|
指标项 |
规格要求 |
|
基本要求 |
评审项1
标准机架设备,≥1U,双电源,具备对3000台终端以上的入网管控提供管理的能力;支持500台/秒以上的并发管控检测能力,认证过程不超过10秒;具备与终端安全系统、统一信任服务系统以及安全运营中心等进行联动和数据交互的能力;支持多种认证方式,提供入网管控系统管理授权≥3000个,提供五年软件更新、包修服务。国产品牌,产品必须为自主研发(非OEM),操作系统平台不能基于标准发行版本(Windows/Linux)。【须提供后台登录截图证明】 |
|
部署要求 |
评审项2
支持纯旁路部署,不能以任意串联方式(包括策略路由等逻辑串联)部署。支持分布式部署,可以通过横向和纵向部署多台服务器来扩展管理范围和增加管理能力,纵向支持无限分级,支持集中大屏查看部署图,支持全局根据IP/MAC/责任人等定位终端设备。支持高可用性双机部署,主机故障后备机无降级容灾接管,防止准入系统故障终端不能正常入网,主备切换时间不能大于10秒。支持为关键服务提供容灾工具,DHCP容灾工具可在服务器宕机后自动接管IP地址分配工作,容灾工具分配IP时仍要保持IP/MAC绑定关系。 |
|
|
准入技术 |
评审项3
★支持多种准入控制技术(MAC认证、DHCP、ARP、SNMP、数据镜像等),一套系统需支持多种准入技术并行启用。【须提供功能截图证明】 |
|
评审项4
支持自定义不同安全级别的接入事件选用不同的阻断技术进行隔离,例如未授权接入设备,应达到边界级阻断,授权未符合安全要求的,基于应用级阻断控制,可灵活定义。【须提供功能截图证明】 |
|
评审项5
▲支持基于终端的部门/终端类型/操作系统/标签和接入VLAN配置不同的准入策略,管理员可查看符合每条准入策略的终端。【须提供功能截图证明】 |
|
评审项6
▲支持对非法和违规终端的多层阻断,可同时支持应用级、交换机端口级、网络边界级(同HUB之间互访阻断)的阻断效果。【须提供测试证明截图】 |
|
终端发现 |
评审项7
支持通过SNMP、TELNET、SSH、ARP、流量分析等技术扫描发现终端设备,须为秒级发现,不得大于10秒,并以MAC地址为唯一性存储及管理终端设备;支持管理员自定义终端类型和终端类型组,可自定义终端类型显示的图标。支持自动发现在网终端的MAC地址、IP地址、网卡厂商、TCP服务端口、接入VLAN、接入交换机端口等信息。支持自动识别终端类型,如办公机、交换机、路由器、打印机等,生成终端类型统计报表。 |
|
评审项8
▲支持管理员自定义类型识别库规则,可基于网卡厂商、主机名、IP地址、TCP服务、操作系统等多维度组合定义识别规则,支持查看每条规则识别的终端信息。【须提供功能截图证明】 |
|
评审项9
支持当终端信息发生变化、类型识别库规则发生变化后,自动秒级重新识别终端类型。支持动态VLAN下发,并支持与系统内置的DHCP服务相结合,构建终端漫游,实现动态VLAN下发、动态IP地址下发静态化管理、漫游接入管控等效果。 |
|
网络策略 |
评审项10
▲支持多网卡终端管理,管理员可人工合并/拆分多网卡终端,系统也可自动合并多网卡终端。【须提供功能截图证明】 |
|
评审项11
支持定义IP/MAC绑定策略,支持在不同VLAN绑定不同IP地址,并可限定终端能够接入的VLAN,支持基于终端分组限制终端入网是否必须绑定IP/MAC地址。支持IP冲突发现功能,能够定位冲突IP的MAC地址,能够对绑定的IP/MAC进行保护,对违规使用绑定IP的终端进行阻断。支持定义MAC/PORT绑定策略,支持限定终端可接入的交换机和交换机端口,也可限定交换机端口只允许绑定终端接入。 |
|
评审项12
▲支持在不安装客户端或插件的情况下,进行MAC地址仿冒(MAC克隆)检查,支持IP地址、MAC地址、TCP监听端口、交换机接入端口同时仿冒情况下违规行为的发现和阻断。【须提供测试证明截图】 |
|
评审项13
支持在不安装客户端或插件的情况下,利用TCP监听端口检测应用软件合规性功能,可灵活的基于部门、操作系统、标签、设备类型定义不同的TCP合规策略,对不合规的终端进行阻断并能够通过Portal页面引导软件下载。【须提供功能截图证明】 |
|
网络边界 |
评审项14
能够发现内网私接的HUB、不可网管交换机等,能够及时产生告警并阻断接入设备入网。支持自动发现网中网行为,如小路由、随身WiFi、免费WIFI、代理上网等行为。支持关闭长时间未接入终端的交换机端口,管理员可自定义时间限制,并支持定义交换机口只允许绑定的终端才能接入。 |
|
评审项15
▲支持对两个物理上(或者逻辑上)隔离的两个网络互联(误联)行为进行智能发现并告警,支持自动定位互联位置并自动断开【须提供功能截图证明】 |
|
网络设备管理 |
评审项16
支持网络拓扑管理,支持区分编辑模式和查看模式,可手动修改连接关系。支持分组框选拖动,以及上下左右/水平/垂直对齐功能,支持保存和恢复拓扑图快照功能。支持在拓扑图上显示非法终端告警,支持在拓扑图上搜索、定位终端功能。 |
|
评审项17
支持自动生成交换机面板图,可基于端口开关状态/连接状态/接入终端数目/告警终端等区分展示,可直接在面板图上对端口进行开关操作;支持将IP/MAC绑定和MAC/PORT绑定策略同步到交换机配置上;支持批量修改交换机密码功能,支持批量下发自定义命令到交换机。 |
|
评审项18
▲支持自动备份交换机配置,图形化高亮提示配置变动,管理员可选中某一个备份配置进行自动恢复到交换机。【须提供功能截图证明】 |
|
IP地址管理 |
评审项19
支持DHCP集中管理IP地址,支持IP地址的固定下发、在线监控、定期回收、历史审计等全生命周期的IP地址管理;支持Trunk管理多VLAN的IP分配功能,无需配置交换机DHCP RELAY即可实现为所有VLAN分配固定IP地址。 |
|
评审项20
支持自定义DHCP option功能,以兼容未来不同网络环境。能够基于部门、标签、终端类型、操作系统下发固定的IP地址段。【须提供功能截图证明】 |
|
评审项21
支持IP地址网格视图管理,能够通过图示直观的查看各网段中在线、离线、从未使用的状态,能够通过颜色区分保留IP地址、可用IP地址、绑定IP、告警IP等。支持管理员分权,至少可划分系统管理员、安全管理员和安全审计员三类,每一类管理员都可创建多个,可限定管理员管理的部门,其只能看到和管理制定部门的终端。 |
|
系统管理 |
评审项22
支持强制入网终端收看培训视频的功能,支持页面、代理客户端播放视频,可基于部门和时间来设置播放策略,不同部门不同时间来播放不同的培训视频。【须提供功能截图证明】 |
|
级联要求 |
评审项23
▲应与国家气象总局部署的网络准入管理系统采用相同技术路线,承诺能符合对接要求,须提供承诺函,格式自拟;支持向总部系统同步本地管理数据,作为无限级分布式部署的下级分支,为总部的集中大屏提供基础数据,总部可通过集中大屏查看该下级单位的管控总数、在线数、客户端安装数、违规数、操作系统明细、设备类型明细等内容,同时可全局检索IP/MAC/责任人等信息定位下级终端隶属关系,集中大屏查看部署图及全局搜索定位【须提供功能截图证明】 |
