下一代防火墙★一、硬件要求：2U标准机架式，6千兆电口+4千兆光口SFP；2个USB2.0接口，1个console接口，1个MGT管理口，2个扩展插槽（支持千兆或者万兆光口）。★二、性能要求：防火墙吞吐量≥ 15Gbps；每秒新建连接数≥50 万。三、功能要求：1.支持双系统引导，并可配置主、备系统的启动顺序；2.采用模块化设计，支持SSLVPN、反垃圾邮件、WAF、集中管理等功能；3.★内置IPS特征库、应用特征库、URL特征库、病毒特征库、WAF特征库、垃圾邮件规则库、僵尸网络识别库、数据防泄漏防护库、IP信誉库等，可在线/离线升级（提供产品界面截图并加盖原厂公章）；支持CDMA2000和WCDMA协议下的3G功能(提供产品界面截图并加盖原厂公章)；4.支持虚拟防火墙功能，最大支持254个虚拟防火墙；5.支持本地认证、Radius认证、Tacacs认证、AD域认证、POP认证、LDAP认证等，同时支持短信认证及802.1x认证（提供产品界面截图并加盖原厂公章）；6.支持可疑网络行为、尝试侦查行为、用户尝试攻击、RPC攻击、SHELL Code攻击、协议解析攻击、MISC攻击等攻击防御；支持平行扫描和垂直扫描两种端口扫描方式（提供产品界面截图并加盖原厂公章）；支持僵尸网络检测（提供产品界面截图并加盖原厂公章）；7.内置26大类2000多种应用识别，包括基本服务、HTTP、视频、P2P、流媒体、网络游戏、即时通讯、股票、网上银行、网络电话、网络存储、网页邮箱、软件更新、远程控制、网络货币、网上支付、生活服务、新闻媒体、社交通讯、旅游、贷款等；支持自定义添加应用规则；支持限速、会话限制、阻断、警告等多种应用管控方式（提供产品界面截图并加盖原厂公章）；8.支持双机热备和负载均衡；端口聚合：防火墙多个接口可以设置为聚合口，起到链路备份的功能；支持双ISP出口热备：当一个出口线路出现故障，系统可以把网络数据流切换到运行状态良好的另一个接口和路由上；9.支持基于网络、行为、业务及用户的流量控制；支持设置线路优先级、保障带宽和最大带宽；10.支持应用风险系数、Top高风险应用、应用类型排行、应用流速趋势、Top应用、接口流量监控、最新威胁列表、最新流量排行、服务器安全、Top安全策略等模块实时监控；支持资产风险态势展现，支持内网资产IP地址、风险等级查看（提供产品界面截图并加盖原厂公章）；支持威胁态势感知展现,包括威胁攻击地图、威胁类型排行、影响IP排行、威胁趋势和最新威胁列表（提供产品界面截图并加盖原厂公章）；11.系统提供实用的网络诊断工具，包括ping、traceroute、dns及抓包工具；支持远程集中监控管理功能：支持远程集中管理监控功能，在同一个管理平台下能够对所管理的网络中的防火墙设备进行管理和监控，提供远程升级和统一策略下发

内、外网网闸一、系统架构：产品采用“2+1”（即双主机系统+物理隔离数据通道控制系统）体系结构；通过嵌入式数据通道控制系统隔离外部网络，而不是采用DMA、SCSI、网卡等方式实现；采用特有控制逻辑和专用通讯协议完全控制数据的实时交换，确保可信网络（域）和非可信网络（域）之间任何连接的断开，彻底阻断TCP/IP协议及其他网络协议。 二、系统要求：支持双系统引导，通过管理平台控制系统启动顺序，当前系统出现异常时，自动切换到备份系统，并支持系统相互备份和自动还原功能（投标时提供功能截图）。三、物理参数：2U机架式EIA RS-310C标准机箱，高强度钢结构机箱，标配单电源，支持扩展冗余电源；四、接口配置：1.内网机：3个10/100/1000M BASE-T接口（包含1个HA口），2个USB接口， 1个console接口；2.外网机：3个10/100/1000M BASE-T接口（包含1个HA口），2个USB接口， 1个console接口；五、性能：吞吐量≥500 Mbps；最大并发连接数≥100,000；MTBF≥50,000小时；系统延时< 1μs；★六、系统监控：带液晶屏，液晶菜单可显示内外网机IP地址、CPU使用率和内存使用率等整机信息，面板可操控整机复位、关机等功能；（投标时必须提供物理结构图和功能图） 七、文件同步：1.文件同步支持FTP、SMB、NFS等文件传输协议，可以实现内网到外网、外网到内网、双向的文件传输；支持文件传输方向可控，实现单向或双向传输；2.支持对同步的文件进行病毒检测；（投标时提供功能截图）3.支持对传输文件的文件名检测机制；支持对文件类型的黑白名单控制，根据文件格式特征进行过滤，并且不依赖于文件扩展名；支持文件扩展名自定义功能；★支持对文件内容智能语义分析，对指定文件的内容关键字过滤，确保只有符合保密、安全策略的数据文件才允许被同步（投标时提供功能截图）；八、安全浏览：1.支持HTTP五种请求类型（GET/POST/PUT/HEAD/CONNECT）的黑白名单控制；支持HTTPS网络传输；2.支持代理模式；支持URL地址过滤；（投标时提供功能截图）支持关键字网页过滤；支持对下载文件的大小、类型过滤； 九、邮件传输：1.支持病毒扫描功能；支持基于SMTP协议的邮件发送和POP3协议的邮件接收，内外网隔离环境下可实现邮件收、发；2.支持发送邮件控制策略，如允许/禁止发送到指定邮箱。支持接收邮件控制策略，如允许/禁止从指定的邮件服务器接收邮件。3.支持邮件传输过滤控制；支持附件大小控制、支持字符/字符串过滤、支持邮件地址过滤；（投标时提供功能截图）十、防病毒：支持病毒检测：对文件交换进行病毒检测和过滤；支持病毒库升级；（投标时提供功能截图）★十一、入侵检测：具有实时入侵检测机制；支持对BasicAttack、 SMTP、FTP、DNS、DOS/DDOS 攻击、PortScan 的检测；（投标时提供功能截图）十二、安全管理：1.支持CPU、内存、硬盘状态实时监控；支持HTTPS的Web方式管理，实现了远程管理信息加密传输；支持命令行方式管理，可以通过命令方式进行资源分配、排错、查看日志、深层次管理；支持远程SSH管理，远程管理的信息以密文形式传输；（投标时提供功能截图）；2.必须通过内网主机系统来管理和配置网闸，而不是采用低安全的管理方式，如采用内外网口分别管理和配置网闸；系统登录界面采用USBkey和用户名与密码双因子进行认证；（投标时提供功能截图）；3.系统采用系统管理员、保密管理员、日志审计管理员三权分立的管理模式；十三、防爆力破解限制：支持时间控制管理，可设置多个时间点来控制网闸网络服务的启动、终止；支持系统防爆处理，对管理员登陆有密码次数限制，密码输入错误，超过限定次数，自动锁定设备，阻止非法管理员再次登录。根据限定期限，可自动解除锁定；（投标时提供功能截图）十四、安全通道：支持映射模式、网关模式、网桥模式，管理员可依据实际网络状况进行相应的部署。支持网络地址转换功能，具备源地址转换功能，支持虚拟IP技术，可对外部隐藏内网真实地址。（投标时提供功能截图）十五、高可用：1.支持多网口链路聚合，实现内网网口和外网网口链路备份，分发策略支持Layer2、Layer2+3、Layer3+4；（投标时提供功能截图）2.支持配置同步；通过独立的热备端口或普通业务端口实现双机热备（投标时提供功能截图）；负载均衡功能，支持至少四种业务的负载均衡，包括数据库同步负载均衡、FTP同步负载均、文件共享同步负载均衡、路由映射负载均衡等。（投标时提供功能截图）十六、备份和恢复：支持备份和恢复功能，能对系统的各业务模块、通信配置分别等进行备份和恢复。（投标时提供功能截图）★十七、告警管理：支持对管理员的操作、FTP同步、文件共享同步、数据库同步等进行实时的告警，告警信息可 显示告警级别、详细告警事件、备注信息、创建时间等，可以删除及批量删除历史过期的告警信息；★十八、系统检测：系统支持自动检测、周期性检测，可下载自动产测报告、周期性检测结果、messages。（投标时提供功能截图）

服务器汇聚管理交换机1、24个千兆电口，24个10G SFP+万兆光口，2个40GE QSFP+光口；2、交换容量≥2.56TB线速转发；3、支持全端口线速转发；支持NAC统一管理、统一查看状态、VLAN等配置管理；4、支持终端识别、终端准入、安全防护及安全画像可视；支持胖瘦一体化；5、支持双电源模块，默认 1个150W可插拔AC交流电源，并预留一个扩展可插拔电源槽位；

二级等保评测2.4.1、技术规范2.4.1.1、测评原则等级保护测评实施方案设计与具体实施应满足以下原则：1.保密性原则：投标人应与采购人签订等级保护测评保密协议，对测评的过程数据和结果数据严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据侵害采购人的权益，否则采购人有权追究投标人的责任。2.标准性原则：测评方案的设计与实施应依据国家等级保护的相关标准进行。3.规范性原则：投标人工作中的过程和文档，应具有规范性，便于项目跟踪和控制。4.可控性原则：测评服务的进度应符合进度安排，保证采购人对测评工作的可控性。5.整体性原则：测评的范围和内容应系统、全面、规范，满足国家等级保护相关基本要求。6.最小影响原则：技术测评工作应尽可能小的影响在线系统和网络的正常运行，不能对现有运行系统造成影响。在线测评应在采购方许可的条件下进行。2.4.1.2、实施要求投标人应详细描述等级保护测评的整体实施方案，包括项目概述、等保测评方案、项目实施方案、时间安排、阶段性文档提交和验收标准等。投标人应详细描述测评人员的组成、资质及各自职责的划分。投标人应配置经验丰富的测评人员进行等级保护测评工作。为顺利完成本次项目，投标方应具有完善的项目和质量管理体系，按照计划推动项目工作，并确保项目过程规范以及项目过程文档完整。测评方法测评方法包括访谈、检查和测试三种方法，可细化为文档审查、配置检查、工具测试和实地察看等多种方法。如需在等级保护测评实施过程中采用在线测评工具的，各种工具软件由投标人推荐，经采购人确认后由投标人提供并在测评中使用。应详细描述所使用的安全测评工具（软硬件型号、功能和性能描述）、使用的方式和时间、对环境和平台的要求以及使用可能对系统造成的风险等。测评流程信息系统安全等级保护测评流程分为四个阶段：测评准备阶段、方案编制阶段、现场测评阶段、分析与报告编制阶段。风险控制测评工作本身也会引入安全风险，必须加强测评过程中的风险控制。测评实施前，双方应充分讨论并明确测评对系统可能带来的风险和隐患，确定测评对象、测评方法和工具，并制定应急恢复措施。（1）操作的申请和监护测评操作必须遵守现场运行规章制度，确保系统安全稳定运行。如需在线测试，按照相关工作规程，事前申请，并在专责人员的指导和监护下进行。（2）人员与数据管理重视测评保密工作，加强测评过程中的保密管理，确保参与测评工作人员的可靠、稳定，防止敏感信息泄漏。（3）测评对象选择优先选择备用设备（系统）或临时搭建的模拟环境进行测评，避免影响在线系统运行。（4）制定应急预案根据被测评系统情况，在测评实施前制定应急预案，加强系统在线应急处置能力。2.4.1.3、项目工作内容测评工作内容根据国家等级保护相关标准，信息系统的安全等级保护测评应包括以下内容：对本项目包含系统按国家相应标准进行等级保护测评工作，包括技术上的安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等层面和管理上的安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等十个方面的内容，在与深入沟通的基础上，综合采用访问控制、入侵防御、恶意代码法防范、安全审计、防病毒、传输加密、集中数据备份等多种技术和措施，保证业务应用的可用性、完整性和保密性保护的基础上，实现综合集中的安全管理，并充分考虑各种技术的组合和功能的互补性，合理利用措施，从外到内形成一个纵深的安全防御体系报告，保障系统整体的安全保护能力。(一)安全物理环境物理安全测评将通过访谈、文档审查和实地察看的方式测评系统的物理安全保障情况。主要涉及对象为信息中心机房。在内容上，安全物理环境层面测评包含不限于如下表所示实施过程涉及10个测评单元。1.物理位置选择：机房场地应选择在具有防震、防风和防雨等能力的建筑内;机房场地应避免设在建筑物的顶层或地下室，否则应加强防水和防潮措施。 2.物理访问控制：机房出入口应配置电子门禁系统，控制、鉴别和记录进入的人员。3.防盗窃和防破坏：应将设备或主要部件进行固定，并设置明显的不易除去的标识;应将通信线缆铺设在隐蔽安全处;4.防雷击：应将各类机柜、设施和设备等通过接地系统安全接地；5.防火：机房应设置火灾自动消除系统，能够自动检测火情、自动报警，并自动灭火；机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料；6.防水和防潮：应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透;应采取措施防止机房内水蒸气结露和地下积水的转移与渗透;7.防静电：应采用防静电地板或地面并采用必要的接地防静电措施；8.温湿度控制：应设置温湿度自动调节设施，使机房温湿度的变化在设备运行所允许的范围之内。9.电力供应：应在机房供电线路上配置稳压器和过电压防护设备；应提供短期的备用电力供应，至少满足设备在断电情况下的正常运行要求；10.电磁防护：电源线和通信线缆应隔离铺设，避免互相干扰；(二)安全通信网络安全通信涉及的测评对象包括：系统网络结构，通信传输完整性，可信验证的检测和防范。网络安全测评所对应生成的检查记录表包括：系统网络结构安全核查记录、通信传输完整性安全核查记录、可信验证安全核查记录。在内容上，安全通信网络层面测评包含不限于如下表实施过程涉及3个测评单元。1.要求项：应划分不同的网络区域，并按照方便管理和控制的原则为各网络区域分配地址；应避免将重要网络区域部署在边界处，重要网络区域与其他网络区域之间应采取可靠的技术隔离手段；2.通信传输：应采用校验技术或密码技术保证通信过程中数据的完整性；3.可信验证：可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证，并在应用程序的关键执行环节进行动态可信验证，在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心。(三)安全区域边界安全区域边界测评对象包括接入边界防护情况，访问控制情况，入侵防范情况，恶意代码防范情况，安全审计情况，可信验证情况。 在内容上，安全区域边界层面测评包含不限于如下表实施过程涉及6个测评单元。1.边界防护：应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信；2.访问控制：应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下除允许通信外受控接口拒绝所有通信；应删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最小化；应对源地址、目的地址、源端口、目的端口和协议等进行检查，以允许/拒绝数据包进出；3.入侵防范：应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为;4.恶意代码和垃圾邮件防范：应在关键网络节点处对恶意代码进行检测和清除，并维护恶意代码防护机制的升级和更新;5.安全审计：应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等；6.可信验证：可基千可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证，并在应用程序的关键执行环节进行动态可信验证，在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心。(四)安全计算环境安全计算环境是针对身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护的情况进行检查。在内容上，安全计算环境层面测评包含不限于如下表实施过程涉及10个测评单元。1.身份鉴别：应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换；应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施；当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听；2.访问控制：应对登录的用户分配账户和权限；应重命名或删除默认账户，修改默认账户的默认口令；应及时删除或停用多余的、过期的账户，避免共享账户的存在；应授予管理用户所需的最小权限，实现管理用户的权限分离；3.安全审计：应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等；4.入侵防范：应遵循最小安装的原则，仅安装需要的组件和应用程序；应关闭不需要的系统服务、默认共享和高危端口；应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制；应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求；应能发现可能存在的已知浦洞，并在经过充分测试评估后，及时修补漏洞；5.恶意代码防范：应安装防恶意代码软件或配置具有相应功能的软件，并定期进行升级和更新防恶意代码库。▲因字数限制，其他参数要求详见图片。

机房整改1、防雷接地铜排均压环30mm*3mm20米；2、防雷地板支架接地线BVR-16mm250米；3、摄像头两个200像素包括支架2个；4、硬盘录像机带4T硬盘及POE交换机1套；5、机房门禁系统1套；6、应急照明灯1个；7、照明灯盘及灯管3套；8、UPS输出电缆6mm2100米；9、照明电缆BVR-2.5mm2100米；10、输入配电箱400mm*500mm1个；11、输出配电箱300mm*400mm1个；12、电池开关箱300mm*400mm1个；13、内部六类网络跳线100根；14、内部LC－LC光纤跳线10对；15、打标标签纸20盒及打标机一台；16、内部所有网络及电源线路的整理打标；2.6、六类网线1.标准：CAT.6 UTP非屏蔽六类标准；2.线缆结构：标准圆形线缆，带骨架分隔器；3.工作温度范围：-20 至 60度；4.外皮：符合CM阻燃标准；5.外皮颜色：蓝色；6.电磁兼容性：六类非屏线缆系统需满足EMC抗电磁干扰性能测试合格，并加盖原厂鲜章；7.认证：要求提供信产部泰尔试实验室近三年6连接信道传输性能认证报告，并加盖原厂鲜章；8.提供UL或ETL等第三方测试实验室符合CM阻燃等级标准测试认证，并加盖原厂鲜章；2.7、六类水晶头1、六类网络水晶头2盒；2、保证六类网线的连接通畅；2.8、灭火器1、机房控制中心区域设计灭火浓度为8%，喷放时间不宜大于8S，侵渍时间为5min。设计灭火浓度为9%，喷放时间不宜大于10S；2、提供10L灭火罐。2.9、机柜1.规格满足600×1100×2000（宽×深×高），支持42U内部扩展空间；2.前部采用冷通道全密闭的结构设计，钢制框体和单开双层玻璃门，钢制框体深度≥250mm；3.静态承载能力不小于1500kg。2.10、辅材及配件1、辅材及配件（电源线使用20管子20米、线路整理接头20个、20及10槽板20米、黑色扎带5包）。