序号

主　　　要 内 容

1

调研报名公示开始时间：2021年9月 22 日上午9点30分北京时间

调研报名截止时间：2021年 9月 27 日下午17点30分北京时间

(报名请携带加盖公章的项目文件回执单、营业执照复印件、公司简介)

调研会时间：具体调研会时间将提前3个工作日另行通知

2

项目：关于医院外网无线升级项目的预算价调研公示

3

文件正本1份，副本4份。

4

文件递交处： 福建省肿瘤医院 网络办会议室

5

上述时间、地点如有变动，以单位届时通知为准。

序号

设备规格

主要参数

数量

1

下一代防火墙

1、1U标准机架式设备，最大支持22个千兆接口；≥6个千兆电口，≥2个扩展槽，≥2个USB口, ≥1个COM口，≥1T硬盘，单电源；最大吞吐量≥5Gbps，并发会话≥120万，新建会话≥4万，VPN吞吐量≥200Mbps，IPS吞吐量≥800Mbps，防病毒吞吐量≥800Mbps，IPS+防病毒吞吐量≥600Mbps；

2、支持路由、网桥、单臂、虚拟网线以及混合部署方式；支持源地址转换、目的地址转换；、支持配置多个网桥，支持配置网桥IP，网桥模式部署时支持VLAN、PPPOE和策略路由；

3、为方便管理员检测，要求支持多ISP线路接入，支持链路主备切换和自动负载均衡，支持ARPing、Ping、HTTPing等多种方法进行链路状态检测。

4、为方便管理员管理，要求支持用户认证支持Web认证、客户端认证，支持LDAP、RADIUS等第三方认证，允许用户自助注册和自动审批；支持客户端认证：提供专用身份认证客户端，支持Windows、Andriod等客户端操作系统；提供功能截图。

5、通过流量被动检测技术实现内部各种漏洞的检测，包括远程代码执行漏洞、Oracle、MySQL、SQL Server数据库的SQL注入漏洞、OpenSSL心脏出血漏洞、反序列化漏洞等高危漏洞。

6、要求支持网络资源分级管控，根据不同的资源等级分配不同的安全控制级别，只允许具有相应级别权限的用户访问；支持终端分级管控，根据不同的终端等级授予不同的访问权限，提供功能截图。

7、支持和IDS联动、安全准入系统、数据库审计系统SAS联动；

8、可与现有安全感知与运营管理平台设备联动，以便实现立体安全防护体系，实现网络安全运维自动告警、阻断，提升安全防护能力和抗攻击水平，投标人须承诺所提供产品能够满足本项要求，提供相应功能截图证明并承担定制接口所需费用。

9、为保证设备的防护技术能力和研发能力，所投防火墙需通过CNNVD产品兼容性服务认证。

1

2

上网行为管理

1、1U标准机架，≥6个千兆电口，≥2个扩展槽、≥2个USB, ≥1个控制口，≥1T硬盘；适用带宽≥400M，适用用户数≥800人，网络吞吐量≥4G，最大并发连接数120万，每秒最大新建连接数40000；

2、支持路由模式、透明模式、虚拟线路模式，混合模式和旁路模式部署；支持多路PPPOE线路，支持链路聚合；双机热备：支持主主模式、主备模式，支持配置文件、认证用户、实时会话同步；

3、支持动态路由：OSPF路由、RIP路由、BGP路由；支持DNS代理和DNS缓存；支持HTTP/HTTPS代理；

4、防DOS/DDos攻击：支持Land、Smurf、WinNuke、Ping of Death、Tear Drop、IP数据块分片传输数据包攻击防护，支持ARP、SYN、UDP、ICMP、DNS洪水攻击防护，支持IP地址扫描和端口扫描攻击防护，支持异常报文攻击检测；（提供界面截图）

5、身份认证：支持IP/MAC绑定认证；支持本地身份认证、短信认证、微信认证、钉钉认证等；短信认证支持HTTP协议认证，包括亿美短信、互亿无线、数米科技、互亿国际等。

6、准入控制：能够根据IM监控规则、操作系统规则、进程规则、文件规则、注册表规则设置准入策略，对不符合要求的终端禁止上网。

7、黑名单策略：能够对网络共享行为进行检测，并把共享IP加入黑名单，例如无线路由器共享、360WIFI共享限制等；支持对流量配额、速率控制、并发会话数控制、新增会话数控制、基于时间段的控制等行为进行黑名单管控功能，同时支持多种惩罚方式、加倍惩罚机制。

8、所投上网行为管理系统，支持云主机安全监控系统功能或模块，支持展示所有监控主机资产信息，包括：分组/分类、IP地址/MAC、主机代号、标题/备注、主机名、操作系统、修改/锁定/删除。而且能够在主机监控页面上能直观展现告警趋势、监控详情、系统配置监控、采集记录情况。提供不少于5张功能截图。

1

3

下一代入侵检测系统

1、1U标准机架式设备，≥6个千兆电口，≥2个扩展槽，≥2个USB口，≥1个COM口，≥128G SSD固态盘，≥2T企业级硬盘；包含威胁监测、资产发现、资产风险分析、黑客画像功能；每秒TCP新建连接数≥10万，最大TCP并发会话数≥140万，整机吞吐率≥6Gbps，IDS吞吐率≥2.5Gbps。

2、与现有安全感知与运营管理平台设备联动，以便实现立体安全防护体系，实现网络安全运维自动告警、阻断，提升安全防护能力和抗攻击水平，投标人须承诺所提供产品能够满足本项要求，提供相应功能截图证明并承担定制接口所需费用。

3. 展示选定时间内的文件检测威胁趋势、危险文件总数、危险文件下载源IP Top10、危险文件下载目标IP Top10、病毒文件类型、文件关联邮箱、文件关联URL、文件报告列表，提供病毒文件样本下载功能；

4、展示选定时间内的恶意外联趋势、恶意外联总数、恶意外联活跃域名统计 Top10、恶意外联源IP Top10、恶意外联关系图、恶意外联类型、恶意外联详细信息，提供界面截图证明；

5、当服务器前端部署代理设备或CDN时，通过配置源IP解析规则，获取真实的攻击源IP地址，支持配置规则名称、解析方法、解析字段、代理级数、规则状态等信息，提供界面配置截图证明；

6、支持提取触发网络入侵攻击告警的Pcap元数据，提供Pcap下载界面截图证明；

7、所投威胁探针设备能够实现主机/云主机安全配置核查和变更状态监控，关键服务器的安全配置一旦发生变化，能实时监测配置变更情况进行告警，对于可能的安全入侵行为进行告警，并提供截图。须提供功能截图证明和《云主机入侵风险感知系统》的软件著作权证书复印件（原件备查）。

1

4

汇聚交换机

1、交换容量≥880Gbps，包转发率≥426Mpps；

2、固化24个1000M SFP光口，8个复用的10/100/1000Mbps电口，8个1G/10G SFP+光口，支持在64Bytes-1518Bytes下线速转发；

3、整机采用绿色环保设计，满负荷情况下功耗≤77W；

4、要求所投设备MAC地址≥196K，路由表项≥64K；

5、支持RIPv2，OSPFv2/v3，BGP4/4+，IS-ISv4/v6；

6、支持IGMP v1/v2/v3，PIM-SM等组播协议；

7、支持基于IPv4/IPv6五元组、基于源/目的MAC、基于VLAN、基于802.1P优先级的ACL；

8、支持虚拟化功能，可将多台物理设备虚拟化为一台逻辑设备统一管理，并且链路故障的收敛时间达到毫秒级；

9、支持特有的CPU保护策略，对发往CPU的数据流，进行流区分和优先级队列分级处理，并根据需要实施带宽限速，充分保护CPU不被非法流量占用、恶意攻击和资源消耗；

10、支持硬件层级双boot，采用两个FLASH芯片存储boot软件（系统引导程序），实现硬件级boot冗余备份，避免因FLASH芯片故障导致交换机无法启动；

11、支持基础网络保护策略，限制用户向网络中发送ARP报文、ICMP请求报文、DHCP请求报文的数率，对超过限速阈值的报文进行丢弃处理，能够识别攻击行为，对有攻击行为的用户进行隔离

12、支持基于流的采样功能，对所选数据流包头中的源IP地址、目的IP地址、协议号、源端口号、包长等信息进行采样，并发送至网管主机。

5

5

POE交换机

1、固化10/100/1000M以太网端口≥24，固化1G SFP光接口≥4个；交换容量≥336Gbps，包转发率≥51Mpps；

2、要求所投设备MAC地址≥16K；

3、支持POE和POE+,同时可POE供电端口≥24个，POE最大输出功率≥370W；

4、投标产品面板自带一键查看PoE供电状态功能的LED Mode按钮，轻按即可查看设备当前的通信状态和供电状态；

5、支持生成树协议STP(IEEE 802.1d)，RSTP(IEEE 802.1w)和MSTP(IEEE 802.1s)，完全保证快速收敛，提高容错能力，保证网络的稳定运行和链路的负载均衡，合理使用网络通道，提供冗余链路利用率；

6、支持IPV4/IPV6静态路由；

7、支持特有的CPU保护策略，对发往CPU的数据流，进行流区分和优先级队列分级处理，并根据需要实施带宽限速，充分保护CPU不被非法流量占用、恶意攻击和资源消耗；

8、设备自带云管理功能，即插即用，可随时查看网络健康度，告警及时推送，有日记事件供回溯；

9、支持IEEE 802.3az 标准的 EEE节能技术：当EEE使能时，从而大幅度的减小端口在该阶段的功耗，达到了节能的目的；

10、支持G.8032国际标准环网协议ERPS，切换时间≤50ms，可与其他支持该协议的产品完美兼容；

11、支持基础网络保护策略，限制用户向网络中发送ARP报文、ICMP请求报文、DHCP请求报文的数率，对超过限速阈值的报文进行丢弃处理，能够识别攻击行为，对有攻击行为的用户进行隔离；

12、支持快速链路检测协议，可快速检测链路的通断和光纤链路的单向性，并支持端口下的环路检测功能，防止端口下因私接Hub等设备形成的环路而导致网络故障的现象；

13、为保证设备在受到外界机械碰撞时能够正常运行，要求所投交换机IK防护测试级别至少达到IK05。

50

6

WIFI6放装AP

1、支持802.11ax标准，采用双路双频设计；

2、整机4条空间流，支持两张射频卡同时工作在5G频段，整机最大无线速率≥2.4Gbps；

3、有线上联端口速率≥1Gbps；

4、支持内置蓝牙5.0；

5、支持PoE/本地DC48V电源两种供电模式；

6、防护等级IP51；

7、要求所投产品支持WPA3安全标准；

8、为快速建立高度隔离的安全网络，设备应支持实现AP虚拟化功能，实现一台AP虚拟为多台AP，分别受不同AC设备独立管理，互不影响。不同虚拟AP之间数据隔离，虚拟AP在AC上不占用AP License；

9、所投AP内置探针功能，能够对覆盖范围的终端MAC信息进行检测；

10、避免无线网络中私接非法AP，所投AP具有非法AP的精确反制和模糊反制功能，能够主动识别非法设备并令非法设备不能使用；

11、支持Long GI配置；

12、所投AP整机最大终端接入数不小于1024个。

13、支持现网AC统一管理

495

7

WIFI6高密AP

1、 支持802.11ax标准，采用三路双频设计；

2、 采用硬件独立的四射频设计支持三张射频卡同时工作在5G频段；

3、整机8条空间流，整机最大接入速率≥4.1Gbps；

4、支持1个10/100/1000M以太网端口对外供电，至少支持1个2.5G以太网端口，扩展物联网模块；

5、内置固化蓝牙模块和一个全尺寸USB接口；

6、支持苹果iBeacon协议，可扩展摇一摇等丰富的蓝牙应用，可应用于蓝牙定位应用；

7、整机最大终端接入数不小于1552个；

8、防护等级IP51

9、支持现网AC统一管理

2

8

WIFI6面板AP

1.支持双路双频802.11ax，同时提供两条流的5G 802.11ax（1201Mbps）和2.4G 802.11ax（573.5Mbps）接入性能；

2.支持1024QAM调制解调方式；

3.支持mu-mimo特性；

4.1个上联千兆电口，支持poe供电，4个千兆下联LAN口，可下联有线终端；

5.支持多种形态安装，可壁挂、吸顶或嵌入86面板内安装；

6.考虑安装后的美观度，面板AP外露墙体部分尺寸不得超过120mm*86mm（长*宽），安装后突出墙面部分不得超过24mm（厚度）；

7、支持内置蓝牙5.0；

8、设备能适应较恶劣的高低温气候，工作温度：0°C～45°C；

9、为保证用电安全与电源的易获得性，提供DC12V本地电源供电接口；

10、为快速建立高度隔离的安全网络，设备应支持实现AP虚拟化功能，实现一台AP虚拟为多台AP，分别受不同AC设备独立管理，互不影响。不同虚拟 AP之间数据隔离，虚拟AP在AC上不占用AP License。

11、支持现网AC统一管理

36

9

外网无线AP

1、支持标准的802.11ac协议,采用双路双频设计，可同时工作在802.11a/n/ac/ax和802.11b/g/n/ac/ax模式；

2、 天线设计：为提高设备防护等级，防止水雾侵蚀，设备采用内置天线设计，无外置天线口；

3、支持4条空间流,2.4GHz单频最大接入速率0.575Gbps,5.8GHz单频最大接入速率1.2Gbps，整机最大提供2.4Gbps的无线接入速率；

4、避雷方式：网口和天线口均内置避雷器，满足6KV防雷要求，不需外加防雷器；

5、提供1个RJ45 console管理口；1个SFP上联光口；1个10/100/1000Base-T以太网上联接口与SFP复用，支持PoE受电；

6、为确保安装施工标准及后期维护方便，所有接口（网口、console口、光口等）均为标准原生接口，不接受非标转接方案；

7、为防止因好奇而产生的故意破坏，产品外观因符合业界通用形态，不得采用球形、橄榄形等奇特的外观设计；

8、蓝牙串口管理：具备蓝牙模块用于远距离登录控制台；

9、防护等级：IP68；

10、支持标准的802.3af/802.3at协议进行PoE供电，整机功耗小于12.95w；

11、为快速建立高度隔离的安全网络，设备应支持实现AP虚拟化功能，实现一台AP虚拟为多台AP，分别受不同AC设备独立管理，互不影响。不同虚拟AP之间数据隔离，虚拟AP在AC上不占用AP License；

12、所投AP支持无线接入130个用户视频点播流畅。

13、支持现网AC统一管理

22

10

AC控制器授权扩容

1、本次基于现有外网核心交换机无线控制器板卡授权扩容，须增加配置≥640个无线AP管理授权，不存在兼容性问题，也可采用同档第三方的免费替代方案。扩容应充分考虑现有设备性能，须满足无线AP管理授权对全网无线AP管理，需额外提供1台性能及功能优于现有框式核心交换机设备以及控制器板卡；

2、要求设备可配置AP的本地数据转发技术模式，即可根据网络的SSID和用户VLAN的规划，决定数据是否需要全部经过无线AC转发或直接进入有线网络进行本地交换，从而更好的适应未来无线网络更高流量传输的要求；

3、对Wall AP可支持的容量扩大两倍（最大可管理4000台AP）；

4、支持本地认证功能，无需通过外置Portal服务器和Radius服务器认证；

5、无线控制器具备虚拟化功能，多台无线控制器可以被虚拟化成一台控制器，实现虚拟控制器对所有成员AC的统一管理、在成员AC间共享License、统一将AP 接入虚拟AC中；

6、支持MAC认证、WEB认证、802.1X认证、WAPI认证 ，认证后能实现IP、MAC、WLAN等元素的绑定信息，保证只有合法的用户才能进入网络；

7、支持对非法无线接入点进行探测，并对非法AP进行屏蔽；

8、支持根据用户需求定制化设计认证页面及用户自定义设计；

9、支持实时频谱防护,可视化射频干扰源对无线局域网的性能的影响。

10、无线核心板卡需支持管理现网150台无线接入点，不存在兼容性问题，也可采用同档第三方的免费替代方案，为保证现有网络无线体验，替代方案包括不限于替换现网150台无线接入点。

640

11

准入系统

1、支持radius协议、国内一代、二代portal协议（包含有线web portal和无线web portal认证）、SNMP协议、COA协议、DM协议、IPFIX协议、JMS协议、Telnet协议等

2、支持802.1x有线无线网络环境下主流网络设备的动态VLAN切换（Guest VLAN、修复VLAN、工作VLAN）；

3、支持多种技术手段实现终端发现功能：如ARP、SNMP、NMAP、DHCP等；支持主动或被动发现方式

4、支持局域网内所有在网终端自动发现，包含办公PC/手机/PAD终端、办公哑终端（如IP电话、考勤机、打印机等）、云桌面(瘦终端）、生产终端、安防终端等。发现时间≤30秒

5、支持终端信息智能识别，包括终端MAC、IP、操作系统、生产厂家、终端状态等信息。并支持手动矫正指纹识别规则。

6、支持按照内置 或 手动指纹识别规则对终端进行识别和分类统计。

7、支持终端信息数据查询、删除、导出等操作。

8、为提供用户认证体验，支持windows AD域控PC直接使用域账号密码登录操作系统，同时完成网络准入认证，即将登录操作系统与网络认证合二为一，使得无需网络认证，及可上网。

9、为保证身份安全，支持单AD、多AD、父子AD、集群AD等多种AD域对接方式；

10、为提高管理便利性，支持所有终端的在线状态监测；

11、为提高管理便利性，支持自定义条件对终端进行手动或自动审批入网。自定义条件包括但不限于“终端MAC、终端类型、终端名称、终端操作系统、设备厂家、终端使用者、终端ip、终端配置网关ip、终端首次入网时间”等；

12、支持与WSUS补丁服务器联动管理、推送杀毒软件防病毒、补丁包更新下载等功能；

13、支持syslog、tcp2009接口协议等方式与第三方系统进行同步，尤其需要支持现网中已有的锐捷安全设备、行为审计设备对接，完成实名信息同步；

14、支持统一平台同时实现有线无线web和802.1X的准入认证

15、支持用户名密码认证、证书认证、短信认证、微信扫码认证、eduroam、二维码认证、无感认证等认证方式。

16、支持根据SSID、区域、终端类型等自定义匹配不同的认证方式

17、支持单个或批量通知在线用户和终端，下发相应的消息

18、支持记录终端入网记录、实名认证记录、认证失败记录

19、支持查询、删除、导出所有用户信息、终端信息、网络信息、接入方式信息、在线用户信息、上下线记录及原因、上网明细、认证成功/失败记录。

20、配置：提供用户认证授权数量≥2000，用户发现授权数≥2000，用户合规授权数≥2000.

1

12

六类屏蔽模块

1) 符合ISO/IEC 11801:2002以及TIA/EIA 568C 对Class E/Cat 6的规定

2) 提供短小尺寸的模块，模块深度不超过36mm；

3) 模块上提供追溯手段方便验证真伪；

4) 双颜色编码：T568A和T568B

5) 带宽支持到350MHz

6) 模块应可端接22AWG-24AWG 或24AWG-27AWG的电缆；

7) 插拔次数：＞750次; 重复安装次数：>20次

8) 需满足IEEE 802.3af(PoE)、IEEE802.3at(PoE Plus)、支持POE+以太网供电标准，每对线缆可传输15W功率；

9) 最大接触阻抗：20M Ohm

10) 最大DC阻抗：200M Ohm

11) 绝缘阻抗：500M Ohm

12) 耐电压：峰值1000V DC/AC

13) 提供符合UL94 2006阻燃标准检测报告

1110

13

双口面板

1)白色面板。面板采用模块化设计，EU标准86×86型信息面板

2)可支持SNAP-IN光纤适配器,SC、LC型。

3)可支持从Cat5e到Cat7A模块，支持屏蔽/非屏蔽模块；

4)可拆卸的防尘盖，可更换彩色防尘盖，满足彩色化管理需求；

5)采用透明的标示窗口，可保护标签；

6)所有塑料材料符合UL94V0，需提供符合UL 94-2006标准的（ABS）面板阻燃检验报告

7)需同时支持45*45适配座，该适配座应该为可拆卸式的

8)每个产品都有独立的包装，并印有说明及品名标签

22

14

六类双层屏蔽双绞线（500米/轴）

1) 完全满足并超越ISO/IEC11801:2002 2nd Edition以及TIA/EIA568.C.2对六类线缆的性能要求。

2) 六类屏蔽线缆需具有C3中心十字芯骨架减少重压和扭绞带来的破坏；

3) 电缆采用双层铝箔或单层铝箔加丝网屏蔽结构

4) ACR@250Mhz等于 5.5dB/100m

5) 测试带宽：350MHz。

6) 护套： LSZH低烟无卤护套，低烟性满足IEC61034-2，无卤性满足IEC60754-1&2，阻燃满足IEC 60332-1标准

7) 最大拉力100N；

8) 特性阻抗（Ohm）:100 ±15%；

9) 传播延迟值：<534+36 ns/100m；

10) 延迟偏差：≤30 ns；

11) 绝缘阻抗≥5000MΩ*km；

12) 操作温度：-20℃ to +60℃，安装温度：-10℃ to +50℃；

13) 最小弯曲半径：30mm（操作），60mm（安装）

14) 需提供信产部关于六类线缆传输性能及燃烧性能测试报告

15) 需提供国际权威第三方质量与安全机构Intertek出具的符合ANSI/TIA-568-C.2：2009标准的ETL认证测试报告

16) 需提供国际权威第三方质量与安全机构Intertek出具的4连接点六类信道的ETL认证测试报告

68

15

六类屏蔽跳线2米

1) 需满足ISO/IEC 11801:2002和 EIA/TIA 568 C.2关于跳线及信道性能的要求；

2) 符合ISO8877标准。

3) 特殊设计的内部芯线管理，自锁式连接器。

4) 采用中心C3十字骨架技术，增强线缆强度，减少线对串扰

5) LSZH低烟无卤护套

6) 拔插次数>1000次

7) 可提供多种色彩跳线，可订制各种长度。

8) 连接器尾盖具有应力消除装置

9) 采用长尾结构的注塑尾盖，尾盖尺寸与一个标准RJ45尺寸相仿，可以支持1U空间内48端口高密度跳接

10) 跳线尾盖上有一个可拆卸的压盖，该压盖有八种颜色可选。

1110

16

24口抽屉式铜缆配线架

1) 所有管理间设备均应采用19〞标准机柜安装

2) 空配线架，抽屉式，模块化设计，1U空间可安装24个模块，可支持前端打线和维护；

3) 需支持超五类、六类、超六类、七类、超七类模块的组合安装，可同时支持屏蔽/非屏蔽模块；

4) 适用于屏蔽和非屏蔽布线系统

5) 配线架端口需自带防尘盖，防尘盖为可拆卸式，可更换彩色防尘盖满足彩色化管理需求；

6) 配线架后部自带自带电缆导线架，可以保证快速、有效的固定电缆和屏蔽层接地

7) 前端自带线缆端口标示系统，便于安装完后的系统维护

8) 封装式EMC外壳设计，有效减少环境影响

30

17

理线架

1)19”理线架

2)1U高度，黑色

3)跳线导线架可以整齐的放入线缆

30

18

系统集成部分

布线、理线、打接模块、安装配线架、上架、测试、网络设备的安装及调试等。

1

序号

公司名称

产品名称

报价

1

2

3

4

5

序号

设备规格

主要参数

是否满足

品牌

数量

单价

金额

备注

工程实施费

合计（上述金额为含税开票金额）