国盛证券股份有限公司CDN服务采购项目

服务项目名称

服务内容

CDN服务

金**全加速服务：支持不少于15个域名，加速带宽400M买断不限量或每年流量不少于120TB，支持ipv4/ipv6用户访问加速及ipv4/ipv6回源站。

下载加速服务：加速带宽200M买断不限量或每年流量不少于60TB；支持ipv4/ipv6用户访问加速及ipv4/ipv6回源站。

云WAF：每月检测请求数不少于3亿次。

DDOS防护能力：DDOS防护能力不小于10G，CC防护能力不小于35000QPS。

公有云主机：

2台云主机：配置4C 、8G内存、100G存储、10M带宽，数量2台(Windows、Linux 各一台)；

1台边缘云主机：配置4C 、8G内存、50G存储，10M带宽，Linux系统，支持ipv4/ipv6 双栈。

开放API：包含API对接能力，可实现第三方安全编排软件调用CDN、云WAF的API，获取异常访问日志数据，并提供API调用封禁恶意IP。

可视化大屏：提供源站监控大屏(包含源站请求成功率、源站响应时长等指标)和ipv6数字大屏(访问量：IPv4访客数、IPv6访客数，可用性：状态码分布；成功率：IPv4成功率、IPv6成功率；访客区域分布：各省IPv4及IPv6访客数；终端情况：浏览器、操作系统占比等)。

安全报告：每月提供月度 CDN使用报告、安全防护报告。

重保支持：在攻防演练等大型活动重保期间，提供更高级别的防护，如以接口调用、邮件订阅等方式为甲方提供重保情报，能够防护深度解析编码过的恶意请求，在重要时期提升网站整体安全等级。

服务要求：提供7*24小时的企业级服务咨询、故障受理等服务，响应时间不超过5分钟，并能时反馈处理进展，服务渠道至少包含专属微信群、电话两种即时沟通方式，保联络畅通。

技术服务要求

细节指标

节点**要求

拥有2000个以上国内自有节点，要求部署位置包括**所有省、直辖市、自治区省会及副省级城市；不得使用融合CDN等第三方节点；

拥有800个以上境外节点（自有或**方），要求覆盖欧洲、北美、亚太、澳洲、东亚等华人主要活动地区（提供节点分布数据证明国内、海外节点分布情况）

带宽**要求

拥有充足的带宽**，总带宽10T以上，冗余带宽3T以上（提供总带宽截图）

主流运营商直接覆盖要求

保国内电信、联通、移动、铁通、广电网络、教育网等主流运营商直接覆盖（提供运营商前置节点分布数据）

运营商间接覆盖要求

保科技网、长城宽带、天威、易家宽、电信通、**网络等各地区非主流运营商间接覆盖

全网更新时间指标

自源站更新指令下发起至全网节点更新完毕时间不超过10分钟

CDN整体可用率指标

不低于99.99%

CDN互联网个性化功能要求

支持 CDN 边缘节点调度、按用户区域添加黑白名单、支持主备源用户无感知零延迟切换、支持登录、查询等需要回源的动态请求回源优化服务

支持义不同标签，将标签关联到不同域名，按照标签粒度下发IP封禁策略，支持IPv4和IPv6地址封禁，同时提供专用API接口，及控制台双通道部署（提供配置截图）

支持国密SSL加速可采用Keyless无私钥加速方案，即针对客户无法提供证书私钥的国密SSL加速场景，可在私钥服务器中部署国密证书，存放私钥。当节点的SSL握手过程中需要私钥时，则请求私钥服务器使用私钥进行加解密（提供配置截图）

支持在控制台，自助配置分区域运营商回源协议通道，可指不同区域运营商的回源请求，采用国际HTTPS协议或国密SSL协议、或同客户端请求协议回源（提供配置截图）

支持在控制台自助配置客户端双向认证，且可启用Optional选项，即允许在客户端缺失证书的情况下，支持非强制性认证。可灵活应用在客户端开发阶段或是灰度阶段，避免出现部分客户端访问不可用的情况

支持控制台，自助开启客户端双向认证，即在服务端证书校验的基础上，实现对客户端证书的校验，避免非法终端访问业务

支持在全站加速控制台，自助配置文件预取的时间，以合理安排规避业务源站集中访问压力（提供配置截图）

支持按IP、端口、HTTP 头部信息等对用户 HTTP/HTTPS请求进行个性化处理(如URL跳转、拒绝访问、替换 URL 回源、限流、指回源等)

支持在域名和源站IP多对多的情况下（即每个域名使用多个源IP，每个源IP又给多个域名使用），需支持以源站IP为粒度，设置请求数和带宽阈值，超过上限/下限即触发邮件和短信告警，并提供top回源域名

支持SNI与传统非SNI的部署，支持TLS1.3，可通过头部传输真实客户端IP到源站，包括X-Forwarded-For，Cdn-Src-Ip（或Client-IP）两种方式

支持隐藏API或站点可执行活动脚本(浏览器开发者工具下无法查看相关内容)，防止攻击者对API或可执行活动脚本的漏洞分析利用

支持相同内容合并回源、CDN 系统内部缓存复用、低耗回源预取，支持文件同层级内容扩散，降低源站带宽，缓解回源压力

支持开启传递内容加密防护后，无法通过抓包识别POST内容保障数据传输安全

提供源站监控服务(基于 DNS、PING、TCP、HTTP、HTTPS、固 URL 等)

支持分段及全链路 HTTP2.0及3.0访问，并且可实现自义回源协议和推送服务，支持融合于 CDN 的图片处理，WEBP 格式转换、减少回源消耗

支持IPV6用户访问。支持IPv6、IPv4分协议回源，在源站同时支持IPv4与IPv6的情况下，CDN内容分发平台可以同时响应IPv4与IPv6请求，IPv4请求分发至IPv4源站，IPv6请求分发至IPv6源站。

支持 HTTP DNS 访问(支持SDK部署)，支持图片、区域内容自适配

支持国密SSL（客户端、服务端均需支持，包括GMSSL），支持用户侧和回源侧的全链路国密算法，国密算法套件至少支持ECDHE-SM4-CBC-SM3、ECC-SM4-CBC-SM3、RSA-SM4-CBC-SM3；支持与客户端协同做分区域分运营商的国密灰度升级，以降低国密升级过程中的潜在风险，保障用户的可用性

支持融合于 CDN 的图片处理，WEBP 格式转换、减少回源消耗

支持基于 HTTP 状态码、节点回源成功率的监控、告警、异常节点自动切换

支持多种源站负载均衡策略：可根据不同业务敏感度，配置哈希、轮询、快速回源等不同回源策略，包括：1）2个源站以上的主备策略；2）多个源站，按RTT最快进行负载选源；3）多个源站，可将数据轮询请求到各个源站实现负载；4）多个源站负载时，能够保同一个用户端IP请求到同一个源站；以保障用户访问可用性和源站可用性；

传递TCP KeepAlive回源：平台支持配置TCP keepalive传递功能，保TCP长链接业务的保活，及数据传输的可用性。

ICMP透传回源：通过将指大小的ICMP探测包加速回源，可针对C/S架构业务（纯TCP业务），监测用户-平台-源站的TCP加速效果

支持CDN平台开通专线回源

支持websocket域名长链接CDN加速

支持离线模式，网站发生故障时，3分钟内自动切换到离线静态页面

支持配置异常流量防护功能，自动识别异常流量，保障网站流量不因盗刷而大量增长。可实现自动识别并降低异常流量功能。异常流量或盗刷流量不进行计费。

支持多种回源策略，包括主备源和多源轮询等，在监控到主源故障时，2分钟内自动切换到备源站

专属CDN节点要求

可按国盛证券要求提供专属CDN骨干回源及边缘节点**，节点服务器、互联网带宽、管理平台等由国盛证券专用，不与其它用户共享。国盛证券可向CDN发起节点调度申请，并实现不同节点之间的流量调度策略，支持对所有TCP连接**信息的24小时日志采集服务，专属节点的TCP连接**日志信息能够按时间分片存储，志数据存储平台能够为用户提供日志分片的查询和下载入口页面，提供24小时全量TCP连接**信息的存储功能，存储时长不少于7天

用户能够通过web界面查询专属服务器的各种运行状态信息，包括：CPU利用率、内存利用率、TCP连接数、磁盘IO性能、in流量带宽、out流量带宽、用户能够通过web界面查询专属服务器上域名粒度的流量带宽信息、系统支持用户基于专属节点的运行状态设置报警，当质量指标低于预警线时，发送报警到客户邮箱、为用户提供域名粒度流量带宽信息的API查询接口，用户可以按照规的参数格式向CDN平台端发送查询请求

专属节点支持高效传输、智能调度、智能路由、制化缓存、回源收敛、稳服务、SSL卸载、源站负载均衡、连接复用、源站监控、零时延灾备切换、离线模式、基础安全、源站隐匿、防篡改劫持、防恶意请求、防爬虫、黑白名单控制、新技术支持、HTTP2.0、TLS1.3和GMSSL、图片智能适配、IPv6与IPv4自适应、支持国密、节点健康监控、服务质量告警、内容监控等功能

产品资质要求

具备全球IPv6测试中心的IPv6 Ready Logo认证资质或IPv6 Enabled认证资质

具备网络安全三级等保证明（提供电子版证书证明）

技术服务要求

细节指标

技术要求

支持EDNS调度，根据Local DNS传递的用户出口IP归属将用户请求调度到最佳节点，调度准性达99.5%

支持基于URL等维度灵活地对用户进行限速，既保证用户的服务质量，又在一程度上平滑客户的加速带宽，降低客户成本

支持对客户加速带宽进行控制，当加速带宽达到一阈值时，CDN节点会采取适当的处理策略（如回源、拒绝、限速等），把加速带宽控制在某一阈值内，满足对加速带宽成本比较敏感的应用场景，降低客户成本

支持IPV6用户访问。支持IPv6、IPv4分协议回源，在源站同时支持IPv4与IPv6的情况下，CDN内容分发平台可以同时响应IPv4与IPv6请求，IPv4请求分发至IPv4源站，IPv6请求分发至IPv6源站。

支持中心认证防盗链功能，客户可事先与CDN约鉴权规则，CDN节点通过将鉴权参数****中心认证服务器进行鉴权，鉴权服务器将鉴权结果回传给cdn节点，若识别出盗链请求，即拒绝提供服务，从而达到保护视频版权、节省带宽和服务器运维成本的目的

通过CDN内部横向对所有服务器上存储的文件进行比对，在不需要客户任何配合的情况下，发现缓存错误的文件，自动删除重新获取，并触发告警

支持配置异常流量防护功能，自动识别异常流量，保障网站流量不因盗刷而大量增长。可实现自动识别并降低异常流量功能（提供平台截图证明文件）。异常流量或盗刷流量不进行计费。

技术服务要求

细节指标

技术要求

提供OWASP Top10(SQL注入、XSS跨站脚本、常见Web服务器漏洞、非授权核心**访问等)、网站扫描、网站挂马等各类常见Web应用攻击的防护，同时，能够基于主动防御引擎及时发现0 Day攻击并防护，避免用户网站被篡改、敏感数据泄露，从而保障网站安全。

支持对域名粒度进行防护/监控模式的切换，即可以自主选择开启防护拦截的域名以及仅监控不拦截的域名。

支持自动学习网站流量并提供WAF策略建议。

在攻防演练等大型活动重保期间，提供更高级别的防护，如以接口调用、邮件订阅等方式为甲方提供重保情报，能够防护深度解析编码过的恶意请求，在重要时期提升网站整体安全等级。

支持自动托管规则和自动误报分析应用

安全支持域名策略一键复制共享给其他域名（提供配置截图）

策略类型监控告警：支持攻击请求数、攻击请求QPS、攻击请求占比义告警阈值。（提供配置、告警示例截图）

产品资质要求

中国网****认证中心出具的IT产品信息安全认证-WEB应用防火墙-（增强级）证书（提供电子版证书证明）

WAF产品****测评中心出具的国家信息安全漏洞库（CNNVD）兼容性资质证书（提供电子版证书证明）

****研究院出具的《Web应用程序和API保护（WAAP)安全能力检验证书》（提供电子版证书证明）

技术服务要求

细节指标

技术要求

提供安全加速一体化的能力，cdn服务器提供加速服务的同时，需要同步支持DDOS防护等安全能力，支持按需开启。

具备防御大流量DDOS攻击的能力，系统总体防护容量超过15Tbps。

现网有成功防御过单次攻击超过1.5Tbps的网络层攻击及700万qps的cc攻击的经验

DDoS攻击流量告警：支持针对具体攻击类型义告警阈值；（提供配置截图）

安全配置；支持域名策略一键复制共享给其他域

技术服务要求

细节指标

技术要求

云平台支持云服务器服务，支持对云虚拟服务器的全生命周期管理功能，包括创建、启动、热升级、更改配置、软重启、硬重启、关机和销毁等的操作

云服务器支持主机管理功能，支持控制台自带的VNC连接和第三方工具（例如PuTTY、Xshell、MSTSC等）远程连接，支持密码和密钥两种登陆方式

支持用户自助上传RAW、QCOW2、VHD、VMDK、ISO格式的私有镜像

云服务器支持自义用户数据功能，** Windows支持Bat批处理程序和PowerShell脚本、Linux支持Shell脚本，支持一次执行和每次启动时执行的配置

技术服务要求

细节指标

技术要求

边缘计算节点数量：中国大陆边缘节点数量300+个，覆盖95%**所有省、直辖市、自治区省会及副省级城市。境外节点覆盖七大洲，包含亚美尼亚、玻利维亚等地区。（提供后台截图）

运营商覆盖：保国内电信、联通、移动、铁通、广电网络、教育网等主流运营商直接覆盖。

磁盘：提供本地盘存储服务，存储**独用，为云主机提供不同容量的本地盘存储服务。单盘容量16T，最大吞吐量170MB/s。

镜像预热功能：支持将云主机快照，并可镜像批量提前下发到各个节点上，提升主机创建速度

网络模块同时支持IPV4、IPV6双栈。