哈尔滨工业大学(威海)校园网络计费系统及web应用防火墙
采购招标公告
哈尔滨工业大学(威海)招标采购办公室受用户的委托,拟就校园网络计费系统及web应用防火墙采购项目进行公开招标。欢迎具有此项供货能力、资信良好的供应商前来投标。
一、项目名称:校园网络计费系统及web应用防火墙采购项目
二、招标方式:公开招标
三、招标编号:Hitwh2012-047
四、主要技术指标、数量及其他要求:
(1)网关型网络计费系统参数要求
指标项 | 技术及功能要求 |
数量 | 网关型网络计费系统包含软硬件1台/套 |
认证方式和能力 | 要求支持国际标准认证方式(WEB、PPPoE、802.1x、PPTP等)。 要求兼容主流厂家设备的802.1.x接入认证。 要求支持基于MAC地址的认证,支持基于IP地址的认证,基于VLAN ID认证。 要求支持用户账号的唯一性认证;同时支持同一账户允许多人同时登陆。 要求支持登陆地址段、VLAN ID来限制户账号漫游。 要求支持多元素绑定功能,这些数据包括:IP地址、MAC地址、VLAN号、用户账号等多元素的绑定,可在这些元素之间采用“与”“或”的关系。 要求支持自动绑定数据功能。针对成千上万的用户的绑定数据,手动输入则工作量大并且容易出错。此功能可减少网管人员的工作量,解决了绑定数据输入错误等问题。 要求支持web、client、802.1X、PPPOE混合同时接入。 要求支持专线账号、直通账号。 要求支持指定的目的IP免认证功能,实现灵活的接入访问控制和对特殊服务进行计费。 要求支持指定的端口控制机制(tcp/udp/icmp等) 要求支持访问目的IP的service服务类型和ACL功能,可指定某些目的IP或IP组不可访问,从而防止上网者访问某些非法网站或黄色网站。 要求支持在认证通过后,将第一个打开的网页重定向到指定的主页上。 能指定不同用户认证通过后重定向到不同的页面。 网关支持RADIUS CLIENT、RADIUS SEVER、RADIUS CACHE功能,使网关与第三方无线控制器、第三方RADIUS SERVER(漫游账号)无缝联连。
|
客户端安全控制 | 防代理功能,要求可以对NAT、软件代理(单双网卡)、重复MAC和IP等情况进行灵活控制允许或不允许。 防IP地址篡改,不仅在认证可绑定IP,用户上线后也必须使用指定的IP。 客户端自动升级功能,支持版本限制。 控制每一用户在线时的最大TCP会话连接数限制。 灵活控制一个账号可以让多人同时使用,方便测试或用于公共账号。 具有防私接DHCP服务器干扰功能。 客户端支持WINXP、Win7、Mac OS、IOS、ANDROID、LINUX操作系统;可以在APP STORE 和安卓市场可以下载。 |
性能 | 支持八千兆光口,可实现链路聚合,双向处理能力达到8G 要求可支持8000并发用户,30000注册用户。 要求瞬时处理认证报文的速度达到8000个或者以上。 |
用户管理、计费、日志功能 | 管理平台需支持B/S和C/S的方式 用户web自注册开户功能。 要求用户上网的时段控制。 要求基于不同时间段实现不同的控制策略。 用户组的用户管理和方便的开户模板方式。 要求在线用户管理功能:强制下线、修改用户资料、查询、用户名、IP、MAC、相互反查、短消息通知、自动发送催费信息等功能。 要求不管是L2/L3层结构,都能控制每个用户的上下行带宽,粒度为16-48K。同时支持基于组的带宽控制。 可记录用户上网的时间段、所使用的IP地址、MAC地址、VLAN ID等数据,并可统计上网时长流量。 可记录用户每次上网的上下行IP流量。 要求能详细记录认证用户的详细的访问记录。包括用户电脑的MAC,源IP、用户名、目的地址、访问时间等等。 能与第三方安全审计系统对接。 支持MAC黑名单和白名单功能。 可实时监控在线用户当前账号、实时上下行带宽、上下行流量、源/目标端口、MAC、TCP/UDP连接数、上下行发包数、上传下载速率等。 支持基于时长、流量、周期的计费策略,可组合成各种计费套餐;支持各种时段及目标IP优惠策略; 流量计费最小颗粒度为1KB; 用户账户余额为零时可实时停机,避免出现欠费现象; 月结时网关无需中断扎账,保持网络畅通; 提供具备完善、规范一卡通等信息系统接口功能,有与如新中新、迪科、金智公司产品的成功案例。 提供具备全业务接口,便于用户自主开发及第三方系统对接。
|
系统管理功能 | 支持专用管理软件、TELNET、SMNP等网管功能 操作员日志功能,将每个操作员的所有操作都记录在案,防止一些非常操作。操作员根据不同的组有不同的操作权限。 要求不同级别系统管理员、操作人员能划分不同的权限。 支持通过远程多名操作人员同时操作,并且管理模块跨平台。 支持主、备服务器的数据自动同步功能。 如今后扩展用户数,要求能在线平滑升级,不影响用户的接入。 |
组网功能 | 需支持集群式负载均衡部署方式。 支持分布部署,统一管理模式。 设备端口需支持多进多出。 支持链路聚合功能,满足上下行单向超过1G流量的网络环境。 需支持Bypass旁路功能,当设备掉电、系统崩溃时能自动旁路网络,不影响用户正常上网; 需支持基于源地址或用户组的策略路由。 需持VLAN透传 需支持IPV4和IPV6双应栈协议。 要求支持L2/L3转发和路由模式,做为透明模式不用改变网络任何结构和IP。 要求支持NAT静/动态方式:在以三层路由转发模式工作时,也可以实现NAT功能。 要求能提供DHCP服务功能,并能基于VLAN分配指定DHCP地址池功能。 要求能和第3方标准RADIUS厂商的RADIUS服务器对接,本身也可以提供RADIUS服务。 要求支持跳过RADIUS认证机制和RADIUS服务器在中断后而不影响用户接入的机制,保证用户的利益。 修改密码、充值时需实时生效; |
冗灾备份 | 要求网关设备有定时备份功能,使设备故障后的恢复工作方便快捷。 要求前后台之间互为备份,当后台服务器宕机时不影响用户的正常认证及上网,服务器的数据要定时备份并在故障后可以迅速恢复。 设备掉电后恢复供电时5分钟以内可启动使用,且计费状态正常。 |
其他要求 | 要求全国985、211高校用户不少于10家,并提供名单及联系方式。 要求具有信息产业部颁发的入网许可证。 需有IPv6 Ready认证 要求提供权威第三方测试部门(如北京、广州、上海或信息产业部)等对产品测试的性能分析报告。 要求具有公安部安全销售许可证。 |
售后服务 支持 | 提供原厂针对此项目的授权(原件)和三年原厂免费硬件质保、软件及免费升级等售后服务承诺(服务承诺原件); 质保期内如用户想升级到支持万兆的计费系统,原设备退还,只收取两个设备的差价。 |
(2)Web应用防护系统参数要求
功能及技术要求 | |||
设备类型 | WEB应用防火墙 | ||
数量 | 1台 | ||
系统架构 | 产品应采用专用机架式硬件设备,系统硬件为全内置封闭式结构 | ||
接口数量 | 配置≥8个千兆电口,支持大于等于2路电口Bypass | ||
性能要求 | 最大网络吞吐量≥2000Mbps | ||
清洗流量≥1800Mbps | |||
最大并发会话数≥300万 | |||
HTTP请求速率≥79,000次/秒 | |||
网络延迟≤0.04毫秒 | |||
不限防护网站数量 | |||
部署方式 | 透明部署 | 支持即插即用。无需绑定IP地址、域名及端口号即可进行防护。 | |
透明反向代理 | 基于旁路反向代理,支持HTTP、HTTPS | ||
混合部署 | 支持透明/反向代理混合方式 | ||
802.1Q支持 | 支持VLAN解码,在Trunk线路上部署并提供防护 | ||
策略路由部署 | 支持流量牵引 | ||
端口汇聚(Trunk) | 支持端口汇聚(Trunk),显著提高设备间的吞吐能力 | ||
HA部署 | 支持双机热备的HA部署方式 | ||
高效性 | 单台设备同时保护4条以上链路 | ||
攻击防御 手段 | 支持多虚拟web主机同时防护 | ||
支持对多种HTTP请求方法的控制 | |||
支持对SSL(HTTPS)加密会话进行分析 | |||
防止SQL注入攻击:攻击者通过输入数据库查询代码窃取或修改数据库中的数据 | |||
防止XSS跨站攻击:跨站脚本攻击利用网站漏洞攻击那些访问该站点的用户,常见目的是窃取该站点访问者相关的用户登陆或认证信息 | |||
防止远程、本地文件包含攻击:PHP、JSP中使用本地、远程文件包含进行攻击 | |||
防止命令行执行:攻击者利用POST或COOKIE执行系统命令 | |||
缓冲区溢出攻击 | |||
防止关键文件下载:攻击者通过工具或特殊命令下载网站系统的数据库文件、配置文件信息 | |||
防范专业工具攻击:攻击者利用pangolin、Wvs等专业扫描攻击工具对服务器进行扫描和攻击 | |||
防止木马上传:攻击者利用黑客工具上传Webshell以达到控制服务器的目的 | |||
支持基于URL的安全策略 | |||
除了具有完善的内置安全策略规则,并支持自定义规则 | |||
具有智能化阻断功能:基于智能用户行为识别的动态防护机制,识别并彻底阻断黑客的攻击行为 | |||
智能数据挖掘功能:深入分析潜在黑客行为并加以阻断 | |||
网站隐身功能:让黑客无法获取Web服务器类型和版本信息 | |||
具有webshell侦测功能 | |||
Webshell 扫描器:提供可在主机中运行的脚本木马Webshell扫描工具,搜索网站里面的网页木马,并生成统计报表。(提供功能截图) | |||
防HTTP DoS(CC攻击)(提供功能截图) | |||
防DDoS攻击:如SYN Flood、ACK Flood、UDP Flood等(提供功能截图) | |||
关键字过滤:支持双向敏感词汇的关键字过滤功能 | |||
内置漏洞扫描功能:提供SQL注入、CGI 、XSS等漏洞扫描功能 | |||
URL自学习功能:自动学习并构建网站的URL模型,禁止违反现有模型的尝试行为 | |||
数据库防篡改:支持MSSQL、SQLSERVER等数据库防篡改,无需安装任何数据库代理插件。(提供功能截图) | |||
支持虚拟化功能:支持对虚拟机中的任意数量网站进行防护,使多个虚拟机共用一个IP地址 | |||
提供网页防篡改功能(提供功能截图); | |||
弱密码检测:针对防护页面中的用户名和密码字段进行检测 | |||
拦截页面重定向功能:可以自定义跳转到预先设置的页面,方便的辅助管理员排除误报。 | |||
智能防扫描功能:通过扫描器“行为特征”智能判断扫描器 | |||
网站统计功能:能统计每天不同时段后端防护网站各个时段的访问次数、攻击次数并绘制成图表(提供功能截图) | |||
防御功能 | 双向检测 | 能够对流入流出数据进行检测;具有默认的防护端口,并可指定防护端口 | |
防护模式 | 支持过滤、阻断、检测、全部放行等工作模式 | ||
高级访问控制 | 针对内置或自定义的安全策略规则,提供细粒度的控制,精确到来源IP、目的IP、域名等访问控制。 可制定根据时间段进行访问控制者。 防护IP 限制:可以只针对特定的IP进行防护。 | ||
报表功能 | 报表类型 | 安全报表(入侵统计、按入侵类别统计、被攻击主机、攻击来源IP和地理位置、页面访问次数、网络接口流量趋势), 统计URL访问的次数; 可记录最后访问者的浏览器类型者; 统计视图:根据拦截原因,源IP地址,目的IP地址,目的端口对入侵记录进行合并,并统计次数(需提供功能截图)。 | |
Webshell提示 | 报表提供对防护Web网站中已经存在Webshell文件的告警功能(需提供功能截图) | ||
报表查询 | 按事件类型、统计目标或周期类型条件进行统计 | ||
输出格式 | 支持将生成的报表以HTML、Word、PDF等通用格式输出 | ||
邮件通知 | 自动生成报表并以email发送 | ||
日志系统 | 日志类型 | 系统日志、审计日志和安全防护日志(入侵记录、地理位置、页面统计、网络流量、防篡改日志、防CC日志) | |
日志查询 | 可基于时间、IP、端口、协议、动作、请求方法等条件进行日志查询 | ||
日志管理 | 日志导出、清空、自动磁盘日志清理 | ||
日志输出 | 支持syslog、SNMP Trap日志输出 | ||
Web负载 均衡 | 支持应用层负载均衡功能,并支持动态网站、流量分配,支持HTTPS负载均衡(需提供功能截图) | ||
系统监控 | 监控类型 | 安全事件监控、访问情况监控、设备负载监控 | |
系统信息 | 显示网络接口状态,引擎状态、系统CPU、内存及磁盘使用率系统当前时间及系统运行时间。 | ||
管理功能 | 即插即用 | 提供接入即防护的能力 | |
人性化界面设计 | 操作界面简单明了,易于使用 | ||
计划任务 | 针对高级用户,对于访问控制、防篡改等功能,支持灵活时间段的计划任务 | ||
管理方式 | 支持基于HTTPS的B/S管理 | ||
实用性 | 支持同一网卡配置多个虚拟IP功能 | ||
升级系统 | 定期升级功能模块和规则库 | ||
系统诊断和调试功能 | 维护工具 | 抓包工具,可抓取的网络原始报文,用于分析网络状况及ping功能方便管理。 | |
配置备份与导入 | 支持系统配置的备份与导入功能 | ||
资质要求(提供相关资质复印件) | 涉密资质 | 获得国家保密局涉密信息系统安全保密测评中心颁发的符合国家保密标准BMB13-2004《涉及国家秘密的计算机信息系统入侵检测产品技术要求》的千兆《涉密信息系统产品检测证书》 | |
获得国家保密局涉密信息系统安全保密测评中心的《检测报告》,性能测试部分:背景流量达到1000Mbps下的检测报告 | |||
强制认证 | 获得中国信息安全认证中心颁发的符合CNCA/CTS 0050-2007《信息技术 信息安全 网站恢复产品认证技术规范》增强级认证《中国国家信息安全产品认证证书》 | ||
销售许可证
| 获得公安部颁发的《计算机信息系统安全专用产品销售许可证》 | ||
软件证书 | 《计算机软件著作权登记证书》 | ||
厂家实力 | 设备生产厂商应具有漏洞发现能力,并获得国家相关部门认可,至少曾经获得中国信息安全测评中心颁发《中国国家漏洞库-信息安全漏洞提交证明》,不低于3份。 | ||
用户案例 | 具备≥6个211或985院校的客户案例,提供用户联系方式 | ||
售后服务 支持 | 提供原厂针对此项目的授权(原件)和三年原厂免费硬件质保、软件及规则库免费升级等售后服务承诺(服务承诺原件); 要求提供质保期过后选择续保或者升级的费用,按年提供。 | ||
注:以上参数加粗的字体为重要参数。
五、投标商准入资格
(1)具有在境内的独立法人资格以及相关资质证明文件;本次招标如出现一个投标人的二个授权代表来参加本次投标,则该投标人的投标资格将被当场取消。
(2)具备中国政府采购法第二十二条的条件。
(3)本次招标公告截止日期为2013年1月4日17点整,有意参与投标的供应商请将投标申请表及营业执照复印件快递(或送达)予我们,以便于有效安排开标事宜。
(4)如果报名情况符合开标条件,标书将在报名截止后以电子邮件的形式发送到您的邮箱,敬请自行查询邮箱并仔细阅读标书,不再另行通知,如有疑问可致电或到访招标采购办公室,请在规定时间交纳标书款、投标保证金(标书款收取后一概不退)获取投标资格。
(如有疑问可致电或到访招标采购办公室)
六、报名办法
时间:2012年12月24日—2013年1月4日,节假日休息。
地点:哈工大(威海)资产管理处招标采购工作办公室(H楼321房间)
报名联系人:宋老师
报名联系电话: 0631-5687041;15725614949
报名传真号码: 0631-5680969
报名邮箱:Whhitzbb@163.com
技术联系人:陈老师
报名联系电话: 0631-5687129
哈工大(威海)
招标采购工作办公室
二〇一二年十二月二十四日