办公系统与实验室接入项目公示

撰稿:网络中心 时间:2021-06-18 点击数:


关于办公网系统部分项目现状:

1. 目前我校办公网出口应用网关已经使用18年,是自行搭建且设备严重老化,出现故障概率高,运维压力大

2. 我校办公网出口带宽1G,并计划再做带宽扩容,现有网关不能支撑更高的性能。

3. 访问外部网络比较拥塞,常有用户反映网络访问缓慢,下载速度慢,缺乏有效的网络服务质量分析和应用分析平台。

4. 我校办公网管控上网行为审计的设备已在2018年过保,按《网络安全法》要求,必须对用户上网行为留存180天,以便审计。

5. 缺少网络应用和日志分析系统,无法对数据中心的服务器本身提供的服务进行分析,是否合规合法,是否打开了计划外的应用,从而打开不必要的端口造成安全隐患。无法统计图书馆资源访问情况,是否存在恶意下载用户、无法审计邪教访问情况。

必要性

为解决上述问题,拟建设办公上网接入认证系统与日志管理分析系统,建成后必须实现2大主要功能:

1. 上网接入认证网关实现Portal认证功能、防私接、智能DNS、链路负载均衡、智能流控、PPPoE Server等功能。

2. 通过日志管理分析系统与上网接入认证系统联动对网络数据分析及可视化展示等手段,实现日志180天留存,建立和完善网络应用安全感知和分析处理能力。


关于二级学院实验室机房接入部分项目现状

1. 目前我校各二级院系计算机实验室机房数量多,分布零散,机房网络系统出口与学校教育网汇聚或核心交换机直连,无法对众多出口统一管理,集中管控。

2. 随着校园信息化建设伴随着网络拓扑的改变和以及黑客攻击手段的变化,校园网络也会存在很多安全隐患及威胁,机房网络系统出口直连教育网,难于针对机房网络层安全攻击进行防护,保护校园教育网安全。

3. 随着机房终端类型和数量日益剧增,IPv4地址的需求快速增长,导致IP地址资源不足,需要对机房终端进行大容量NAT转换及溯源,缺乏出口NAT设备来承载保障用户流量更大、业务稳定性要求高的机房环境。

4. 针对机房流量管控及行为审计,针对P2P流量,视频流量,上传下载等进行管理,对网页浏览、即时消息、邮件等进行审计,缺乏有效手段,同时部门技术力量、人员数量不足。

必要性

为解决上述问题各院系计算机实验室机房集中管控、统一维护和安全防护等问题,需采购高性能出口防火墙设备。防火墙设备支持多维一体化安全防护,可从用户、应用、时间、五元组等多个维度,对流量展开IPSAVDLP等一体化安全访问控制,能够有效的保证校园教育网的安全;提供丰富的路由能力,支持RIPOSPFBGP等路由策略及基于应用与URL的策略路由;支持IPv4/IPv6双协议栈同时,也支持NAT44NAT46NAT66NAT64

公示时间:2021618-2021625日,公示期间,个人和单位均可通过来信、来电、来访等形式,向网络与教育信息技术中心反映意见。

联系人:陈老师

联系电话:18000901295






拟申购物资清单


序号

物资名称

厂家、品牌及主要技术参数(可附件)

(预算金额10万元及以上的采购项目不能填写厂家、品牌)

申购数量

单价(元)

计量

单位

总价(元)

备注





1

上网接入认证系统

1. 2U机架式;吞吐10Gbps(网关要求开启全部功能,全部功能开启时实际承载带宽10Gbps,而非实验室环境的10Gbps64字节小包处理能力≥10Gbps),包转发率≥80MPPS,新建连接数≥80万,并发会话数≥180万,并发用户IP数≥5000(支持扩展到:并发用户30000),≥4千兆电口,≥4千兆光口,≥2万兆光口;每个光口含相应速率的光模块且适用业界主流的光模块品牌,提供可扩展插槽。

2. PPPoE ServerPortal RadiusAD域、LDAP802.1x等常见的认证功能、防私接、智能DNS、链路负载均衡、智能流控等模块。双OS备份,主OS故障时,备份OS自动切换,切换时间小于1毫秒。

3. 支持透明网桥模式,支持路由模式,支持NAT模式,支持旁路分析模式,支持路由、NAT、网桥和旁路分析的混合模式。

4. 支持轮询、加权轮询、加权最小连接、动态反馈、最快响应、最小流量、带宽比例、哈希、主备、首个可用、优先级等算法。

5. 支持基于五元组条件(源IP地址,源端口,目的IP地址,目的端口,传输层协议号)来进行出站访问的流量调度分发。

6. 支持1000条以上WAN线路之间的负载均衡。

7. 支持对P2P下载、网络电视、网络游戏、Web视频和普通HTTP流量做应用的负载均衡引流。提供界面截图。

8. 支持基于应用、域名的负载均衡引流。提供界面截图。

9. 支持基于管理员自定义的时间计划来进行出站访问的流量调度分发。提供界面截图。

10. 支持DNS透明代理功能,可基于负载均衡算法代理内网用户进行DNS请求转发,避免单运营商DNS解析出现单一链路流量过载,平衡多条运营商线路的带宽利用率。

11. 支持基于链路负荷情况的繁忙保护机制,能根据链路的上行/下行带宽占用率情况执行对出站/入站流量的高级调度策略。

12. 支持多种链路检测方法,能够通过PINGTCPHTTP等方式监控链路的连通性,当某一条链路故障时,可将访问流量切换到其它链路,保障用户业务的持久通畅。

13. 支持出站就近负载均衡技术。

14. 支持SmartDNSISP动态探测。

15. 支持对27层流量的识别能力,特别是针对第   7层的应用识别能力,能够识别主要应用协议,并逐级细分P2P下载、网络视频、网络电话、游戏、HTTP协议的子类别和具体客户端名称,比如HTP协议---Web视频---土豆、网络游戏---移动游戏等;支持国内各类常见协议≥1000种,其中大型游戏≥300种,移动APP应用≥30种,现网协议识别率 ≥ 95%

16. 支持设备编号、接口、访问时间、源地址、目标地址、NAT地址、账号信息、域名、协议类型、7层协议名称、流量、运营商、地理位置等13个元素的会话日志输出。同时采用1:1 的日志输出,完整保留网络中的相关信息。

17. 提供整个系统IPv6流量分别和连接分别统计图表,可以查看IPV6协议占整体流量比例;IPV6最近一天、最近一周和最近一月的流量趋势图表,各协议组的当前速率、连接数等统计信息及条件排序。

18. 支持IPv6 TOP应用排序、多个应用协议进行趋势图分析对比,各个协议的IPV6地址排名等。支持IPV6 TOP用户排名、各个用户使用的协议、IPV6连接信息等。

19. 支持以包字节和包数量发包测试,模拟真实数据包对网络和设备进行高压力测试。可定义641282565121024包长的bpspps进行打包测试,检测设备性能。打包性能≥2000Mbps

20. 通过微信通知,可以随时掌握设备的运行状态,授权信息等内容;通过“一键断网”功能,可以随时通过微信发出指令,阻断内网有问题服务器的IP或者域名。

21. 支持PPPoE Server,支持并发用户数≥5000

22. PPPoE代拨和IPOE代拨等多种代拨模式。

23. 灵活的DNS管控策略,将不同运营商代拨后,使用各个运营商的DNS

24. 对网络中各种应用的时延进行检测,应包括:客户时延,服务时延、应用时延(会话上下行首包时间差)、最大包长(会话上下行最大包的长度)。可以进行时延排序,以快速判断“网络慢”的故障原因。(要求提供截图。)

25. 支持基于全局、链路、数据流向、共享用户、移动终端、应用协议/协议组和IP/IP群组的速率控制。

26. 支持允许、阻断、带宽限速等控制动作。

27. 可根据时间和在线用户数等条件使用不同的策略组来控制流量。

28. 支持单条策略总控和单IP限速,可分别设置总控带宽和单IP带宽,可设置为一个具体的数值如50 kbits/s,也可设置为一个范围如10-100 kbits/s

29. 支持策略嵌套,在同一条策略中,既可以针对特定对象(IP或应用)进行总的数据通道控制,也可以单IP限速,同时可并列匹配“DSCP标记”等参数,实现策略的高度灵活性和简洁性。

30. 支持基于5元组、VLAN、应用协议、用户特征(共享用户数、QQ用户数和移动终端数等条件,对数据包做DSCP标记。

31. 控制参数包含:线路、数据流向、内网地址、外网地址、传输协议、应用协议、内网端口、外网端口、共享用户数、QQ用户数、移动终端数、执行动作、优先级、内网IP限速等。

32. 限速的最小控制粒度为1kbps

33. 支持检测并控制“一拖N”行为功能;基于7层协议特征检测网关后面的私有IP地址信息,并能以“共享IP数”如“共享用户超过3人”为触发条件,对宿主IP进行两大类控制动作:流量控制和HTTP管控。

34. 支持基于IP地址的“优先级”调度功能,支持0-6七个优先级。

35. 支持同时基于应用协议和IP地址的优先级调度功能。

36. 数据通道支持“子通道优先级”功能;每个数据通道中均可设置多个优先级为1-6的“带宽保证”类的子通道,保证类子通道所配置的带宽,用时自动占用,不用则自动释放,真正达到基于应用层(应用协议)的“按需占用、无需干预、智能带宽”   (向下支持网络层基于IP)。

37. 支持“动态IP限速”功能(智能调控), 可在启用此功能的链路中,针对单个IP设置“加速比”、“减速比”、“速度维持时间”等参数,百分比模式设置。

38. 支持设置“带宽使用阀值”功能,可对具体链路设置“带宽使用下限”和“带宽使用上限”,百分比模式设置。

39. 支持策略“启用”和“禁用”功能。

40. 可根据源IP、目标IP、访问域名、所在线路等组合条件实现对域名访问的控制。

41. 域名控制方式支持阻断、劫持和重定向和QPS限制。

42. 可以对DNS QPS做限制,可以在一条策略里做总限制,同时对单IP再做一个子项限制。

43. 可根据源IP、目标IP、访问域名、所在线路等组合条件实现对域名访问的QPS速率做总量控制和单IP控制

支持DNS QPS策略前后趋势图,可以显示一天,一周和一月趋势。

44. 建议提供用户拨号密码短信找回功能或可与数据共享中心进行对接实现忘记密码找回功能;用户账号密码与其他信息支持特殊字符设置;可支持使用手机APP移动管理该网关设备。

45. 可对用户进行多维度的上网行为审计(包括用户源、目的IP,应用协议,协议类型,连接时长,账号,域名,上下行流量,去往运营商及地理位置)可审计不同用户登录的操作日志记录、会话日志、流量流向等.

46. 支持DHCPSNMPSSH等应用层协议;支持用户账号,与IP地址,MAC地址等多种绑定方式,MAC地址黑白名单,IP地址白名单等。

47. 支持ipv4ipv6等多种NAT及端口映射方式。

48. 五年质保服务。

2













采购经费已包含对接部署服务和售后服务,费用由中标人承担,校方不再另行付费





2

网络日志管理分析系统

1. 日志分析系统软件,收集应用网关的日志并实现分析。为避免网关故障导致数据丢失,日志分析系统软件必须是独立的OS(操作系统)封装软件,可安装在虚拟服务器上,1台服务器的安装许可授权,没有日志保存时长以及容量的限制,永久使用。

2. 支持会话日志审计,包含并不局限:用户源、目的IP,应用协议,协议类型,连接时长,账号,域名,上下行流量,去往运营商及地理位置。

3. 支持“域名地图”审计,区域URL访问量在地图上的数据分布图。

4. 支持“流量流向”审计,如去往电信、去往移动等,并提供比例饼图与统计数值。

5. 支持用户虚拟身份的审计,根据用户IP地址,查询对应的虚拟身份账号(包括但不限于微信、QQ、新浪微博、淘宝账号、POP3邮箱账号、移动终端IMEI码等)。

6. 支持对数据流量大小和数据流量分布进行统计分析。

7. 支持对数据流量的总流量、上下行数据流量和按协议细分数据流量进行统计分析。

8. 支持对不同应用协议的流量流向、趋势和分布情况进行统计分析。

9. 支持根据业务数据流进行统计分析。

10. 支持对业务数据流的域名进行TOP排行,并且可以标识域名的变化态势。

11. 支持根据IP地址或IP地址段对业务数据流量进行统计分析。

12. 支持对单IP的用户进行画像分析,包括用户行为分析和用户兴趣分析等。

13. 支持根据时间对业务数据流量进行统计分析,包括天、周、月、年等多个时间维度。

14. 支持实现流量可视化管理,可识别网络TOP应用、TOP用户、各应用流量占比等。

15. 支持对全部应用或者其中任何一种应用 “流量流向”统计功能,如去往哪个省份的哪个运营商等,并提供比例饼图与统计数值。

16. 支持DNS事件日志,要求可以显示出DNS日志信息,包含不局限DNS解析的服务器排名,TOP用户,TOP流量等日志信息。

17. 能够根据固网IP地址标识出来该IP在地图上的GPS轨迹信息。

18. 精确记录统计并导出各种应用的服务器IP地址。

19. 支持对DDOS攻击的状态查询,包含并不局限于SYN FloodingNTP Flooding的状态查询。

20. 节点日志,支持记录统计并导出各种应用协议如:P2P、视频、游戏等应用协议的服务器IP地址。

21. 支持“自定义查询”;(可指定链路、时间段、IP段)。

22. 支持对私接无线AP或无线路由的SSID做审计,并导出全部的私接的SSID号,IP地址。

23. 支持“域名地图”,区域URL访问量数据分部图。例如:招生期间,可以看到那个省的用户对校园网主页,招生服务器访问排名。

24. 支持对校内提供HTTP或者HTTPS访问的域名进行统计,对外网用户访问校内服务器进行排名,同时发现校内教育网IP使用校外域名的情况。

25. 对校内用户访问校外图书馆资源进行统计,提供对图书馆资源流量和下载排名,为我校购买图书馆资源提供依据;   对校内用户下载校外图书馆次数作统计,提供下载排名,发现恶意下载用户。

26. 对校内用户访问校园贷网站进行统计,发现高频访问校园贷的用户。

27. 支持查询任意历史时段,指定应用协议的服务质量。应包括客户时延,服务时延,应用时延(会话上下行首包时间差),最大包长(会话上下行最大包的长度)。可以进行时延排序,以快速判断“网络慢”的故障原因。

28. 支持大屏实时显示网络、应用服务质量。包括全网的客户时延、服务时延、应用时延。显示游戏,网页、DNS、视频、社交等的时延信息。

29. 支持中文Web管理界面。

30. 支持以SYSLOG格式向第三方设备输出日志,输出日志内容有:URL访问、NAT日志、会话日志。

31. 支持报表功能,可以按月、按时间段统计数据,并按EXCELTXTCSV等格式导出。

32. 保证日志至少180天留存。

33. 五年质保服务。

1







采购经费已包含对接部署服务和售后服务,费用由中标人承担,校方不再另行付费







3

万兆防火墙

1.2U机架式,下一代防火墙;企业级。

2. 网络接口类型至少2 x 40GE (QSFP+)(标配2QSFP+40G光模块) + 12 x 10GE (SFP+)(标配12SFP+万兆光模块) + 20   x GE电口+8 xGE光口(标配8个千兆光模块),整机扩展插槽6个; 1xconsole管理接口;1x带外管理口;2xUSB2.0接口;2x100-240VAC双电源模块;存储:2.5英寸固态硬盘,SSD容量>=480G;并发连接数>=1600万;每秒连接数>=50;策略数>=10000;网络吞吐量>=45G,应用层吞吐量>=15G,支持VPN功能,支持SSL VPN并发用户数>=20000

3.配置5年应用识别、5URL过滤、5年防病毒AV特征库升级服务。

4.支持SNMP网络管理功能和路由模式,透明模式,混合模式的路由功能,全面支持IPV4/IPV6下的多种路由协议,如RIPOSPFBGPIPv6RDACL6等。

5.支持基于业务的策略路由和能实现一对一、多对一、多对多及NAT44NAT46NAT64NAT66等多种NAT地址转换方式;支持多种安全业务的虚拟化。

6.支持RadiusLDAPAD等多种常用的认证协议和认证方式;可视化图形界面GUI和命令行界面CLI

7.支持kbps级别的精细化流量控制。

8.基于应用、用户、时间、内容等多维度的访问控制方式。

9.可对上网行为进行审计并可对安全日志,运维日志,审计日志进行可视化管理;10.支持扩展Web防护:可防护各种针对web的攻击,包括SQL注入攻击,跨站脚本攻击,旁注攻击等。

11.支持扩展服务器负载均衡,智能策略管理。

12.支持虚拟防火墙功能:支持虚拟防火墙的创建、启动、关闭、删除功能;可独立分配CPU/内存等计算资源;虚拟防火墙可独立管理,独立保存配置;虚拟防火墙具备独立会话管理、NAT、路由等功能。支持发现病毒发送的告警信息,支持用户编辑告警内容。

13.支持DNS透明代理功能,可基于负载均衡算法代理内网用户进行DNS请求转发。

14.ipv6特性:支持IPV6动态路由协议、IPV6对象及策略、IPV6状态防火墙、IPV6攻击防范、IPV6 GRE/IPSEC VPNIPV6日志审计、IPV6会话热备等功能。

15.五年原厂保修。

1











采购经费已包含对接部署服务和售后服务,费用由中标人承担,校方不再另行付费




撰稿:陈戈明     审稿:薛锋     审核:施永军     签发:左敬龙


地址:广东省茂名市官渡二路139号第二教学楼A楼11楼  邮编:525000

Copyright 广东石油化工学院 网络与教育信息技术中心  粤ICP备05008880号