DOC《流量清洗设备采购要求》

流量清洗设备采购要求

一、总体需求 为满足中国国际电子商务中心防御拒绝服务攻击的需求,现需采购流量清洗设备1套,部署于互联网出口.

要求该设备部署灵活,具备光、电接口,支持串接、旁路等多种部署方式,并具备高可靠性和故障保护功能. 产品清单如下: 商品分类 参考品牌 规格型号 单位 数量 说明 千兆防DDOS攻击硬件网关系统 绿盟 ADS 1600A 台1流量清洗设备,同时支持串接和旁路部署模式,4个GE电口,2个SFP插槽并实配2个多模光模块,包含串接模式下电口和光口Bypass功能所需部件,交流冗余电源,无限IP许可证 千兆防DDOS攻击硬件网关系统 绿盟 NTA 1000A 台1流量清洗配套分析设备,支持flow格式数据分析,4个GE电口,2个SFP插槽并实配2个多模光模块,硬盘≥500G,交流冗余电源 千兆防DDOS攻击硬件网关系统 绿盟 CT 1000A 台1镜像流量采集预处理设备,支持镜像数据到flow格式的预处理转换,4个GE电口,2个SFP插槽并实配2个多模光模块,硬盘≥500G,交流冗余电源

二、技术要求 投标方需确保所提供产品满足以下技术要求,并保证产品的完备性,如果投标方所提供的设备(包括软/硬件和授权使用许可协议)配置存在有任何遗漏(包括产品清单中未列出而系统又必需的软/硬件和授权使用许可协议),影响到系统的完整性及可用性,则安装实施需要时投标方必须免费提供,中国国际电子商务中心将不再支付任何费用. 设备名称:流量清洗设备 数量 1套(含硬件设备及相关软件和许可协议) 部署方式 必须支持下列2种类部署方式:串联部署和旁路部署,并实配满足以下技术要求所需组配件及模块: 串联部署 对现有网络结构透明,无须变更现有

二、三层网络结构,除管理接口外不需配置IP地址 支持串入1000M以太网双绞线链路,实配所需接口模块 支持串入1000M以太网多模光纤链路,实配所需接口模块 支持软件Bypass功能,管理员可通过配置界面在正常防御模式与Bypass模式间切换,切换过程小于1毫秒 支持断电Bypass功能,无论串入双绞线链路或光纤链路,切断本系统全部设备电源后均可自动转变为通路,确保网络不断线,切换时间小于3秒 旁路部署 无攻击情况下对现有网络结构无影响,数据流量不经过防护设备 支持通过BGP、OSPF、RIP等协议进行路由牵引,支持通过GRE、MPLS VPN、MPLS LSP等方式进行流量回注,使指定目的地址流量经过防护设备,其他流量的流向不发生变化 支持单臂和双臂的部署方式,采取单臂部署时,流量牵引和回注使用同一端口;

采取双臂部署时,流量牵引和回注使用两个不同端口 支持通过端口镜像的方式采集原始流量进行检测分析,自动判断是否发生攻击及与攻击相关的IP地址 支持检测模块与防护模块之间的联动,由防护模块接收检测模块信息,并主动发起路由牵引和回注,同时支持与第三方流量检测设备的联动功能 性能要求 能够在千兆全双工环境中稳定工作,吞吐率≥1Gbps,转发延迟≤0.5毫秒,请提供在数据包大小为

64、512和1518字节的流量下产品的吞吐量、延迟数据;

流量清洗性能≥1.4Mpps,请提供产品在遭受各类、各种规模DDoS攻击情况下新建连接成功率、已有连接保持率的测试数据 可防御IP地址数量无上限 并发连接数无上限,以防范连接耗尽和Flood类攻击 基于端口镜像的流量采集和分析能力≥1Gbps 支持集群部署方式,利用多路并行处理,提高防护的容量 支持在IPv4和IPv6协议环境中部署及防御 攻击防护功能 可防御的攻击类型至少包括: Spoofed and Non-Spoofed Attacks TCP(syns, sync-acks, acks, fins, fragments) UDP(random port floods, fragments) UDP TCP 连接关联防护 ICMP(unreachable, echo, fragments) DNS Flood攻击防护 Client Attacks 连接耗尽防护攻击 HTTP Get flood BGP Attacks 各种混合型攻击 针对HTTP Get Flood攻击具备专门的防护手段,具备多种防护算法,能够对HTTP进行解码 具备对不同类型URL请求合法性进行验证,实行不同的防护策略,可防御CC及变种的能力 采用智能攻击流量识别的技术进行防护,不基于特定规则或特定的特征匹配,当发生未知攻击,无需专门的撰写规则即可对这些攻击进行防护 支持对用户进行分组,并对不同的组别进行独立的防护策略配置,防护群组数量≥1024 访问控制功能 提供基于源IP地址、目的IP地址、源端口、目的源口、协议类型的ACL访问控制规则 提供基于源IP地址、目的IP地址、源端口、目的源口、协议类型、TOS及接口以及对数据包负载进行匹配的模式匹配规则 提供针对目标URL的访问控制规则 流量捕获功能 可根据用户设置的源IP地址、目的IP地址、源端口、目的源口等条件捕获记录原始网络数据包,为攻击取证提供依据 日志报表功能 支持通过图形化界面对流量和攻击事件的实时监控 支持通过图形化界面对端口状态、CPU、内存等系统状态的监控 支持通过图形化界面对牵引路由表、对端路由器状态、路由协议状态等信息的监控 日志内容至少包括系统日志、用户登录及操作日志、攻击日志、流量牵引日志等,并针对攻击日志提供统计分析功能 支持日志自动导出,包括邮件、Syslog、FTP等方式 支持输出流量报表、攻击事件报表等统计报表,支持多种报表格式,支持报表自动生成和导出 管理配置功能 支持基于Console接口的本地配置管理 支持基于HTTPS的图形化界面管理和基于SSH的配置管理 支持管理员用户分级分权设置 支持配置文件的导入导出