应用服务器和部分网络安全设备技术参数

1、应用服务器和部分网络安全设备技术参数应用服务器和部分网络安全设备技术参数1、应用服务器一、总体要求序 号项目规格及配置要求1机型* 企业级一体机或企业级 UNIX 服务 器（ 均为所在产品家族的最高端型 号） ，一体机须与应用采用的数据库 和中间件为同一品牌2总核 数*整个系统 64 位 CPU总核数 1403机柜原厂商机柜 （ 每个机柜配有前后门、 两路电源分配模块及冗余 PDU），机 柜数量 1 个4整体 可靠 性* 所有服务器、存储控制器、交换机， 及其 CPU、内存、硬盘、电源、风 扇、网络连线、电源连线等均冗余 配置5服务支持*所有硬件要求 3 年原厂 7*24 小时 保修服务， 4

2、 小时响应二、计算设备1品牌国际知名品牌（非 OEM）2基本要求* 8 个服务器节点 （ 或分区，虚拟 分区除外，下同 ）3处理 器*64 位芯片，主频 2.9GHz *CPU总核数 128 核 单机柜服务器 CPU总核数最大可扩 展至 480 核4内存* 2048GB，内存主频 1066MHz 单机柜服务器内存最大可扩展至 7680GB5硬盘* 16 个 100GB 热插拔 SSD硬盘 （RAID-1 配置 ）6网络接口*1Gb 以太网口 8 个40Gb QDR InfiniBand 网口 16 个 （InfiniBand 网卡内部为 PCIe 接 口）7I/O* 不同服务器节点之间的 I/

3、O 带宽 40Gb/s* 服务器节点与存储之间的 I/O 带 宽 40Gb/s8电源每个服务器节点电源 29操作与服务器同品牌 UNIX或 LINUX操作系统系统，无限用户数 支持 Oracle WebLogic 11g 支持 Oracle WebLogic 的 CPU线程 自优化等技术 支持 Weblogic,JVM 及操作系统针 对 InfiniBand 网络协议栈的优化三、存储设备1品牌与计算设备同一品牌（非 OEM）2基本要求至少 2 个互为主备的存储控制器， 其中的 64 位 CPU总核数 16（单个 存储控制器 CPU核数 8）3存储容量* 存储容量 60TB；* 每台存储 4TB

4、闪存读缓存* 每台存储 292GB闪存写缓存4主机接口 4 个 40Gb InfiniBand 网口5电源/风扇每台存储电源 2，全冗余的电源和 风扇，可在线可热插拔更换6可管理性 和可靠性配置图形化存储管理软件，盘阵可 根据需要灵活划分存储空间，具备 性能监测、分析等功能；可以通过 模块化灵活的增加或删减磁盘，随后系统自动地完成数据平衡分布； 具备能够智能消除热点块的功能； 可靠性满足冗余互备要求7访问协议NFS、CIFS、WebDA、V FTP、 iSCSI 等主流协议四、交换设备1品牌与计算设备同一品牌（非 OEM）2基本要求冗余两台配置3端口数量每 台 交 换 机 已 激 活 的 40

5、Gb QDRInfiniBand 端口数量 32 每台交换机已激活的 10GbE端口数 量84端口速率*交换机全部端口速率之和2560Gb/s* 交换机与服务器节点的 I/O 通道 总带宽 640Gb/s* 交换机与存储的 I/O 通道总带宽160Gb/s5端口激活* 激活所有交换机端口6数据消息传递接口 MPI ping 低至 1.2延迟微秒7管理网络1 台用于本地管理的千兆网络交换 机五、云计算软件1品牌与计算设备同一品牌2基本要求1套3拟功 虚化能提供原厂非 OEM的虚拟化软件和解 决方案；虚拟机可支持 128 个虚拟 CPU；提供虚拟机生命周期管理， 支 持从媒体或从模板创建虚拟机，提

6、 供启动，登录，关闭和删除虚拟机； 提供管理资源，包括 ISO 文件，虚 拟机模板，虚拟机镜像和虚拟磁盘 管理；支持高级电源管理、支持存 储虚拟化和网络虚拟化；无需人工 干预，在服务器池中的某个物理服 务器失效，运行于该服务器上的所 有虚机在可自动在其它物理服务器 上重启；可业务不中断的情况下， 将客户机由一台物理服务器迁移到 与该服务器处于同一个服务器池中的另一台物理服务器上；4管功 云理能支持 IaaS （服务器、存储、交换机 等）和 PaaS（系统、中间件、数据 库等）云资产生命周期管理，提供 云资产发现、跟踪、对比等功能； 提供云资源的拓扑管理，可以图形 方式显示整个中间件环境的拓扑结

7、 构图及路由细节；支持按照 CPU、 内存、时间、网络使用情况等统计 云资源使用情况， 并提供计费功能； 提供云资源容量整合功能，可根据 容量自动分配云资源的使用；支持 根据负载实现云资源动态收缩和扩 展；5负载 均衡 功能含负载均衡 /HTTP 压缩/Web加速缓 存/SSL 终结等功能6存储 管理 功能支持 Infiniband 协议优化7整体 I/O 优服务器、存储和交换机支持 SDP、RDM、A IPoIB/EoIB 协议化8应用基础 软件优化针对应用所采用的数据库和中间件 等基础软件进行了底层 I/O 优化 （ 包括 Parallel Muxer 、 Scatter I/O 、零缓存

8、复制等技术 ）2、交换机 1序 号项 目规格及配置要求1产 品 架 构采用多级交换架构， 控制平面与转发平 面分离设计2性能交 换 容 量 16Tbps ； 包 转 发 率 5600Mpps3路 由 协 议支持 IPv4 静态路由、RIP V1/V2、OSPF、 BGP等，支持 IPv6 静态路由、 RIPng、 OSPFv3、BGP4+等4设 备 管 理支持 SNMPv、1 SNMPv、2 SNMPv、3 RMO 等网络管理协议，并且支持通过网管软 件远程进行设备软件升级、配置等5服 务*提供原厂商针对此项目的授权书； *提供原厂商 3年7*24 小时上门保修服 务承诺函。6端 口 配 置*

9、24 千兆以太网光接口，实配 20 个光 模块；*48 千兆以太网电接口；*24 万兆以太网光接口，实配 20 个光 模块；*2 条交换机万兆互联线缆，带光模块7认 证提供中华人民共和国工业和信息化部 电信管理局入网证复印件 （入网证申请 单位和生产企业必须一致） ，并加盖厂 商公章。8可 靠 性*双主控、冗余电源； *支持插板的在线插拔。9多 业 务支持硬件负载均衡模块3、交换机 2序项规格及配置要求号目1性能交 换 容 量 360Gbps； 包 转 发 率 160Mpps2路 由 协 议支持 IPv4 静态路由、RIP V1/V2、OSPF、 BGP等，支持 IPv6 静态路由、 RIPn

10、g、 OSPFv3、BGP4+等3设 备 管 理支持 SNMPv、1 SNMPv、2 SNMPv、3 RMO 等网络管理协议，并且支持通过网管软 件远程进行设备软件升级、配置等4服 务*提供原厂商针对此项目的授权书； *提供原厂商 3年 7*24 小时上门保修服 务承诺函。5端 口 配 置*12 千兆以太网光接口，实配 12 个光 模块；*48 千兆以太网电接口；*2 万兆以太网光接口，实配 2 个光模 块；6认 证提供中华人民共和国工业和信息化部 电信管理局入网证复印件 （入网证申请 单位和生产企业必须一致） ，并加盖厂商公章。7可 靠 性*冗余电源4、业务堡垒机指标项具体要求部署方式可以服

11、务器模式旁路部署在运维区域，不需要调整网络拓扑，不需 要调整网络设备配置；性能* 可管理设备数量不低于 1000 台并发会话数授权：命令行方式不低于 2000 个，图形方式不低于 500 个。用户登录堡垒机延迟不大于 1 秒从堡垒机登录资源延迟不大于 1 秒存储介质容量 4T（ RAID5 模式）硬件形态： 2U 机架设备，配冗余电源* 至少支持 4 个千兆电口，至少支持 4 个 SFP 插槽，配 1 个千兆多模 光接口模块操作支持类型Windows 图形操作( RDP/VNC/X11)Unix/Linux 图形操作（ VNC）终端字符命令（ Telnet 、 SSH、Rlogin ）操作文件

12、上传和下载操作（ FTP、 SFTP）其他操作（支持 Radmin、Pcanywhere 、 HTTP/HTTPS，支持按需定制 支持其他访问协议； ）数据库操作( Oracle 、MS SQL Server 、 DB2、 Informix 、 Sybase 、 MySQL数据库)服务器：Windows 操作系统； 各种 Unix 操作系统（ AIX 、HP-UX、Solaris 等）；各种 Linux 操作系统（ RedHat， SUSE等）；网络设备： Cisco 全系列；华为全系列。系统自身管理用户多角色划分：系统需提供用户管理员、配置管理员、审计管理员、普通用户等多种角色；可对审计日志

13、按照时间段进行备份可对审计日志进行自动和手工备份支持堡垒机系统的升级管理用户管理支持用户帐号实名制，可以根据具体的维护人员添加唯一与其身份对应的用户，实现维护人员身份的唯一性管理；可以设定活动、禁用两种用户帐号状态，当用户在一定时间内连续输错密码时，可以自动禁用该用户帐号；支持静态密码认证方式；支持 AD域、 LDAP、 radius 认证方式；可以通过配置用户帐号的密码有效期，使用户帐号在到期之后停止 使用；密码管理通过对目标设备密码的托管，实现对后台设备的自动登录；支持系统管理员和认证用户的密码安全性设置，包括长度、复杂度 等灵活可配置的密码修改策略；权限管理支持黑名单（不可以执行）和白名

14、单（只允许执行） ；对于用户权限定义精确到命令级；对于关键的 SSH、 Telnet 服务器，可以配置权限用户登录后自动执 行命令集；可以对用户访问权限进行查看、变更、删除等操作；访问控制* 可实现基于访问 IP 、用户账号、目标设备、目标服务、系统帐号、 具体操作、时间设定比较详细的访问策略。不符合访问策略的操作可以被阻断。可对 RDP、VNC、 X11、Telnet 、SSH等协议进行实时监控对于实时监控的会话，可以手动进行阻断操作响应方式记录审计事件记录会话数据忽略实时阻断界面告警Syslog 告警SNMP trap 告警邮件告警审计日志搜索所有操作均支持按时间、级别、源 目的 IP 、

15、协议名、源 目的端口 为条件进行审计日志查询可以以键盘输入的内容为关键字进行搜索；搜索结果与操作会话关联，实现快速定位；操作回放支持命令操作会话的完整回放；支持图形操作的回放；支持倍速回放；支持回放全屏显示；回放时可显示键盘和鼠标操作内容；审计报表支持生成各种格式的审计报表，包括PDF、 Excel 、HTML等格式。系统自带多种报表模板系统支持自定义报表* 支持报表按日、周、月自动生成，并且可自动邮件发送给相关管理 人员。资格要求* 产品具有公安部颁发的计算机信息系统安全专用产品销售许可 证；厂商通过 CMMI3认证，提供证书复印件制造厂商能提供其自主发掘 Windows 系统及其它微软产品

16、的 CVE 漏 洞并且在微软官网有相应说明，提供网址URL并载图由厂商加公章* 涉及国家秘密的计算机信息系统集成甲级资质 , 并提供证书复印 件5、抗 DDOS指标项规格要求基本要求* 采用 MIPS64 多核多线程硬件处理平台，非X86 架构，提供多核并行操作系统著作权证书。* 国产自主品牌，须提供国家版权局颁发的计算机软件著作权登记证书*标配不少于 4 个 10/100/1000M 电口， 具备至少 2 个接口扩展插槽， 最大可扩 展至不少于 48 个千兆口或者 8 个千兆口 +8 个万兆口（提供面板截图） ，配 2 个千兆多模光接口模块及光纤跳线 2 条 *10M性能要求网络吞吐量：不小

17、于 30G，最大可扩展至 48G混合攻击处理能力：不小于15G，最大可扩展至 26G最大并发连接数：不小于 500 万，最大可扩展至 1000 万每秒最大新建连接数：不小于20 万 / 秒，最大可扩展至 40 万/ 秒异常流量清 洗 和 抗 DDOS 攻击支持对流量型攻击进行清洗，包括SYN Flood 、 SYN-ACKF lood 、 ACK Flood 、FIN/RST Flood 、 ICMP Flood 、UDPF lood 、IP Fragment Flood 、 Stream flood 、 Arp flood 等支持对应用层攻击进行清洗， 包括 Webc c 攻击、 URL 防

18、护、 Connection Flood 、 HTTPSF lood 、HTTPG et Flood 、HTTPP ost Flood 、DNSq uery flood 、DNSr eply flood 、SIP flood 等支持对普通常见攻击的清洗，包括 ipspoof 、 sroute 、 land 、 TCP 标志位攻击、 fraggle 攻 击 、 winnuke 、 queso 、 sf_scan 、 null_scan 、 xmas_scan 、 ping-of-death 、smurf 、arp-reverse-query 、arp-spoofing 、支持对超大 ICMP 报文

19、实施控制支持对蠕虫连接性攻击的清洗， 支持基于 PCP或者源或目的地址进行连接数统计和控制，支持连接排行榜功能，具备早期预警功能支持防扫描功能，包括防御 TCP端口扫描、 UDP端口扫描、 Ping Sweep 扫描， 能够防止主机和端口扫描等可以抵抗常用黑客工具的攻击，譬如 Trinoo 、 TFN、TFN2K、Stacheldraht 等支持用户自定义报文内容、协议、 IP 、端口、长度等特征进行防护支持 IPV6 环境下异常流量和 DDOS 攻击的清洗（提供截图） ，并提供 IPv6 Phase-2 级别认证（该英文证书中明确标明“ Anti-DOS ”字样）支持配置对于异常流量和 DDOS攻击的处理方式，可以选择只报警不丢弃；或 者报警兼丢弃的方式。可以配置抗攻击日志采样率支持指定接口发送攻击证据报文； 支持在指定时间内抓取指定数量的报文， 并 上传到指定的 FTP 服务器。异常流量牵 引和回注支持 BGP牵引、 OSPF牵引、 ISIS 路由发布，支持 IPV6 环境下的异常流量牵引支持二层 VLAN回注、策略路由（ PBR）回注、 GRE回注、 MPLS二层标签回注， 支持 IPV6 环境下的净流量回注支持指定入接口的报文转发到出接口应用层 DNS防 护支持对 DNS报文特征检测、 TT