理；内置网络运维软件，与上行设备互联实现统一界面管理；防雷功能支持10KV防雷能力；质保授权提供不少于五年原厂质保服务；11、互联防火墙功能项功能要求说明基本要求性能参数：网络层吞吐量：≥40G，应用层吞吐量：≥25G，防病毒吞吐量：≥4G，IPS吞吐量：≥3.5G，全威胁吞吐量：≥2G，并发连接数：≥420万，HTTP新建连接数：≥19万，IPSecVPN最大接入数：≥6000，IPSecVPN吞吐量：≥1.5G；硬件参数：规格：≥1U，内存：≥16G，硬盘容量：≥256GSSD，冗余电源，千兆电口≥16，万兆光口SFP+≥6，万兆多模光模块≥6；提供不少于3年安全规则库（至少包括WEB应用防护识别库、IPS特征库、僵尸网络防护库、实时漏洞分析识别库和URL&应用识别库）；产品架构要求产品采用自主知识产权的专用操作系统，应用多核并行处理技术保障产品处理性能；工作模式产品支持路由模式、透明模式、虚拟网线模式、旁路镜像模式等多种部署方式；硬件一虚多产品支持虚拟防火墙功能，支持虚拟防火墙的创建和删除，具备独立的接口、会话管理、应用控制策略、NAT等资源；VPN功能产品支持IPsecVPN和SSLVPN功能；产品支持IPSecVPN智能选路功能，根据线路质量实现自动链路切换；应用识别产品支持对不少于9000种应用的识别和控制，应用类型包括游戏、购物、图书百科、工作招聘、P2P下载、聊天工具、旅游出行、股票软件等类型应用进行检测与控制；访问控制策略产品支持多维度安全策略设置，可基于时间、用户、应用、IP、域名等内容进行安全策略设置；地域访问控制支持基于对象、区域和国家/地区维度设置安全访问控制策略，允许或拒绝特定国家/地区对象访问内部网络，保障业务重大时期安全可靠性；策略一体化支持安全策略模板方式快速部署，单条安全策略中可同时启用安全漏洞分析、漏洞攻击防护、防病毒、URL过滤、文件过滤、Web应用防护、僵尸网络防护等安全功能；防病毒产品支持对SMTP、HTTP、FTP、SMB、POP3、HTTPS、IMAP等协议进行病毒防御；产品支持对多重压缩文件的病毒检测能力，支持不小于15层压缩文件病毒检测与处置；产品支持勒索病毒检测与防御功能；入侵防御产品内置不低于15000种漏洞规则，同时支持在控制台界面通过漏洞ID、漏洞名称、危险等级、漏洞CVE标识、漏洞描述等条件查询漏洞特征信息，支持用户自定义IPS规则；产品支持Cookie攻击防护功能，并通过日志记录Cookie被篡改；产品支持服务器漏洞防扫描功能，并对扫描源IP进行日志记录和联动封锁；支持内网僵尸主机检测，快速定位受控真实主机IP地址；WEB应用防御产品内置超过4000种WEB应用攻击特征，支持对跨站脚本（XSS）攻击、SQL注入、文件包含攻击、信息泄露攻击、WEBSHELL、网站扫描、网页木马等攻击类型进行防护；云蜜罐产品支持主动诱捕功能，通过伪装业务诱捕内外网的攻击行为，并联合云蜜罐获取黑客指纹信息，并自动封锁高危IP；威胁情报网关产品支持威胁情报网关技术，通过全球超过30+pop节点，实现对威胁流量就近进行实时检测&拦截，实现失陷外联实时阻断，保护资产安全；策略有效性分析产品支持安全策略有效性分析功能，分析内容至少包括策略冗余分析、策略匹配分析、风险端口风险等内容，提供安全策略优化建议；策略生命周期管理产品支持对安全策略管理和审计功能，记录安全策略变更时间、变更账号、变更类型等内容，提升日常安全策略运维效率；双机切