防火墙技术参数

序号

指标项

功能描述

1、设备基本要求

专有硬件平台

2U机架式，硬件平台采用先进的多核网络专用架构, 多核并行处理架构，增加扩张模块后，可升级至下一代统一智能防火墙,硬件平台采用多核处理器，使用64位MIPS多核处理器，处理器最低配置为4核心以上并行处理CPU（RMI或者Cavium芯片）。

安全系统

64位安全操作系统，供货时需提供国家知识产权局颁发的“安全操作系统软件著作权”证书

管理接口

1个配置口，1个AUX口，1个USB2.0口,用于外接移动硬盘存储日志、系统升级。支持不依赖网络的外接U盘方式进行系统升级

接口数量

缺省带8个千兆电口，4个SFP光口

2、性能要求

吞吐量

标配≥2Gbps，最大≥4Gbps

IPsec VPN吞吐率（AES256+SHA-1）

≥1Gbps，供货时需提供相应PDF文件或截图证明并原厂商盖章

最大并发会话数

标配≥100万，最大≥200万，供货时需提供相应PDF文件或截图证明并原厂商盖章

防病毒吞吐量

≥250Mbps，供货时需提供相应PDF文件或截图证明并原厂商盖章

IPS入侵防御吞吐量

≥500Mbps，供货时需提供相应PDF文件或截图证明并原厂商盖章

最大IPSEC VPN隧道数

≥4000，供货时需提供相应PDF文件或截图证明并原厂商盖章

每秒新建会话数

≥30000，供货时需提供相应PDF文件或截图证明并原厂商盖章

SSL VPN用户数

SSL VPN用户数本次配置16个，最大需支持2000个，必须在原厂商官方网站上有对应型号及配置说明

3、网络适应性

支持端口镜像

支持将任意接口数据完全镜像到设备自身的其余接口,用于抓包分析

接口二级IP

必须支持接口二级IP功能，且可配置的二级接口IP不少于6个

接入模式

必须支持透明、路由、混合、旁路四种工作模式，支持虚拟系统技术。必须支持在旁路模式下对流量进行统计、扫描、记录和会话重置。

多链路负载均衡(ECMP、WCMP)

支持智能链路负载均衡技术，可动态探测链路响应速度并选择最优链路进行转发。支持基于源、基于源和目的、基于会话等多种负载均衡模式。支持HTTP GET、DNS请求和TCP端口的方式探测被监控链路或被监控服务器的健康状态。支持GRE和GRE over IPSec，IPSec VPN、SSL VPN、L2TP VPN。

支持对服务器的负载均衡

支持支持链路ping、应用端口等方式探测服务器状态,支持服务器负载均衡，支持智能DNS功能，使外网访问内部服务器的流量可以在多条链路上实现智能分担。

基于应用的健康监测

必须支持HTTP GET、DNS请求和TCP端口的方式探测被监控链路或被监控服务器的健康状态

VPN支持

支持支持GRE和GRE over IPSec、IPSEC VPN、SSL VPN、L2TP VPN

ARP欺骗防护

支持免费 ARP广播，ARP客户端认证（基于PKI技术）防止ARP攻击和ARP病毒

路由协议

OSPF、BGP和RIPv1/v2（动态路由协议非透传）支持策略路由、支持ISP路由并内置多运营商路由表；必须支持IPv4和IPv6的静态路由；必须支持基于会话的原路回包功能，可设置优先于路由策略而通过会话表中的入接口进行回包；必须支持基于动态端口应用协议的策略路由；必须支持基于角色、用户、用户组的策略路由。（要求提供产品界面截图及彩页证明）

高可用性（HA）

支持A-S模式，A-A模式

IPv6功能

支持地址自动配置功能，包括全状态自动配置（Stateful Autoconfiguration）和无状态自动配置（Stateless Autoconfiguration）以及手工配置，并支持IPv6/v4双协议栈功能

802.3ad 链路聚合

透明、路由模式下支持将多条链路带宽进行捆绑

NAT技术

要求必须支持NAT full cone模式。

要求必须支持多对多的NAT，且公网地址池可选择逐一使用和同时使用两种模式

为解决公网IP地址资源问题，要求必须支持NAT的端口扩展技术，突破传统单个公网地址64512个端口的瓶颈，而可以达到更大值。

要求必须支持基于标准SYSLOG及二进制的日志格式，且需具备高性能硬件日志服务器设备供选择。

IPV6

必须支持基于IPv6邻居发现协议（ND）的攻击防护，包括地址欺骗攻击、路由通告欺骗攻击及泛洪攻击等

必须支持IPv6与IPv4的网络地址与协议转换技术：NAT64和DNS64

4、虚拟化

虚拟交换机

支持虚拟交换机功能，每个虚拟交换机拥有独立的MAC地址表

虚拟路由器

支持虚拟路由功能，每个虚拟路由中拥有独立的路由表

虚拟系统

每个虚拟系统拥有独立的管理员，虚拟路由器、安全域、地址薄、服务薄，物理接口或逻辑接口，安全策略等。

支持自定义虚拟系统的资源，包括会话数、策略数、NAT规则数的最大限额设定

支持自定义虚拟系统的资源，包括会话数、策略数、NAT规则数的预留额设定

5、访问控制

抗DDoS攻击

必须支持抵御所列所有攻击类型，包括：DNS Query Flood、SYN Flood、UDP Flood、ICMP Flood、Ping of Death、Smurf、Winnuke

会话控制

必须支持会话控制功能，要求能够基于源、目的、应用协议三种条件做会话数限制

必须支持会话控制功能，要求能够限制会话新建速率

DNS安全防护

必须支持DNS透明代理

必须支持DNS代理黑白名单功能，用户可通过该功能过滤域名查询请求，保护DNS服务

ALG应用

必须支持所列所有应用，包括：H.323、SIP、FTP、TFTP、RSH、RTSP、SQL Net、HTTP、MS-RPC、PPTP/GRE、SUN-RPC

访问控制

支持按照应用、时间、用户帐号、IP地址、服务端口、物理端口等方式对数据进行访问控制

策略管理

必须支持对防火墙策略命中次数进行统计

用户认证

支持本地数据库，并可通过LDAP、Radius和Windows AD域联动

认证用户提供有效期功能，并在登录成功页面上提示剩余时间

支持本地用户通过Web认证后，通过认证登录成功页面修改自己的用户密码

单点认证

支持与AD域联动，同步登录信息，使已登录域的用户实现单点认证

网页重定向

支持基于策略方式的网页重定向功能。当用户使用HTTP访问网页时，页面会先跳转到指定页面。页面须支持自定义。

6、IPS入侵防御

协议支持

必须支持对HTTP、FTP、SMTP、IMAP、POP3、TELNET、TCP、UDP、DNS、RPC、FINGER、MSSQL、ORACLE、NNTP、DHCP、LDAP、VoIP、NETBIOS、TFTP、SUNRPC和MSRPC等常用协议及应用的攻击检测和防御。

检测技术

支持基于安全策略和安全域启用IPS

防御策略

可在不同的攻击方向上启用IPS（流入\流出\双向）

支持旁路和在线两种模式，可实时阻断和只记录日志

暴力破解防护

支持对TELNET、SMTP、FTP协议的暴力破解防护

7、AV防病毒

检测技术要求

必须采用基于并行流引擎技术，被检测文件大小不受限制。

检测多类型压缩包

支持对压缩文件类型的病毒检测，必须支持RAR、ZIP、GZIP、BZIP2、TAR等压缩文件类型

检测多重压缩包

支持对多重压缩文件的病毒检测，且不小于5层压缩

多协议支持

必须支持对HTTP、FTP、SMTP、POP3、IMAP协议的应用进行病毒扫描和过滤

升级服务

病毒特征库需提供国内地址的升级服务

恶意网站阻断

必须支持防恶意网站功能，防止用户点击恶意链接并访问恶意网站

告警提示

必须支持恶意链接和病毒警告提示，提示用户所访问的网站为恶意网站或者发现病毒

相关资质

必须具备《计算机病毒防治产品检验中心》检测报告

8、特征库更新

特征库更新

AV防病毒、IPS入侵防御、应用识别的特征库均为独立文件，并必须都支持自动更新。

9、SSL VPN

用户认证

支持硬件USB-key的认证方式

支持基于手机短信的登录认证方式

客户端插件兼容性

支持32位和64位Windows 2000/2003/XP/Vista/Windows 7操作系统

多出口链路优选

多出口链路下支持选择最快响应链路建立SSL连接

硬件特征码绑定

支持客户端硬件特征码绑定认证

定制网页

支持登录SSL VPN后自动打开可自定义的网页

客户端检测

必须支持对登录SSL VPN的用户端系统进行端点安全检查，至少包括指定文件、指定进程、系统补丁、浏览器版本、杀毒软件等方面

10、IPSEC VPN

互通性

严格遵循RFC国际标准，必须支持的算法有DES、3DES、AES128、AES192、AES256，SHA-256、SHA-512等

快速部署

支持速连VPN部署技术，中心端自动下发配置到分支设备而无需手工配置

11、L2TP OVER IPSec

智能移动终端免客户端接入

必须提供L2TP OVER IPSec功能，使iphone、ipad、android智能终端无需安装客户端程序即可安全接入网络

12、管理功能

系统回滚

必须支持2个系统软件并存，并支持系统软件回滚，防止配置不当或系统故障造成的网络中断，充分保证系统的稳定性。

网页浏览日志

必须支持基于已认证用户身份的访问URL日志记录

IM上下线日志

支持对QQ上下线的行为进行记录

高性能日志记录

必须支持基于二进制的日志记录格式

系统监控告警

支持监控设备系统资源的实时状况，必须包括CPU、内存、接口带宽、日志容量、策略数、会话数等对象

配置文件保存

必须支持不少于10个配置文件并存，并支持配置文件备注

管理界面

中、英文操作界面

NAT资源状态告警

必须支持在NAT的动态端口资源利用率达到一定值时,设备能够主动发送告警信息通知设备管理人员。

统计

要求支持基于IP地址的流量统计功能，包括短时间周期和长时间周期

要求支持基于应用的流量统计功能，包括短时间周期和长时间周期

要求支持基于IP地址的会话统计，包括短时间周期和长时间周期

要求支持基于应用的会话统计，包括短时间周期和长时间周期

要求支持自定义统计功能

13、上网行为管理

应用流量可视化

可按照应用分类进行流量监控并提供实时的图形化监控报表

应用行为审计

支持对FTP登陆账号名及上传、下载文件名进行记录或控制

应用流量识别、控制及带宽管理

支持主流电子邮箱系统，必须包括以下罗列所有：126邮箱、163邮箱、QQ邮箱、TOM邮箱、139邮箱等应用识别和控制，及17173邮箱、Yahoo邮箱、搜狐邮箱、和讯邮箱、新浪邮箱的登录、上传、下载等应用行为进行识别及控制；

支持主流文件共享应用，必须包括以下罗列所有：百度文库、豆丁文档、金山快写、99盘、115同步盘、139邮箱网盘、400网盘、163网盘、网易网盘、盛大网盘、华为网盘、Hotfile网盘、金山快盘、网易网盘、Rayfile、迅雷快传、讯6网盘、爱问共享、速度盘等的应用识别和控制。

支持主流软件下载站点，必须包括以下罗列所有：新浪下载、非凡软件下载、电脑之家下载、中关村软件下载、多特软件下载、华军软件下载、太平洋下载等的流量进行识别和控制。

支持主流即时通讯程序，必须包括以下罗列所有：MSN、QQ、雅虎MSG、新浪UC、网易泡泡、Skype、淘宝旺旺、谷歌TALK、YY语音、飞信、ICQ、iSpeak、慧聪发发、人人桌面、百度HI、盛大ET语音、米聊、微信等应用进行识别和控制，并可对QQ的在线文件传输、离线文件传输、远程协助等应用进行识别和控制。

支持主流网络工具，必须包括以下罗列所有：Google地图、有道地图、爱问地图、我要地图，QQ电脑管家、必应词典、金山词霸、搜狗在线翻译、雅虎在线翻译、有道云笔记、Adobe更新、Apple软件更新、Java自动更新、安卓市场等应用流量进行识别和控制。

支持主流网络游戏，必须包括以下罗列所有：跑跑卡丁车、魔兽世界、穿越火线、边锋游戏、泡泡堂、征途、地下城与勇士、热血传奇、天龙八部、超级舞者、魔域、QQ炫舞、英雄王座、剑侠情缘网络版3、完美世界国际版、大话西游、赤壁、诛仙、11对战平台、迅雷网游加速器、火星加速器等应用流量进行识别和控制。

支持主流网络管理工具，必须包括以下罗列所有：RADIUS、SNMP、VNC、X-WINDOWS、TeamViewer、RDP、NetOp、迅闪、易游、网维大师、SSH-PuTTY等应用流量进行识别和控制。

支持主流P2P流媒体软件，必须包括以下罗列所有：PPLive、PPS网络电视、QQLive、UUSee、迅雷看看、飞速土豆、乐鱼影音盒、酷我音乐盒、iku爱酷、极速酷6、新浪直播、百度影音、搜狐影音、奇艺影音、电影网播放器、Dopool手机电视等应用流量进行识别和控制。

支持主流P2P下载软件，必须包括以下罗列所有：纳米盘、屁屁狗、汉魅、RealLink、PeerCast、Hotline、iTunes、优蛋、迅闪、迅雷离线下载、奇艺加速器、云端软件平台、BT、电驴、迅雷、酷狗、QQ旋风、RaySource等应用流量进行识别和控制。

支持地下浏览工具，必须包括以下罗列所有：HTTP隧道、无界、自由门、逍遥游、动网通、花园等应用流量进行识别和控制。

支持主流安全相关软件，必须包括以下罗列所有：360杀毒、360安全卫士、金山毒霸、卡巴斯基、江民杀毒、小红伞杀毒、BitDefender、ESET-NOD32、windows自动更新、微点、网秦安全、360手机卫士等应用流量进行识别和控制。

支持主流社交网络，必须包括以下罗列所有：开心网001、新浪show、21CN相册、百度相册、Poco相册、搜狐相册、天涯相册、新浪微博发帖、Poco微博发帖、微博AIR、微博桌面、手机新浪微博、手机街旁等应用流量进行识别和控制。

支持主流炒股软件，必须包括以下罗列所有：大智慧、指南针、证券之星、钱龙证券、和讯股道、通达信、未来趋势、华安证券投资赢家、同花顺双子星、行情眼、金陀螺、个股评测网，招商证券交易、海通证券交易、华安证券交易等应用流量进行识别和控制。

支持主流Web视频，必须包括以下罗列所有：新浪TV、优酷、六间房、激动网、土豆网、新浪视频、搜狐视频、芒果TV、优米网、腾讯视频、中国网络电视台、网易视频、搜狐直播、新华视频、BTV在线、江苏网络电视台等应用流量进行识别和控制，并要求可对iTudou、酷六、土豆、56ican等上传行为进行识别和控制。

Web分类管理

至少支持两千万以上分类web页面库

网页关键字过滤

对用户访问含有某关键字的网页（包括HTTPS加密网页）进行行为控制、行为审计

对用户在某网站（包括HTTPS加密网站）发布信息或发布含有某关键字信息进行行为控制、行为审计

支持加权算法，包括定义关键字的权重和出现次数等条件做控制

14、QoS流量管理

QoS策略

必须支持基于用户，IP地址以及7层应用进行保证带宽，最大带宽的控制，支持针对7层应用的优先级转发控制

多层QoS功能

多层QoS功能要求包含应用QoS 和IP QoS 是两个独立的数据流控制功能，应用QoS下可以嵌套IP Qos策略；IP QoS可以嵌套应用QoS

弹性QoS功能

必须支持弹性带宽功能，可自定义阀值来上弹或回收带宽，充分利用网络带宽资源

应用特征库

必须在国内有应用特征库开发团队，并提供国内地址的应用升级服务

15、产品的资质要求

公安部销售许可证

具备公安部颁发的《计算机信息系统安全专用产品销售许可证》

中国信息安全产品认证证书

EAL3万兆认证/ISCCC万兆三级认证

IPv6 Ready测试中心认证

要求通过全球IPv6测试中心的金牌“IPv6 Ready”认证，并提供认证证书

国家保密局资质

国家保密局涉密信息系统安全保密测评中心颁发《涉密信息系统产品检测证书》

国家商业密码管理办公室

商用密码产品生产定点单位

中国信息安全认证中心

国家信息安全产品认证

计算机软件著作权登记证书

AV病毒过滤软件V3.0；IPS入侵防御软件V3.0；上网行为管理软件V3.0

16、售后服务

原厂商提供5年免费维修服务和5年免费上门服务，对应系统版本\应用特征库提供5年免费的升级服务。供货时需提5年原厂商免费质保承诺函。

项目

技术参数

高度

2U机架式

CPU

2颗Intel Xeon ProcessorE5-2620V2 (2.10GHz, 15M 高速缓存, 7.2GT/s QPI, Turbo), 6C 80W

内存

≥64GB DDR3内存，最高可支持1600MHz内存插槽≥24个，最大可扩展不少于768GB；

硬盘

≥2x300GB SAS热插拔硬盘,可扩展不低于8个3.5或16个2.5硬盘

RAID卡

RAID卡，支持RAID 0、1、5、6、50，512M 缓存带72小时电池保护

网卡

≥4个千兆以太网卡，支持故障切换和负载均衡功能

管理

前面板上配备有液晶屏，可显示默认或定制信息，包括IP地址、服务器名称、支持服务编号等。如果系统发生故障，该液晶屏上将显示关于故障的具体信息

PCI-E

≥7个PCI-E；

PCIE SSD

支持不低于4颗PCIE SSD硬盘

GPU

支持≥2个GPU

光驱

8X SATA DVD-ROM

HBA卡

配置1块双口12Gb SAS HBA卡用于连接服务器存储

虚拟化

支持主板集成双SD冗余虚拟化卡，可安装虚拟化软件提高整体性能,Vmware 2颗CPU licence 及1年服务,windows 2008 server 企业版

管理

配置独立远程管理卡（支持远程监控图形界面, 可实现与操作系统无关的远程对服务器的完全控制，包括远程的开关机、重启、更新Firmware, 虚拟KVM, 虚拟软驱, 虚拟光驱等操作）；主板集成驱动程序SD卡，可以将驱动程序等存放于存储空间，安装Windows OS不需要导航盘和驱动盘，方便系统安装和管理；带管理软件，使用统一的管理界面，支持IPv6。允许用户独立于操作系统状态之外（免代理安装方式）远程访问、监控、维修、修复和升级服务器。

电源

2个高效热插拔电源，可选直流方式；

能耗管理

可监控、报告及控制处理器、内存及系统级的能耗，允许通过一体化管理控制台实现基于策略的功耗封顶

风扇

配置热插拨冗余风扇

售后服务及安装

提供原厂商5年全免现场质保（7*24*4小时响应），5年硬盘不返还服务

备注

中标供应商交货时必须提供原厂3年服务质保证明文件原件或符合质保年限的质保卡。

项目

技术参数

设备制造商

与服务器同品牌

外观

不大于2U高度，带快速滑动导轨，带理线架

控制器

本次配置双控制器，互为冗余提供故障切换功能，避免单点故障

每个控制器包含不少于4GB 电池后备高速缓存，双控制器不少于8GB缓存

每个控制器包含不少于4个12Gb SAS接口，双控制器不少于8个12Gb SAS接口

双控制器实现在双活动环境中运行，镜像彼此的高速缓存；

通过闪存保护永久性数据，提供高速缓存保护

接口方式

双控制器配置不少于8个12Gb SAS接口, 支持不少于8台服务器直连

每控制器，不少于一个专用远程管理网口，不少于一个串口

RAID支持

支持的RAID 级别有：0、1、10、5、6

在RAID 0、1、10 中每组包含不少于96 个物理磁盘

在RAID 5、6 中每组包含不少于30 个物理磁盘

支持不少于256 个虚拟磁盘

硬盘及扩展

本次配置12块600G 15K企业级SAS硬盘

单柜不少于12个硬盘槽位，最高支持192块SAS硬盘扩展

支持固态硬盘(SSD)

支持不同尺寸的硬盘：2.5寸、3.5寸

支持不同转速的硬盘：15K、10K、7.2K、5.4K；

支持不同容量的硬盘：2TB、1TB、600GB、450GB；

支持同一盘柜内SSD、SAS硬盘混插，支持不同尺寸硬盘混插；

单块硬盘最大支持4TB，总容量不少于768TB.

管理

配置模块化磁盘存储管理器，基于Java 的用户界面

配置多路径软件，提供服务器与存储阵列之间冗余数据路径的故障转移管理

可选配支持制作数据的时间点快照以用于备份和其他操作。

可选配支持每个虚拟磁盘不少于8 个快照，每个系统总共不少于128 个快照。

支持基于IP远程管理，基于WEB图形界面方式

可选配支持虚拟磁盘备份(VDC) ：制作现有虚拟磁盘在某个时间点上的完整精确副本，用于决策支持和软件开发测试。

可选配支持自我加密驱动器(SED) ：SED 可加密写入到驱动器的一切数据，并解密从驱动器读取的一切数据。SED 受到保护后，就会变为“锁定”状态，在驱动器关闭或从阵列中卸下后未经授权的人员将无法读取。

支持服务器Cluster集群功能

支持硬件故障检测,诊断功能

电源

冗余双电源模块

风扇

冗余风扇模块

售后服务及安装

提供原厂商5年全免现场质保（7*24*4小时响应），5年硬盘不返还服务

备注

投标方交货时必须提供原厂5年服务质保证明文件原件或符合质保年限的质保卡。