医院互联网端负载均衡系统需求说明

医院互联网端负载均衡系统需求说明需求说明序号名称数量单位所属行业1万兆交换机2台工业2应用交付网关(AD)2台工业3运维审计与风险控制系统1台工业4下一代防火墙2台工业技术功能要求万兆光口交换机功能项功能要求说明万兆光口交换机

1、交换容量≥672Gbps，转发性能≥171Mpps；2、硬件规格：千兆SFP光口≥28个（含4个Combo10/100/1000Base-T自适应以太网接口），万兆SFP+端口≥8个；3、软件规格：IPv4FIB≥12K，IPv6FIB≥6K，ARP表项≥12K，MAC表项≥32K；3、IP路由：支持静态路由，RIP，RIPng,OSPF,等价路由,VRRP/VRRPv3；4、虚拟化特性：支持集群或堆叠多虚一技术，实现单一界面管理多台设备，支持6个万兆口堆叠；5、SDN：支持OpenFlow1.3标准，基于Openflow通过将网络的控制层和数据转发层进行分离，简化网络的管理及维护，实现网络流量的灵活控制；6、可靠性：端口平均时延小于2us；7、本次实配6个万兆单模光模块，8个千兆光转电模块，2个40G40KM单模光模块，2条万兆堆叠线缆；2、应用交付设备功能项功能要求说明硬件配置性能参数：4层吞吐量（默认网口）≥20G，四层并发连接数≥8000000，4层新建连接数CPS≥210000，7层新建请求数RPS≥350000；硬件参数：规格≥2U，内存大小≥8G，硬盘容量≥240GSSD，电源：冗余电源，接口：支持不低于6千兆电口+6万兆光口SFP+；五年相关规则库升级许可；配置6个万兆单模光模块；多合一功能集成单一设备可同时支持包括链路负载均衡、全局负载均衡和服务器负载均衡的功能；三种功能同时处于激活可使用状态，无需额外购买相应授权；提供针对L4/L7内容交换的服务器负载均衡功能，可在单一设备上支持多个应用和服务器集群，可以根据多种算法和要求分配用户的请求；业务要求支持轮询、加权轮询、按主机加权轮询、加权最小连接、按主机加权最小连接、动态反馈、最快响应、最小流量、加权最小流量、按主机加权最小流量、带宽比例、哈希、主备、首个可用、优先级等算法；支持基于管理员自定义的时间计划来进行出站访问的流量调度分发；支持基于应用协议的智能选路，能对网银、游戏、视频等流量进行调度；支持基于URL的链路调度功能，内置不少于10万条的国外URL网址库，无需手动导入并支持自动更新，管理员可查看；可根据URL将访问国外网站的请求调度到指定线路；支持基于域名的流量调度，针对特定网站选择指定的链路转发；功能要求支持链路负载投屏展示，能够基于链路监测、应用选路和ISP流量进行投屏展示分析；链路监测展示链路的健康状态、上下行带宽、总带宽、新建连接数、并发连接数和吞吐量；应用选路展示基于应用分类选择相应链路的示意图；ISP展示基于运营商分类选择链路的示意图；SLB能够通过健康检查来获取后端服务器状态，同时将服务可用性、设备CPU、新建并发吞吐等数据上报GSLB，设备之间的联动使得GSLB能根据链路和服务器两者的综合状态实现智能切换，为用户选择最优的数据中心和服务器分配方式；支持静态IP和PPPOE两种线路接入方式；节点支持域名和IP两种形式，支持自定义DNS查询间隔；支持后端服务不可用时主动关闭连接，保证客户端访问的连续性；支持多种链路检测方法，能够通过PING、TCP、HTTP等方式监控链路的连通性；支持在同一个虚拟服务下同时配置多个IPv4和IPv6地址；●支持常见的主动式健康检查功能，提供基于SNMP、ICMP、TCP/UDP、FTP、HTTP、HTTPS、DNS、等多种类型的探测判断机制，可依据接口返回值判断Http/Https接口是否健康；支持HTTP被动健康检查，可配置指定检查URL、响应状态码、响应超时时间、统计时间以及可设置异常URL上限，并且能开启/关闭调试日志功能；具备会话保持：支持源IP、Cookie（插入/被动/改写）、HTTP-Header、SSLSession等多种会话保持机制；支持图片优化技术，通过对图片格式的转换，减少传输流量，提升web页面加载速度；支持配置每台的业务主机的并发连接数、新建连接数和每秒请求数限制，同时可配置每个虚拟服务的单个IP或所有IP的最大新建和最大并发限制；支持面向服务器健康度的弹性调控机制，可通过监控业务流中的TCP传输异常来衡量服务器节点的有效性，尝试对性能不足的服务器临时开启过载保护，动态调节服务器的负载；服务器负载状态支持投屏展示，能够显示设备的电源状态、风扇转速、磁盘温度、CPU和内存占用率、新建连接数、并发连接数、SSL新建和SSL吞吐数据、压缩优化和缓存优化数据；业务的健康状态、上下行流量、每秒请求数、健康状态；运维管理支持设置管理地址白名单列表，远程维护支持设置是否允许WAN/LAN；支持SNMPv1/v2c/v3，提供标准的MIB库下载，可接受第三方网管平台的管理；内置智能告警系统,支持E-mail、SNMPTrap、短信等告警方式，管理员可基于业务安全所关注方面来选择告警触发事件与对应的告警方式，当业务网络环境中发生问题时（如服务器宕机、网络攻击、链路中断等故障场景），即会自动向管理员发送告警信息；●为方便出现问题时可查询并追溯历史数据，所产产品需支持历史负载连接会话查询，可根据源IP、目的IP、端口等进行查询，查询日志时间不小于三个月，运维人员可依此进行问题排查；3、运维审计与风险控制系统指标项技术参数性能要求●授权资产≥1000，最大可扩容至；并发字符连接≥1000个；并发图形连接≥300个；用户角色支持用户多角色划分功能，如系统管理员、部门管理员、运维员、审计管理员、密码管理员等，对各类角色需要进行细粒度的权限管理；支持自定义用户权限；单点登录认证●支持标准化对接CAS、JWT、SAML2、OAuth2单点登录认证，且支持配置是否自动创建堡垒机中不存在用户；短信口令认证对接支持与Get、Post、Soap发送方式的HTTP短信网关平台进行联动，实现短信动态口令双因素认证机制；国密认证支持基于国密算法的动态令牌/USBkey进行双因子认证；全局双因子认证设置支持基于不同的用户设置不同的双因子认证模式；支持单用户同时开启多种身份认证方式；IE/谷歌/火狐浏览器代填IE、谷歌或火狐浏览器代填应用发布：HTTP/HTTPS协议的web设备，且可以直接代填账号和密码；自动收集和自动授权支持自动收集设备IP、运维协议、端口号、账号、密码、与用户的权限关系，可自动完成授权；数据库兼容性●标准支持DB2、Oracle、MySql、SQLServer、PostgreSQL、KingbaseES、DM、GBase8a、GBASE8s的协议运维代理，可实现自动登录，自动登录可直接调用本地windows系统的数据库客户端工具（包括ssms、sqlwb、DBeaver、mysqlcli、MySQLWorkbench、MySQLFront、DbVisualizer、PLSQL、SQLPlus、Toad、ToadforDB2、db2cmd、QuestCentral、pgAdmin3、psql、Ksql、Isql、DIsql、DMmanger、GBaseDateStudio、navicat系列等），无需应用发布前置机；数据库命令管控数据库支持命令管控能力，可以实现阻断会话、阻断命令、审批、直接放行等动作，精确到数据库，表、字段级别；数据库双重审计支持同时对数据库会话记录图形审计及命令提取，并且实现点击任意一条数据库命令，可跳转到对应的录像片段；数据库双向审计支持对数据库运维会话的上行和下行命令进行审计；数据库自动改密●支持对常见数据库及国产数据库的自动改密功能，包括DB2、oracle、mysql、sqlserver、PG、人大金仓、GBase8a、GBase8s、达梦数据库等；web应用自动改密支持对Web应用的自动改密功能，并且支持随堡垒机提供的改密插件录制向导，自动生成web应用的改密脚本；账号切换改密支持Unix/Linux系统账号自动改密功能；并支持账号切换改密功能，当root不能直接远程登录时，依旧可以修改root密码；●专用客户端运维支持Windows/macOS操作系统下C/S架构的堡垒机专用客户端，可通过此专用客户端登录堡垒机，对堡垒机进行简单的管理及运维资产操作；支持UOS/麒麟等国产操作系统下C/S架构的堡垒机专用客户端登录堡垒机并进行管理及运维操作；客户端工具登录客户端访问方式：支持使用本地的mstsc/Xshell/SecureCRT/Putty/winscp/Xftp等客户端工具登录堡垒机访问图形、字符或SFTP、FTP设备；SSH网关代理直连支持使用本地的SecurCRT/Xshell/OpenSSH工具通过SSH网关代理方式直接登录字符设备；SQL记录支持审计主流数据库（如DB2、oracle、mysql、sqlserver、PG、GBase8a、人大金仓、达梦）运维中的SQL语句，可进行关键信息定位查询，并可过滤数据库客户端自动发起的语句，方便查询真实人为的数据库操作；运维会话自审支持运维用户查询用户本人的运维审计会话，减轻审计管理员的负担，并且帮助运维用户提高运维效率；审批规则对于审批操作，可以设置多级审批人及审批人有权限审批的对象，审批对象类型支持用户和用户组两种，审批类型包括：运维工单、密码工单、预授权工单、紧急运维工单、自动运维任务、命令审批、运维二次审批等；系统版本回退支持系统升级后，再回退至升级前的版本；方便用户处理割接过程中出现的突发情况；集群升级支持在集群部署模式下，由主节点控制升级流程，上传升级包后支持自动分发到其他节点，并列出集群所有节点的状态，升级完成后自动重组集群；存储管理支持NAS/CIFS存储；API接口需提供用户、资产、授权的增删改查等API接口，允许第三方平台调用堡垒机的API接口，实现用户、资产、权限自动同步到堡垒机，简化堡垒机配置工作量；双机部署支持HA部署、双活部署模式，审计数据能自动同步至备机，可自定义是否同步录像审计；数据传输完整性支持使用国密算法建立浏览器到堡垒机之间的国密HTTPS通道，以保证数据传输完整性；数据抗抵赖使用国密算法对堡垒机操作日志进行完整性校验计算，防止日志被篡改，保证操作行为的可信；软件著作权提供产品自主知识产权；下一代防火墙指标项技术参数性能要求●设备最大吞吐量≥35Gbps，IPS吞吐量≥13Gbps，AV吞吐量≥13Gbps，IPS+AV≥11Gbps，最大并发连接数≥1000万，每秒新建连接数≥65万；配置入侵防御、防病毒和WAF功能模块，五年相关规则库升级许可；硬件要求2U硬件平台，内置1+1冗余电源，内存≥32GB，硬盘≥4TBHDD；标配≥8个千兆电口+光口，≥6个万兆光口，1个专用管理电口，1个HA电口；支持接口扩展槽；配置6个万兆单模光模块；产品要求具备自主原创产品证明；资产系统定义超过20万条资产识别指纹库；提供基于多级部门组织架构的资产梳理、漏洞扫描、弱密码扫描的场景化配置模板，可应用于客户资产梳理、漏洞梳理以及弱密码管理场景；安全防护●系统预定义超过13000条规则，包含对应IPS规则的级别、防护对象、操作系统、CVE编号等详细信息，支持常规HTTP漏洞、SQL注入、组件、CMS、WebShell和XSS等类型的Web防护；支持HTTP协议的URL、Method、Referer、User-Agent、Cookie、URL-args等字段的等于、不等于、包含、不包含、正则等多种匹配方式的访问控制；系统定义最大超过400万条主流病毒检测规则；支持病毒排除设置，支持基于病毒文件名设置病毒白名单；网络特性支持IPv4/IPv6双栈协议的源地址转换、目的地址转换、双向NAT、NAT64等地址转换；支持基于时间段的SNAT、DNAT规则；SNAT转换地址池支持黑洞路由，支持SNAT的源端口不转换模式；DNAT-双向NAT模式支持基于地址池的源转换方式，DNAT的健康探测支持的协议TCP和ICMP；NAT66的SANT支持前缀转换方式；支持基于源IP地址、目的IP地址、端口、协议的黑名单配置，支持自定义黑名单生效时间；支持静态路由、动态路由、ISP路由；支持基于入接口、源地址、目的地址、服务的策略路由；ISP路由支持联通、电信、教育网、移动等ISP服务商地址列表，并支持运营商地址自定义；VPN支持IPSecVPN的协商方式为IKEv1和IKEv2；支持点对点和点对多点的IPSecVPN组网方式；支持SSLVPN功能；SSLVPN的PC客户端支持Windows、macOS等操作系统；运维管理Web管理界面支持Ping、Traceroute、HTTP(S)诊断工具，可支持基于接口、流量方向、协议、IP地址进行网络抓包，并支持抓慢即停和循环覆盖两种抓包方式，可保存至少最新的10个抓包文件；支持系统升级失败自动回滚；支持手动和自定义周期系统配置自动备份；DDOS防御 内置流量检测清洗引擎，支持基于IP、ICMP、TCP、UDP、DNS、HTTP、NTP等众多协议类型的防护策略；提供丰富的策略模板，且支持策略模板自定义；支持基于IP协议的检测清洗，包括但不限于：IPFlood、IPFragFlood、端口扫描、IP地址扫描；支持基于HTTP协议的检测清洗，支持对HTTPslow-header和HTTPslow-post设置最大传输时间以及异常会话数阈值，有效防御慢速攻击；三、项目组织管理要求3.1应充分考虑满足本项目的建设要求，提出完整的项目管理、平台建设、设备采购、安装、培训、项目实施、项目验收、服务保障方案以及拟配置人力资源供给方案；3.2采购人有权监督和管理本项目的测试、安装、调试、故障诊断、平台建设和验收等各项工作，必须接受并服从采购人的监督、管理要求，无条件提供中间过程工作成果；四、培训计划管理4.1必须向采购人提供免费培训，培训方式应包括理论培训和现场培训；供应商须针对不同的培训对象，在响应文件中提出全面、详细的培训计划，包括但不限于培训内容、培训时间、地点、授课老师等；4.2派出的培训教员应具备丰富的相同课程教学经验，所有的培训教员必须中文授课，必须为所有被培训人员提供培训用文字资料和讲义等相关用品；4.3应按采购人约定合理地安排培训时间；五、安装及调试5.1实际安装时，中标供应商应根据场地实际情况，合理安排安装位置；安装必须符合有关标准和规范；安装过程中采购人将对安装质量进行监督；5.2调试：安装就位、校准后，中标供应商应按事先被采购人认可的调试验收