山西地税系统金税三期广域网改造安全体系建设采购项目采购需求征求意见公告

山西地税系统金税三期广域网改造安全体系建设采购项目采购需求
征求意见公告
项目名称：山西地税系统金税三期广域网改造安全体系建设
项目编号：晋政采[2013-103]G58-A85(预)
　　山西省省级政府采购中心受山西省地方税务局机关的委托，拟于近期组织山西地税系统金税三期广域网改造安全体系建设采购项目公开招标活动，现就该项目的采购需求公开征求社会各界的意见。
　　一、本次公开招标采购的需求及要求：
　　（具体内容详见附件一）
　　二、关于修改意见的回复：
　　如有修改建议（格式详见附件二），请于2013年4月18日17：00时前以书面形式直接送达或传真报送山西省省级政府采购中心。书面材料必须加盖单位公章，同时提交相关的电子文档，逾期送达的恕不接受。
　　三、联系人及联系方式：
　　项目联系人： 郭力田
　　地 址：山西省太原市迎泽大街330号
　　　　 （省城联社五层室）
　　电话及传真：****-*******　
　　电 子 邮 件：


山西省省级政府采购中心
二〇一三年四月十五日

　　附件一：政府采购项目需求及要求
　一、资质要求：
1、投标供应商具备信息产业部计算机网络系统集成专业承包企业二级及以上资质；具有国家保密局颁发的涉密计算机系统集成资质；
2、投标产品具有中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》；
3、防火墙产品具有中国国家保密局测评中心颁发的《涉密信息系统产品检测证书》;
4、投标产品具有中国信息安全认证中心颁发的《中国国家信息安全产品认证证书》； 5、投标产品具有计算机软件著作权证书。
　二、交货时间：
　　合同签订后20天内到货，工程实施完成时间从甲乙双方协定之日起四个月内完成网络改造并初验，初验1 8 0天后完成系统终验。集成商应完成各集成点的软、硬件设备的到货、分发，新购设备和利旧设备的集成安装、调试，配合网络改造集成商完成各级广域网线路的调试。
　三、交货地点：
　　山西省地税系统各市、县（区、分）局
　四、付款方式：
　　合同签订后中标商将合同额5%质保金汇入采购方指定账户，到货验收付款25%，系统初验付款35%，系统终验付款40%，5年质保期过后无息退还5%质保金。合同签订后中标商将合同额5%质保金汇入采购方指定账户，5年质保期过后无息退还5%质保金。
　五、售后服务：
　1、技术支持和售后服务的要求
（1）对设备原厂商的要求
①设备原厂商必须有完善的技术支持服务体系，要求在太原市设有分公司（或办事处、技术支持服务中心等），必须提供相关部门出具的有效证明（设备原厂商出具的证明无效）。能够向设备所在地用户提供统一快捷的技术支持服务。投标书中需详细列出各分公司（或办事处、技术支持服务中心等）地址、负责人、联系电话（包括手机和固定电话）、人员状况和相关证明文件等。
②设备原厂商在山西省太原市内应拥有不少于20人的由专业技术支持人员组成的技术支持队伍。
③设备原厂商在山西省太原市内应建有足够的备品备件库，并提供“备品备件库地点、负责人、联系方式（包括手机和固定电话）和相关证明文件（照片等）。
④在服务期内必须提供至少一年一次的原厂商设备巡检（需有设备原厂商的承诺）。软硬件产品提供5年原厂技术支持与售后服务，本项目服务期:5年原厂技术支持与服务，服务时间自项目实施全面完成，最终验收合格之日起计算。（需有设备原厂商的承诺）
（2）对供应商的要求
①供应商必须承诺向项目单位提供5年原厂技术支持与售后服务，并提供设备原厂商出具的有关证明。服务时间从项目最终验收完毕之日起计算。
②拥有雄厚的计算机网络系统集成力量及相关认证工程师和很强技术实力的专业技术队伍，要求供应商具有十名以上取得制造商认证集成工程师资格证书的工程技术人员。
③在服务期内，中标人应保持技术支持人员的相对稳定，同时提供至少2名经甲方认可的专职技术人员在省局数据中心全职工作，按照省局运维管理要求统一调度，承担值守等服务任务并协助税务系统建立相应的安全运维体系。
④投标人在应答时应详细阐述所提供技术支持与售后服务的内容与范围。服务范围至少包括运维支持、系统迁移、软件升级、性能调优、设备维修、技术咨询、各种突发事件应急策略、定期巡检等；
⑤中标人在每月的纳税申报征收期，以及用户事先告知的关键服务期，必须提供重点保障服务。
⑥中标人要按照山西地税和国家税务总局的安全需求，在工程实施和后续技术服务中逐步完善防火墙和utm功能，并提供软件等的免费升级。
⑦投标人应承诺按照税务系统运维体系的管理规定，不断调整和优化其运维服务的方式，确保满足税务系统运维管理的要求。
⑧以上服务内容费用已包含在技术服务费中，在合同规定的技术服务期内不得另行收费。
2、服务质量要求
（1）服务方式
供应商和设备原厂商必须向用户免费提供电话、E-Ma i 1和Internet网站技术支持方式。能够在互联网站上查询、下载相关技术资料、提交问题并获得支持。E-MAIL至少需次日回复。用户方需要时必须免费提供现场服务。
（2）响应时间
①提供7×24小时电话响应服务。
②接到用户技术支持请求后，必须立即做出实质性响应。对于地市局级设备故障，必须在1小时内提出故障解决方案，8小时内恢复设备正常运行；地市以下设备故障，必须在2小时内提出故障解决方案，2 4小时内恢复设备正常运行。
（3）设备保修
服务期内，必须由专业技术人员负责对用户的设备免费进行现场维修更换，更换的设备或部件必须是来自设备原厂商的全新同型设备或备件。
（4）故障处理报告
故障解决后48小时内，应向用户单位提交故障处理报告。报告中必须说明故障种类、故障原因、故障处理方法等。按季向省级，地市级税务机关，总集成提交上期故障受理报告、故障分析报告和汇总情况。
（5）设备巡检
①供应商应对本项目最终用户单位的设备及系统运行情况进行巡检，要求以地市为单位每年不少于一次现场巡检和两次电话巡访，现场巡检需经最终用户签字盖章认可。每次巡检结束后，需向省局及地市局级地税机关、总集成提供巡检报告，报告内容包括：系统性能、运行状况、稳定程度等，并对系统的优化和今后运行维护给出建议，巡检情况将作为付款必需条件。
②在保修期结束前3个周内，供应商及设备原厂商必须对本项目中的所有网络设备的运行情况进行一次全面巡检。
（6）设备迁移
对于备用户单位在产品服务期内所需要的网络设备迁移等需求，供应商应提供必要的现场服务，并不再收取任何服务费用。
3、备品备件要求
（1）设备原厂商必须有完善的备品备件库体系，在太原市内有足够数量的备品备件以满足本项目中最终用户单位5年内对备品备件的需求，为完成本项目技术支持服务需求提供可靠保证，提供2台市级防火墙备机区县级UTM 5台存放用户机房。
（2）供应商需提供备品备件库地点、负责人、联系方式（包括手机和固定电话）和相关证明文件。
（3）供应商应依据IT业界的标准、惯例以及以往的经验，增加用户未曾指定的备件。
（4）备品备件报价单列，不计入本项目投标总价。
4、其他服务
（1）设备的扩容升级
用户如对设备进行扩容时，设备原厂商必须提供所需配件和相应服务，费用不高于本次中标协议中的价格和折扣优惠。
（2）后续追加采购
在本项目服务期内，用户如对本项目所涉及的设备及软件进行后续追加采购时，所需软硬件、系统集成和售后服务价格均应不高于本次中标协议中的价格和折扣优惠。
5、服务保障要求
（l）在服务期内单台设备硬件故障超过3次（含）的，必须免费更换新的整机；同型号设备累计故障率超过5%（含）的，对该型号设备的保修期免费延长1年；同型号设备累计故障率超过10%（含）的，对该型号设备全部免费更换，并自设备更换验收完毕之日起重新计算5年保修期。
（2）在服务期内，每被投诉1次，经核实后扣减供应商当年服务费的2%，投诉累计超过2 0次，在扣减服务费的同时，免费延长3个月服务期。
（3）如因设备硬件故障或供应商原因，造成项目单位省内网络单次中断时间超过4小时，每次扣减当年服务费用的5 0%，并免费延长3个月服务期。
6、服务验收
本项目服务期内，每年对供应商的服务情况进行一次验收，验收内容包括：
（1）服务期内，供应商所做的主要工作，包括电话指导、EMAIL服务、现场巡检、故障排除等方面的工作量统计。
（2）服务期内，用户对供应商服务的满意度调查统计。
（3）服务期内，用户将定期对备品备件库进行检查，查看本项目所用备品备件的类型、数量是否满足要求。
7、培训要求
人员培训主要为境内培训，范围如下：
（1）现场培训：对项目单位相关技术人员集中进行设备安装集成培训，人数不限。
（2）安全设备基础知识培训：由设备供应商或设备原厂商对我方技术人员进行基础知识培训，包括基础理论、集成实施、设备使用，维护以及运行管理等内容，每包具体要求为：
省局3人，每个地市级单位2人，每个县区级单位1人，培训时间为3天。
（3）安全知识更新培训
CISP培训，省局3人，每个地市单位1人，通过考试后应获得CISP认证的证书。
以上培训的师资费、教材费、培训场地费、住宿费、考试费、证书费用以及必须的实验环境等费用由设备供应商承担。
对于提供的所有培训，安全设备供应商必须保证师资力量，主要培训教员应有相应的专业资格和实际工作经历并至少有三年的教学经验，所有培训必须使用中文教学。
六、其他要求：1、投标人必须承诺对工程技术文件以及由采购人提供的所有内部资料、技术文档和信息予以保密；未经采购人书面许可，不得以任何形式向第三方透露本工程标书以及本项目的任何内容；中标的投标人必须与采购人签订保密协议；
2、投标人必须承诺所提供的各类设备必须能够与项目概述中描述的税务系统现有网络设备互联互通；
3、为保证投标人提供的设备能够实际满足统一管理与监控的需要，要求投标人和设备生产厂商承诺免费向采购人选定的安全管理平台厂商开放管理配置接口信息及必要的审计管理信息等，并根据需要免费完成必要的二次开发工作；
4、供应商所提供的任何设备必须直接来源于原厂商并有原厂商的授权、证明文件；同时必须提供设备原厂商可满足本项目要求的服务承诺；
5、投标人必须对招标文件中各项要求给予明确的逐项应答；
6、投标人必须承诺与金税三期网络和安全项目其它子项目的集成和衔接，不再收取任何费用；
7、投标人不满足以上任何一个要求将视为重大偏离
七、技术要求：各类产品技术指标详见下表，除特别声明“非强制指标”外，所有指标项均为强制性指标，任何一条不满足将视为重大偏离，并导致投标被拒绝。
所有设备要求的光接口均应配置光接口模块,集成中所必需的各类光纤、线缆等配件均应配置。
　　
序号 货物名称 需求或性能描述 单位 数量
1 市级防火墙 平台类型：基于X86、多核或更高性能的专用硬件平台技术架构，配备双电源。
支持的LAN接口类型：千兆光口， TX10/100/1000M自适应。支持的最大LAN接口数：≥6个千兆光口≥6个千兆电口。提供LAN接口数：≥4个千兆光口≥4个千兆电口2个10/100/1000M电口（HA口）（支持端口聚合）。
串行配置管理口和远程配置管理口：配备。
最大并发连接数目：≥220万。每秒最大建立连接数：≥2.8万。吞吐量（1518字节数据包）：≥5Gbps （1518字节数据包）。吞吐量（64字节数据包）：≥1.2G bps（64字节数据包）。转发延迟：≤25us。
技术支持与质保服务：提供五年全免费（免上门费、备件费、人工费及相关费用）技术支持与保修服务。
集中管理软件：配备具有对本项目包内同一品牌产品三级以上分布式管理、日志收集和统计、日志审计、远程管理、下发策略及各种报表等功能的集中管理软件
基本要求：支持路由模式、透明模式和混合模式，支持DMZ 非军事区，支持基于目的地址控制的路由，支持基于源地址、协议等控制的策略路由.
访问控制：基于状态检测的动态包过滤；
支持基于源IP地址、目的IP地址、源端口、目的端口、时间、用户、文件、网址、关键字、邮件地址、脚本、MAC地址等多种方式进行访问控制；
支持对移动代码如Java applet、Active-X、VBScript、Jscript、Javascript的过滤；
支持动态端口支持协议：H.323、SIP、FTP、RTSP、SQL*NET、MMS、TFTP、RPC(msrpc,dcerpc)等；
支持连接限制策略，可根据IP范围、新建连接数、并发连接数进行限制，可根据服务的并发连接数进行限制；
具备抗异常报文如lan、smurf等，抗流量攻击如icmpflood、udpflood等，能够抵御已知攻击的变种行为，能够抵御部分新出现的攻击类型，如CC攻击。
支持与主流IDS产品联动。
内容过滤：具有完全内容检测技术；
支持多种过滤方式如：流过滤；
支持对HTTP、SMTP、POP3、FTP等协议的深度内容过滤，支持URL、DNS、关键字过滤；
支持P2P应用限制：可限制BT，eMule，eDonkey，迅雷等；
支持基于动态域名、IP地址、服务端口、IP协议、用户、时间等的状态包过滤。
网络地址转换：具备完善的地址转换能力，可以支持正向、反向地址/端口转换、双向地址转换等，能够提供完整的地址转换解决方案；
支持双向NAT 功能，支持一对多、多对多的地址转换方式，支持动态地址转换、静态地址转换；
其他NAT应用：如各种NAT穿越、虚拟服务器NAT转换。
路由功能和协议支持：支持静态和动态路由，动态路由至少包括：RIP、RIPII和OSPF动态路由协议；静态路由协议支持基于源地址、目的地址、METRIC值、网络接口的路由；
必须支持MPLS VPN穿越；
支持多种动态端口协议和特殊应用协议（如有特殊需求要能够定制开发），如支持H.323视频穿越，支持OSPF、RIP、RIPII 等动态路由协议；
支持常见组播协议及应用（至少在透明模式下），如IGMP snooping等，可有效实现视频会议、IP电话等网络增值应用；
支持多种网络拓扑结构和VLAN Trunk环境的网络应用，如802.1Q穿越（封装和解封）；
支持生成树协议；
支持SNTP协议，能够与NTP服务器时钟同步；
支持IPX、NetBEUI等非IP 协议；
支持会话超时保护，如数据库长时间连接，telnet会话长连接，ftp长连接, 具备对长连接的解决方案；
支持数据包分片重组；
支持IPV6 路由协议或承诺根据用户需要未来可支持IPV6路由协议；
支持DHCP SERVER/CLIENT/RELAY功能；
模块化扩展设计：根据用户需要，可以扩展IPSEC VPN、SSL VPN、防病毒、入侵防御等功能。
链路备份聚合和端口联动：支持链路备份功能，可以在用户的多条网络出口之间进行自动的切换；
支持链路聚合功能，可以将多条物理链路聚合成一条带宽更高的逻辑链路使用；
支持上下行端口联动,当其中一个端口失效时另一端口可以检测出故障并进行状态同步。
双机热备和负载均衡：支持双机热备功能，包括主备模式(A/S)，主主模式(A/A) ；
支持VRRP协议；
支持负载均衡模式；
支持连接状态实时监控和系统故障切换，主设备在设备恢复正常情况时抢回主设备状态；
支持配置同步功能；
支持集群或负载均衡功能，如：服务器负载均衡、防火墙负载均衡等。
抗攻击能力：支持联动协议，能够与主流入侵检测产品进行联动；
可以识别并阻断以下攻击行为：
非法报文攻击：land 、Smurf、Pingofdeath、winnuke 、tcp_sscan、ip_option、teardrop、targa3、ipspoof等；
统计型报文攻击：Synflood、Icmpflood、Udpflood、Portscan、ipsweep等；
其他攻击：地址欺骗攻击及其变种（如Fraggle攻击）、cc攻击及其变种、源路由攻击、各种扫描攻击及其变种（如圣诞树攻击）、Dns-query-flood攻击、Stream flood攻击；
端口阻断：可以根据数据包的来源和数据包的特征进行阻断设置；
具备防ARP欺骗解决方案；
能够对数据进行有效过滤，能防止Ping of death、Tear Drop、SYN flood、Land、Smurf等DoS、DDoS 攻击, 有效防止IP 欺骗、源路由攻击、广播风暴等网络攻击；
支持反向地址检查；
支持根据协议或地址，限制连接数目；根据连接数目进行源地址排名；
可实时记录各类攻击日志，能够设置报警；
管理功能：支持中文图形界面的配置方式, 支持图形配置环境下的配置向导，自动生成策略，支持图形化的实时显示防火墙, 可以提供多种方式的管理界面，包括GUI、WEBUI、CONSOLE、SSH、TELNET等；
具备访问控制策略的易用性（包括策略检查、会话整理等）；
支持本地网络和串口双重管理方式，支持远程TELNET、SSH 管理和GUI 集中管理，支持防火墙集中管理；
管理员权限分级，超级用户可自行定义不同权限管理员访问；
支持管理端与防火墙之间通信采用SSH 和SSL 加密保护，支持设定只有特定的地址能够管理防火墙，串口管理员与系统管理员有权限分级功能，管理员多次登陆失败后锁死机制；
支持多用户管理（允许多个管理员同时访问CLI或WEBUI界面），分布部署时能够被集中管理配置；
webui/cli能够完成各类资源对象、安全策略等的配置管理功能，如：本地/远程导入导出备份、批量导入导出备份、部分导出备份等,提供简单方便的配置备份与恢复机制，并且可以恢复到出厂设置；
定期升级,至少支持多种升级方式，如webui、HTTP和命令行等，支持远程、本地手动升级，升级失败不会对历史版本造成影响；
支持SNMP 的v1 、v2 、v2c 、v3 等不同版本，并与金税三期选定用的网络管理平台兼容等；
防火墙系统要支持多种、灵活的身份认证技术，如Radius、数字证书、本地认证等；
监控查询各种网络连接、网关主机设备信息，如：系统资源利用率、网络连接状态监控等；
支持流量统计功能；
支持告警信息分类、分级；当发生安全事件的时候支持以邮件、NETBIOS、声音、SNMP、控制台等方式告警；
提供调试功能，帮助管理员检查、定位和解决问题，调试信息可导出；
支持远程集中管理监控功能，在同一个管理平台下能够对所管理网络中所有的防火墙设备进行管理和监控，提供远程升级和配置变更方法，便于对软件版本和配置变更的管理；
具备三级以上管理功能，报警事件多级上报，策略多级下发。
日志审计功能：日志分级、分类；系统要能够提供多种日志存储方式，可以缓存在设备本地，也可以将日志以专用格式、Syslog等多种日志格式的输出；
具有完善的日志收集、传输、存储、分析、报告等解决方案；
提供专业的日志服务器软件，日志服务器支持分布式管理，通过专用软件能够对日志进行统计分析，能实时图形化的输出系统资源占用率和网络流量，能实时监控和报警，支持邮件等报警方式；
兼容支持第三方安全审计系统，以具备增强的日志分析和审计功能。
安全体系集成要求：提供标准接口，请详细表述；要求承诺免费开发相关接口能与国家税务总局金税三期安全管理平台衔接；
提供相应的MIB库文件、通信规程和编码，要求承诺免费开发相关功能与国家税务总局金税三期安全管理平台衔接；能根据税务系统安全需求，增加对税务系统统一数字证书认证的支持。
其它：提供产品安装配置指导手册、产品维护手册和用户手册，提供所有保证系统正常安装的全部配件，包括线缆、插头等，以构成完整可用系统；
上述指标描述中非特别说明,均要求投标产品具备该功能；
对上述指标中未表述的指标功能,投标人可单独注明投标产品具备的其它功能； 套 22
2 县级UTM 基于X86、多核或更高性能的专用硬件平台技术架构，配备双电源，2U机箱。
支持的LAN接口类型：千兆光口， TX10/100/1000M自适应。支持的最大LAN接口数：≥4个千兆光口≥6个千兆电口。提供LAN接口数：≥2个千兆光口（含多模光纤模块）≥4个千兆电口≥1个10/100/1000M电口（HA口）。
串行配置管理口和远程配置管理口：配备。
最大策略规则数目：800. 最大策略规则数目：≥140万。每秒最大建立连接数：≥2万。吞吐量：≥吞吐量（启用AV+IPS）≥800M bps（1518字节数据包）。
病毒防护性能：≥1000M bps。
IPS性能：≥1000M bps。虚拟系统：≥100。
转发延迟：≤40us。
技术支持与质保服务：提供五年全免费（免上门费、备件费、人工费及相关费用）技术支持与保修服务。
集中管理软件：配备具有对本项目包内同一品牌产品四级（含）以上分布式管理、日志收集和统计、日志审计、远程管理、下发策略及各种报表等功能的集中管理软件
接入方式：支持路由模式、透明模式和混合模式，支持DMZ非军事区，支持基于目的地址控制的路由，支持基于源地址、协议等控制的策略路由。
访问控制：基于状态检测的动态包过滤
支持基于源IP地址、目的IP地址、源端口、目的端口、时间、用户、文件、网址、关键字、邮件地址、脚本、MAC地址等多种方式进行访问控制；
支持对移动代码如Java applet、Active-X、VBScript、Jscript、Javascript的过滤；
支持动态端口支持协议：H.323、SIP、FTP、RTSP、SQL*NET、MMS、TFTP、RPC（msrpc，dcerpc）等；
具备IP/MAC绑定功能，支持IP/MAC地址对的唯一性检查；
支持连接限制策略，可根据IP范围、新建连接数、并发连接数进行限制；可根据服务的并发连接数进行限制
具备抗异常报文如lan、smurf等，抗流量攻击如icmpflood、udpflood等，能够抵御已知攻击的变种行为，能够抵御部分新出现的攻击类型，如CC攻击。
带宽管理：支持根据IP、协议、网络接口、时间等定义带宽分配策略；支持最小保证带宽和最大限制带宽；支持基于主机的带宽管理。
支持与主流IDS产品联动。
病毒防御：防护策略：可根据不同的源IP地址、目的IP地址、服务类型等，定义和实施不同的病毒防御策略，能够隔离用户对病毒、蠕虫、木马的访问。
协议支持：支持HTTP、FTP、POP3、SMTP、IMAP协议中的病毒检测和清除。
支持路由、透明、混合等各种工作模式下的网络病毒检测。
病毒特征库：采用技术成熟、样本丰富、安全可靠、本地化服务能力强的病毒特征库；具有可靠的国内计算机病毒研究队伍或战略合作伙伴，至少具有10万条病毒特征；可以根据用户需求自定义病毒特征。
入侵防御：蠕虫（Worm）防御：能对当前主流的蠕虫做检测与阻断，例如： RedCode、Slammer、sober等。
后门（Backdoor）防御：能对当前主流的Backdoor做检测和阻断，例如： Sub7、 netbus、bandook等。
木马(Trojan)防御 ：能对当前主流的木马做检测和阻断，例如灰鸽子、Storm等。
间谍软件（Spyware）防御：能对当前主流的间谍软件做检测和阻断，例如： IECodec、Spybuddy等。
Web攻击（Web Attack ）防御：能对当前主流的 Web攻击做检测和阻断，例如： CGI、 UniCode等。
拒绝服务（DOS/DDOS）防御：能对当前主流的拒绝服务攻击做检测和阻断，例如： ARP攻击、 UDP Flooding、SYN Flooding等。
防御策略：可根据不同的源IP地址、目的IP地址、服务等，采用不同的入侵防御策略，能够防止针对用户系统漏洞的入侵攻击。
入侵防御特征库：具有不少于2000种攻击特征；可以根据用户需求自行设置攻击规则；能对其他有害攻击行为做检测和阻断。
主动防护：主动病毒防护：能够主动隔离用户对病毒、蠕虫、木马的访问。
主动入侵防护：能够主动发现用户网络中的漏洞，在入侵发起前防止被攻击。
内容过滤：具有完全内容检测技术；
应用识别规则库的应用数量大于等于600，规则数量大于等于800；
支持多种过滤方式如：流过滤
支持对HTTP、SMTP、POP3、FTP等协议的深度内容过滤，支持URL、DNS、关键字过滤；
支持P2P应用限制：可限制BT，eMule、eDonkey，迅雷等；
支持基于动态域名、IP地址、服务端口、IP协议、用户、时间、等的状态包过滤。
网络地址转换：具备完善的地址转换能力，可以支持正向、反向地址/端口转换、双向地址转换等，能够提供完整的地址转换解决方案；
支持双向NAT功能，支持一对多、多对多的地址转换方式，支持动态地址转换、静态地址转换；
其他NAT应用：如各种NAT穿越、虚拟服务器NAT转换。
路由功能和协议支持：支持静态和动态路由，动态路由至少包括：RIP、RIPII和OSPF动态路由协议；静态路由协议支持基于源地址、目的地址、METRIC值、网络接口的路由；
支持基于接口、VLAN等的虚拟UTM。
支持多种动态端口协议和特殊应用协议（如有特殊需求要能够定制开发），如支持H.323视频穿越，支持OSPF、RIP、RIPII等动态路由协议；
支持常见组播协议及应用（至少在透明模式下），如IGMP snooping等，可有效实现视频会议、IP电话等网络增值应用；
支持多种网络拓扑结构和VLAN Trunk环境的网络应用，如802.1Q穿越（封装和解封）
支持生成树协议；
支持SNTP协议，能够与NTP服务器时钟同步；
支持IPX、NetBEUI等非IP协议；
支持会话超时保护，如数据库长时间连接，telnet会话长连接，ftp长连接，具备对长连接的解决方案；
支持数据包分片重组；
支持DHCP SERVER/CLIENT/RELAY功能；
链路备份聚合和端口联动：支持链路备份功能，可以在用户的多条网络出口之间进行自动的切换
支持链路聚合功能，可以将多条物理链路聚合成一条带宽更高的逻辑链路使用；
支持上下行端口联动，当其中一个端口失效时另一个端口可以检测出故障并进行状态同步。
双机热备和负载均衡：支持双机热备功能，包括主备模式（A/S），主主模式（A/A）；
支持VRRP协议；
支持负载均衡模式；
支持连接状态实时监控和系统故障切换，主设备在设备恢复正常时抢回主设备状态；
支持配置同步功能；
支持集群或负载均衡功能，如：服务器负载均衡、防火墙负载均衡等。
抗攻击能力：可以识别并阻断以下攻击行为：
非法报文攻击：land、Smurf、Pingofdeath、winnuke、tcp_sscan、ip_option、teardrop、targa3、ipsnoof等；
统计型报文攻击：synflood、Icmpflood、Udpflood、Portscan、ipsweep等；
其他攻击：地址欺骗攻击及其变种（如Fraggle攻击）、cc攻击及其变种、源路由攻击、各种扫描攻击及其变种（如圣诞树攻击）、Dns-query-flood攻击、Stream flood攻击；
端口阻断：可以根据数据包的来源和数据包的特征进行阻断设置；
具备防ARP欺骗解决方案；
能够对数据进行有效过滤，能防止Ping of death、Tear Drop、SYN flood、Land、Smurf等DoS、DDoS攻击，有效防止IP欺骗、源路由攻击、广播风暴等网络攻击；
支持反向地址检查；
支持根据协议或地址，限制连接数目；根据连接数目进行源地址排名；
可实时记录各类攻击日志，能够设置报警；
管理功能：支持中文图形界面的配置方式，支持图形配置环境下的配置向导，自动生成策略，支持图形化的实时显示防火墙，提供多种方式的管理界面，包括GUI或WEBUI、CONSOLE、SSH等；
具备访问控制策略的易用性（包括策略检查、会话整理等）；
支持本地网络和串口双重管理方式，支持远程TELNET、SSH管理和GUI集中管理，支持防火墙集中管理；
管理员权限分级，超级用户可自行定义不同权限管理员访问；
支持管理端与防火墙之间通信采用SSH和SSL加密保护，支持设定只有特定的地址能够管理防火墙，串口管理员与系统管理员有权限分级功能，管理员多次登陆失败后锁死机制；
支持多用户管理（允许多个管理员同时访问CLI或WEBUI界面），分布部署是能够被集中管理配置；
Webui/cli能够完成各类资源对象、安全策略等的配置管理功能，如：本地/远程导入导出备份、批量导入导出备份、部分导入导出备份等，提供简单方便的配置备份与恢复机制，并且可以恢复到出厂设置；
定期升级，至少支持多种升级方式，如webui、HTTP和命令行等，支持远程、本地手动升级，升级失败不会对历史版本造成影响；
支持SNMP的v1、v2、v2c、v3等不同版本，并与当金税三期选用的网络管理平台兼容等；
防火墙系统要支持多种、灵活的身份认证技术，至少包括Radius/LDAP/USB-KEY/数字证书/本地认证等，以实现双因素认证的功能；
监控查询各种网络连接、网关主机设备信息，如：系统资源利用率、网络连接状态监控；
支持流量统计功能；
支持告警信息分类、分级；当发生安全事件的时候支持以邮件、NETBIOS、声音、SNMP、控制台等方式告警；
提供调试功能，帮助管理员检查、定位和解决问题，调试信息可导出；
支持远程集中管理监控功能，在同一个管理平台下能够对所管理网络中所有的防火墙设备进行管理和监控，提供远程升级和配置变更方法，便于对软件版本和配置变更的管理；
具备四级管理功能，报警事件多级上报，策略多级下发。
日志审计功能：日志分级、分类；系统要能够提供多种日志存储方式，可以缓存在设备本地，也可以将日志以专用格式、Syslog等多种日志格式输出；
具有完善的日志收集、传输、存储、分析、报告等解决方案；
提供专业的日志服务器软件，日志服务器支持分布式管理，通过专有软件能够对日志进行统计分析，能实时图形化输出系统资源占用率和网络流量，能实时监控和报警，支持邮件等报警方式；
兼容支持第三方安全审计系统，以具备增强的日志分析和审计功能。
安全体系集成要求：提供标准接口；
提供相应的MIB库文件、通信规程和编码，要求承诺免费开发相关功能与金税三期国家税务总局安全管理平台衔接；
能根据税务系统安全需求，增加对税务系统统一数字证书认证的支持。
特征服务：支持病毒特征升级服务，日常病毒特征升级周期小于7天，紧急病毒特征定制服务小于3天；支持入侵防御特征升级服务，日常入侵防御特征升级周期小于7天；支持URL分类、垃圾邮件特征库升级。以上两项服务时间为5年
其它：提供产品安装配置指导手册、产品维护手册和用户手册，提供所有保证系统正常安装的全部配件，包括线缆、插头等，以构成完整的可用系统；上述指标描述中非特别说明，均要求投标产品具备该功能； 套 160

　　附件二：采购项目采购需求修改建议(格式)

关于山西地税系统金税三期广域网改造安全体系建设采购项目采购需求
修改建议


序号 条款号 本项目商务、技术需求中的
参数或要求
（请详细标明该内容及该内容在项目需求书中的页码、行数） 修改理由或建议
（请明确说明）

单 位:(盖章)
法人代表:(签字)
联系方式：
日　　期：