关于流量清洗设备采购要求方案.docVIP

流量清洗设备采购要求 一、总体需求 为满足中国国际电子商务中心防御拒绝服务攻击的需求，现需采购流量清洗设备1套，部署于互联网出口。要求该设备部署灵活，具备光、电接口，支持串接、旁路等多种部署方式，并具备高可靠性和故障保护功能。 产品清单如下： 商品分类 参考品牌 规格型号 单位 数量 说明 千兆防DDOS攻击硬件网关系统千兆防DDOS攻击硬件网关系统千兆防DDOS攻击硬件网关系统 数量 1套（含硬件设备及相关软件和许可协议） 部署方式 必须支持下列2种类部署方式：串联部署和旁路部署，并实配满足以下技术要求所需组配件及模块： 串联部署 对现有网络结构透明，无须变更现有二、三层网络结构，除管理接口外不需配置IP地址 支持串入1000M以太网双绞线链路，实配所需接口模块 支持串入1000M以太网多模光纤链路，实配所需接口模块 支持软件Bypass功能，管理员可通过配置界面在正常防御模式与Bypass模式间切换，切换过程小于1毫秒 支持断电Bypass功能，无论串入双绞线链路或光纤链路，切断本系统全部设备电源后均可自动转变为通路，确保网络不断线，切换时间小于3秒 旁路部署 无攻击情况下对现有网络结构无影响，数据流量不经过防护设备 支持通过BGP、OSPF、RIP等协议进行路由牵引，支持通过GRE、MPLS VPN、MPLS LSP等方式进行流量回注，使指定目的地址流量经过防护设备，其他流量的流向不发生变化 支持单臂和双臂的部署方式，采取单臂部署时，流量牵引和回注使用同一端口；采取双臂部署时，流量牵引和回注使用两个不同端口 支持通过端口镜像的方式采集原始流量进行检测分析，自动判断是否发生攻击及与攻击相关的IP地址 支持检测模块与防护模块之间的联动，由防护模块接收检测模块信息，并主动发起路由牵引和回注，同时支持与第三方流量检测设备的联动功能 性能要求 能够在千兆全双工环境中稳定工作，吞吐率≥1Gbps，转发延迟≤0.5毫秒，请提供在数据包大小为64、512和1518字节的流量下产品的吞吐量、延迟数据 流量清洗性能≥1.4Mpps，请提供产品在遭受各类DDoS攻击情况下新建连接成功率、已有连接保持率的测试数据 可防御IP地址数量无上限 并发连接数 基于端口镜像的流量采集和分析能力≥1Gbps 支持集群部署方式，利用多路并行处理，提高防护的容量 支持在IPv4和IPv6协议环境中部署及防御 攻击防护功能 可防御的攻击类型至少包括： Spoofed and Non-Spoofed Attacks TCP（syns, sync-acks, acks, fins, fragments） UDP（random port floods, fragments） UDP TCP 连接关联防护 ICMP（unreachable, echo, fragments） DNS Flood攻击防护 Client Attacks 连接耗尽防护攻击 HTTP Get flood BGP Attacks 各种混合型攻击 针对HTTP Get Flood攻击具备专门的防护手段，具备多种防护算法，能够对HTTP进行解码 具备对不同类型URL请求合法性进行验证，实行不同的防护策略，可防御CC及变种的能力 采用智能攻击流量识别的技术进行防护，不基于特定规则当发生未知攻击，无需专门的撰写规则即可对这些攻击进行防护 支持对用户进行分组，并对不同的组别进行独立的防护策略配置，防护群组数量≥1024 访问控制功能 提供基于源IP地址、目的IP地址、源端口、目的源口、协议类型的ACL访问控制规则 提供基于源IP地址、目的IP地址、源端口、目的源口、协议类型、TOS及接口以及对数据包负载进行匹配的模式匹配规则 提供针对目标URL的访问控制规则 流量捕获功能 可根据用户设置的源IP地址、目的IP地址、源端口、目的源口等条件捕获记录原始网络数据包，为攻击取证提供依据 日志报表功能 支持通过图形化界面对流量和攻击事件的实时监控 支持通过图形化界面对端口状态、CPU、内存等系统状态的监控 支持通过图形化界面对牵引路由表、对端路由器状态、路由协议状态等信息的监控 日志内容至少包括系统日志、用户登录及操作日志、攻击日志、流量牵引日志等，并针对攻击日志提供统计分析功能 支持日志自动导出，包括邮件、Syslog、FTP等方式 支持输出流量报表、攻击事件报表等统计报表，支持多种报表格式，支持报表自动生成和导出 管理配置功能 支持基于Console接口的本地配置管理 支持基于HTTPS的图形化界面管理和基于SSH的配置管理 支持管理员用户分级分权设置 支持配置文件的导