货物/通用设备/广播、电视、电影设备/磁(纹)卡和集成电路卡

电子健康卡前置机

基本参数

设备类型

网关型

设备类别

机架式/桌面式

设备结构

2U

处理器参数

CPU

2U

内存参数

内存

* G

网络参数

WAN 接入方式

STATIC-IP,PPPOE,DHCP,PPTP

WAN 接入控制

网站阻止和访问控制, DMZ, UPnP, QoS

InternetFirewallRouting

InternetFirewallRouting

支持协议

TCP/IP,NAT,DHCP,HTTP,NTP,HTTPS

(略)

2 层交换及 STP (略) 络环路

* x * / * +2xGbit Ethernet Ports; STP; QOS

网络安全

SPI 防火墙,防 DoS攻击

VPN 穿透

IPSec,PPTP,L2TP 穿透

存储参数

存储磁盘阵列

RAID 0, RAID 0/1, RAID 5 0.5T

其他参数

操作系统

Windows sever * 及以上

Java 环境

Jdk 1.6 X * 及以上

数据库环境

Mysql

软件更新方式

远程更新

管理方式

Web 方式

数据共享

Windows Network Sharing, NFS

设备数量

2台

安全设备

基本参数

SPI 防火墙

1台

防 DoS攻击

1台

VPN服务器

1台

序号

产品名称

技术参数

数量

备注

1

前置机服务器

• ★ (略) 商；要求最近 * 年IDC全球x8 (略) 销售量及金额排名前3位，提供IDC证明；
• ≤2U机架式， (略) 导轨；
• 配置≥2颗Intel Xeon SP Gold系列CPU *
• 内存配置≥ * GB DDR4内存，可扩展≥ * 个内存插槽，官方支持最大容量3T，Advanced ECC先进内存保护技术及联机备用模式,可配置LRDIMM和UDIMM内存；
• 支持2.5"热插拔 SAS/SATA/SSD/NVMe硬盘，≥2块 * GB * Krpm SAS硬盘，热插拔；
• 最多支持提供≥8个标准PCIE3.0插槽可用
• 配置4个千兆电，2个万兆光，≥2块 * Gb HBA光纤通道卡；
• ≥2个 * W铂金版热插拔冗余电源；
• 配置≥1Gb独立的远程管理控制端口，配置虚拟KVM功能, 可实现与操作系统无关的远程对服务器的完全控制，包括远程的开机、关机、重启、更新Firmware、虚拟软驱、虚拟光驱、虚拟文件夹等操作，提供服务器健康日记、服务器控制台录屏/回放功能，能够提供电源监控，可支持动态功率封顶；
• #可存放系统日志，内嵌操作系统导航安装环境，实现无物 (略) 署操作系统。
• ★支持联合管理功能，无需软件即可实现多台服务器统 * 管理功能，如监控硬件健康状况，固件升级等；
• #采用可信硅根技术，提供基于芯片级别的安全技术， (略) 商设计和生产，管理芯片功能代码在芯片生产阶段 * 次性写入

1台

2

存储

1、★最大配置 * 块SFF或者 * 块LFF，最大容量1.3PB实配6*1.2T

2、≥8GB/控制器，存储系统掉电 (略) 保护。

3、★支持控制器SSD缓存扩展，扩展容量≥ * GB/控制器

4、4* * GB端口

5、支持RAID6数据保护

6、最大 * 个LUN，配置LUN动态扩容许可

7、★单 * LUN最大支持容量 * TB

8、支持SSD，SAS和SAS MDL磁盘，

9、支持RAID 1, 5, 6, *

* 、支持SSD，SAS在同 * 磁盘笼磁盘混插

* 、允许数据卷跨越同时最多 * 块硬盘， (略) Raid后空间再绑定

* 、配制磁盘快照功能，最少配制 * 个快照和卷克隆，可扩至 * 个

* 、支持数据异步复制

* 、提供数据自动分级存储。单个LUN中的数据，按照实际的I/O压力自动在SSD、SAS和SATA (略) 自动迁移，无需中断业务。自动分级存储功能支持I/O每个卷可在 * 个不同类型的 (略) 自动迁移。 (略) 手动或自动迁移。

* 、提供卷的精简配置管理功能，即实际主机映射的存储空间超出存储实际拥有的磁盘空间。要求精简配置支持空间在线回收。

* 、要求支持断电时将控制器缓存数据写入硬件存储设备中，可永久保护，在保护过程中不需要电池保护方式

1台

3

VPN

• 标准机架式设备，至少提供10个 * / 点击查看>> MBASE-T端口和4个SFP光纤接口，整机吞吐率≥5Gbps， 最大并发连接数≥ * 万; 每秒新建连接数≥ * 万，IPSEC VPN隧道数≥ * 条；IPSEC加密吞吐率≥ * Mbps；SSL VPN并发用户数≥ * ，本次要求配置 * 点SSL VPN和IPSEC VPN并发用户数授权，提供 * 年硬件维保服务，请提供制造商针对本项目的授权书及售后服务承诺；
• 支持多系统引导，可在WEB界面上直接配置启动顺序，至少支持 * 个操作系统，用户可自由选择当前启动系统，每个系统拥有独立的配置文件，并可导入导出配置文件；
• IPSEC (略) 关、 (略) 署模式，IPSec VPN支持透明、路由、 (略) 络环节的接入；
• 支持IPSec VPN隧道热备份
• ★支持KMC与GD (略) ，支 (略) 统 * 管理下发密钥及策略，使用组播技术更 (略) 钥，无需更改原路由策略，请提供具备此项功能的界面截图，并加盖制造商公章；
• 支持DMV (略) 功能，网络扩展时仅需要配置新增节点， (略) 络中心和分支节点，即可 (略) 络；
• 支持单点登录（B/S,C/S模式），至少支持3种单点登 * 方式选择，单点登录支持证书主题属性选择，支持根据读取属性分配用户权限；
• ★支持符合SAML框架规范的单点登录功能（提供截图证明）;支持对象属性认证和资源权限调用，实现用户应用的 (略) 传递，实现用户密码安全，请提供具备此项功能的界面截图，并加盖制造商公章；
• 支持IPSec、SSL 、PPTP、L2TP VPN的统 * 用户账号和认证体系，实现用户名密码的 * 次性配置即 (略) VPN类型的接入，不需分别购买SSL VPN和IPSEC 不同的VPN接入授权；
• 支持用户组及用户的分级树，支持用户组及用户上下级认证策略、关联角色、认证方式的继承关系配置；
• 支持用户组并发数限制；
• 支持用户与手机号码、PC硬件特征码、手机硬件特征码、IP、MAC等硬件信息的绑定，支持PC和移动设备的接入审批流程；
• 可通过WEB界面操作对RADIU (略) 用户组映射和连通性测试；
• 支持LDAP用户信息直接导入本地，不需经过文档格式转换后的 * 次导入；导入过程可以支持用户组选择，支持与本地用户列表的重复性判断配置；
• 支持HTTP匿名登 * ，同时支持口令、证书等方式；
• 支持配置Radius、LDAP组映射属性，支持根据RADIUS的CLASS、NAS-ID、User-Name ,LDAP的DN等或者自定义属性将远程用户信息映射到本地用户组；
• 支持管理员分级管理，可以为管理员指定管理的资源、角色和用户组，并且可以指定创建下级管理员、用户组和角色的权限；
• 支持VPDN、IPSec、SSL VPN统 * 客户端，仅需安装 * 种托盘程序；并且支持接入方式智能识别， (略) 任何选择操作；
• 支持Windows/MAC独立客户端（非插件方式）， (略) ，记忆用户名密码，自动登录功能；
• 设备支持客户端接入策略设置，可针对操作系统、操作系统补 * 、浏览器、进程、服务、端口、文件、 (略) 登录前和使用时定期检查；
• VPN客户端支持 Windows XP、Server * 、Windows7、8、 * 、CentOS、Redhat、Ubuntu、SUSE等操作系统；
• 支持移动端设备硬件特征的采集和接入审批功能；
• 支持针对移动APP的VPN安全代码的自动封装， (略) 定制开发，实现App应用的安全加固；
• 同时Windows和MAC操作系统下支持远程应用发布功能，全部应用数据存储在服务器端，退出后本地不保存任何数据；
• 可以无需 * 次开发，即把Windows应用发布到移动智能终端中，也可以支持无需开发，将C/S资源Web化；
• ★远程应用发布必须支持双主控和负载均衡策略，即当存在多台终端发布服务器时，可以根据预先配置策略将用户分配到不同的终端服务器，请提供具备此项功能的界面截图，并加盖制造商公章；
• ★支持用户配置 * 键复制， (略) 署效率，可以复制各种插件设置、cookie设置、权限设置等，请提供具备此项功能的界面截图，并加盖制造商公章；
• 独立的统计报表统计通过应用虚拟化使用者登录情况、应用使用频次情况、服务器性能占用情况；
• 支持远程SSH、TELNET (略) 配置,支持基于WEB界面的 (略) 功能；
• 支持主备切换，SSLVPN在线用户不掉线，无需重新认证；
• ★VPN产品 (略) 络的堡垒机产品联动，支持在VPN界面直接输入堡垒机账号认证，并单点登录到堡垒机运维界面，无需任何定 (略) 署，请提供具备此项功能的界面截图，并加盖制造商公章；
• ★ (略) 有技术参数，请出具制造商承诺函加盖公章，承诺 (略) 有技术参数，无偏离；
• (略) 商具备国家信息安全测评信息安全服务资质证书（安全工程类 * 级及以上）；
• (略) 商为云安全联盟理事单位或成员单位；
• (略) 商为微软MAPP (略) 伙伴；
• (略) 商具备国家级应急支撑单位资质，提供复印件加盖公章；
• (略) 商具备专业的攻防 (略) ，具备独立的漏洞研究能力及积累，自主发现的CVE漏洞数量不少于 * 个，请提供CVE漏洞列表，并加盖制造商公章；
• (略) 商具备国家信息安全漏洞库CNNVD技术支撑单位 * 级，提供复印件加盖公章；

1台

4

防火墙

• 标准2U机架式设备，采用专用多核硬件平台，至少配备 * 个千兆电口和 * 个SFP接口，双电源，内置存储容量不少于 * GB SSD硬盘，防火墙吞吐量≥8Gbps，最大并发连接数≥ * 万， * 年硬件维保服务，请提供制造商针对本项目的授权书及售后服务承诺；
• 支持基于硬件Hypervisor技术的底层虚拟化，各个虚拟防火墙之间完全隔离， (略) 不同的防火墙版本，拥有完全独立的CPU、内存、接口等资源；
• 每个虚拟防火墙均提供完整的安全功能，包括防火墙、入侵防御、防病毒、 (略) 为管理和流控、VPN、IPv4/IPv6双栈等；
• 支持基于接口/安全域、地址、用户、服务、应用和时间的防火墙访问控制策略；
• 支持基于接口/安全域、地址、用户、服务、应用和时间的会话控制策略，包括总连接数控制、每秒总新建连接数控制、每IP总连接数控制、每IP新建连接数控制；
• ★具备APT防御功能，可对exe、rtf、pdf、xls（x）、ppt（x）、doc（x）、pps（x）、swf、rar、zip等常 (略) 动态沙箱分析，可对rtf、pdf、xls（x）、ppt（x）、doc（x）、pps（x）做PE内嵌检测，并且能指出文件偏移位置，需提供界面截图，并加盖制造商公章；
• 支持策略预编译技术，在大量防火墙访问控制策略情况下整机性能不受影响；
• (略) 络入侵检测及防御功能，入侵防御事件库事件数量不少于 * 条；
• 可基于IP地址、网段、用户、时间、VLAN、协议类型等条件设定入侵防御模块的检测事件及响应方式；
• 具备协议自动识别功能；支持自定义事件功能；
• 提供SQL注入攻击、XSS攻击的检测和防御功能，对Web服务系统提供保护，要求相关技术具备自主研发专利，可 (略) 网站查询，提 (略) 页截图及专利号；
• 支持对文件感染型病毒、蠕虫病毒、脚本病毒、宏病毒、木马、恶意软件等过滤，病毒库数量不少于 * 万；
• 支持并开通基于DPI和DFI技术的应用 (略) 为控制，应用识别的种类不少于 * 种；
• 支持并开通基于URL分类库的WEB访问管理，URL分类库规模不少于 * 万条；
• 支持并开通基于线路和多层通道嵌套的带宽管理和流量控制功能；
• 支持静态路由、动态路由（RIP、OSPF、BGP4）；
• 支持基于入接口、源地址、目标地址、服务端口、应用类型的策略路由；
• 支持并开通链路负载均衡，提供轮询、加权轮询、哈希等多种负载均衡算法；
• 支持通过ICMP、TCP、DNS和HTTP协议实现对链路可用性的多重健康检查；
• ★支持基于威胁情报云的动态防护功能，防火墙支持将 (略) 的访问信息发送至威 (略) 实时情报查询及防护，请提供防火墙配置界面及威胁情报云端界面截图，并加盖制造商公章；
• 支持DNS透明代理功能，可将指定范围内的DNS请求自动重定向至管理员指定的DNS服务器，且支持多台DNS服务器的负载均衡；
• 支持标准DNS服务器功能，支持多种DNS 记录 ，包括A ，NS，CNMAE，TXT，MX，PTR记录。
• 支持基于W (略) 的设备管理模式，WEB (略) 模式下均可 (略) 有功能的管理配置
• 支持整机威胁统计和展示，包括基于地理位置的威胁地图展示、基于威胁级别和威胁类型的统计分析、基于威胁事件源/目的主机的TOP * 统计展示、基于具体威胁事件/威胁类型的TOP * 统计展示等，统计展示的时间周期包括1小时/1天/7天/ * 天；
• 支持基于流量的TOP * 用户和TOP * 应用的流量曲线图，流量曲线图的统计周期包括小时、天、7天和 * 天；
• 支持基于并发会话数量的TOP * 用户和TOP * 应用的并发数量曲线图，并发数量曲线图的统计周期包括小时、天、7天和 * 天；
• ★为了构建动态安全防护体系，本次采购的防火墙要求支持与IDS设备联动，可接收IDS产品发送的动态访问控制策略，同时支持与终端管理系统联动，可接收终端管理系统的主机状态列表，将不合规终端的访问重定向至终端管理指定页面，提供以上相关界面截图， (略) 商公章；
• ★支持扩展集中策略分析模块，通过集中策略分析模块 (略) 有防火墙 (略) 冗余分析，可分析出哪些安全策略是不必要的冗余配置， (略) 有防火墙 (略) 收敛分析，也称宽松策略分析。能够支持查看任何 * 条宽松策略的流量详细信息，提供以上相关界面截图， (略) 商公章；
• ★ (略) 有技术参数，请出具制造商承诺函加盖公章，承诺 (略) 有技术参数，无偏离。
• (略) 商具备国家信息安全测评信息安全服务资质证书（安全工程类 * 级及以上）；
• (略) 商为云安全联盟理事单位或成员单位；
• (略) 商为微软MAPP (略) 伙伴；
• (略) 商具备国家级应急支撑单位资质，提供复印件加盖公章；
• (略) 商具备专业的攻防 (略) ，具备独立的漏洞研究能力及积累，自主发现的CVE漏洞数量不少于 * 个，请提供CVE漏洞列表，并加盖制造商公章；
• (略) 商具备国家信息安全漏洞库CNNVD技术支撑单位 * 级，提供复印件加盖公章；

1台

5

抗DDOS设备

• 2U机架式软硬 * 体设备，专用硬件平台和自主知识产权的安全操作系统，整机抗攻击能力≥2Gbps，2个GE带外管理口，至少提供4个千兆电口、4个SFP业务口和3个扩展槽，双电源，提供 * 年硬件维保，提供制造商针对本项目的授权书及售后服务承诺；
• 防御流量型flood攻击 ：SYN Flood 、SYN-ACK Flood、 ACK Flood、FIN/RST Flood、ICMP Flood、UDP Flood、IP Fragment Flood、Stream flood等。
• UDP Flood防护提供2层防护：防御阈值以及碎片丢弃。
• ACK Flood攻击可通过TCP阈值设置及ACK (略) 防护，开启时不影响客户在线业务。
• 防御HTTP get /post Flood 攻击、CC攻击应用层攻击，可自定义web防护端口，提供如JavaScript、mouse click等至少4种验证方式。可以限制源IP连接数、新建连接数和get/post连接速率等，防护CC攻击的参数多样，配置灵活，请提供功能界面截图，并加盖制造商公章；
• 防御DNS query/reply Flood攻击， 提供TCP、CNAME和Passive 3种验证机制，多维度限 制查询及请求速率。
• HTTPS攻击专项防护模块，对HTTPS协 (略) (略) 防护，有redirect、JavaScript和flash * 种验证方式，有效防御HTTPS类型的DDoS攻击，请提供功能界面截图，并加盖制造商公章；
• 支持自动防护，系统开启自动防护后，无需撰写 (略) (略) DDoS防护，也可针对特定服务器撰写特定防护规则；
• 支持自定义包大小限制，自定义数据包大小、特征字符出现的频率限制，可选择数据匹配或正则匹配，对匹配 (略) 丢弃、放行；
• 防御策略可选择至少4种不同的模式，满足不同客户的需求；
• 支持动态黑名单抓包功能；
• 支持基于源目IP、源目端口、协议的 * 元组抓包功能；支持对输入滤前/滤后、输出滤前/滤后、输入拦截、输出拦截、双向滤前、双向滤后、双向拦截等条件抓取指定数据包，指定抓包数量和抓包比例；
• 产品能够对抓取 (略) 在线分析和下载；
• ★支持GEOIP功能，针对特定国家或区域的 (略) 拦截、放行，有效阻止境外IP发起的攻击，请提供功能界面截图，并加盖制造商公章；
• 支持UDP限速，通过源IP、源IP+源端口、目的IP、目的IP+目的端口、目的IP+源端 (略) UDP限速。
• 支持对服务器各协议的流量限制；
• (略) (略) 双向会话管控，即能够设置从外到内的连接阈值，也能够设置从内到外的连接阈值。
• ★通过CC防御模块动态加入黑名单的客户端再次访问web服务器时有提示信息，请提供功能界面截图，并加盖制造商公章；
• 支持流量超过设定阈值后web页面提示告警。
• 支持牵引屏蔽，当攻击流量过大时，能与上层交换机或路由器联动，直接屏蔽攻击流量。
• (略) 络诊断工具，支持ping、traceroute、TCP诊断。故障信息可 * 键收集；
• ★支持账号绑定QQ，通过QQ号登录web页面管理；支持自定义添加账号，自定义功能按钮权限。支持Radius认证，请提供功能界面截图，并加盖制造商公章；
• 支持多 (略) 署；支持集群间数据状态同步、配置同步，支持集群无限扩容。
• ★ (略) 有技术参数，请出具制造商承诺函加盖公章，承诺 (略) 有技术参数，无偏离。
• (略) 商具备国家信息安全测评信息安全服务资质证书（安全工程类 * 级及以上）；
• (略) 商为云安全联盟理事单位或成员单位；
• (略) 商为微软MAPP (略) 伙伴；
• (略) 商具备国家级应急支撑单位资质，提供复印件加盖公章；
• (略) 商具备专业的攻防 (略) ，具备独立的漏洞研究能力及积累，自主发现的CVE漏洞数量不少于 * 个，请提供CVE漏洞列表，并加盖制造商公章；
• (略) 商具备国家信息安全漏洞库CNNVD技术支撑单位 * 级，提供复印件加盖公章；

1台

货物/通用设备/广播、电视、电影设备/磁(纹)卡和集成电路卡

电子健康卡前置机

基本参数

设备类型

网关型

设备类别

机架式/桌面式

设备结构

2U

处理器参数

CPU

2U

内存参数

内存

* G

网络参数

WAN 接入方式

STATIC-IP,PPPOE,DHCP,PPTP

WAN 接入控制

网站阻止和访问控制, DMZ, UPnP, QoS

InternetFirewallRouting

InternetFirewallRouting

支持协议

TCP/IP,NAT,DHCP,HTTP,NTP,HTTPS

(略)

2 层交换及 STP (略) 络环路

* x * / * +2xGbit Ethernet Ports; STP; QOS

网络安全

SPI 防火墙,防 DoS攻击

VPN 穿透

IPSec,PPTP,L2TP 穿透

存储参数

存储磁盘阵列

RAID 0, RAID 0/1, RAID 5 0.5T

其他参数

操作系统

Windows sever * 及以上

Java 环境

Jdk 1.6 X * 及以上

数据库环境

Mysql

软件更新方式

远程更新

管理方式

Web 方式

数据共享

Windows Network Sharing, NFS

设备数量

2台

安全设备

基本参数

SPI 防火墙

1台

防 DoS攻击

1台

VPN服务器

1台

序号

产品名称

技术参数

数量

备注

1

前置机服务器

• ★ (略) 商；要求最近 * 年IDC全球x8 (略) 销售量及金额排名前3位，提供IDC证明；
• ≤2U机架式， (略) 导轨；
• 配置≥2颗Intel Xeon SP Gold系列CPU *
• 内存配置≥ * GB DDR4内存，可扩展≥ * 个内存插槽，官方支持最大容量3T，Advanced ECC先进内存保护技术及联机备用模式,可配置LRDIMM和UDIMM内存；
• 支持2.5"热插拔 SAS/SATA/SSD/NVMe硬盘，≥2块 * GB * Krpm SAS硬盘，热插拔；
• 最多支持提供≥8个标准PCIE3.0插槽可用
• 配置4个千兆电，2个万兆光，≥2块 * Gb HBA光纤通道卡；
• ≥2个 * W铂金版热插拔冗余电源；
• 配置≥1Gb独立的远程管理控制端口，配置虚拟KVM功能, 可实现与操作系统无关的远程对服务器的完全控制，包括远程的开机、关机、重启、更新Firmware、虚拟软驱、虚拟光驱、虚拟文件夹等操作，提供服务器健康日记、服务器控制台录屏/回放功能，能够提供电源监控，可支持动态功率封顶；
• #可存放系统日志，内嵌操作系统导航安装环境，实现无物 (略) 署操作系统。
• ★支持联合管理功能，无需软件即可实现多台服务器统 * 管理功能，如监控硬件健康状况，固件升级等；
• #采用可信硅根技术，提供基于芯片级别的安全技术， (略) 商设计和生产，管理芯片功能代码在芯片生产阶段 * 次性写入

1台

2

存储

1、★最大配置 * 块SFF或者 * 块LFF，最大容量1.3PB实配6*1.2T

2、≥8GB/控制器，存储系统掉电 (略) 保护。

3、★支持控制器SSD缓存扩展，扩展容量≥ * GB/控制器

4、4* * GB端口

5、支持RAID6数据保护

6、最大 * 个LUN，配置LUN动态扩容许可

7、★单 * LUN最大支持容量 * TB

8、支持SSD，SAS和SAS MDL磁盘，

9、支持RAID 1, 5, 6, *

* 、支持SSD，SAS在同 * 磁盘笼磁盘混插

* 、允许数据卷跨越同时最多 * 块硬盘， (略) Raid后空间再绑定

* 、配制磁盘快照功能，最少配制 * 个快照和卷克隆，可扩至 * 个

* 、支持数据异步复制

* 、提供数据自动分级存储。单个LUN中的数据，按照实际的I/O压力自动在SSD、SAS和SATA (略) 自动迁移，无需中断业务。自动分级存储功能支持I/O每个卷可在 * 个不同类型的 (略) 自动迁移。 (略) 手动或自动迁移。

* 、提供卷的精简配置管理功能，即实际主机映射的存储空间超出存储实际拥有的磁盘空间。要求精简配置支持空间在线回收。

* 、要求支持断电时将控制器缓存数据写入硬件存储设备中，可永久保护，在保护过程中不需要电池保护方式

1台

3

VPN

• 标准机架式设备，至少提供10个 * / 点击查看>> MBASE-T端口和4个SFP光纤接口，整机吞吐率≥5Gbps， 最大并发连接数≥ * 万; 每秒新建连接数≥ * 万，IPSEC VPN隧道数≥ * 条；IPSEC加密吞吐率≥ * Mbps；SSL VPN并发用户数≥ * ，本次要求配置 * 点SSL VPN和IPSEC VPN并发用户数授权，提供 * 年硬件维保服务，请提供制造商针对本项目的授权书及售后服务承诺；
• 支持多系统引导，可在WEB界面上直接配置启动顺序，至少支持 * 个操作系统，用户可自由选择当前启动系统，每个系统拥有独立的配置文件，并可导入导出配置文件；
• IPSEC (略) 关、 (略) 署模式，IPSec VPN支持透明、路由、 (略) 络环节的接入；
• 支持IPSec VPN隧道热备份
• ★支持KMC与GD (略) ，支 (略) 统 * 管理下发密钥及策略，使用组播技术更 (略) 钥，无需更改原路由策略，请提供具备此项功能的界面截图，并加盖制造商公章；
• 支持DMV (略) 功能，网络扩展时仅需要配置新增节点， (略) 络中心和分支节点，即可 (略) 络；
• 支持单点登录（B/S,C/S模式），至少支持3种单点登 * 方式选择，单点登录支持证书主题属性选择，支持根据读取属性分配用户权限；
• ★支持符合SAML框架规范的单点登录功能（提供截图证明）;支持对象属性认证和资源权限调用，实现用户应用的 (略) 传递，实现用户密码安全，请提供具备此项功能的界面截图，并加盖制造商公章；
• 支持IPSec、SSL 、PPTP、L2TP VPN的统 * 用户账号和认证体系，实现用户名密码的 * 次性配置即 (略) VPN类型的接入，不需分别购买SSL VPN和IPSEC 不同的VPN接入授权；
• 支持用户组及用户的分级树，支持用户组及用户上下级认证策略、关联角色、认证方式的继承关系配置；
• 支持用户组并发数限制；
• 支持用户与手机号码、PC硬件特征码、手机硬件特征码、IP、MAC等硬件信息的绑定，支持PC和移动设备的接入审批流程；
• 可通过WEB界面操作对RADIU (略) 用户组映射和连通性测试；
• 支持LDAP用户信息直接导入本地，不需经过文档格式转换后的 * 次导入；导入过程可以支持用户组选择，支持与本地用户列表的重复性判断配置；
• 支持HTTP匿名登 * ，同时支持口令、证书等方式；
• 支持配置Radius、LDAP组映射属性，支持根据RADIUS的CLASS、NAS-ID、User-Name ,LDAP的DN等或者自定义属性将远程用户信息映射到本地用户组；
• 支持管理员分级管理，可以为管理员指定管理的资源、角色和用户组，并且可以指定创建下级管理员、用户组和角色的权限；
• 支持VPDN、IPSec、SSL VPN统 * 客户端，仅需安装 * 种托盘程序；并且支持接入方式智能识别， (略) 任何选择操作；
• 支持Windows/MAC独立客户端（非插件方式）， (略) ，记忆用户名密码，自动登录功能；
• 设备支持客户端接入策略设置，可针对操作系统、操作系统补 * 、浏览器、进程、服务、端口、文件、 (略) 登录前和使用时定期检查；
• VPN客户端支持 Windows XP、Server * 、Windows7、8、 * 、CentOS、Redhat、Ubuntu、SUSE等操作系统；
• 支持移动端设备硬件特征的采集和接入审批功能；
• 支持针对移动APP的VPN安全代码的自动封装， (略) 定制开发，实现App应用的安全加固；
• 同时Windows和MAC操作系统下支持远程应用发布功能，全部应用数据存储在服务器端，退出后本地不保存任何数据；
• 可以无需 * 次开发，即把Windows应用发布到移动智能终端中，也可以支持无需开发，将C/S资源Web化；
• ★远程应用发布必须支持双主控和负载均衡策略，即当存在多台终端发布服务器时，可以根据预先配置策略将用户分配到不同的终端服务器，请提供具备此项功能的界面截图，并加盖制造商公章；
• ★支持用户配置 * 键复制， (略) 署效率，可以复制各种插件设置、cookie设置、权限设置等，请提供具备此项功能的界面截图，并加盖制造商公章；
• 独立的统计报表统计通过应用虚拟化使用者登录情况、应用使用频次情况、服务器性能占用情况；
• 支持远程SSH、TELNET (略) 配置,支持基于WEB界面的 (略) 功能；
• 支持主备切换，SSLVPN在线用户不掉线，无需重新认证；
• ★VPN产品 (略) 络的堡垒机产品联动，支持在VPN界面直接输入堡垒机账号认证，并单点登录到堡垒机运维界面，无需任何定 (略) 署，请提供具备此项功能的界面截图，并加盖制造商公章；
• ★ (略) 有技术参数，请出具制造商承诺函加盖公章，承诺 (略) 有技术参数，无偏离；
• (略) 商具备国家信息安全测评信息安全服务资质证书（安全工程类 * 级及以上）；
• (略) 商为云安全联盟理事单位或成员单位；
• (略) 商为微软MAPP (略) 伙伴；
• (略) 商具备国家级应急支撑单位资质，提供复印件加盖公章；
• (略) 商具备专业的攻防 (略) ，具备独立的漏洞研究能力及积累，自主发现的CVE漏洞数量不少于 * 个，请提供CVE漏洞列表，并加盖制造商公章；
• (略) 商具备国家信息安全漏洞库CNNVD技术支撑单位 * 级，提供复印件加盖公章；

1台

4

防火墙

• 标准2U机架式设备，采用专用多核硬件平台，至少配备 * 个千兆电口和 * 个SFP接口，双电源，内置存储容量不少于 * GB SSD硬盘，防火墙吞吐量≥8Gbps，最大并发连接数≥ * 万， * 年硬件维保服务，请提供制造商针对本项目的授权书及售后服务承诺；
• 支持基于硬件Hypervisor技术的底层虚拟化，各个虚拟防火墙之间完全隔离， (略) 不同的防火墙版本，拥有完全独立的CPU、内存、接口等资源；
• 每个虚拟防火墙均提供完整的安全功能，包括防火墙、入侵防御、防病毒、 (略) 为管理和流控、VPN、IPv4/IPv6双栈等；
• 支持基于接口/安全域、地址、用户、服务、应用和时间的防火墙访问控制策略；
• 支持基于接口/安全域、地址、用户、服务、应用和时间的会话控制策略，包括总连接数控制、每秒总新建连接数控制、每IP总连接数控制、每IP新建连接数控制；
• ★具备APT防御功能，可对exe、rtf、pdf、xls（x）、ppt（x）、doc（x）、pps（x）、swf、rar、zip等常 (略) 动态沙箱分析，可对rtf、pdf、xls（x）、ppt（x）、doc（x）、pps（x）做PE内嵌检测，并且能指出文件偏移位置，需提供界面截图，并加盖制造商公章；
• 支持策略预编译技术，在大量防火墙访问控制策略情况下整机性能不受影响；
• (略) 络入侵检测及防御功能，入侵防御事件库事件数量不少于 * 条；
• 可基于IP地址、网段、用户、时间、VLAN、协议类型等条件设定入侵防御模块的检测事件及响应方式；
• 具备协议自动识别功能；支持自定义事件功能；
• 提供SQL注入攻击、XSS攻击的检测和防御功能，对Web服务系统提供保护，要求相关技术具备自主研发专利，可 (略) 网站查询，提 (略) 页截图及专利号；
• 支持对文件感染型病毒、蠕虫病毒、脚本病毒、宏病毒、木马、恶意软件等过滤，病毒库数量不少于 * 万；
• 支持并开通基于DPI和DFI技术的应用 (略) 为控制，应用识别的种类不少于 * 种；
• 支持并开通基于URL分类库的WEB访问管理，URL分类库规模不少于 * 万条；
• 支持并开通基于线路和多层通道嵌套的带宽管理和流量控制功能；
• 支持静态路由、动态路由（RIP、OSPF、BGP4）；
• 支持基于入接口、源地址、目标地址、服务端口、应用类型的策略路由；
• 支持并开通链路负载均衡，提供轮询、加权轮询、哈希等多种负载均衡算法；
• 支持通过ICMP、TCP、DNS和HTTP协议实现对链路可用性的多重健康检查；
• ★支持基于威胁情报云的动态防护功能，防火墙支持将 (略) 的访问信息发送至威 (略) 实时情报查询及防护，请提供防火墙配置界面及威胁情报云端界面截图，并加盖制造商公章；
• 支持DNS透明代理功能，可将指定范围内的DNS请求自动重定向至管理员指定的DNS服务器，且支持多台DNS服务器的负载均衡；
• 支持标准DNS服务器功能，支持多种DNS 记录 ，包括A ，NS，CNMAE，TXT，MX，PTR记录。
• 支持基于W (略) 的设备管理模式，WEB (略) 模式下均可 (略) 有功能的管理配置
• 支持整机威胁统计和展示，包括基于地理位置的威胁地图展示、基于威胁级别和威胁类型的统计分析、基于威胁事件源/目的主机的TOP * 统计展示、基于具体威胁事件/威胁类型的TOP * 统计展示等，统计展示的时间周期包括1小时/1天/7天/ * 天；
• 支持基于流量的TOP * 用户和TOP * 应用的流量曲线图，流量曲线图的统计周期包括小时、天、7天和 * 天；
• 支持基于并发会话数量的TOP * 用户和TOP * 应用的并发数量曲线图，并发数量曲线图的统计周期包括小时、天、7天和 * 天；
• ★为了构建动态安全防护体系，本次采购的防火墙要求支持与IDS设备联动，可接收IDS产品发送的动态访问控制策略，同时支持与终端管理系统联动，可接收终端管理系统的主机状态列表，将不合规终端的访问重定向至终端管理指定页面，提供以上相关界面截图， (略) 商公章；
• ★支持扩展集中策略分析模块，通过集中策略分析模块 (略) 有防火墙 (略) 冗余分析，可分析出哪些安全策略是不必要的冗余配置， (略) 有防火墙 (略) 收敛分析，也称宽松策略分析。能够支持查看任何 * 条宽松策略的流量详细信息，提供以上相关界面截图， (略) 商公章；
• ★ (略) 有技术参数，请出具制造商承诺函加盖公章，承诺 (略) 有技术参数，无偏离。
• (略) 商具备国家信息安全测评信息安全服务资质证书（安全工程类 * 级及以上）；
• (略) 商为云安全联盟理事单位或成员单位；
• (略) 商为微软MAPP (略) 伙伴；
• (略) 商具备国家级应急支撑单位资质，提供复印件加盖公章；
• (略) 商具备专业的攻防 (略) ，具备独立的漏洞研究能力及积累，自主发现的CVE漏洞数量不少于 * 个，请提供CVE漏洞列表，并加盖制造商公章；
• (略) 商具备国家信息安全漏洞库CNNVD技术支撑单位 * 级，提供复印件加盖公章；

1台

5

抗DDOS设备

• 2U机架式软硬 * 体设备，专用硬件平台和自主知识产权的安全操作系统，整机抗攻击能力≥2Gbps，2个GE带外管理口，至少提供4个千兆电口、4个SFP业务口和3个扩展槽，双电源，提供 * 年硬件维保，提供制造商针对本项目的授权书及售后服务承诺；
• 防御流量型flood攻击 ：SYN Flood 、SYN-ACK Flood、 ACK Flood、FIN/RST Flood、ICMP Flood、UDP Flood、IP Fragment Flood、Stream flood等。
• UDP Flood防护提供2层防护：防御阈值以及碎片丢弃。
• ACK Flood攻击可通过TCP阈值设置及ACK (略) 防护，开启时不影响客户在线业务。
• 防御HTTP get /post Flood 攻击、CC攻击应用层攻击，可自定义web防护端口，提供如JavaScript、mouse click等至少4种验证方式。可以限制源IP连接数、新建连接数和get/post连接速率等，防护CC攻击的参数多样，配置灵活，请提供功能界面截图，并加盖制造商公章；
• 防御DNS query/reply Flood攻击， 提供TCP、CNAME和Passive 3种验证机制，多维度限 制查询及请求速率。
• HTTPS攻击专项防护模块，对HTTPS协 (略) (略) 防护，有redirect、JavaScript和flash * 种验证方式，有效防御HTTPS类型的DDoS攻击，请提供功能界面截图，并加盖制造商公章；
• 支持自动防护，系统开启自动防护后，无需撰写 (略) (略) DDoS防护，也可针对特定服务器撰写特定防护规则；
• 支持自定义包大小限制，自定义数据包大小、特征字符出现的频率限制，可选择数据匹配或正则匹配，对匹配 (略) 丢弃、放行；
• 防御策略可选择至少4种不同的模式，满足不同客户的需求；
• 支持动态黑名单抓包功能；
• 支持基于源目IP、源目端口、协议的 * 元组抓包功能；支持对输入滤前/滤后、输出滤前/滤后、输入拦截、输出拦截、双向滤前、双向滤后、双向拦截等条件抓取指定数据包，指定抓包数量和抓包比例；
• 产品能够对抓取 (略) 在线分析和下载；
• ★支持GEOIP功能，针对特定国家或区域的 (略) 拦截、放行，有效阻止境外IP发起的攻击，请提供功能界面截图，并加盖制造商公章；
• 支持UDP限速，通过源IP、源IP+源端口、目的IP、目的IP+目的端口、目的IP+源端 (略) UDP限速。
• 支持对服务器各协议的流量限制；
• (略) (略) 双向会话管控，即能够设置从外到内的连接阈值，也能够设置从内到外的连接阈值。
• ★通过CC防御模块动态加入黑名单的客户端再次访问web服务器时有提示信息，请提供功能界面截图，并加盖制造商公章；
• 支持流量超过设定阈值后web页面提示告警。
• 支持牵引屏蔽，当攻击流量过大时，能与上层交换机或路由器联动，直接屏蔽攻击流量。
• (略) 络诊断工具，支持ping、traceroute、TCP诊断。故障信息可 * 键收集；
• ★支持账号绑定QQ，通过QQ号登录web页面管理；支持自定义添加账号，自定义功能按钮权限。支持Radius认证，请提供功能界面截图，并加盖制造商公章；
• 支持多 (略) 署；支持集群间数据状态同步、配置同步，支持集群无限扩容。
• ★ (略) 有技术参数，请出具制造商承诺函加盖公章，承诺 (略) 有技术参数，无偏离。
• (略) 商具备国家信息安全测评信息安全服务资质证书（安全工程类 * 级及以上）；
• (略) 商为云安全联盟理事单位或成员单位；
• (略) 商为微软MAPP (略) 伙伴；
• (略) 商具备国家级应急支撑单位资质，提供复印件加盖公章；
• (略) 商具备专业的攻防 (略) ，具备独立的漏洞研究能力及积累，自主发现的CVE漏洞数量不少于 * 个，请提供CVE漏洞列表，并加盖制造商公章；
• (略) 商具备国家信息安全漏洞库CNNVD技术支撑单位 * 级，提供复印件加盖公章；

1台