【正文】 和內(nèi)部網(wǎng)絡(luò)地址對應(yīng)關(guān)系，并保留3個月以上的上網(wǎng)日志信息備查，以便公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門在需要時可以進(jìn)行追查。2) 網(wǎng)絡(luò)安全從本質(zhì)上講是管理問題。8）IPS設(shè)備提供獨(dú)立的管理網(wǎng)口，實(shí)現(xiàn)安全的帶外管理，且管理網(wǎng)口必須為10/100M/1000M自適應(yīng)以太電口。6）為確?？煽啃裕綦姳Ｗo(hù)裝置必須是一個無源設(shè)備，提供介紹掉電保護(hù)機(jī)制的白皮書。4）支持掉電保護(hù)功能，保證設(shè)備掉電時，通過掉電保護(hù)功能可保證網(wǎng)絡(luò)連通。2）支持接口同步功能，當(dāng)IPS的一個接口對上的其中一個接口Down掉時，對應(yīng)的另一個接口也會自動Down掉。14）支持獨(dú)立的病毒特征庫（有別于攻擊特征庫）的手動、自動升級，提供管理界面截圖。12）支持細(xì)粒度的特征規(guī)則設(shè)置，可以為單條不同的特征規(guī)則設(shè)置不同響應(yīng)方式，包括告警、阻斷、隔離、限流、重定向等。10）支持攻擊事件統(tǒng)計(jì)分析，并可生成圖形化的報表，報表可導(dǎo)出到本地。8）支持攻擊事件的Email告警功能。6）提供全面的系統(tǒng)日志、審計(jì)日志功能，日志可導(dǎo)出。4）IPS的單機(jī)管理系統(tǒng)、集中管理系統(tǒng)均支持中文管理界面。2）不需要部署額外的管理系統(tǒng)，通過基于Web的圖形化管理方式，即可用普通瀏覽器登錄IPS設(shè)備實(shí)現(xiàn)完備的單機(jī)的設(shè)備管理、特征庫自動升級、安全策略管理、攻擊事件統(tǒng)計(jì)分析功能，從而簡化單臺或少數(shù)幾臺部署時的部署成本和維護(hù)成本。14）支持特征庫的手動、自動升級，特征庫升級后設(shè)備無須重啟即可生效。12）IPS可以針對不同的時間段應(yīng)用不同的網(wǎng)絡(luò)濫用帶寬控制策略。9）IPS檢測到網(wǎng)絡(luò)濫用流量后，支持阻斷、限流的響應(yīng)方式。7）IPS檢測到攻擊報文或攻擊流量后，支持阻斷、限流、捕獲原始報文等常規(guī)響應(yīng)方式。5）支持IP 碎片重組、TCP 流重組、會話狀態(tài)跟蹤、應(yīng)用層協(xié)議解碼等數(shù)據(jù)流處理方式。3）支持專業(yè)防病毒功能，集成第三方專業(yè)防病毒廠商的專業(yè)病毒庫，提供針對IPS產(chǎn)品的與專業(yè)防病毒廠商的合作證明。5）提供不少于8個千兆電口，12個千兆光口；入侵防御功能指標(biāo)要求1）支持深入七層的分析檢測技術(shù)，能檢測防范的攻擊類型包括：蠕蟲/病毒、木馬、后門、DoS/DDoS攻擊、探測/掃描、間諜軟件、網(wǎng)絡(luò)釣魚、利用漏洞的攻擊、SQL注入攻擊、緩沖區(qū)溢出攻擊、協(xié)議異常、IDS/IPS逃逸攻擊等。2）要求為獨(dú)立入侵防御設(shè)備或集成在核心交換機(jī)中；3）IPS設(shè)備提供獨(dú)立的管理網(wǎng)口，實(shí)現(xiàn)安全的帶外管理，且管理網(wǎng)口必須為10/100M/1000M自適應(yīng)以太電口。（1） 在互聯(lián)網(wǎng)出口、廣域網(wǎng)出口部署IPS，對內(nèi)外網(wǎng)交互的數(shù)據(jù)進(jìn)行深度防御；（2） 在Intranet安全區(qū)域邊界部署IPS，對Intranet各個業(yè)務(wù)系統(tǒng)進(jìn)行安全隔離的同時，確保業(yè)務(wù)系統(tǒng)不受其他安全區(qū)域的應(yīng)用層威脅影響；（3） 在Extranet安全區(qū)域邊界部署IPS，避免來自于分校網(wǎng)絡(luò)可能存在的威脅擴(kuò)散。u 支持SSH和基于Web遠(yuǎn)程管理，支持SNMP v2版本。u 支持DHCP服務(wù)器和DHCP中繼，支持PAT、雙向NAT和端口重定向。防火墻需求 u 要求為獨(dú)立萬兆防火墻或集成在核心交換機(jī)中u 獨(dú)立防火墻必須為中國移動或者中國電信10G以上防火墻入圍產(chǎn)品u 獨(dú)立防火墻必須提供8千兆電口和4個千兆光口，可以擴(kuò)展8個萬兆口u 支持無限制用戶數(shù)u 防火墻吞吐量≥10Gbpsu 并發(fā)連接數(shù)≥200萬u 每秒新建連接數(shù)≥10萬個u 工作模式：路由和透明u 支持最大虛擬防火墻數(shù)≥256,本次要求配置至少250個虛擬防火墻u 管理：免費(fèi)圖形化管理軟件，提供支持GUI或基于Web管理界面u 路由協(xié)議支持OSPF、RIP和靜態(tài)u 故障切換支持：Active/Active和Active/Standbyu 除了支持路由模式、透明模式、NAT 模式外，還支持動態(tài)、靜態(tài)的網(wǎng)絡(luò)地址轉(zhuǎn)換u 對IP語音和視頻有良好支持，如SIP、u 支持多媒體應(yīng)用的特性：RAS第2版本；RTSP；RealAudio；Streamworks；CUSeeMe；IP Phone；IRC；Vxtreme；VDO Live；可以控制與某些襲擊類型相關(guān)的網(wǎng)絡(luò)行為，比如：Flood Guard；FragGuard和虛擬重組；DNS控制；ActiveX阻擋；Java 過濾；URL 過濾u 支持防攻擊類型為PingofDeath、PingFlooding、TearDrop、UDPFlooding、SYNFlooding、Killwin、WinNuke、LAND IGMPIP碎片、IPSpoofing等等。 數(shù)據(jù)中心安全設(shè)計(jì). 防火墻根據(jù)湖南開放大學(xué)的網(wǎng)絡(luò)結(jié)構(gòu)，在湖南開放大學(xué)數(shù)據(jù)中心進(jìn)行如下防火墻部署設(shè)計(jì)：各個不同區(qū)域的安全隔離u 互聯(lián)網(wǎng)出口、廣域網(wǎng)出口安全控制：我們在學(xué)校互聯(lián)網(wǎng)出口，以及與下級分校廣域網(wǎng)連接處部署防火墻，兩臺防火墻與核心交換機(jī)以及出口路由器之間采取全冗余連接，保證系統(tǒng)的可靠性，同時設(shè)置兩臺防火墻為雙機(jī)熱備方式，在實(shí)現(xiàn)安全控制的同時保證線路的可靠性；u Extranet跟Intranet各業(yè)務(wù)系統(tǒng)安全隔離，Intranet內(nèi)部各業(yè)務(wù)系統(tǒng)彼此之間安全隔離：我們學(xué)校數(shù)據(jù)中心核心層交換機(jī)上部署高性能的防火墻插卡，至少每個業(yè)務(wù)系統(tǒng)保證1G以上安全轉(zhuǎn)發(fā)的吞吐量。除部署交換機(jī)和服務(wù)器外，該區(qū)域需要部署出口防火墻與IPS至少一臺。. 外聯(lián)區(qū)外聯(lián)區(qū)主要為與地州市和行業(yè)分校的業(yè)務(wù)互聯(lián)功能區(qū)、視頻會議等；一般通過專線或VPN進(jìn)行接入?yún)R聚。各項(xiàng)功能均采用專門的硬件芯片處理，因此混合使用各種功能時，對設(shè)備的性能、功能沒有影響。Internet區(qū)域需要部署出口鏈路負(fù)載均衡系統(tǒng)、IPS和防火墻設(shè)備各兩臺，杜絕單點(diǎn)故障；部署SSL VPN設(shè)備，實(shí)現(xiàn)安全接入校園網(wǎng)絡(luò)；在WEB服務(wù)出口部署應(yīng)用加速設(shè)備加速，加速應(yīng)用服務(wù)。. Internet互聯(lián)網(wǎng)區(qū)互聯(lián)網(wǎng)區(qū)作為湖南開放大學(xué)的數(shù)據(jù)中心出口，其作用主要有：u 學(xué)校面向公眾的展示平臺－Web網(wǎng)站（前端平臺）包括：終身教育的湖湘學(xué)習(xí)廣場（終身教育學(xué)習(xí)平臺）、新型開放教育教學(xué)平臺、國家數(shù)字化學(xué)習(xí)資源中心等。 外聯(lián)區(qū)：與地州市和行業(yè)分校的業(yè)務(wù)互聯(lián)功能區(qū)、視頻會議等；一般通過專線或VPN進(jìn)行接入?yún)R聚。接入層支持高密度萬兆接入；接入總帶寬和上行帶寬存在收斂比、線速兩種模式；基于機(jī)架考慮，1RU更具靈活部署能力；交換容量≥240G、包轉(zhuǎn)發(fā)率≥130Mbps；所有可用端口線速轉(zhuǎn)發(fā)，可提供48個千兆電接口，至少4個千兆SFP接口，2個擴(kuò)展槽位，最大能擴(kuò)展4個萬兆接口，本次配置2個萬兆接口，1個萬兆多模模塊；支持FCOE和FC，支持IPv4/IPv6三層路由功能；支持跨設(shè)備鏈路聚合功能；；支持DHCP Snooping，防止欺騙的DHCP服務(wù)器；支持ARP 入侵檢測功能；支持ARP報文限速功能；支持SNMP V1/V2/VRMON、SSHV2，持通過命令行、Web、中文圖形化配置軟件等方式進(jìn)行配置和管理，支持虛電纜檢測功能和單向鏈路檢測；支持IPv6 host，包括IPv6單播地址配置，ICMPv6，IPv6鄰居發(fā)現(xiàn)協(xié)議（ND），IPv6PING，IPv6TCP，IPv6TFTP；支持堆疊，更具擴(kuò)展能力；上行雙鏈路冗余能力。匯聚層與服務(wù)器群根據(jù)應(yīng)用特點(diǎn)進(jìn)行數(shù)據(jù)中心區(qū)域劃分，形成功能分區(qū)，可靈活擴(kuò)展，又可滿足業(yè)務(wù)系統(tǒng)獨(dú)立和隔離的需求。板卡可以實(shí)現(xiàn)分布式（非集中式）二、三層MPLS VPN，支持跨域MPLS VPN，包括VRFVRF、MPBGP、 MultiHopBGP三種方式。支持靜態(tài)路由、RIP V1/VOSPF、BGP，支持策略路由和VRRP 。支持STP/RSTP/MSTP協(xié)議，、。同時核心層設(shè)備必須有大量成功部署在大型數(shù)據(jù)中心的應(yīng)用案例，以保證設(shè)備的可用性。 網(wǎng)絡(luò)交換設(shè)備設(shè)計(jì)需求核心層核心層提供多個數(shù)據(jù)中心匯聚模塊互聯(lián)，并連接園區(qū)網(wǎng)核心、互聯(lián)網(wǎng)出口和外聯(lián)單位；具有高交換能力和突發(fā)流量適應(yīng)能力，無阻塞、低收斂或無收斂，采用多條萬兆鏈路捆綁互聯(lián)，同時核心交換機(jī)要求多匯聚模塊擴(kuò)展能力，高性能要求48 10GE鏈路捆綁。n MPLSMPLS提高網(wǎng)絡(luò)整體交換性能，在無連接的IP環(huán)境下實(shí)現(xiàn)面向連接的效果，MPLS可以支持VPN功能，有效隔離不用業(yè)務(wù)網(wǎng)段。并采取合理的區(qū)域劃分和路由規(guī)劃來保證網(wǎng)絡(luò)的穩(wěn)定性。n 域內(nèi)路由協(xié)議支持RIP、RIPvOSPF、ISIS等多種國際標(biāo)準(zhǔn)的路由協(xié)議。 通信協(xié)議的支持n 網(wǎng)絡(luò)通信協(xié)議以支持TCP/IP協(xié)議為主，兼支持IPX等協(xié)議。n 主干帶寬擴(kuò)展 主干帶寬具備高帶寬擴(kuò)展能力，以適應(yīng)IP類業(yè)務(wù)急速膨脹的現(xiàn)實(shí)。n 交換容量擴(kuò)展 交換容量具備在規(guī)劃業(yè)務(wù)水平上保證4～8倍容量的能力，以適應(yīng)IP類業(yè)務(wù)急速膨脹的現(xiàn)實(shí)。n 資源預(yù)留 對非常重要的特殊應(yīng)用，應(yīng)可以采用保留帶寬資源的方式保證其QoS。n 先期擁塞控制 當(dāng)網(wǎng)絡(luò)出現(xiàn)真正的擁塞時，瞬間大量的丟包會引起大量TCP數(shù)據(jù)同時重發(fā)，加劇網(wǎng)絡(luò)擁塞的程度并引起網(wǎng)絡(luò)的不穩(wěn)定。超過承諾速率的數(shù)據(jù)將被丟棄或標(biāo)以最低的優(yōu)先級。當(dāng)用戶終端不提供業(yè)務(wù)分類信息時，網(wǎng)絡(luò)設(shè)備應(yīng)根據(jù)用戶的IP地址、應(yīng)用類型、流量大小等自動對業(yè)務(wù)進(jìn)行分類。由于接入方式、接入速率、應(yīng)用方式、數(shù)據(jù)性質(zhì)的豐富多樣，網(wǎng)絡(luò)的數(shù)據(jù)流量突發(fā)是不可避免的，因此，網(wǎng)絡(luò)對擁塞的控制和對不同性質(zhì)數(shù)據(jù)流的不同處理是十分重要的。l 路由冗余 網(wǎng)絡(luò)的結(jié)構(gòu)設(shè)計(jì)應(yīng)提供足夠的路由冗余功能，在上述冗余特性仍不能解決問題時，數(shù)據(jù)流應(yīng)能尋找其他路徑到達(dá)目的地址。當(dāng)其中一個設(shè)備因故障停止工作時，另一臺設(shè)備自動接替其工作，并且不引起其他節(jié)點(diǎn)的路由表重新計(jì)算，從而提高網(wǎng)絡(luò)的穩(wěn)定性。每臺核心交換機(jī)要求配置至少4塊獨(dú)立的交換網(wǎng)板（非主控或板卡集成）。所有模塊具備熱插拔的功能。這種高速的網(wǎng)絡(luò)自愈特性應(yīng)可以保證不會引起IP路由的重新計(jì)算，不會引起業(yè)務(wù)的瞬間質(zhì)量惡化，更不會引起業(yè)務(wù)的中斷。采用負(fù)載均衡的冗余方式，即通常情況下兩條連接均提供數(shù)據(jù)傳輸，并互為備份。設(shè)計(jì)要求數(shù)據(jù)中心是湖南開