乌兰浩特市政府办公室网上封闭询价公告

乌兰浩特市政府采购中心受市政府办公室的委托，对所需网络安全设备进行网上封闭询价。现邀请合格的投标人前来投标。

采购项目名称、内容：

序号
品牌名称
型号及参数
数量

1
网神SecSSL3600安全接入网关系统
型号：X1500-U003P

（一）性能指标

1、平台架构：

硬件架构采用先进的多核处理器，操作系统采用专用多核并行安全操作系统软件架 构，提供国家版权局多核并行安全操作系统著作权证书加盖厂商公章。

2、SSL VPN性能参数：

（1）SSL VPN 加密速度≥280Mbps

（2）SSL VPN最大用户数≥300，本次配置50用户许可

（3）SSL VPN每秒新建用户数≥160次。

3、IPsec VPN性能参数：IPsec VPN加密速度≥48M/ IPsec VPN隧道数≥1200。

4、防火墙：吞吐量≥250Mbps/最大并发会话数≥90万。

5、网络接口：6个10/100M/1000M自适应RJ-45接口。

6、资质要求：

（1）原厂商授权文件原件

（2）公安部销售许可证（三级）复印件

（3）多核并行安全操作系统著作权登记证书复印件

（4）SSL VPN IPV6 Ready金牌认证证书复印件

（5）要求具备SSL VPN产品《商用密码产品型号证书》复印件，证书上必须明确标明为SSL VPN类型产品

（6）北京市自主创新产品证书复印件

（7）国家信息安全测评中心-信息技术产品安全测评证书复印件

（8）涉密系统集成甲级资质证书复印件

（9）微软MAPP合作伙伴证明复印件。

（二）功能指标

1、IPv6支持:

(1) 网络接口地址配置支持IPv6地址。

(2) 网络路由地址配置支持IPv6地址。

(3)支持IPv4与IPv6地址的相互映射。

(4)双机能够在IPv6环境下进行HA组网工作，浮动IP地址支持IPv6。

(5)支持应用服务器使用IPv4或者IPv6地址作为访问地址；网关能够同时支持对IPv4以及IPv6应用服务器的访问。

(6) 支持客户端采用v6客户端地址连接网关IPv6地址进行代理模式访问。

(7) 支持AD/LDAP/Radius/PKI/HTTP认证服务器采用IPv6地址。

2、完整性支持:

(1)支持IPSec VPN和SSLVPN两种VPN协议，是SSL VPN和IPSec VPN二合一产品

(2) 支持对基于TCP、UDP、ICMP的所有B/S、C/S应用系统的支持，例如视频、oa系统、Transroute等，无需安装插件访问B/S应用；

(3) 支持终端使用Win7、win7 64位、Mac、Linux等操作系统登录，保证登录后能够正常访问SSL VPN发布的服务

(4)支持IE6/7/8/9、火狐浏览器、360浏览器、谷歌chrome等浏览器登录，登录后能够正常访问SSLVPN发布的服务

(5) 语言支持中、英、繁。

(6) 支持配置向导功能，用户能够按照配置向导一步一步的操作，向导结束用户能够完成账号建立、服务发布、正常访问。

(7) 支持动态域名解析，支持希网、花生壳动态域名设置

(8) 支持预防syn flood攻击，忽略icmp回显请求（不能被ping）

(9) 支持通过代理服务器连接，支持标准的http和socks4/5代理协议。

3、SSL VPN功能:

（1）Web文件共享功能，用户登录SSL VPN后无可以通过Web界面访问后台的共享文件服务器， 文件共享服务器支持ftp服务器、Windows 文件共享服务，用户通过Web界面能够进行文件、文件夹的浏览、新建、下载、上传、删除、重命名操作。并且用户的上传、下载有日志记录，日志记录中记录上传、下载的文件名，创建、删除、重命名文件/文件夹时需记录原有文件/文件夹名称与新文件/文件夹名称。

（2）支持自定义用户登录界面、登录后的页面以及管理页面，能够上传自定logo、应用图标，服务资源列表能够不同的显示方式。

（3）支持B/S和C/S的应用支持单点登录（SSO），并提供加密认证功能。访问多个应用，只须输入一次密码，支持针对不同的访问资源设定不同的SSO用户名和密码。

(4) 支持自动跳转功能，用户登录后自动弹出默认的应用界面

(5) 支持SSL VPN客户端的方式，用户能够设置开机自启动、创建桌面快捷方式

(6) 支持虚拟门户功能，能够按照不同的用户组来定义不同的虚拟门户，不同的虚拟门户登录界面、访问地址均可以不同。用户通过不同URL登入会获取不同的登入界面，并且每个登入界面可定制。

(7) 支持在域环境下发布ssl客户端控件，并提供MSI包。

(8) 支持远程备份，可将配置发送到远端服务器，并且支持单独配置备份，即只备份自己想备份的配置，如只备份用户信息。

(9) 支持客户端安全性检查，可以检测客户端进程、文件、注册表、服务、模块、端口、mac地址、系统补丁、操作系统等信息，并且能够检查用户是否安装杀毒软件和防火墙，判断杀毒软件病毒库是否过期，凡是不符合检查规则的，均不允许用户登录访问。

(10) 可设置用户或用户组允许/禁止登录，用户信息可以包括真实姓名、描述、email、手机号信息。

(11) 支持批量导入中文用户，导入用户可支持真实姓名、描述、email、手机号等描述信息。

(12) 管理员可以在用户界面配置办公室电脑MAC地址，用户登陆后，点击唤醒电脑列表中对应的按钮可以远程唤醒电脑, 每个用户帐号可以有多个远程唤醒电脑。

(13) 支持客户端注销后自动清除所有缓存、Cookies、浏览器历史记录、保存的表单信息，实现零痕迹访问。

(14) 支持上网隔离功能，用户只能通过SSL 隧道访问网络，断开其它一切网络连接

(15) 支持更细化的用户权限功能，可以对访问的服务的IP地址、域名、端口、应用、URL地址等进行权限控制。

(16) 能够实现SSL VPN账号与应用系统账号的唯一绑定，VPN资源中的系统只能以指定账号登陆，加强身份认证，防止登录SSL VPN后冒名登录应用系统。（也可以解除绑定）

(17) 支持用户资源列表自主排序、分组、资源隐藏

(18) 认证方式支持本地认证、USBKey、短信认证、指纹认证、邮箱认证、证书认证、动态口令认证、LDAP认证、windows AD认证、RADIUS认证，并且支持支持本地用户名密码、证书认证、第三方证书、LDAP、短信认证、指纹认证、邮箱认证之间的“与”的认证。可实现USBKey认证、LDAP认证、硬件特征码等多种因子绑定认证。

（19）支持硬件特征码绑定，支持硬盘序列号、MAC地址绑定，特征码信息无需用户手动设置输入可自动生成，支持用户拥有多个硬件特征码信息。用户可自己设定取消绑定，并可以重新绑定，而且可设置重新绑定的时间间隔。支持硬件特征码批量导入导出。

（20）支持LDAP认证，可自定义将LDAP中制定的组织单元，用户组导入SSL VPN中进行授权认证，支持与LDAP实时建立联系，保证用户数据更新，并且能够根据用户的属性进行过滤导入，实现权限分离。支持采用LDAP加本地用户名密码双因子认证，支持后台用户名与LDAP用户名密码保持一一对应。

（21）支持RADIUS认证，管理员可定义的Radius 属性组与系统中其他组一样作为授权对象，可实时与RADIUS建立联系，保证用户数据更新，支持RADIUS双机，保证认证的高可用性。

（22）支持短信访问授权功能，用户登录时，向授权人发送授权短信；授权人需要在一定时间内回复是否同意授权，可以指定授权策略，每一条策略可设置授权人帐号、多个远程接入用户组、授权有效期（一天、一周、单次登录）、授权回复超时时间，用户授权失败或者授权人超时没有授权，用户可以重新登录发起授权，两次授权之间没有依赖关系。

（23）支持自带CA认证中心，可签发证书，注销证书，支持本地证书批量转换成证书用户，实现用户名密码+证书双因子认证，这样以方便签发证书；支持与第三方CA中心结合认证，能支持第三方CA的证书格式：der、base64编码的crt、cer、p7b、p12、pfx方式，支持第三方的CRL。

（24）支持用户无需认证即可登录SSL VPN，访问服务。前台页面有到匿名访问页面和正常授权访问的链接。

（25）支持用户登录使用验证码，支持软键盘认证，支持用户登录防暴力破解，能够设置用户登录失败次数，用户登录失败会自动锁定，管理员可设定锁定时间，管理员也可手动设置用户被锁定，可设置锁定时间周期。

（26）支持http和ftp的内容过滤，支持对http、ftp的访问内容进行控制。

（27）支持多ISP接入，并可根据带宽高低智能选路；并且支持一个域名对应多个IP，客户端可根据延迟大小选择IP地址进行访问。

（28）支持用户注册审批和证书注册审批，用户可在前台页面注册用户或证书，经过管理员审批后，能以邮件形式通知用户注册成功。用户即可用自己的申请的用户和证书进行登录访问。

（29）可单独对每个应用进行负载 均衡，应用服务后端由多个服务器提供，多个服务为功能对等的业务服务器，可以实现对此应用负载均衡

（30）管理员可分为状态管理员，系统配置管理员，VPN管理员，应用安全管理员，防火墙管理员，IPsec管理员,日志管理员，系统维护管理员，创建管理员可以为其分配相应的管理员权限。

（31）支持组管理员， 组管理员由系统管理员设定。组管理员可以进到配置端查看组信息，可以基于此组建立第二级的子组，可选择用户，选择主机绑定策略；设置终端安全策略；设置隧道控制策略；设置访问控制策略。

（32）支持基于用户、用户组分配虚拟IP，并且支持虚拟IP绑定功能。

（33）支持基于SNMPv2 or v3的设备发现,支持SNMP标准MIB，提供设备状态信息。

（34）支持流量控制功能，可以对组设置流量控制策略，策略中包括：组、服务信息，可以选择多个组，多个服务，流量大小，周期类型包含：天，周，月。

（35）支持系统实时监控功能，CPU、内存使用率用动态曲线图表示; 使用折线图显示。保证30秒自动刷新；要求以图表的形式实时动态显示vpn的上行和下行流量，使用折线图显示，保证30秒自动刷新；要求以图表形式实时动态显示线路状态，包括线路IP，发送和接受流速，使用折线图显示，保证30秒自动刷新；要求以图表形式实时动态显示网络吞吐，使用折线图显示，保证30秒自动刷新；要求以图表形式实时动态显示并发用户数，使用折线图显示，保证30秒自动刷新；要求以图表形式实时动态显示并发会话数，使用折线图显示，保证30秒自动刷新。

（36）能显示在线用户列表，并能把在线用户以列表形式导出，可以导出为txt、HTML文件。

（37）支持显示各模块日志信息，包括SSL VPN、IPSec VPN、防火墙、应用安全、入侵防御等模块；可以用柱型图比较系统日志等级的数量，可以查看用户登录日志和资源访问日志，用户日志可以按照年、月、日、类型查询；支持独立日志中心，可提供在win7环境下运行的日志中心软件。

（38）支持安全桌面功能，安全桌面下禁止通过与默认桌面通信、互联网通信等方式将受保护资源的数据在本机保存或泄漏。用户退出SSL VPN后，安全桌面内所有资源交互数据将被销毁，防止数据在终端上的泄漏，保证重要应用在终端访问的安全性。

（39）支持整体配置备份和单独配置备份，支持设置备份文件密码，保护配置不被非法使用。

4、应用安全：

（1）支持入侵检测功能，能够检测网络中出现的攻击行为；具备检测结果的日志，提供特征库的更新功能。

（2）支持Web防火墙功能，系统能够内置一些Web攻击检测的规则，允许管理配置Web攻击检测规则。

5、防火墙功能

（1）支持路由模式和桥模式

（2）支持服务对象定义，可以向系统中添加防火墙需要管理的服务；支持IP对象的定义，每个IP组对象可以为：IP地址段、IP子网、单个IP地址；

（3）支持带宽管理，能够针对IP、IP组设置带宽上限，针对五元组设置带宽管理策略。

（4）支持IP\MAC绑定功能

（5）支持过滤规则的管理，能够定义多条过滤规则，可以引用已经定义的IP对象、服务对象。

（6）支持用户上网权限认证，包括支持用户上网接入认证；能够对未认证用户提供Portal认证页面；对防火墙认证用户支持本地认证；认证帐号具有退出功能和超时退出功能；支持计费功能。

（7）应用过滤，禁止某些应用程序使用，如QQ、BIT、pplive等

（8）支持应用防火墙功能，包括能够设置URL、应用的黑白名单；能记录用户访问Http、邮件、QQ等信息；

6、IPsec功能

（1）能够实现端到端的互联，能够配置多条设备之间互联的IPsec/IKE策略，在设备与设备建立的端到端隧道上能够实现局域网之间通过路由进行通信

（2）支持远程拨号功能，支持远程用户通过L2PT/PPTP客户端拨号接入VPN，能够同时支持多个用户同时采用L2TP客户端拨号接入VPN。

（3）支持iphone、ipad、android智能手机通过L2TP加密通道接入网关，并访问远程服务。

（4）能在IPsec隧道中传输组播数据

（5）VPN设备能够为IKE协议生成证书，并能够导出本端证书；在配置IPSEC/IKE策略时可以指定远端证书

1台

2
华为交换机S5700S-28P-LI-AC
华为S5700S-28P-LI-AC（28口）
1 台

3
华为路由器HG232f
华为HG232f
2 台

4
TP-LINK路由器

TL-WVR450G
TL-WVR450G
2 台

5
三星平板电脑N8000
1.4G四核/2G RAM/16G ROM/3G/原装皮套
1 台

竞价人资质要求：具有独立法人资格，符合《采购法》第二十二条规定。

供应商报价要求：供应商报价要和采购单位技术要求一致，报价包含税金、运输、安装、调试等所有费用。

付款方式：验收合格后一次性支付。

供货时间：合同签订之日七天内供货。

竞价文件报送方式：进入乌兰浩特市政府采购网封闭询价系统报价。投标价格栏内填写采购商品总计价格，备注栏内填写采购商品品牌、型号（须自行填报）、配置、技术参数（且技术参数与采购单位要求一致）数量、单价、合计。

竞价截止时间：2013年5月20日上午10:30

联系人：高鑫 金鑫

联系电话及传真号：0482—*******

乌兰浩特市政府采购中心