应用服务器和部分网络安全设备技术参数样本.doc

资料内容仅供您学习参考，如有不当或者侵权，请联系改正或者删除。 应用服务器和部分网络安全设备技术参数 1、 应用服务器 一、 总体要求 序号 项目 规格及配置要求 1 机型 *企业级一体机或企业级UNIX服务器(均为所在产品家族的最高端型号), 一体机须与应用采用的数据库和中间件为同一品牌 2 总核数 *整个系统64位CPU总核数≥140 3 机柜 原厂商机柜(每个机柜配有前后门、 两路电源分配模块及冗余PDU), 机柜数量≥1个 4 整体可靠性 *所有服务器、 存储控制器、 交换机, 及其CPU、 内存、 硬盘、 电源、 风扇、 网络连线、 电源连线等均冗余配置 5 服务支持 *所有硬件要求3年原厂7*24小时保修服务, 4小时响应 二、 计算设备 1 品牌 国际知名品牌( 非OEM) 2 基本要求 *≥8个服务器节点(或分区, 虚拟分区除外, 下同) 3 处理器 *64位芯片, 主频≥2.9GHz *CPU总核数≥128核 单机柜服务器CPU总核数最大可扩展至480核 4 内存 *≥2048GB, 内存主频≥1066MHz 单机柜服务器内存最大可扩展至7680GB 5 硬盘 *≥16个100GB热插拔SSD硬盘 (RAID-1配置) 6 网络接口 *1Gb以太网口≥8个 40Gb QDR InfiniBand 网口≥16个(InfiniBand网卡内部为PCIe接口) 7 I/O *不同服务器节点之间的I/O带宽≥40Gb/s *服务器节点与存储之间的I/O带宽≥40Gb/s 8 电源 每个服务器节点电源≥2 9 操作系统 与服务器同品牌UNIX或LINUX操作系统, 无限用户数 支持Oracle WebLogic 11g 支持Oracle WebLogic的CPU线程自优化等技术 支持Weblogic,JVM及操作系统针对InfiniBand网络协议栈的优化 三、 存储设备 1 品牌 与计算设备同一品牌( 非OEM) 2 基本要求 至少2个互为主备的存储控制器, 其中的64位CPU总核数≥16( 单个存储控制器CPU核数≥8) 3 存储容量 *存储容量≥60TB; *每台存储≥4TB闪存读缓存 *每台存储≥292GB闪存写缓存 4 主机接口 ≥4个40Gb InfiniBand 网口 5 电源/风扇 每台存储电源≥2, 全冗余的电源和风扇, 可在线可热插拔更换 6 可管理性 和可靠性 配置图形化存储管理软件, 盘阵可根据需要灵活划分存储空间, 具备性能监测、 分析等功能; 能够经过模块化灵活的增加或删减磁盘, 随后系统自动地完成数据平衡分布; 具备能够智能消除热点块的功能; 可靠性满足冗余互备要求 7 访问协议 NFS、 CIFS、 WebDAV、 FTP、 iSCSI等主流协议 四、 交换设备 1 品牌 与计算设备同一品牌( 非OEM) 2 基本要求 冗余两台配置 3 端口数量 每台交换机已激活的40Gb QDR InfiniBand端口数量≥32 每台交换机已激活的10GbE端口数量≥8 4 端口速率 *交换机全部端口速率之和≥2560Gb/s *交换机与服务器节点的I/O通道总带宽≥640Gb/s *交换机与存储的I/O通道总带宽≥160Gb/s 5 端口激活 *激活所有交换机端口 6 数据延迟 消息传递接口MPI ping低至1.2微秒 7 管理网络 1台用于本地管理的千兆网络交换机 五、 云计算软件 1 品牌 与计算设备同一品牌 2 基本要求 1套 3 虚拟化功能 提供原厂非OEM的虚拟化软件和解决方案; 虚拟机可支持128个虚拟CPU; 提供虚拟机生命周期管理, 支持从媒体或从模板创立虚拟机, 提供启动, 登录, 关闭和删除虚拟机; 提供管理资源, 包括ISO文件, 虚拟机模板, 虚拟机镜像和虚拟磁盘管理; 支持高级电源管理、 支持存储虚拟化和网络虚拟化; 无需人工干预, 在服务器池中的某个物理服务器失效, 运行于该服务器上的所有虚机在可自动在其它物理服务器上重启; 可业务不中断的情况下, 将客户机由一台物理服务器迁移到与该服务器处于同一个服务器池中的另一台物理服务器上; 4 云管理功能 支持IaaS( 服务器、 存储、 交换机等) 和PaaS( 系统、 中间件、 数据库等) 云资产生命周期管理, 提供云资产发现、 跟踪、 对比等功能; 提供云资源的拓扑管理, 能够图形方式显示整个中间件环境的拓扑结构图及路由细节; 支持按照CPU、 内存、 时间、 网络使用情况等统计云资源使用情况, 并提供计费功能; 提供云资源容量整合功能, 可根据容量自动分配云资源的使用; 支持根据负载实现云资源动态收缩和扩展; 5 负载均衡功能 含负载均衡/HTTP压缩/Web加速缓存/SSL终结等功能 6 存储管理功能 支持Infiniband协议优化 7 整体I/O优化 服务器、 存储和交换机支持SDP、 RDMA、 IPoIB/EoIB协议 8 应用基础 软件优化 针对应用所采用的数据库和中间件等基础软件进行了底层I/O优化(包括Parallel Muxer、 Scatter I/O、 零缓存复制等技术) 2、 交换机1 序号 项目 规格及配置要求 1 产品架构 采用多级交换架构, 控制平面与转发平面分离设计 2 性能 交换容量≥16Tbps; 包转发率≥5600Mpps 3 路由协议 支持IPv4静态路由、 RIP V1/V2、 OSPF、 BGP等, 支持IPv6静态路由、 RIPng、 OSPFv3、 BGP4+等 4 设备管理 支持SNMPv1、 SNMPv2、 SNMPv3、 RMON等网络管理协议, 而且支持经过网管软件远程进行设备软件升级、 配置等 5 服务 *提供原厂商针对此项目的授权书; *提供原厂商3年7*24小时上门保修服务承诺函。 6 端口配置 *24千兆以太网光接口, 实配20个光模块; *48千兆以太网电接口; *24万兆以太网光接口, 实配20个光模块; *2条交换机万兆互联线缆, 带光模块 7 认证 提供中华人民共和国工业和信息化部电信管理局入网证复印件( 入网证申请单位和生产企业必须一致) , 并加盖厂商公章。 8 可靠性 *双主控、 冗余电源; *支持插板的在线插拔。 9 多业务 支持硬件负载均衡模块 3、 交换机2 序号 项目 规格及配置要求 1 性能 交换容量≥360Gbps; 包转发率≥160Mpps 2 路由协议 支持IPv4静态路由、 RIP V1/V2、 OSPF、 BGP等, 支持IPv6静态路由、 RIPng、 OSPFv3、 BGP4+等 3 设备管理 支持SNMPv1、 SNMPv2、 SNMPv3、 RMON等网络管理协议, 而且支持经过网管软件远程进行设备软件升级、 配置等 4 服务 *提供原厂商针对此项目的授权书; *提供原厂商3年7*24小时上门保修服务承诺函。 5 端口配置 *12千兆以太网光接口, 实配12个光模块; *48千兆以太网电接口; *2万兆以太网光接口, 实配2个光模块; 6 认证 提供中华人民共和国工业和信息化部电信管理局入网证复印件( 入网证申请单位和生产企业必须一致) , 并加盖厂商公章。 7 可靠性 *冗余电源 4、 业务堡垒机 指标项 具体要求 部署方式 能够服务器模式旁路部署在运维区域, 不需要调整网络拓扑, 不需要调整网络设备配置; 性能 *可管理设备数量不低于1000台 并发会话数授权: 命令行方式不低于 个, 图形方式不低于500个。 用户登录堡垒机延迟不大于1秒 从堡垒机登录资源延迟不大于1秒 存储介质容量4T( RAID5模式) 硬件形态: 2U机架设备, 配冗余电源 *至少支持4个千兆电口, 至少支持4个SFP插槽, 配1个千兆多模光接口模块 操作支持类型 Windows图形操作( RDP/VNC/X11) Unix/Linux图形操作( VNC) 终端字符命令( Telnet、 SSH、 Rlogin) 操作 文件上传和下载操作( FTP、 SFTP) 其它操作( 支持Radmin、 Pcanywhere、 HTTP/HTTPS, 支持按需定制支持其它访问协议; ) 数据库操作( Oracle、 MS SQL Server、 DB2、 Informix、 Sybase、 MySQL数据库) 服务器: Windows操作系统; 各种Unix操作系统( AIX、 HP-UX、 Solaris等) ; 各种Linux操作系统( RedHat, SUSE等) ; 网络设备: Cisco全系列; 华为全系列。 系统自身管理 用户多角色划分: 系统需提供用户管理员、 配置管理员、 审计管理员、 普通用户等多种角色; 可对审计日志按照时间段进行备份 可对审计日志进行自动和手工备份 支持堡垒机系统的升级管理 用户管理 支持用户帐号实名制, 能够根据具体的维护人员添加唯一与其身份对应的用户, 实现维护人员身份的唯一性管理; 能够设定活动、 禁用两种用户帐号状态, 当用户在一定时间内连续输错密码时, 能够自动禁用该用户帐号; 支持静态密码认证方式; 支持AD域、 LDAP、 radius认证方式; 能够经过配置用户帐号的密码有效期, 使用户帐号在到期之后停止使用; 密码管理 经过对目标设备密码的托管, 实现对后台设备的自动登录; 支持系统管理员和认证用户的密码安全性设置, 包括长度、 复杂度等 灵活可配置的密码修改策略; 权限管理 支持黑名单( 不能够执行) 和白名单( 只允许执行) ; 对于用户权限定义精确到命令级; 对于关键的SSH、 Telnet服务器, 能够配置权限用户登录后自动执行命令集; 能够对用户访问权限进行查看、 变更、 删除等操作; 访问控制 *可实现基于访问IP、 用户账号、 目标设备、 目标服务、 系统帐号、 具体操作、 时间设定比较详细的访问策略。 不符合访问策略的操作能够被阻断。 可对RDP、 VNC、 X11、 Telnet、 SSH等协议进行实时监控 对于实时监控的会话, 能够手动进行阻断 操作响应方式 记录审计事件 记录会话数据 忽略 实时阻断 界面告警 Syslog告警 SNMP trap告警 邮件告警 审计日志搜索 所有操作均支持按时间、 级别、 源\目的IP、 协议名、 源\目的端口为条件进行审计日志查询 能够以键盘输入的内容为关键字进行搜索; 搜索结果与操作会话关联, 实现快速定位; 操作回放 支持命令操作会话的完整回放; 支持图形操作的回放; 支持倍速回放; 支持回放全屏显示; 回放时可显示键盘和鼠标操作内容; 审计报表 支持生成各种格式的审计报表, 包括PDF、 Excel、 HTML等格式。 系统自带多种报表模板 系统支持自定义报表 *支持报表按日、 周、 月自动生成, 而且可自动邮件发送给相关管理人员。 资格要求 *产品具有公安部颁发的《计算机信息系统安全专用产品销售许可证》; 厂商经过CMMI3认证, 提供证书复印件   制造厂商能提供其自主发掘Windows系统及其它微软产品的CVE漏洞而且在微软官网有相应说明, 提供网址URL并载图由厂商加公章 *涉及国家秘密的计算机信息系统集成甲级资质, 并提供证书复印件 5、 抗DDOS 指标项 规格要求 基本要求 * 采用MIPS64多核多线程硬件处理平台, 非X86架构, 提供多核并行操作系统著作权证书。 * 国产自主品牌, 须提供国家版权局颁发的《计算机软件著作权登记证书》 *标配不少于4个10/100/1000M电口, 具备至少2个接口扩展插槽, 最大可扩展至不少于48个千兆口或者8个千兆口+8个万兆口( 提供面板截图) , 配2个千兆多模光接口模块及光纤跳线2条*10M 性能要求 网络吞吐量: 不小于30G, 最大可扩展至48G 混合攻击处理能力: 不小于15G, 最大可扩展至26G 最大并发连接数: 不小于500万, 最大可扩展至1000万 每秒最大新建连接数: 不小于20万/秒, 最大可扩展至40万/秒 异常流量清洗和抗DDOS攻击 支持对流量型攻击进行清洗, 包括SYN Flood 、 SYN-ACK Flood、 ACK Flood、 FIN/RST Flood、 ICMP Flood、 UDP Flood、 IP Fragment Flood、 Stream flood、 Arp flood等 支持对应用层攻击进行清洗, 包括Web cc攻击、 URL防护、 Connection Flood、 HTTPS Flood、 HTTP Get Flood、 HTTP Post Flood、 DNS query flood、 DNS reply flood、 SIP flood等 支持对普一般见攻击的清洗, 包括ipspoof、 sroute、 land、 TCP标志位攻击、 fraggle攻击、 winnuke、 queso、 sf_scan、 null_scan、 xmas_scan、 ping-of-death、 smurf、 arp-reverse-query、 arp-spoofing、 支持对超大ICMP报文实施控制 支持对蠕虫连接性攻击的清洗, 支持基于PCP或者源或目的地址进行连接数统计和控制, 支持连接排行榜功能, 具备早期预警功能 支持防扫描功能, 包括防御TCP端口扫描、 UDP端口扫描、 Ping Sweep扫描, 能够防止主机和端口扫描等 能够抵抗常见黑客工具的攻击, 譬如Trinoo、 TFN、 TFN2K、 Stacheldraht等 支持用户自定义报文内容、 协议、 IP、 端口、 长度等特征进行防护 支持IPV6环境下异常流量和DDOS攻击的清洗( 提供截图) , 并提供IPv6 Phase-2级别认证( 该英文证书中明确标明”Anti-DOS”字样) 支持配置对于异常流量和DDOS攻击的处理方式, 能够选择只报警不丢弃; 或者报警兼丢弃的方式。 能够配置抗攻击日志采样率 支持指定接口发送攻击证据报文; 支持在指定时间内抓取指定数量的报文, 并上传到指定的FTP服务器。 异常流量牵引和回注 支持BGP牵引、 OSPF牵引、 ISIS路由发布, 支持IPV6环境下的异常流量牵引 支持二层VLAN回注、 策略路由( PBR) 回注、 GRE回注、 MPLS二层标签回注, 支持IPV6环境下的净流量回注 支持指定入接口的报文转发到出接口 应用层DNS防护 支持对DNS报文特征检测、 TTL限制, 能够抵御DNS Reply flood、 DNS Query flood攻击 支持DNS验证、 域名黑名单、 域名访问控制、 域名自动分析控制、 域名白名单等 支持DNS自定义域名监测、 静态域名回复、 域名黑名单、 QPS信息统计和DNS重定向统计等功能 支持监测DNS缓存投毒和缓存感染, 支持相关的统计信息 支持自动缓存域名与IP的对应关系, 支持探测DNS服务器是否正常答复, 支持代替DNS服务器响应DNS请求 支持IPV6环境下的DNS应用防护 高可用性 支持A-A和A-S模式的双机热备 支持集群部署 支持软、 硬件Bypass功能, 能够实现二层回退及掉电保护功能, 能够避免因系统无法正常工作而造成网络中断 系统管理与配置 支持Telnet\SSH\串口\Web管理, 支持中英文配置界面并可在线切换, 具备管理IP控制列表 可经过异常流量管理中心对清洗设备进行集中管理, 包括清洗策略下发、 设备状态监控、 软件版本升级等 支持SNMPV1、 V2/V2C、 V3 支持本地和NTP时间同步 能够经过Ping、 traceroute 、 ARP测试、 TCP测试、 HTTP测试手段判断网络和应用的连通性 资格要求 *产品具有公安部颁发的《计算机信息系统安全专用产品销售许可证》; 制造厂商能提供其自主发掘Windows系统及其它微软产品的CVE漏洞而且在微软官网有相应说明, 提供网址URL并载图由厂商加公章 厂商经过CMMI3认证, 提供证书复印件   *涉及国家秘密的计算机信息系统集成甲级资质, 并提供证书复印件