1

智能DNS设备

1. 1台专用软硬件设备，要求规格≤2U，内存≥16GB，SSD硬盘≥2TB（满足各类日志存储至少180天），提供冗余电源，console接口≥1个，千兆电口≥4个、万兆光口（配备光模块）≥2个，可扩展插槽≥1个，USB3.0接口≥2个；

2. 单机性能≥10万QPS；

3. 可实现发布A、AAAA、CNAME、DNAME、HINFO、MX、NS、NAPTR、PTR、SRV、TXT、URL等常见记录类型；

4. 可实现同一条记录根据A和AAAA分别CNAME到不同的值；

5. 可实现添加中文域名、管理中文域名记录，可实现中文域名解析，可实现在DNS解析日志中使用中文搜索和浏览；

6. 可实现自定义域名记录信息表单，维护记录的相关信息，例如记录的申请人、负责人等；

7. 可实现对多运营商线路的多值解析，实现学校所有网站域名*.gdupt.edu.cn自适应访客的运营商网络返回不同的镜像地址；

8. 可实现仅停用但不删除域名，域名到期可自动停用，同时可实现手动暂时停用；停用的域名可以重新启用，防止僵尸域名产生；

9. 可实现根据多种条件匹配为用户提供差异化解析服务，匹配条件包括：源IP地址、域名库、域名特征、时间段、解析类型，各匹配条件之间可以组合使用；维保期内，如域名库发布新版本，应及时提供更新服务；

10. 可实现根据客户端访问的业务或应用的类型选择解析线路，例如访问学术资源网站选用电信进行解析；

11. 可实现根据线路健康状态和负载情况智能选择解析线路；

12. 可实现为各个策略设置生效时段，例如上课时间段内宿舍区客户端仅通过电信进行解析，非上课时间段宿舍区同时通过联通、电信进行解析；

13. 可实现域名劫持，可劫持为包括但不限于：NXDOMAIN、NODATA、A、AAAA、CNAME的特定结果；可实现劫持为指定URL和用户上传的自定义HTML页面；

14. 可实现对域名解析请求的限速；可实现限制域名解析服务提供范围；可实现DNSSEC验证；

15. 可实现对挖矿行为进行拦截，并对拦截记录进行日志记录、统计分析，定位到挖矿者源IP，内置挖矿域名库；可实现威胁域名防护，内置威胁域名库；维保期内，如挖矿域名库和威胁域名库发布新版本，应及时提供更新；

16. 可实现DNS污染预警，可对互联网中常用的DNS解析服务器（可自定义配置）进行探测，对我校发布的关键域名的解析结果进行监控，如果发现互联网中解析结果与我校发布结果不同，则给出告警及时干预，防止DNS污染长时间蔓延；

17. 可实现对DNS业务运行状态进行监控和告警，例如线路解析异常、权威域解析异常、DNS解析量过大、缓存命中率过低、同一域名大量用户解析失败、同一域名解析失败次数占比过高等；

18. 完整记录DNS日志，查询日志包括成功查询日志和失败查询日志，能够根据用户IP、查询时间、查询域名、查询线路等关键信息进行搜索；响应日志记录每次响应的解析延迟时间，并能够根据用户IP、域名、时间、线路等关键信息进行搜索；

19. 实现对域名的解析与管理，能够动态解析策略，例如基于时间、线路、域名的策略，从而实现带宽资源的有效利用，确保解析结果安全可靠；提供域名管理；对恶意网址、挖矿地址域名进行一键封禁，对DNS运行状态进行实时监控，发现异常及时告警，对域名和DNS业务进行维护。

20. 实现解析过滤功能，可针对不同 IP、域名、泛解析等配置不同的过滤策略，可选择屏蔽递归域名或权威域的A或AAAA记录响应。可配置多条过滤策略，实现对过滤策略进行排序；

21. 系统支持分析监控展示包括但不限于QPS、解析成功率、缓存命中率、并发递归数、CPU利用率、CPU温度、内存利用率、磁盘利用率、网卡流量等，数据实时更新，提供1分钟更新粒度，同时可实时统计近期解析域名排行、解析IP排行、解析状态及解析类型等；

22. 实现CLI管理，支持console、SSH终端连接方式,支持常用管理操作、系统状态与配置检查；支持账户分权，可设定基于视图、区、权威记录类型、单独权威记录的隐藏/只读/读写权限；

23. 可实现IPV6黑白名单功能，当域名解析结果同时包含A和AAAA记录时，能够选择性过滤掉A或AAAA的结果；

24. 设备可实现IPV6优化策略，满足IPV6重点指标支持，如IPv6 域名授权体系、IPv6活跃用户数。支持在双栈环境里对IPV6资源进行优化处理，以改善客户端对业务的访问体验；

25. 可实现DDoS攻击防护，对IP超速解析行为进行记录和统计；实现DNS隧道攻击防护，根据DNS请求行为进行探测和告警；实现DNS递归攻击防护，探测递归攻击，对递归攻击的客户端不予回复，保障正常用户解析；实现DNS缓存投毒防护，实现随机端口和0x20防护；实现DNS反射攻击防护；

26. 设备具备自身安全系统防火墙，可以根据不同协议对通过设备节点访问的源网络和目的网络进行安全防护。WEB界面可以显示防火墙基础规则配置的相关信息。信息相关内容包括优先级、源网络地址信息、目的网络地址信息、源端口、目的端口、协议、防护策略规则；

27. DNS的解析日志能够根据客户端IP、解析状态、记录类型、请求域名、解析延迟（精确到微秒）、日志全文进行分列展示；并可对指定时间段内的所有日志进行包含、等于、不等于的关键字段匹配，多个匹配条件支持“与”“或”方式的高级搜索；

28. 可实现解析行为统计分析，在系统内展示统计图表，至少包括但不限于：请求响应速率、请求成功率、域名查询量排行、策略查询量排行、源地址查询量排行、失败结果占比、失败查询速率、失败解析IP/域名排行、缓存命中率；

29. 可实现主辅区同步，支持主辅区域一致性校验，DNS作为主区或辅区时，支持在WEB界面手动触发主辅区数据一致性校验，保证数据一致性，支持辅区续期功能（不受主区故障影响）；

30. 内置威胁情报库，包含但不限于挖矿域名库、威胁域名库，可实现拦截与日志记录，维保期间提供更新。内置域名库包括但不限于游戏网站、视频动漫、购物网站、下载网站、新闻媒体、网银、国际域名和教育网资源等，将不同网站应用类别的应用调配到特定出口；

31. 设备WEB界面需具备对DNS设备进行抓包的功能，可以实时抓取数据包并且支持对抓取的数据包下载，下载后的数据包可在wireshark等软件上进行分析。具备有ping、traceroute 、dig常用DNS运维排查指令以供日常运维使用，帮助管理员进行网络分析和故障排查；

32. 可实现告警功能设置：支持图形化方式的全局所有子节点监控，可针对不同节点设定不同的报警阈值，发生问题时可实时触发故障报警，支持邮件、SNMP TRAP、URL回调、短信等报警方式（与另外一套冗余DNS系统配合使用）；

33. 中标（成交）供应商需在采购方的虚拟化环境中部署一套与中标设备相同的软件系统，为采购方DNS服务提供冗余可靠的环境。

1

台

五年维保。采购费用包含培训、调试及安装等服务。维保期内系统漏洞更新与修复、内置域名库、威胁情报库等需及时更新，无需额外获取授权，质保期内不再另外付费。质保期满后，设备现有功能均应能正常使用，不再另行付费。中标（成交）供应商提供全天候紧急故障处理或意外事故的技术性服务，在接到产品故障通知0.5小时内响应，4小时内到达现场，24小时内处理完毕，若在24小时内仍未能有效解决，中标（成交）供应商须提供同档次的设备给采购人临时使用。