项目编号：ZZC2012-J172

张家港市招投标采购交易服务中心受张家港市交通运输局委托，就申请采购的防火墙及专业流控进行竞争性谈判方式采购，现欢迎符合相关条件的供应商参加采购。

一、采购项目名称：防火墙及专业流控

二、采购项目简要说明：编号：ZZC2012-J172，具体清单如下：

防火墙产品指标要求
项目
招标要求
参与投标的设备性能

设备基本要求
操作系统
多核多平台TOS并行安全操作系统（提供证书及界面截图加盖原厂公章）

接口数量
2U机架式结构；最大配置为12个接口，包括标配4个10/100/1000BASE-TX口，1个接口扩展插槽;

性能要求
吞吐量
系统吞吐量>4G。

最大并发会话数
≥180万

转发延时
小于9us

每秒新建会话数
>3万

防病毒
系统要求配有防病毒功能，并提供5年的病毒库

VPN
系统要求配有IPSECVPN功能，至少配5个客户端许可。

WEB过滤
系统配有WEBFILTER功能

QOS功能
系统要求配有QOS功能。

工作模式
支持透明、路由、混合、直连（虚拟线）模式

安全功能要求
防病毒
支持HTTP，FTP，POP3，SMTP，IMAP协议的病毒查杀

查杀邮件正文/附件、网页及下载文件中包含的病毒

支持150万余种病毒的查杀，病毒库定期与及时更新

支持木马病毒、蠕虫病毒、宏病毒、脚本病毒的查杀

支持启发式扫描查杀未知病毒

支持ZIP/ARJ/CAB/RAR/GZIP/BZIP2等压缩文件的病毒查杀

支持TAR等多种打包文件的病毒查杀

支持基于类型、来源、协议的病毒统计

支持绘制病毒历史趋势图

支持基于名称、次数、发现时间、处理方式等的病毒排名

支持基于文件类型的文件阻断

提供快速扫描及完全扫描两种扫描方式

应用程序识别
支持200余种应用程序库的过滤，包括P2P、IM、炒股、网游等等。

支持MSN，QQ，Skype等Instant Messenger通信，并可以对于这些应用进行登陆限制和帐号过滤。

支持MSN在线用户显示。

可限制BT，eMule，eDonkey，迅雷等P2P应用。

支持基于应用的流量统计。

支持基于应用的流量排名

支持基于应用的历史流量趋势图

支持基于主机的应用流量统计

支持流量异常检测

深度流量过滤（DFI），针对P2P行为的识别控制。

恶意网站过滤
支持通过“密罐”技术实现的恶意网站过滤。

分类库的规模达到4000万+

支持防网页挂马。

内容过滤框架
采用完全内容检测（Complete Content Inspection）技术。

支持基于流、数据包、透明代理的过滤方式。

支持对HTTP、SMTP、POP3、IMAP、FTP等协议的深度内容过滤。

支持DNS过滤。

支持DNS中继。

支持web重定向。

支持伪装http连接识别。

支持RSH命令过滤。

支持telnet命令过滤。

支持对移动代码如Java applet、Active-X、VBScript、Java script的过滤。

支持对邮件的收发邮件地址、文件名、文件类型过滤。

支持对邮件主题、正文、收发件人、附件名、附件内容等关键字匹配过滤。

支持反垃圾邮件功能（用户配置黑白名单）

支持反垃圾邮件功能－实时黑名单（RBL）。

支持反垃圾邮件功能－反向DNS解析（RDNS）

支持反垃圾邮件功能－灰名单

支持ftp命令过滤

可屏蔽受保护主机/服务器系统信息，如替换服务器（FTP、SMTP、POP3、telnet,HTTP）的BANNER信息。

URL分类过滤
支持80个分类

分类库的规模达到500万+

支持挂马网站过滤

支持手动设置的URL过滤。

支持HTTP URL长度限制。

PKI
证书格式
支持X.509 V3数字证书，支持DER/PEM/PKCS12多种证书编码。

本地CA
支持内置CA，为其他设备或移动用户签发证书。

支持本地CA根证书、根私钥的更新。

支持证书废弃，支持生成标准CRL列表。

第三方CA
支持同时导入多个第三方CA的根证书和CRL列表，对不同CA证书用户进行身份认证，支持通告HTTP协议定时下载CRL列表。

支持通过OCSP/LDAP等协议在线认证证书。

IPSEC VPN
协议
支持ESP/AH/IKE/NATT等标准IPSEC协议，支持隧道模式、传输模式

算法
支持DES/3DES/AES等标准加密算法，支持MD5/SHA1等标准HASH算法

支持DH GROUP1/2/5，RSA 1024/2048非对称算法

支持国家商密专用的SSP02/SSF33/SCB2算法

硬件加速
支持高速算法加速卡

数据压缩
支持高效数据流压缩算法

隧道认证
支持预共享密钥、数字证书认证，支持扩展认证

可信接入
支持基于角色的可信接入

支持检查接入机的操作系统

支持检测操作系统的补丁

支持可信接入分级授权

DDNS
内置免费DDNS客户端与账号

支持采用DNS域名建立隧道

集中管理
支持TopPolicy的集中认证；

支持TopPolicy集中制定并下发隧道策略；

支持TopPolicy集中监控隧道状态、设备状态和移动用户状态；

支持TopPolicy的集中远程配置。

流量统计
支持隧道内加解密成功、失败流量统计

支持隧道内认证成功、失败流量统计

支持隧道持续时间统计等

负载与备份
支持多条隧道的负载均衡

支持多条隧道的备份与自动切换

支持多机之间的流量负载与自动切换

支持隧道、专线之间的备份与自动切换

安全接入
L2TP
支持远程用户通过L2TP接入，建立L2TP隧道访问内部网络

PPTP
支持远程用户通过PPTP接入，建立PPTP隧道访问内部网络

安全管理要求
用户认证
支持使用一次性口令认证（OTP）、本地认证、双因子认证（SecurID）以及数字证书（CA）等常用的安全认证方式。

支持使用第三方认证，如RADIUS、TACACS/TACACS+、LDAP、域认证等安全认证方式。

支持Session认证、HTTP会话认证。

支持认证保活功能。

可将认证用户信息加密存放在本地数据库。

监控
支持网络接口、CPU利用率、内存使用率、操作系统状况、网络状况、硬件系统、进程、进程内存、加密卡状况的监测。

可根据配置文件进行错误恢复。

报警
内置了“管理”、“系统”、“安全”、“策略”、“通信”、“硬件”、“容错”、“测试”等多种触发报警的事件类。

支持邮件、NETBIOS、声音、SNMP、控制台等多种组合报警方式。

流量统计
支持基于IP对session数的统计，并有阀值报警功能。

支持基于IP对流量的统计。

支持基于传输层端口进行流量、session数的统计。

支持NETFLOW协议版本5,支持设置过滤条件。

带宽管理要求
QoS

流量整形
QOS带宽管理。

根据IP、协议、网络接口、时间定义带宽分配策略。

支持最小保证带宽和最大限制带宽。

支持分层的带宽管理。

支持根据源/目的进行独享的带宽管理方式。

优先级
支持8级优先级控制。


本次采购
扩一块TOPSEC扩展卡： 4个SFP插槽、4个10/100/1000BASE-T接口，其中4个电口支持Bypass；（含4个光纤模块）

产品资质，必须完全具备
要求具有《IPv6产品测试认证》

要求具有信息安全产品自主原创证书，并提供证书序列号

要求具有中国国家信息安全测评认证中心的《EAL3证书》

要求具有中国信息安全认证中心的《ISCCC认证证书》

服务要求
供货时需提供原厂商质保证明文件原件或原厂五年质保服务卡原件，能够提供原厂商技术支持，1小时内本地化服务，2小时内原厂上门服务。提供7×24小时的800服务热线支持。

专业流控技术指标：

指标项
指标/描述

高可用性
1. Bypass：同时支持硬件掉电及系统宕机两种条件下的Bypass旁路切换功能；

2. 网络接口：最少支持5个电口

3. Console：支持RS-232或RJ-45 Console * 1；

4. 升级系统或特征库，不需要重启系统；

5. 编辑或修改策略，不需要重启系统；

管理链路
1. 最大支持4千兆条链路；

2. 支持对整个系统进行全局策略管理和分析统计；

3. 支持对各条链路进行独立的策略管理和分析统计；

4. 支持最大4条虚拟链路，基于IP定义并对其统计；

5. 支持端口镜像，可以把全部或选定的流量镜像或透传到其他设备上去日志分析系统等）

部署模式
1. 支持透明网桥模式；

2. 支持旁路分析模式；（可区分上行、下行）

3. 支持透明和旁路的混合模式；

性能参数
1． 高端规格吞吐量支持150Mbps；

2． 高端规格并发连接数最大支持15万；

3． 高端规格并发IP数最大支持600人；

4． 全线速转发处理时延小于50微秒；

5． 策略数最大支持65535条；

协议识别
1．支持对2～7层流量的识别能力，特别是针对第 7层的应用识别能力，能够识别主要应用协议，并逐级细分P2P下载、网络视频、网络电话、游戏、HTTP协议等类别，

2. 系统特征库支持国内各类常见协议超过800种，其中大型游戏超过200种，并根据游戏运营公司分项统计；

3. 通过DPI、DFI、节点跟踪、主动探测等多种技术，对已经采用加密技术的P2P类应用精确识别；

4. 可以区分迅雷、网际快车等下载工具的HTTP下载和IE浏览器下载；

流量控制
1． 支持基于应用协议/协议组和IP/IP群组的速率控制；

2． 支持允许、阻断、带宽限速、带宽保证和带宽预留等动作；

3． 支持“单IP限速”；

4． 支持策略嵌套，即在同一条策略中，既可以针对特定对象(IP或应用)进行总的数据通道控制，也可以单IP限速，同时可并列匹配“DSCP标记”、“对端抑制”等参数，实现策略的高度灵活性和简洁性；

5． 支持流量DSCP标记；(注：支持DSCP或TOS标记，可以配合路由器做路由优先级或路由选择。)

6． 带宽的最小控制粒度为1kbps；

7． 支持策略调度：基于时间、基于在线IP数，或者二者同时匹配进行策略调度；

8． 支持“优先级”调度，可针对应用协议或IP实现，支持0-6七种优先级，默认级别为0；

9． 支持通道优先级及其最低带宽保证。动态智能调整带宽。

连接数控制
1. 支持限制内网IP针对应用协议/协议组进行每IP的TCP、UDP和总并发连接数控制；

2. 支持限制内网IP到外网特定目标地址的每IP的TCP、UDP和总的应用并发连接数控制，以保护某些易受攻击的外部服务器；

3. 可根据数据链路、外网地址、内网地址和应用协议/协议组等参数指定连接数控制策略；

4. 可根据时间和在线IP数等参数启用相应策略；

HTTP访问控制
1. 支持URL访问控制；

2. 支持URL重定向；

3. 支持Web信息提示；

4. 支持（HTTP方式）文件类型的访问控制；

5. 可根据内网IP、文件类型、访问方法(GET或POST)和目标URL等参数设置控制策略；

6. 可根据时间和在线IP数等参数启用相应策略；

DNS管控
1. 支持DNS重定向；

2. 支持DNS劫持；

3.DNS分流

监控统计
1. 可提供整个系统、各链路的流量和连接数统计图表；

2. 可提供最近10分钟流量、累计流量、并发连接数统计图表；

3. 实时显示各协议组的当前速率、连接数等统计信息，30秒自动刷新；

4. 可提供最近一天、最近一周和最近一月的流量趋势图表；

5. 可提供上行流量、下行流量、并发连接数的“三日对比”趋势图；

6. 支持TOP 应用排序；

7. 支持TOP IP排序；

8. 可实时显示某个IP的当前速率及连接明细，以便于异常流量诊断；

9. 可提供IP对应的身份信息，如QQ号码、MSN帐号、POP3帐号等；

10. 可根据应用速率、流量和连接数等条件进行排序；

11. 可实时显示某个应用下的Top用户；

12. 可提供在线并发连接、连接创建和删除速率等数据的趋势图表；

13. 可提供在线IP和共享用户趋势图表；

14. 可选择两个或多个应用协议进行趋势图分析对比；

15. 提供应用分流的实时速率统计，体现各类应用协议分流前后的效果对比；

应用分流

（应用路由、流量代理）
支持基于应用协议的分流。对多链路网络进行流量走向的重新规划，变流量控制为流量疏导。

1. 支持对P2P下载类，并且支持对伪装成HTTP下载的P2P流量：“伪IE下载”、“HTTP分块传输”的应用分流；

2. 支持对网络电视类应用的应用分流；

3. 支持对网络游戏类应用的应用分流；

4. 支持对Web视频类应用的应用分流；

5. 最大支持创建4个流量代理；

6. 每个代理最大支持并发连接数50万；

升级服务
1. 特征库升级周期为15-30天，版本升级周期为45-90天，年升级次数承诺总计不少于10次；

2. 对于用户要求识别的非加密类应用协议，承诺在72小时内给出特征库升级；

系统管理
1. 中文Web管理界面，安全的HTTPS访问方式；

2. 安全的SSH后台访问方式；

3. 分级用户权限；

4. 配置文件导入、导出；

5. Web在线方式升级系统、升级特征库，无需重启系统；

6. 自定义协议，自定义协议组；

日志功能
1、 具备专用的日志系统，支持windows版本或FreeBSD版本；

2、 支持中英文Web管理界面；

3、 支持Web界面在线升级；

4、 支持同时接收多台流量设备日志；

5、 支持本地“系统维护”，如“用户管理、设备管理、数据库维护等”；

6、 支持IP日志统计

7、 支持应用日志统计

8、 支持事件日志查询审计，包含：QQ帐号登陆事件日志、MSN帐号登陆时间日志、URL帐号访问事件日志、POP3帐号登陆事件日志、新浪微博帐号登陆事件日志、淘宝帐号登陆事件日志、飞信帐号登陆时间日志、连接撤销（会话）日志、认证事件日志、节点跟踪事件日志、域名统计等

9、 支持报表功能，PDF格式导出，各类分项日志支持execl格式导出

一拖N用户检测、控制功能
可检测网关后面的私有IP地址信息，并能以“共享IP数”为触发条件，对宿主IP进行：

流量控制；

HTTP管控；

服务要求
供货时需提供原厂商质保证明文件原件或原厂五年质保服务卡原件，能够提供原厂商技术支持，1小时内本地化服务，2小时内原厂上门服务。提供7×24小时的800服务热线支持。

三、供应商资质要求：通过张家港市政府采购管理办公室资格登记的供应商。

四、采购文件领取信息：

采购文件领取截至时间：2012年9月21日下午5：00时（节假日除外）。只有领取采购文件的供应商才可参加本次采购活动。

五、本次采购有关信息：

谈判时间：2012年9月24日上午9：30

谈判地点：张家港市招投标采购交易服务中心开标室

六、本次采购联系事项：

联系人：陈虹、朱伟、郑浩

联系电话：****-********

七、其他应说明事项：

张家港市招投标采购交易服务中心

2012年9月11日