序号

采购设备

数量

1

国产防火墙

2

2

国产日志审计

1

3

国产网闸

1

4

国产堡垒机

1

技术指标

参数要求

★基本要求

国产化设备，此为国产防火墙设备，又是零信任设备，设备≥12个千兆电口（6对Bypass），≥4个千兆光口，≥1个CON口，≥2个USB 3.0口，≥1个管理口，≥1个HA口，≥1个业务扩展槽位，≥16G内存，≥1T硬盘，双电源。

HTTP应用层吞吐量≥18Gbps，IPS吞吐量≥18Gbps，AV吞吐量≥5.5Gbps，并发连接数≥3000万，每秒新建连接数≥28万，IPSec隧道数≥10000，零信任并发在线用户数≥8000。（中标后提供CMA/CNAS认可的专业测试报告）

配置3年IPS入侵防御、AV病毒过滤、TI威胁情报、APP应用识别、8个零信任许可、5个虚拟防火墙许可、云安全运维/订阅许可。

NAT

要求所投产品支持NATv6、NAT444、NAT64、DS-Lite、Full-Cone-NAT等地质转换技术，并可对SNAT\DNAT进行命中分析，帮助用户识别长期未命中的NAT规则。

支持NAT扩展技术，突破传统单个公网IP地址64512个端口的瓶颈达到更大值。

策略管理

支持基于国家/地区维度进行流量控制等安全策略，支持垃圾策略清理，支持聚合策略以及策略导出。

支持自学台为用户提供便捷、高质量以及低成本的增值安全服务，支持手机APP对设备进行监控：通过手机可以第一时间获知设备的基础信息，安全风险实时告警，帮助快速定位问题、安全可视化实时呈现。提供App下载URL，该APP不能是VPN 客户端软件，该APP不限制使用用户数，中标后提供证明材料

入侵防御

基于状态、精准的高性能攻击检测和防御，支持针对HTTP、SMTP、IMAP、POP3、VOIP、NETBIOS等20余种协议和应用的攻击检测和防御。

★具备7000种以上攻击特征库规则列表，至少支持基于协议类型、操作系统、攻击类型、流行程度、严重程度、特征ID等方式的查询。（提供设备配置截图）

病毒过滤

支持基于流模式的病毒过滤，可对SMB\IMAP等协议传输的病毒以及不少于5层压缩病毒文件进行检出，要求本地病毒特征库规模≥1000万，支持手动添加、删除病毒特征。

共享接入

★支持识别和封堵私接主机，包括无线路由器等软硬件网络共享方式；可制定策略分别设置私接终端类型个数为阀值进行封堵（提供设备配置截图）

云沙箱平台对接

支持扩展云端沙箱技术，可将可疑文件提交云端沙箱进行安全模拟运行，并根据运行结果与防火墙实现联动。

威胁情报

支持与云端威胁情报中心联动，支持威胁情报与防火墙威胁事件、威胁日志检测结果加强与取证，用户可通过手动触发与自动触发将日志元素上送威胁情报平台进行上下文查询。

防雷击

产品通过浪涌（冲击）抗扰度（4KV）测试，中标后提供证明材料

虚拟系统

支持虚拟系统功能，每个虚拟系统可自定义CPU资源、会话数、策略数、安全域数、源NAT数、目的NAT数、IPSEC VPN隧道数、会话限制规则数、IPS功能、URL功能、关键字类别、威胁日志等。

标准要求

投标产品满足涉密信息系统产品检测标准要求，中标后提供证明材料

投标产品满足《信息安全技术 防火墙安全技术要求和测试评价方法》（网络型防火墙-增强级）标准要求，中标后提供证明材料

★测试验证

中标后3天内提供投标型号的测试设备对招标要求的功能性能进行逐项测试验证，测试所产生的相关费用均由投标方承担，若无法在规定时间内提供测试设备或测试结果与招标要求不符，取消中标资格，中标人承担所有责任。

质保服务

提供原厂3年技术支持和保修服务，最终用户方为“ (略) (略) ”，为保证货物是原厂家最新生产合法渠道货物，中标后提供原厂服务承诺函和原厂盖章授权函。

指标项

指标内容

★基本要求

国产化设备，设备≥8个千兆电口，≥1个CON口，2个2个USB 3.0口，≥4T硬盘，≥16G内存，≥2个扩展槽。

日志处理性能≥7000EPS，授权≥50个设备许可，可扩展至200个。

审计仪表盘

支持自定义仪表盘，可在一个仪表盘中选择多个对应的微件，可涵盖日志中的所有字段，仪表盘具有全屏监控功能，仪表盘中可直接导入事件统计中的各类图表，支持实时监控，支持配置实时监控策略，支持创建多个仪表盘

资产管理

支持资产主动发现。通过对网络进行资产扫描，可将发现的IP对象转资产或删除

支持资产被动发现。可将网络划分成多个安全域，系统能自动发现安全域中的IP对象,并可以转资产或删除

支持添加、修改、删除资产；支持对资产的基本属性进行维护，并可以增加自定义属性

支持拓扑自动发现，可手动添加拓扑，并能够展示整体安全、事件分布、告警分布等

支持资产自定义分级分组、标签

支持在一个资产下添加多个日志源（日志采集的对象）

支持资产性能监控，如监控CPU、内存、磁盘使用率等资产指标

支持资产地图，可查看资产整体安全状态、性能指标信息以及关联日志源的日志信息

日志采集

支持采集的对象包括安全设备、网络设备、操作系统、数据库、中间件、应用系统、虚拟机等

支持主动、被动相结合的数据采集方式，支持通过Agent采集日志数据，支持通过Syslog、SNMP Trap、HTTP、TCP、telnet、JDBC、WMI、文件、Kafka等方式采集日志

支持日志标准化解析（范式化、归一化），将不同格式日志解析为多个字段，自动识别系统类型至少达到200种

支持日志自定义解析，系统自带图形化工具，可通过GROK、分隔符、JSON、XML、时间等自定义解析规则

支持解析规则的批量导入/导出

支持日志源的自动发现，根据接收到的日志自动识别并创建日志源

支持日志源的自定义分级分组

支持不同设备相同IP的日志识别

支持自定义日志过滤策略，支持全局过滤、局部过滤，可选择对单个或多个日志源进行日志过滤

日志过滤支持字段过滤与指定时段过滤

★支持对单个/多个日志源批量转发，支持定时转发，可通过Syslog、TCP和Kafka方式转发到第三方平台，并且支持转发原始日志和已解析日志

日志分析

系统内置审计策略，内置审计策略至少600条

支持自定义审计策略

支持从审计策略模板直接创建策略，并可通过事件的任意字段制定规则创建策略

审计策略可以定义审计事件的名称、分类、级别以及命中后是否继续匹配其余审计策略

提供预置审计策略模板，包括：Windows主机类审计策略模板、Linux/Unix主机类审计策略模板、防火墙类审计策略模板、扫描器类审计策略模板、IDS/IPS类审计策略模板、防病毒类审计策略模板、数据库系统类审计策略模板、萨班斯审计策略模版、等级保护审计模板等

内置网站攻击、主机异常、账号异常、暴力破解、漏洞利用、权限异常等至少10种安全分析场景，内置关联规则至少400条

支持关联规则自定义设置功能，支持类型包括过滤规则、统计规则、序列规则、模式规则、多源日志关联和机器学台名称、导航栏名称、LOGO标识等

用户管理

用户支持三权分立设计模型 ，支持自定义权限角色

支持连续登录失败锁定用户，支持自定义失败次数、锁定时间、用户登录后超时时间

支持管理员访问控制，可设置指定IP、网段允许或拒绝管理员登录

支持自定义密码强度设置，可自定义用户密码强度要求，密码复杂度、长度

支持多因子认证，认证方式可为邮件、短信

部署要求

支持集中和分布式部署，系统全面支持IPV4/IPV6

标准要求

投标产品满足《信息安全技术 信息系统安全审计产品技术要求和测试评价方法》（增强级）标准要求，中标后提供证明材料

★测试验证

中标后3天内提供投标型号的测试设备对招标要求的功能性能进行逐项测试验证，测试所产生的相关费用均由投标方承担，若无法在规定时间内提供测试设备或测试结果与招标要求不符，取消中标资格，中标人承担所有责任。

质保服务

提供原厂3年技术支持和保修服务，最终用户方为“ (略) (略) ”，为保证货物是原厂家最新生产合法渠道货物，中标后提供原厂服务承诺函和原厂盖章授权函。

技术指标

招标要求

★基础要求

国产化设备， 2U，液晶屏，双电源，≥16G内存，≥256G SSD硬盘；

内网机：≥4个千兆光口，≥6个千兆电口，≥1个CON接口，≥2个USB接口；

外网机：≥4个千兆光口，≥6个千兆电口，≥1个CON接口，≥2个USB接口；

性能：吞吐量≥600Mbps，并发连接数≥20万，数据库同步速率≥2000条/秒，并发视频路数≥240路D1视频，系统延迟<1ms；

授权：配置文件交换模块、数据库同步模块、视频交换模块、安全浏览模块、FTP代理模块、邮件代理模块、防病毒模块和入侵防御许可；

架构

产品采用“2+1”（即双主机系统+物理隔离数据通道控制系统）体系结构。

系统

支持双系统引导，通过管理平台控制系统启动顺序，当前系统出现异常时，自动切换到备份系统，并支持系统相互备份和自动还原功能。

系统监控

带液晶屏，液晶菜单可显示内外网机IP地址、CPU使用率和内存使用率等整机信息，具有设备异常（如网络IP冲突、通讯异常等）监测报警功能

高可用

★具备多网口链路聚合功能，可实现内网网口和外网网口链路备份，分发策略支持Layer2、Layer2+3、Layer3+4。

具备HA双机热备功能，可通过独立的热备端口或普通业务端口实现双机热备。

负载均衡功能，支持HTTP/HTTPS、邮件、文件同步等业务负载均衡。

文件同步

文件同步支持FTP、SAMBA/NFS等文件传输协议。

支持文件传输方向可控，实现单向或双向传输。支持病毒检测。

支持对文件内容智能语义分析，对指定文件的内容关键字过滤，确保只有符合策略的数据文件才允许被同步。

支持先镜像后增量、增量同步、镜像同步等多种同步模式。

支持传输后删除源文件或源文件夹、删除同步等传输策略。

支持目的文件发生变化时重新同步。

支持目录内子目录同步，子目录级别不受限制。

文件同步支持时间段的控制：时间段可以是一次性执行、某个时间段执行、周期循环执行三种方式。

数据库同步

持ORACLE、SYBASE、MySQL、SQL Server、DB2、PostgreSQL等主流数据库同步和支持国产达梦、人大金仓等数据库的同步。

支持多种同步方式（如先镜像后增量、增量），同步模式支持单向和双向同步。

支持同构数据库之间、异构数据库之间的数据同步，无需修改数据库表结构。

支持表级、字段级同步。

支持对指定字段和指定字段的指定内容允许同步或不允许同步。

支持时间段的控制：时间段可以是一次性执行、某个时间段执行、周期循环执行三种方式，且同步数据的数量可选及自定义。

支持数据库同步实时日志记录，提供日志审计、查询。

支持数据库连接性测试及测试结果反馈功能，提升文件同步配置的易用性。

支持灵活的数据库冲突处理策略，当关键字数据发生冲突时可选择：覆盖/丢弃。

可分别控制insert、update、delete的数据传输。

文件交换

新增文件交换客户端（windows版本）。

内置用户组织架构，能够批量导入，自动生成用户组织架构。

能够对接AD域服务器，自动获取域用户和组织架构。

具备文件发送审批功能，重要文件审批才能发送。

文件客户端安全支持密码有效期、最大登录失败次数和锁定时长等策略。

支持病毒查杀、文件大小、文件类型、文件内容检测，拒绝不合规文件传输。

文件交换客户端支持下载目录自定义和管理功能。

具备限制特定用户的文件传输大小，具备用户级的文件交换权限策略设置，如允许/禁止内网到外网或外网到内网的传输。

★文件发送/接收行为详细记录，包括发送/接收人、文件大小、文件名称等记录信息，审计支持下载还原文件，满足事后溯源要求，文件发送/接收具备进度条显示，便于文件发送或接收者能够直观了解文件发送/接收进度

视频网闸

支持SIP、RTSP等主流视频协议。

支持视音频同时传输。

支持基于动态端口传输的流媒体视频应用。

支持视频管理服务器数据转发，视频管理服务器通道建立。

支持视频SIP服务器数据转发，SIP管理服务器通道建立。能够严格区分视频数据流和控制信令流，根据策略配置可以控制视频数据的单向传输。

支持海康、大华、华为、华三、公安一所、天地伟业、天视达、宇视、科达、数码视讯、藏愚、合众、汉邦，东方电子，中星等视频厂商。

组播代理

支持ASM（任意信源）、SSM（指定信源）、SFM（过滤信源）三种类型的组播。

FTP访问

支持至少47种FTP命令黑白名单控制，如上传、下载、删除等。

支持对目的地址和端口进行访问控制。

安全浏览

支持HTTP内置七种请求类型（GET/POST/PUT/HEAD/DELETE/OPTIONS/TRACE）的黑白名单控制。

支持自定义命令控制过滤。

支持HTTP和HTTPS正向或者透明代理。

协议代理

支持TCP/UDP自定义代理访问并可自定义命令，对命令进行允许、拦截配置。

支持TCP/UDP数据单向传输代理。

支持1bit协议代理。可实现访问服务端只能回复1bit长度的信息，其他内容会被拦截，客户端发送则没有限制。

支持邮件正向代理、邮件透明代理。可实现命令过滤拦截且不断开连接。

支持SMB协议代理，可对Read、Write、Create等19个命令进行过滤。

支持DNS代理。

支持SNMP代理，set-request、get-response、get-request、get-next-request等命令进行过滤。

入侵检测

具有实时入侵检测机制，支持对BasicAttack、 SMTP、FTP、DNS、DOS/DDOS 攻击、PortScan 的检测。

安全管理

支持CPU、内存、硬盘状态实时监控。

支持HTTPS的Web方式管理，实现了远程管理信息加密传输。

支持必须由内网主机系统来管理和配置网闸，而不是采用低安全的管理方式，如采用内外网口分别管理和配置网闸。

系统登录界面采用USBkey和用户名与密码双因子进行认证。

支持时间控制管理，可设置多个时间点来控制网闸网络服务的启动、终止。

防暴力破解限制

支持系统防爆处理，对管理员登*有密码次数限制，密码输入错误，超过限定次数，自动锁定设备，阻止非法管理员再次登录。根据限定期限，可自动解除锁定。

接入方式

支持IPV4/IPV6双栈接入。

安全通道

支持映射模式、网关模式、路由模式、网桥模式功能。

支持透明、代理及路由三种工作模式。

源地址转换功能和虚拟IP技术，可对外部隐藏内网真实地址。

路由配置

支持IPV4静态路由，IPV6静态路由。

集中管理

支持标准的SNMP协议，可与网管平台无缝对接。

支持集中管理，支持对多台设备进行统一管理。

日志空间管理

支持自定义日志空间大小，告警百分比，日志留存天数。

备份和恢复

支持备份、恢复功能，能对系统的各业务模块配置单独进行备份和恢复

时间配置

支持修改系统时间和日期，可设置时间与Internet时间服务器同步。

告警管理

支持针对网闸日志使用率超过磁盘限制的短信告警。

系统调试

支持针对指定网卡进行故障测试，测试工具包含traceroute、telnet、ping、arp、tcpdump等。

★测试验证

中标后3天内提供投标型号的测试设备对招标要求的功能性能进行逐项测试验证，测试所产生的相关费用均由投标方承担，若无法在规定时间内提供测试设备或测试结果与招标要求不符，取消中标资格，中标人承担所有责任。

质保服务

提供原厂3年技术支持和保修服务，最终用户方为“ (略) (略) ”，为保证货物是原厂家最新生产合法渠道货物，中标后提供原厂服务承诺函和原厂盖章授权函。

技术指标

指标要求

★基本要求

国产化设备，设备≥2U，≥8个千兆电口，≥4个千兆光口，≥1个CON口，≥2个USB口，2个扩展槽，≥16G内存，≥4T硬盘，冗余电源。字符并发数≥500，图形并发数≥300。

授权：配置200个授权许可，可扩展到1200个。配置1个USBKEY和1个动态令牌用于双因素验证。

系统架构

支持单机部署、双机热备部署；

采用https加密协议对系统进行管理，支持IPV4/IPV6网络环境下操作管理；

★系统内置SSL VPN模块功能，支持远程用户安全接入, SSL VPN用户名与密码策略系统完全一致，并支持配置、VPN传输协议、端口、虚拟地址段及VPN路由；

系统支持手动修改自身对外开放协议（WEB、协议代理）端口功能；

身份认证

系统支持用户多角色划分功能，如系统管理员、密码管理员、审计管理员、部门管理员、运维用户等，对各类角色需要进行细粒度的权限管理。也可自定义角色及权限范围，各角色功能定位明晰，不可越权；

系统支持用户、资产按照部门进行划分，并支持多级部门（无级别限制）机构，各部门机构用户、资产隔离，可根据各级部门机构进行独立管理；

系统对用户的身份认证需支持采用两种或两种以上组合方式进行身份验证：手机动态令牌认证、LDAP认证、AD域认证等自由组合认证；

支持手机动态令牌身份认证，内置动态口令双因素认证，双因素系统内置在系统中，不需要使用其它的服务器（或虚拟机）进行安装，用户建立、令牌绑定等操作，在同一个管理界面中完成，客户端为手机APP/小程序方式查看令牌动态密码；

支持运维用户账号密码强度校验和提示（长度至少8位；密码需含有数字、字母、特殊字符等）；

支持强制定期修改运维人员账号密码功能，并可配置强制修改期限；

支持创建运维用户随机密码功能，随机密码可通过邮件、短信等方式发送给指定运维用户；

资产管理

支持通过SSH/SFTP/VNC/RDP/HTTPS等协议实现运维对象（Windows、Linux、网络设备、数据库、安全设备、国产化操作系统等）的资源添加及认证登录；

支持主机、网络设备、安全设备、数据库、IP地址、操作系统类型、协议端口、运维方式等资产信息及对应密码、密钥的收集录入配置；

支持对运维对象的登录测试，支持运维人员与运维对象的批量关联；

支持对B/S(HTTP/HTTPS)、C/S及数据库客户端程序进行集中管理及应用分发，支持Windwos2012/2016及国产化麒麟操作系统作为应用发布服务器；

支持资产扫描功能，可根据扫描地址（段）、扫描端口、归口部门等信息进行配置扫描，也可实时终止扫描任务，扫描后资产设备可进行一键提交归档，方便用户统一管理；

支持对被管理Windows/Linux/网络设备的登录账号进行统一定期、周期修改密码，密码强度可进行配置，并可通过邮件/SFTP/FTP进行即时备份，密码备份文件进行加密处理；

支持端口代理服务， 包括字符代理、ftp代理、Mysql、Redis；

系统支持对LINUX系统账号进行自动收集及一键归档保存；

授权管理

支持对人员身份的有效时间段、来源IP进行验证；

支持对连续登录失败人员账号进行锁定策略配置；且对锁定账号进行人员账号恢复、自动恢复等功能；

支持对字符操作（SSH/TELNET协议）的指令/指令集进行控制，通过指令/指令集黑白名单实现对命令的有效管理，指令/指令集对运维账号、资产进行策略关联，命令输入支持正则表达式，可进行策略允许、指令阻断、会话阻断、申请确认等动作；

支持管理员新建、查看、编辑、删除运维任务；运维任务支持手动、自动（定期）执行，运维任务包括脚本任务、命令等任务，输出的执行任务日志可导出；

工单管理

支持内置电子工单，运维人员可以在产品的web界面，手动填写工单，填写/选择的内容必须包括：标题、运维时间段、文件权限、描述、设备资源账号等；工单经审批通过后，运维人员可立即取得相应访问权限；

运维管理

支持最近常用设备、收藏及批量登录功能，便于用户的快速查询及登录，提高用户登录运维资产效率；

支持Windows系统下的 IE/Chrome/火狐浏览器运维管理外，还支持国产化操作系统下运行的浏览器运维和管理；

支持运维用户终端无需安装和调用任何插件及客户端程序时，用户即可实现（RDP/VNC/SSH/TELNET）各种协议的登录运维；

支持通过WEB页面调用XSHELL、SecureCRT、PUTTY等客户端登录目标运维设备；

支持本地字符运维工具通过穿透堡垒机直连SSH/TELNET设备，且支持双因子认证；

支持本地数据库运维工具通过堡垒机端口代理对mysql、redis的运维操作；

会话功能

支持审计员通过审计平台实时监控或者终止活动会话；

操作审计

支持对系统管理员操作（增/删/改等动作）进行详细的日志记录，日志记录结果具备较强的可读性；

支持对字符协议（SSH/TELNET）的操作审计，支持基于运维人员账号、操作时间范围、目标运维对象、操作命令和输出结果进行关键字检索、定位和拖拽回放，支持多倍速、低倍速回放；

支持对图形协议（RDP、VNC等）的操作审计，支持基于运维人员账号、操作时间范围、目标运维对象进行检索、定位、拖拽回放，支持多倍速、低倍速回放；

支持对文件传输协议（FTP、SFTP）的操作提供上传/下载的记录审计，支持对运维人员账号、操作时间、目标运维对象、上传/下载行为、文件及文件名称进行审计；

支持B/S（应用发布客户端）、C/S运维数据库的操作审计记录；支持B/S（应用发布客户端）运维数据库的操作视频审计记录；支持通过WEB方式调用操作审计录像回放，支持正常、快进、慢进、鼠标拖拽播放；

支持水印功能，在用户运维设备、在线审计回放后的录像文件操作时。水印标签包括用户名、真实姓名等属性信息；

支持任意浏览器无插件安装下播放审计到的字符运维、图形运维审计记录；

异常告警

支持根据系统性能（CPU/内存/硬盘/SWAP使用率）阈值进行告警，告警方式可根据级别（高、中、低）进行消息、邮件、短信通知告警；

支持根据系统访问量（用户在线数、SSH协议在线数、RDP协议在线数、VNC协议在线数、FTP协议在线数、SFTP协议在线数、TELNET协议在线数及应用在线数）阈值进行告警，告警方式可根据级别（高、中、低）进行消息、邮件、短信通知告警；

界面配置

支持用户对界面的风格自定义，系统支持界面定制配置，配置包括用户登录背景、logo展示区等；

外发功能

支持syslog和snmp协议，syslog支持登录日志、运维日志、操作日志、命令日志等格式的上传，供外部日志采集系统使用；

API

支持系统各功能模块均可提供标准API接口调用及测试用例，供第三方平台调用；

标准要求

投标产品满足《信息安全技术 网络安全专用产品安全技术要求》和运维安全管理产品相关标准规范要求，中标后提供证明材料

★测试验证

中标后3天内提供投标型号的测试设备对招标要求的功能性能进行逐项测试验证，测试所产生的相关费用均由投标方承担，若无法在规定时间内提供测试设备或测试结果与招标要求不符，取消中标资格，中标人承担所有责任。

质保服务

提供原厂3年技术支持和保修服务，最终用户方为“ (略) (略) ”，为保证货物是原厂家最新生产合法渠道货物，中标后提供原厂服务承诺函和原厂盖章授权函。

序号

采购设备

数量

1

国产防火墙

2

2

国产日志审计

1

3

国产网闸

1

4

国产堡垒机

1

技术指标

参数要求

★基本要求

国产化设备，此为国产防火墙设备，又是零信任设备，设备≥12个千兆电口（6对Bypass），≥4个千兆光口，≥1个CON口，≥2个USB 3.0口，≥1个管理口，≥1个HA口，≥1个业务扩展槽位，≥16G内存，≥1T硬盘，双电源。

HTTP应用层吞吐量≥18Gbps，IPS吞吐量≥18Gbps，AV吞吐量≥5.5Gbps，并发连接数≥3000万，每秒新建连接数≥28万，IPSec隧道数≥10000，零信任并发在线用户数≥8000。（中标后提供CMA/CNAS认可的专业测试报告）

配置3年IPS入侵防御、AV病毒过滤、TI威胁情报、APP应用识别、8个零信任许可、5个虚拟防火墙许可、云安全运维/订阅许可。

NAT

要求所投产品支持NATv6、NAT444、NAT64、DS-Lite、Full-Cone-NAT等地质转换技术，并可对SNAT\DNAT进行命中分析，帮助用户识别长期未命中的NAT规则。

支持NAT扩展技术，突破传统单个公网IP地址64512个端口的瓶颈达到更大值。

策略管理

支持基于国家/地区维度进行流量控制等安全策略，支持垃圾策略清理，支持聚合策略以及策略导出。

支持自学台为用户提供便捷、高质量以及低成本的增值安全服务，支持手机APP对设备进行监控：通过手机可以第一时间获知设备的基础信息，安全风险实时告警，帮助快速定位问题、安全可视化实时呈现。提供App下载URL，该APP不能是VPN 客户端软件，该APP不限制使用用户数，中标后提供证明材料

入侵防御

基于状态、精准的高性能攻击检测和防御，支持针对HTTP、SMTP、IMAP、POP3、VOIP、NETBIOS等20余种协议和应用的攻击检测和防御。

★具备7000种以上攻击特征库规则列表，至少支持基于协议类型、操作系统、攻击类型、流行程度、严重程度、特征ID等方式的查询。（提供设备配置截图）

病毒过滤

支持基于流模式的病毒过滤，可对SMB\IMAP等协议传输的病毒以及不少于5层压缩病毒文件进行检出，要求本地病毒特征库规模≥1000万，支持手动添加、删除病毒特征。

共享接入

★支持识别和封堵私接主机，包括无线路由器等软硬件网络共享方式；可制定策略分别设置私接终端类型个数为阀值进行封堵（提供设备配置截图）

云沙箱平台对接

支持扩展云端沙箱技术，可将可疑文件提交云端沙箱进行安全模拟运行，并根据运行结果与防火墙实现联动。

威胁情报

支持与云端威胁情报中心联动，支持威胁情报与防火墙威胁事件、威胁日志检测结果加强与取证，用户可通过手动触发与自动触发将日志元素上送威胁情报平台进行上下文查询。

防雷击

产品通过浪涌（冲击）抗扰度（4KV）测试，中标后提供证明材料

虚拟系统

支持虚拟系统功能，每个虚拟系统可自定义CPU资源、会话数、策略数、安全域数、源NAT数、目的NAT数、IPSEC VPN隧道数、会话限制规则数、IPS功能、URL功能、关键字类别、威胁日志等。

标准要求

投标产品满足涉密信息系统产品检测标准要求，中标后提供证明材料

投标产品满足《信息安全技术 防火墙安全技术要求和测试评价方法》（网络型防火墙-增强级）标准要求，中标后提供证明材料

★测试验证

中标后3天内提供投标型号的测试设备对招标要求的功能性能进行逐项测试验证，测试所产生的相关费用均由投标方承担，若无法在规定时间内提供测试设备或测试结果与招标要求不符，取消中标资格，中标人承担所有责任。

质保服务

提供原厂3年技术支持和保修服务，最终用户方为“ (略) (略) ”，为保证货物是原厂家最新生产合法渠道货物，中标后提供原厂服务承诺函和原厂盖章授权函。

指标项

指标内容

★基本要求

国产化设备，设备≥8个千兆电口，≥1个CON口，2个2个USB 3.0口，≥4T硬盘，≥16G内存，≥2个扩展槽。

日志处理性能≥7000EPS，授权≥50个设备许可，可扩展至200个。

审计仪表盘

支持自定义仪表盘，可在一个仪表盘中选择多个对应的微件，可涵盖日志中的所有字段，仪表盘具有全屏监控功能，仪表盘中可直接导入事件统计中的各类图表，支持实时监控，支持配置实时监控策略，支持创建多个仪表盘

资产管理

支持资产主动发现。通过对网络进行资产扫描，可将发现的IP对象转资产或删除

支持资产被动发现。可将网络划分成多个安全域，系统能自动发现安全域中的IP对象,并可以转资产或删除

支持添加、修改、删除资产；支持对资产的基本属性进行维护，并可以增加自定义属性

支持拓扑自动发现，可手动添加拓扑，并能够展示整体安全、事件分布、告警分布等

支持资产自定义分级分组、标签

支持在一个资产下添加多个日志源（日志采集的对象）

支持资产性能监控，如监控CPU、内存、磁盘使用率等资产指标

支持资产地图，可查看资产整体安全状态、性能指标信息以及关联日志源的日志信息

日志采集

支持采集的对象包括安全设备、网络设备、操作系统、数据库、中间件、应用系统、虚拟机等

支持主动、被动相结合的数据采集方式，支持通过Agent采集日志数据，支持通过Syslog、SNMP Trap、HTTP、TCP、telnet、JDBC、WMI、文件、Kafka等方式采集日志

支持日志标准化解析（范式化、归一化），将不同格式日志解析为多个字段，自动识别系统类型至少达到200种

支持日志自定义解析，系统自带图形化工具，可通过GROK、分隔符、JSON、XML、时间等自定义解析规则

支持解析规则的批量导入/导出

支持日志源的自动发现，根据接收到的日志自动识别并创建日志源

支持日志源的自定义分级分组

支持不同设备相同IP的日志识别

支持自定义日志过滤策略，支持全局过滤、局部过滤，可选择对单个或多个日志源进行日志过滤

日志过滤支持字段过滤与指定时段过滤

★支持对单个/多个日志源批量转发，支持定时转发，可通过Syslog、TCP和Kafka方式转发到第三方平台，并且支持转发原始日志和已解析日志

日志分析

系统内置审计策略，内置审计策略至少600条

支持自定义审计策略

支持从审计策略模板直接创建策略，并可通过事件的任意字段制定规则创建策略

审计策略可以定义审计事件的名称、分类、级别以及命中后是否继续匹配其余审计策略

提供预置审计策略模板，包括：Windows主机类审计策略模板、Linux/Unix主机类审计策略模板、防火墙类审计策略模板、扫描器类审计策略模板、IDS/IPS类审计策略模板、防病毒类审计策略模板、数据库系统类审计策略模板、萨班斯审计策略模版、等级保护审计模板等

内置网站攻击、主机异常、账号异常、暴力破解、漏洞利用、权限异常等至少10种安全分析场景，内置关联规则至少400条

支持关联规则自定义设置功能，支持类型包括过滤规则、统计规则、序列规则、模式规则、多源日志关联和机器学台名称、导航栏名称、LOGO标识等

用户管理

用户支持三权分立设计模型 ，支持自定义权限角色

支持连续登录失败锁定用户，支持自定义失败次数、锁定时间、用户登录后超时时间

支持管理员访问控制，可设置指定IP、网段允许或拒绝管理员登录

支持自定义密码强度设置，可自定义用户密码强度要求，密码复杂度、长度

支持多因子认证，认证方式可为邮件、短信

部署要求

支持集中和分布式部署，系统全面支持IPV4/IPV6

标准要求

投标产品满足《信息安全技术 信息系统安全审计产品技术要求和测试评价方法》（增强级）标准要求，中标后提供证明材料

★测试验证

中标后3天内提供投标型号的测试设备对招标要求的功能性能进行逐项测试验证，测试所产生的相关费用均由投标方承担，若无法在规定时间内提供测试设备或测试结果与招标要求不符，取消中标资格，中标人承担所有责任。

质保服务

提供原厂3年技术支持和保修服务，最终用户方为“ (略) (略) ”，为保证货物是原厂家最新生产合法渠道货物，中标后提供原厂服务承诺函和原厂盖章授权函。

技术指标

招标要求

★基础要求

国产化设备， 2U，液晶屏，双电源，≥16G内存，≥256G SSD硬盘；

内网机：≥4个千兆光口，≥6个千兆电口，≥1个CON接口，≥2个USB接口；

外网机：≥4个千兆光口，≥6个千兆电口，≥1个CON接口，≥2个USB接口；

性能：吞吐量≥600Mbps，并发连接数≥20万，数据库同步速率≥2000条/秒，并发视频路数≥240路D1视频，系统延迟<1ms；

授权：配置文件交换模块、数据库同步模块、视频交换模块、安全浏览模块、FTP代理模块、邮件代理模块、防病毒模块和入侵防御许可；

架构

产品采用“2+1”（即双主机系统+物理隔离数据通道控制系统）体系结构。

系统

支持双系统引导，通过管理平台控制系统启动顺序，当前系统出现异常时，自动切换到备份系统，并支持系统相互备份和自动还原功能。

系统监控

带液晶屏，液晶菜单可显示内外网机IP地址、CPU使用率和内存使用率等整机信息，具有设备异常（如网络IP冲突、通讯异常等）监测报警功能

高可用

★具备多网口链路聚合功能，可实现内网网口和外网网口链路备份，分发策略支持Layer2、Layer2+3、Layer3+4。

具备HA双机热备功能，可通过独立的热备端口或普通业务端口实现双机热备。

负载均衡功能，支持HTTP/HTTPS、邮件、文件同步等业务负载均衡。

文件同步

文件同步支持FTP、SAMBA/NFS等文件传输协议。

支持文件传输方向可控，实现单向或双向传输。支持病毒检测。

支持对文件内容智能语义分析，对指定文件的内容关键字过滤，确保只有符合策略的数据文件才允许被同步。

支持先镜像后增量、增量同步、镜像同步等多种同步模式。

支持传输后删除源文件或源文件夹、删除同步等传输策略。

支持目的文件发生变化时重新同步。

支持目录内子目录同步，子目录级别不受限制。

文件同步支持时间段的控制：时间段可以是一次性执行、某个时间段执行、周期循环执行三种方式。

数据库同步

持ORACLE、SYBASE、MySQL、SQL Server、DB2、PostgreSQL等主流数据库同步和支持国产达梦、人大金仓等数据库的同步。

支持多种同步方式（如先镜像后增量、增量），同步模式支持单向和双向同步。

支持同构数据库之间、异构数据库之间的数据同步，无需修改数据库表结构。

支持表级、字段级同步。

支持对指定字段和指定字段的指定内容允许同步或不允许同步。

支持时间段的控制：时间段可以是一次性执行、某个时间段执行、周期循环执行三种方式，且同步数据的数量可选及自定义。

支持数据库同步实时日志记录，提供日志审计、查询。

支持数据库连接性测试及测试结果反馈功能，提升文件同步配置的易用性。

支持灵活的数据库冲突处理策略，当关键字数据发生冲突时可选择：覆盖/丢弃。

可分别控制insert、update、delete的数据传输。

文件交换

新增文件交换客户端（windows版本）。

内置用户组织架构，能够批量导入，自动生成用户组织架构。

能够对接AD域服务器，自动获取域用户和组织架构。

具备文件发送审批功能，重要文件审批才能发送。

文件客户端安全支持密码有效期、最大登录失败次数和锁定时长等策略。

支持病毒查杀、文件大小、文件类型、文件内容检测，拒绝不合规文件传输。

文件交换客户端支持下载目录自定义和管理功能。

具备限制特定用户的文件传输大小，具备用户级的文件交换权限策略设置，如允许/禁止内网到外网或外网到内网的传输。

★文件发送/接收行为详细记录，包括发送/接收人、文件大小、文件名称等记录信息，审计支持下载还原文件，满足事后溯源要求，文件发送/接收具备进度条显示，便于文件发送或接收者能够直观了解文件发送/接收进度

视频网闸

支持SIP、RTSP等主流视频协议。

支持视音频同时传输。

支持基于动态端口传输的流媒体视频应用。

支持视频管理服务器数据转发，视频管理服务器通道建立。

支持视频SIP服务器数据转发，SIP管理服务器通道建立。能够严格区分视频数据流和控制信令流，根据策略配置可以控制视频数据的单向传输。

支持海康、大华、华为、华三、公安一所、天地伟业、天视达、宇视、科达、数码视讯、藏愚、合众、汉邦，东方电子，中星等视频厂商。

组播代理

支持ASM（任意信源）、SSM（指定信源）、SFM（过滤信源）三种类型的组播。

FTP访问

支持至少47种FTP命令黑白名单控制，如上传、下载、删除等。

支持对目的地址和端口进行访问控制。

安全浏览

支持HTTP内置七种请求类型（GET/POST/PUT/HEAD/DELETE/OPTIONS/TRACE）的黑白名单控制。

支持自定义命令控制过滤。

支持HTTP和HTTPS正向或者透明代理。

协议代理

支持TCP/UDP自定义代理访问并可自定义命令，对命令进行允许、拦截配置。

支持TCP/UDP数据单向传输代理。

支持1bit协议代理。可实现访问服务端只能回复1bit长度的信息，其他内容会被拦截，客户端发送则没有限制。

支持邮件正向代理、邮件透明代理。可实现命令过滤拦截且不断开连接。

支持SMB协议代理，可对Read、Write、Create等19个命令进行过滤。

支持DNS代理。

支持SNMP代理，set-request、get-response、get-request、get-next-request等命令进行过滤。

入侵检测

具有实时入侵检测机制，支持对BasicAttack、 SMTP、FTP、DNS、DOS/DDOS 攻击、PortScan 的检测。

安全管理

支持CPU、内存、硬盘状态实时监控。

支持HTTPS的Web方式管理，实现了远程管理信息加密传输。

支持必须由内网主机系统来管理和配置网闸，而不是采用低安全的管理方式，如采用内外网口分别管理和配置网闸。

系统登录界面采用USBkey和用户名与密码双因子进行认证。

支持时间控制管理，可设置多个时间点来控制网闸网络服务的启动、终止。

防暴力破解限制

支持系统防爆处理，对管理员登*有密码次数限制，密码输入错误，超过限定次数，自动锁定设备，阻止非法管理员再次登录。根据限定期限，可自动解除锁定。

接入方式

支持IPV4/IPV6双栈接入。

安全通道

支持映射模式、网关模式、路由模式、网桥模式功能。

支持透明、代理及路由三种工作模式。

源地址转换功能和虚拟IP技术，可对外部隐藏内网真实地址。

路由配置

支持IPV4静态路由，IPV6静态路由。

集中管理

支持标准的SNMP协议，可与网管平台无缝对接。

支持集中管理，支持对多台设备进行统一管理。

日志空间管理

支持自定义日志空间大小，告警百分比，日志留存天数。

备份和恢复

支持备份、恢复功能，能对系统的各业务模块配置单独进行备份和恢复

时间配置

支持修改系统时间和日期，可设置时间与Internet时间服务器同步。

告警管理

支持针对网闸日志使用率超过磁盘限制的短信告警。

系统调试

支持针对指定网卡进行故障测试，测试工具包含traceroute、telnet、ping、arp、tcpdump等。

★测试验证

中标后3天内提供投标型号的测试设备对招标要求的功能性能进行逐项测试验证，测试所产生的相关费用均由投标方承担，若无法在规定时间内提供测试设备或测试结果与招标要求不符，取消中标资格，中标人承担所有责任。

质保服务

提供原厂3年技术支持和保修服务，最终用户方为“ (略) (略) ”，为保证货物是原厂家最新生产合法渠道货物，中标后提供原厂服务承诺函和原厂盖章授权函。

技术指标

指标要求

★基本要求

国产化设备，设备≥2U，≥8个千兆电口，≥4个千兆光口，≥1个CON口，≥2个USB口，2个扩展槽，≥16G内存，≥4T硬盘，冗余电源。字符并发数≥500，图形并发数≥300。

授权：配置200个授权许可，可扩展到1200个。配置1个USBKEY和1个动态令牌用于双因素验证。

系统架构

支持单机部署、双机热备部署；

采用https加密协议对系统进行管理，支持IPV4/IPV6网络环境下操作管理；

★系统内置SSL VPN模块功能，支持远程用户安全接入, SSL VPN用户名与密码策略系统完全一致，并支持配置、VPN传输协议、端口、虚拟地址段及VPN路由；

系统支持手动修改自身对外开放协议（WEB、协议代理）端口功能；

身份认证

系统支持用户多角色划分功能，如系统管理员、密码管理员、审计管理员、部门管理员、运维用户等，对各类角色需要进行细粒度的权限管理。也可自定义角色及权限范围，各角色功能定位明晰，不可越权；

系统支持用户、资产按照部门进行划分，并支持多级部门（无级别限制）机构，各部门机构用户、资产隔离，可根据各级部门机构进行独立管理；

系统对用户的身份认证需支持采用两种或两种以上组合方式进行身份验证：手机动态令牌认证、LDAP认证、AD域认证等自由组合认证；

支持手机动态令牌身份认证，内置动态口令双因素认证，双因素系统内置在系统中，不需要使用其它的服务器（或虚拟机）进行安装，用户建立、令牌绑定等操作，在同一个管理界面中完成，客户端为手机APP/小程序方式查看令牌动态密码；

支持运维用户账号密码强度校验和提示（长度至少8位；密码需含有数字、字母、特殊字符等）；

支持强制定期修改运维人员账号密码功能，并可配置强制修改期限；

支持创建运维用户随机密码功能，随机密码可通过邮件、短信等方式发送给指定运维用户；

资产管理

支持通过SSH/SFTP/VNC/RDP/HTTPS等协议实现运维对象（Windows、Linux、网络设备、数据库、安全设备、国产化操作系统等）的资源添加及认证登录；

支持主机、网络设备、安全设备、数据库、IP地址、操作系统类型、协议端口、运维方式等资产信息及对应密码、密钥的收集录入配置；

支持对运维对象的登录测试，支持运维人员与运维对象的批量关联；

支持对B/S(HTTP/HTTPS)、C/S及数据库客户端程序进行集中管理及应用分发，支持Windwos2012/2016及国产化麒麟操作系统作为应用发布服务器；

支持资产扫描功能，可根据扫描地址（段）、扫描端口、归口部门等信息进行配置扫描，也可实时终止扫描任务，扫描后资产设备可进行一键提交归档，方便用户统一管理；

支持对被管理Windows/Linux/网络设备的登录账号进行统一定期、周期修改密码，密码强度可进行配置，并可通过邮件/SFTP/FTP进行即时备份，密码备份文件进行加密处理；

支持端口代理服务， 包括字符代理、ftp代理、Mysql、Redis；

系统支持对LINUX系统账号进行自动收集及一键归档保存；

授权管理

支持对人员身份的有效时间段、来源IP进行验证；

支持对连续登录失败人员账号进行锁定策略配置；且对锁定账号进行人员账号恢复、自动恢复等功能；

支持对字符操作（SSH/TELNET协议）的指令/指令集进行控制，通过指令/指令集黑白名单实现对命令的有效管理，指令/指令集对运维账号、资产进行策略关联，命令输入支持正则表达式，可进行策略允许、指令阻断、会话阻断、申请确认等动作；

支持管理员新建、查看、编辑、删除运维任务；运维任务支持手动、自动（定期）执行，运维任务包括脚本任务、命令等任务，输出的执行任务日志可导出；

工单管理

支持内置电子工单，运维人员可以在产品的web界面，手动填写工单，填写/选择的内容必须包括：标题、运维时间段、文件权限、描述、设备资源账号等；工单经审批通过后，运维人员可立即取得相应访问权限；

运维管理

支持最近常用设备、收藏及批量登录功能，便于用户的快速查询及登录，提高用户登录运维资产效率；

支持Windows系统下的 IE/Chrome/火狐浏览器运维管理外，还支持国产化操作系统下运行的浏览器运维和管理；

支持运维用户终端无需安装和调用任何插件及客户端程序时，用户即可实现（RDP/VNC/SSH/TELNET）各种协议的登录运维；

支持通过WEB页面调用XSHELL、SecureCRT、PUTTY等客户端登录目标运维设备；

支持本地字符运维工具通过穿透堡垒机直连SSH/TELNET设备，且支持双因子认证；

支持本地数据库运维工具通过堡垒机端口代理对mysql、redis的运维操作；

会话功能

支持审计员通过审计平台实时监控或者终止活动会话；

操作审计

支持对系统管理员操作（增/删/改等动作）进行详细的日志记录，日志记录结果具备较强的可读性；

支持对字符协议（SSH/TELNET）的操作审计，支持基于运维人员账号、操作时间范围、目标运维对象、操作命令和输出结果进行关键字检索、定位和拖拽回放，支持多倍速、低倍速回放；

支持对图形协议（RDP、VNC等）的操作审计，支持基于运维人员账号、操作时间范围、目标运维对象进行检索、定位、拖拽回放，支持多倍速、低倍速回放；

支持对文件传输协议（FTP、SFTP）的操作提供上传/下载的记录审计，支持对运维人员账号、操作时间、目标运维对象、上传/下载行为、文件及文件名称进行审计；

支持B/S（应用发布客户端）、C/S运维数据库的操作审计记录；支持B/S（应用发布客户端）运维数据库的操作视频审计记录；支持通过WEB方式调用操作审计录像回放，支持正常、快进、慢进、鼠标拖拽播放；

支持水印功能，在用户运维设备、在线审计回放后的录像文件操作时。水印标签包括用户名、真实姓名等属性信息；

支持任意浏览器无插件安装下播放审计到的字符运维、图形运维审计记录；

异常告警

支持根据系统性能（CPU/内存/硬盘/SWAP使用率）阈值进行告警，告警方式可根据级别（高、中、低）进行消息、邮件、短信通知告警；

支持根据系统访问量（用户在线数、SSH协议在线数、RDP协议在线数、VNC协议在线数、FTP协议在线数、SFTP协议在线数、TELNET协议在线数及应用在线数）阈值进行告警，告警方式可根据级别（高、中、低）进行消息、邮件、短信通知告警；

界面配置

支持用户对界面的风格自定义，系统支持界面定制配置，配置包括用户登录背景、logo展示区等；

外发功能

支持syslog和snmp协议，syslog支持登录日志、运维日志、操作日志、命令日志等格式的上传，供外部日志采集系统使用；

API

支持系统各功能模块均可提供标准API接口调用及测试用例，供第三方平台调用；

标准要求

投标产品满足《信息安全技术 网络安全专用产品安全技术要求》和运维安全管理产品相关标准规范要求，中标后提供证明材料

★测试验证

中标后3天内提供投标型号的测试设备对招标要求的功能性能进行逐项测试验证，测试所产生的相关费用均由投标方承担，若无法在规定时间内提供测试设备或测试结果与招标要求不符，取消中标资格，中标人承担所有责任。

质保服务

提供原厂3年技术支持和保修服务，最终用户方为“ (略) (略) ”，为保证货物是原厂家最新生产合法渠道货物，中标后提供原厂服务承诺函和原厂盖章授权函。