指标项

参数要求

规格性能

国产化防火墙，产品采用国产化CPU及国产化操作系统。标准2U设备,单电源；网络层吞吐量≧10G,应用层吞吐量≧4G，并发连接数≧500万；设备标配7个10/100/1000M Base-TX，4个SFP插槽；配置256G SSD硬盘和4T机械硬盘；支持IPSec VPN和SSL VPN模块（包含200个并发用户授权）；具备IPS模块，AV模块；包含三年IPS、防病毒特征库升级服务授权。

IPv6

支持IPv6安全控制策略设置，能针对IPV6的目的/源地址、目的/源服务端口、服务、扩展头属性等条件进行安全访问规则的设置。

支持IPV6下的RIPNG、OSPFV3动态路由。

支持双栈、6to4隧道实现IPv6终端穿越IPV4网络的访问。

网络适应性

支持静态路由，动态路由（OSPF、RIP、BGP、ISIS等），VLAN间路由，单臂路由，组播路由等。

▲支持主备份操作系统，备份系统可恢复主/备系统，主备系统可配置不同软件版本，可通过web选择主/备系统启动顺序（提供截图证明）。

必须支持基于WEB地址URL的策略路由，可实现将不同类型的网站流量智能分配到不同的链路。

必须支持基于文件类型的策略路由，可实现将预定义或者自定义的文件按照不同的分类进行智能选路。

支持ISP路由，支持联通、电信、教育网、移动等ISP服务商地址列表，列表可导出及导入，可通过Web界面选择不同的ISP服务商实现快速切换

网络管理

要求支持将任意接口数据完全镜像到设备自身的其他接口，用于抓包分析。

支持无线设备接入的MAC地址认证，可设置默认接收或拒绝MAC地址。

除本地有线链路接入外，必须可提供至少一种其他媒介的灾备链路接入方案支持，如3G广域网、VSAT卫星网、海事卫星网。

支持DMVPN，无需更改任何配置，即可进行路由推送，实现spoke to spoke互通，各节点相互通信不建立额外隧道。

网络访问控制

支持一体化安全策略配置，可以通过一条策略实现用户认证、IPS、AV、URL过滤、协议控制、流量控制、并发、新建限制、垃圾邮件过滤、审计等功能,简化用户管理。

支持同一个地址对象中可以包含IP、IP段、IP range、排除地址等多种类型。

支持将源MAC作为独立的访问控制条件，防止非法设备接入。

服务器负载均衡

服务器负载均衡支持10种算法。
至少支持两种方法主动探测服务器的存活状态

入侵防护

支持基于策略的入侵检测与防护，可针对不同的源目IP地址、源MAC地址、服务、时间、安全域、用户等，采用不同的入侵防护策略。

产品应采用业界领先的入侵检测技术，并已取得网络入侵检测系统相关专利，支持IP碎片重组、TCP流重组、会话状态跟踪、应用层协议解码等数据流处理方式；支持模式匹配、异常检测，统计分析，以及抗IDS/IPS逃逸等多种检测技术。

内置IPS特征库，特征规则数量不少于3,600条，特征库可按分组进行管理，连续10条以上特征库数量。

支持细粒度的自定义IPS特征功能，要求支持DNS\HTTP\FTP\TFTP\TELNET\SNMP\POP3\SMTP\IMAP\等17大类应用层协议的自定义，可以精准设置各个协议字段内容，例如字符内容、偏移、长度等细粒度的参数。

防病毒

支持基于策略的病毒扫描与防护，可针对不同的源目IP地址、源MAC地址、服务、时间、安全域、用户等，采用不同的病毒防护策略。

支持隔离病毒源地址，防止病毒源主机访问内部网络，提高网络整体安全性。

支持双防病毒引擎（标准引擎和增强引擎），杀毒强度可控，支持快速扫描、全面扫描模式。

▲设备支持开启病毒防护功能，配置对服务器http、ftp、smtp、pop3、imap 协议进行安全防护，并能产生日志，提示发现病毒文件。（提供CNAS标识的权威第三方检测报告）

病毒库不少于600万种病毒特征。

抗拒绝服务攻击

支持主流ICMPFLOOD\SYNFLOOD\ACKFLOOD\SYNACKFLOOD\UDPFLOOD攻击防护，采用专业高效攻击防护算法，非采用简单的阈值进行攻击防护。

以上主流的功能，支持基于源IP限速、基于特征过滤系数、聚类限速系数、重传检测、自学习白名单等多种防御机制。

支持专业的HTTP Flood攻击防护；可以实现get和post的攻击防护，且get防护算法支持4类；支持独立url处理动作；以上防护功能均可以基于聚类分析、可信度、回探等多种防御机制。

支持web界面下对攻击流量进行抓包分析，支持自定义抓包参数，至少包括数据报文长度、报文数量、抓包时间及采样频率等基本参数；支持根据协议、源目的IP、端口等参数进行数据报文过滤。

统一认证管理

支持对WEB认证、LDAP认证、RADIUS认证、邮件账号认证、IP识别用户的强制下线。

支持显示详细的用户在线信息，包括用户名称、真实姓名、所属组、认证源、接入方式、认证方式、登录IP/MAC、在线时间、登录时间和可对其进行相关操作。

反垃圾邮件

支持SMTP, POP协议下的垃圾邮件检测，支持基于反中转的垃圾邮件识别和过滤。

支持邮件服务器地址黑名单、邮件地址、主题、正文、附件名、附件内容等进行关键字匹配过滤。

支持防邮件炸弹功能，即设置POP3、SMTP的连接频率。

主动防御

支持IPv4和IPv6双栈协议下的主动防御。

要求能主动屏蔽恶意地址，以用于提前免疫包括病毒网站或者攻击源地址的攻击。

要求支持主动防御功能，对服务器、主机进行后门、服务探测、文件共享、系统补*、IE漏洞等主动式扫描。

漏洞扫描

▲支持漏洞扫描功能，支持包括后门、服务探测、文件共享、Windows系统补*、认证等主动式扫描；支持定时扫描，协助用户及时发现内网主机漏洞，定时进行漏扫结果上报。可根据扫描结果自动生成安全策略；（提供截图证明）。

安全日志

▲设备支持自定义抓包功能，通过配置协议、源目的地址、地址类型、抓包方式等过滤条件抓取报文，抓取的报文能够导出并且查看。（提供CNAS标识的权威第三方检测报告）

支持至少3个Syslog服务器，发送流量、系统或默认3类型日志到不同服务器。

支持对AV/IPS等攻击事件的全球地图呈现，呈现信息包含：基于经纬度、城市的攻击源、目地、攻击次数等，地图支持逐级缩放。支持国产化地图引擎。

高可用性

支持端口联动，支持上下行端口组的联动，可以实现单端口决定同组中的任意接口失效启动链路切换。

▲产品必须通过国家无线电监测中心检测中心的电磁兼容性、浪涌（冲击）抗扰度、雷击型式测试，并出具国家无线电监测中心检测中心委托测试报告。

资质要求

产品具备公安部公共信息网络安全监察局颁发的《计算机信息系统安全专用产品销售许可证》

厂商具备信息系统建设和服务能力评估CS4证书

为保证产品质量及售后服务，要求产品生产厂商具备优秀的售后服务能力，服务能力达到GB/T 27922-2011《商品售后服务评价体系》规定的相关要求并达到五星级

投标时提供以上资质要求证书或证明文件复印件

其他要求

测试要求：采购人可以要求成交人在成交后3个工作日内提供测试，并进行所有功能测试，功能测试必须全部测试通过，方可签订合同。

指标项

参数要求

规格性能

国产化防火墙，产品采用国产化CPU及国产化操作系统。标准2U设备,单电源；网络层吞吐量≧10G,应用层吞吐量≧4G，并发连接数≧500万；设备标配7个10/100/1000M Base-TX，4个SFP插槽；配置256G SSD硬盘和4T机械硬盘；支持IPSec VPN和SSL VPN模块（包含200个并发用户授权）；具备IPS模块，AV模块；包含三年IPS、防病毒特征库升级服务授权。

IPv6

支持IPv6安全控制策略设置，能针对IPV6的目的/源地址、目的/源服务端口、服务、扩展头属性等条件进行安全访问规则的设置。

支持IPV6下的RIPNG、OSPFV3动态路由。

支持双栈、6to4隧道实现IPv6终端穿越IPV4网络的访问。

网络适应性

支持静态路由，动态路由（OSPF、RIP、BGP、ISIS等），VLAN间路由，单臂路由，组播路由等。

▲支持主备份操作系统，备份系统可恢复主/备系统，主备系统可配置不同软件版本，可通过web选择主/备系统启动顺序（提供截图证明）。

必须支持基于WEB地址URL的策略路由，可实现将不同类型的网站流量智能分配到不同的链路。

必须支持基于文件类型的策略路由，可实现将预定义或者自定义的文件按照不同的分类进行智能选路。

支持ISP路由，支持联通、电信、教育网、移动等ISP服务商地址列表，列表可导出及导入，可通过Web界面选择不同的ISP服务商实现快速切换

网络管理

要求支持将任意接口数据完全镜像到设备自身的其他接口，用于抓包分析。

支持无线设备接入的MAC地址认证，可设置默认接收或拒绝MAC地址。

除本地有线链路接入外，必须可提供至少一种其他媒介的灾备链路接入方案支持，如3G广域网、VSAT卫星网、海事卫星网。

支持DMVPN，无需更改任何配置，即可进行路由推送，实现spoke to spoke互通，各节点相互通信不建立额外隧道。

网络访问控制

支持一体化安全策略配置，可以通过一条策略实现用户认证、IPS、AV、URL过滤、协议控制、流量控制、并发、新建限制、垃圾邮件过滤、审计等功能,简化用户管理。

支持同一个地址对象中可以包含IP、IP段、IP range、排除地址等多种类型。

支持将源MAC作为独立的访问控制条件，防止非法设备接入。

服务器负载均衡

服务器负载均衡支持10种算法。
至少支持两种方法主动探测服务器的存活状态

入侵防护

支持基于策略的入侵检测与防护，可针对不同的源目IP地址、源MAC地址、服务、时间、安全域、用户等，采用不同的入侵防护策略。

产品应采用业界领先的入侵检测技术，并已取得网络入侵检测系统相关专利，支持IP碎片重组、TCP流重组、会话状态跟踪、应用层协议解码等数据流处理方式；支持模式匹配、异常检测，统计分析，以及抗IDS/IPS逃逸等多种检测技术。

内置IPS特征库，特征规则数量不少于3,600条，特征库可按分组进行管理，连续10条以上特征库数量。

支持细粒度的自定义IPS特征功能，要求支持DNS\HTTP\FTP\TFTP\TELNET\SNMP\POP3\SMTP\IMAP\等17大类应用层协议的自定义，可以精准设置各个协议字段内容，例如字符内容、偏移、长度等细粒度的参数。

防病毒

支持基于策略的病毒扫描与防护，可针对不同的源目IP地址、源MAC地址、服务、时间、安全域、用户等，采用不同的病毒防护策略。

支持隔离病毒源地址，防止病毒源主机访问内部网络，提高网络整体安全性。

支持双防病毒引擎（标准引擎和增强引擎），杀毒强度可控，支持快速扫描、全面扫描模式。

▲设备支持开启病毒防护功能，配置对服务器http、ftp、smtp、pop3、imap 协议进行安全防护，并能产生日志，提示发现病毒文件。（提供CNAS标识的权威第三方检测报告）

病毒库不少于600万种病毒特征。

抗拒绝服务攻击

支持主流ICMPFLOOD\SYNFLOOD\ACKFLOOD\SYNACKFLOOD\UDPFLOOD攻击防护，采用专业高效攻击防护算法，非采用简单的阈值进行攻击防护。

以上主流的功能，支持基于源IP限速、基于特征过滤系数、聚类限速系数、重传检测、自学习白名单等多种防御机制。

支持专业的HTTP Flood攻击防护；可以实现get和post的攻击防护，且get防护算法支持4类；支持独立url处理动作；以上防护功能均可以基于聚类分析、可信度、回探等多种防御机制。

支持web界面下对攻击流量进行抓包分析，支持自定义抓包参数，至少包括数据报文长度、报文数量、抓包时间及采样频率等基本参数；支持根据协议、源目的IP、端口等参数进行数据报文过滤。

统一认证管理

支持对WEB认证、LDAP认证、RADIUS认证、邮件账号认证、IP识别用户的强制下线。

支持显示详细的用户在线信息，包括用户名称、真实姓名、所属组、认证源、接入方式、认证方式、登录IP/MAC、在线时间、登录时间和可对其进行相关操作。

反垃圾邮件

支持SMTP, POP协议下的垃圾邮件检测，支持基于反中转的垃圾邮件识别和过滤。

支持邮件服务器地址黑名单、邮件地址、主题、正文、附件名、附件内容等进行关键字匹配过滤。

支持防邮件炸弹功能，即设置POP3、SMTP的连接频率。

主动防御

支持IPv4和IPv6双栈协议下的主动防御。

要求能主动屏蔽恶意地址，以用于提前免疫包括病毒网站或者攻击源地址的攻击。

要求支持主动防御功能，对服务器、主机进行后门、服务探测、文件共享、系统补*、IE漏洞等主动式扫描。

漏洞扫描

▲支持漏洞扫描功能，支持包括后门、服务探测、文件共享、Windows系统补*、认证等主动式扫描；支持定时扫描，协助用户及时发现内网主机漏洞，定时进行漏扫结果上报。可根据扫描结果自动生成安全策略；（提供截图证明）。

安全日志

▲设备支持自定义抓包功能，通过配置协议、源目的地址、地址类型、抓包方式等过滤条件抓取报文，抓取的报文能够导出并且查看。（提供CNAS标识的权威第三方检测报告）

支持至少3个Syslog服务器，发送流量、系统或默认3类型日志到不同服务器。

支持对AV/IPS等攻击事件的全球地图呈现，呈现信息包含：基于经纬度、城市的攻击源、目地、攻击次数等，地图支持逐级缩放。支持国产化地图引擎。

高可用性

支持端口联动，支持上下行端口组的联动，可以实现单端口决定同组中的任意接口失效启动链路切换。

▲产品必须通过国家无线电监测中心检测中心的电磁兼容性、浪涌（冲击）抗扰度、雷击型式测试，并出具国家无线电监测中心检测中心委托测试报告。

资质要求

产品具备公安部公共信息网络安全监察局颁发的《计算机信息系统安全专用产品销售许可证》

厂商具备信息系统建设和服务能力评估CS4证书

为保证产品质量及售后服务，要求产品生产厂商具备优秀的售后服务能力，服务能力达到GB/T 27922-2011《商品售后服务评价体系》规定的相关要求并达到五星级

投标时提供以上资质要求证书或证明文件复印件

其他要求

测试要求：采购人可以要求成交人在成交后3个工作日内提供测试，并进行所有功能测试，功能测试必须全部测试通过，方可签订合同。