一、百万系统平台技术指标
指标 数值 备注
支持终端在线数 ≥1000000台 可扩充升级
支持终端并发数 ≥50,000台 按100万终端、1分钟访问一次、每次3秒。充分利用终端的精密时钟,终端随机均匀上报数据。每个终端每分钟上报一次数据,每次耗时三秒,1,000,000终端可均匀划分到20个时间片,由此得出并发终端数为50,000。
静态用户(注册用户) ≥1000000
动态用户(在线用户) ≥30,000 假设用户中有百分之三的活跃用户,即30,000动态用户
并发用户(同时访问用户) ≥3,000
动态用户中十分之一用户同时访问系统,得出并发用户数为1,000
历史数据存放 60天 可调
权限设置 ≥2 单位权限/个人权限,至少分五级帐户
系统登录时间 ≤4s
页面间跳转时间 ≤4s
稳定性 出错率<3/10000
可靠性 系统失效率<1min/24h 在常规终端数量条件下
后台数据处理
二、系统设计方面要求
对上传数据进行加密传输;数据库设计避免出现死锁问题;数据库设计自动备份机制;
为提高系统响应时间,及时处理并发信息,采用排队轮询机制响应请求,并开辟应用缓冲池。
三、网络拓扑图
1、平台服务器设计流程图
2、平台服务器系统组成及数据流图
3、监控管理中心组成及数据流图
4、手机APP功能结构图
五、平台硬件方案--租赁云服务
租赁云服务的优点是,配置可伸缩,但需要相关服务的重启。系统的安全性组件可直接选取云服务的安全组件。系统的维护和升级更多以软件和远程操作为主。
选取原则为:满足需求的最小值。如:内存可选值为8G、16G、32G,实际所需内存为12G则选取方案为16G;其它硬盘,带宽选取类似。
租用云服务器性能配置表
名称 配置 数量 备注
终端数据服务器 CPU:16核
内存:32GB
普通云盘:1000G
按固定带宽计费:>170M
按使用流量计费:需上行速度满足需要 10 参见选取原则:上行流量免费使用可提供的最大带宽;
按使用流量计费需要严格测试上行流量是否稳定支撑数据上行。
最低带宽值估值:并发数*位转字节(8)/包有效载荷(参考值60%)/使用率(参考值60%)*数据包平均值(512字节)
终端数据负载均衡 类型:公网,
按固定带宽计费:1.5G
按使用流量计费:需上行速度满足需要 2 按使用流量计费需要严格测试上行流量是否稳定支撑数据上行。
按固定带宽计费=单台流量(170M)*负载台数(15)/负载均衡购买量(2)
Nginx负载均衡服务器 CPU:16核
内存:32G
硬盘:1000G
按固定带宽计费: >700M
按使用流量计费:需下行速度满足需要 7 参见选取原则:最低带宽值估值:负载并发数(参考值3000)*平均请求数据大小(参考值5K)/最低响应时间要求3秒
Web服务器 CPU:16核
内存:64 GB
硬盘:1000G
按固定带宽计费: >70M
按使用流量计费: 8 最低带宽值估值:请求并发数(参考值300)*平均请求数据大小(参考值5K)/最低响应时间要求3秒
Web负载均衡 吞吐性能:不低于700 M 2 参见选取原则 :最低带宽值估值:负载并发数(参考值3000)*平均请求数据大小(参考值5K)/最低响应时间要求3秒
数据库服务器 CPU:16核
内存:32G
硬盘:2000G
带宽: 6
配置和历史记录的保存时间,和在线活跃设备数相关
硬盘容量估值:每月(30天)*活跃(6小时)*每小时(数据量500K字节);设备活跃时间*活跃设备*保存时间(小时)*活跃设备每小时数据量
防火墙 设备类型:下一代防火墙
并发连接数:≥220万
网络吞吐量:不低于3.2Gpps 2
(十一)防火墙技术指标要求
专用的硬件和软件保障 硬件平台采用多核处理器。可显示CPU参数证明为多核且均参与工作.专用的安全操作系统具有自主知识产权
模块化设计 设备支持IPSEC VPN、SSL VPN功能、入侵防御、防病毒、QoS及应用识别控制功能。
端口和扩展能力 提供至少8个千兆电口、最大可扩展到4个千兆接口;支持至少2个扩展插槽。可扩展业务接口卡。
网络吞吐量 不少于4Gbps
IPS吞吐量(应用识别+IPS) 不少于2Gbps
全威胁防护吞吐量(应用识别+IPS+AV) 不少于2Gbps
IPSecVPN吞吐量 不少于2Gbps
并发会话数 不少于400万
每秒最大新建会话数 不少于6万
灵活的接入方式 防火墙系统可以提供对复杂环境的接入支持,包括路由、透明、混合三种接入模式。
访问控制 提供基于状态检测的细粒度访问控制功能;可实现静态或自动的IP/MAC绑定;具有用户认证功能,可以基于用户名、密码方式判别角色后进行相关访问控制;可基于策略的最大并发会话数控制,实现会话数统计和控制功能;支持新建会话控制功能,要求能够基于源、目的、应用协议三种条件做限制会话新建速率
策略管理 支持对防火墙策略命中次数的统计功能
网络地址转换能力 具有完善的地址转换能力,可以支持正向、反向地址/端口转换、双向地址转换等,能够提供完整的地址转换解决方案。
身份认证方式 防火墙系统要支持多种身份认证技术,至少包括Radius/LDAP/本地认证等;支持与AD域控服务器认证后实现IP+MAC+用户的三重绑定;
IPSec协议支持 支持国密局最新制定的《IPSEC VPN技术规范》;
支持NAT穿越;严格遵循RFC国际标准,可于中心设备能够建立VPN隧道,并提供测试证明;
路由功能 支持静态和动态路由;支持智能选择联通、电信等出口ISP链路,无需手动配置复杂多变的策略路由;
链路备份 支持链路备份功能,可以在用户的多条网络出口之间进行自动的切换;
高可用性 支持双机热备功能,包括主备模式(A/S),主主模式(A/A);支持对服务器的负载均衡,支持多种负载均衡方式;具备HA的防火墙Session同步、NAT/PAT Cache同步,切换时所有连接不中断功能。
抗攻击能力 可以识别并阻断常见的网络攻击行为。
IPS入侵防御 支持对HTTP、FTP、SMTP、IMAP、POP3、TELNET、TCP、UDP、DNS、RPC、FINGER、MSSQL、ORACLE、NNTP、DHCP、LDAP、VoIP、NETBIOS、TFTP、SUNRPC和MSRPC等常用协议及应用的攻击检测和防御。
防病毒 采用基于流引擎的病毒扫描机制;支持对HTTP、FTP、SMTP、POP3、IMAP协议的应用进行病毒扫描和过滤;支持防恶意网站功能,防止用户点击恶意链接并访问恶意网站;对携带病毒的邮件以及HTTP协议进行信息替换,提醒用户该数据流携带病毒已经被阻断。
带宽管理 支持基于用户、IP地址和应用的保证带宽、最大带宽、优先级控制的带宽管理。
管理功能 支持详细日志记录,包括配置管理日志、事件日志、网络连接日志,攻击防护日志、流量日志等;本地和远程集中管理平台两种存放方式,日志数据可以导出等功能。
统计 要求支持基于IP地址、基于应用的流量统计功能;要求支持基于IP地址的会话统计和基于应用协议的会话统计