序号

名称

参数要求

单位

数量

1

下一代防火墙系统

1.架构：采用非X86多核架构；

★2.性能：防火墙吞吐量≥3Gbps，并发连接数≥250万，每秒新建连接数≥3万；

★3.接口：≥16个千兆电口，6个千兆光口，2个万兆光口；

4.实现路由模式、透明（网桥）模式、混合模式；

5.实现静态路由、策略路由、RIP、OSPF、BGP等路由协议；

6.实现一对一、多对一、多对多等多种形式的NAT，实现DNS、FTP、H.323等多种NAT ALG功能；

7.支持一体化安全策略，能够基于时间、用户/用户组、应用层协议、五元组、内容安全统一界面进行安全策略配置；

8.设备提供海量预分类的URL地址库，支持根据URL类别实现URL过滤；

9.实现IPV6动态路由协议、IPV6对象及策略、IPV6状态防火墙、IPV6攻击防范、IPV6 GRE/IPSEC VPN、IPV6日志审计、IPV6会话热备等功能；

10.支持智能DNS解析功能，引导访问用户从最优路径的线路接入应用系统；

11.支持数据防泄露，对传输的文件和内容进行识别过滤，对内容与身份证号、信用卡号、银行卡号、手机号等类型进行匹配；

12.冗余电源；

台

2

2

安全隔离与信息交换系统（网闸）

★1.2U机架式结构，内外端机双侧液晶屏；内端机≥6个10/100/1000Base-T接口，≥1个扩展槽位，含1个MGMT口；外端机≥6个10/100/1000Base-T接口，≥1个扩展槽位，含1个HA口；冗余电源，内外端机各≥1TB硬盘。可扩展WebFilter过滤模块，防病毒模块。

★2. 网络吞吐量：≥700Mbps；并发连接数：≥10万。

3. 支持代理、透明、路由三种接入方式。

4. 2+1”系统结构，内外端机为TCP/IP网络协议的终点，阻断TCP/IP协议的直接贯通。内外端机之间采用专用硬件和专用协议进行连接，不可编程。

5. 支持IPV6/IPV4双栈接入。

6. 支持文件传输方向可控，实现单向或双向传输。

7. 支持时间策略；支持文件大小传输限制。

8. 管理控制层和业务数据层分离，管理系统部署于内端机上，只能通过内端机上的管理口对网闸进行配置，不允许外端机存在任何形式的管理接口。可避免黑客从外部网络入侵，导致隔离网闸被黑客完全控制的现象。

9. 支持IP地址、端口、时间的访问控制策略。

10. 支持一对一、一对多、多对一方式的数据库同步；支持同构、异构数据库之间的同步。

11.提供ping、traceroute、tcp、http、dns等诊断诊断测试工具，支持设备健康记录和调试信息的导出。

12.提供用户流量监控，以图表形式实时展现内外端机TOP10用户流量排名，包括上下行流量、总流量和流速信息。

台

1

3

入侵防御系统

★1.1U机架式结构，网络接口≥6个千兆电口（至少支持1对Bypass）, 包含3年攻击检测规则库、应用识别库、地理信息库升级许可。

★2.整机吞吐率：≥10Gbps，IPS吞吐率：≥1000Mbps，

3.系统应具备：多种协议分析、异常攻击、行为检测、会话关联分析，攻击逃逸检测等多种技术，准确识别入侵攻击行为，为用户提供2~7层深度入侵防御。

4.系统采用自主知识产权的专用安全操作系统，具备多核平台并行处理特性。

5.支持直连、路由、VLAN、旁路监听、混合部署等多种接入模式；

6.支持IPv6、IPv6 over IPv4、IPv6和IPv4混合网络，能够在该网络环境中检测出攻击事件。

7. 应涵盖广泛的攻击检测规则库，能够针对7000种以上的攻击行为、异常事件进行检测和防御。

8. 应支持IPv4、IPv6连接信息监控功能，可监控连接状态、协议、源IP/端口、目的IP/端口、应用协议等信息

9．支持源地址/地址组、源区域、目的地址/地址组、目的区域、服务/协议、时间等对象设置安全策略，可更改策略启停用、阻断状态。

10. 支持DDoS检测、阻断及防御基线自学习功能，能够进行自学习配置、自学习结果查看、防护配置设置。

11. 支持事件级别、时间、IP地址、端口、事件类型、动作等条件的日志检索功能，具备日志导出备份、清除功能。

台

2

4

网络日志审计

★1.性能：日志处理性能平均≥3000EPS/秒，最大日志处理性能≥6000EPS/秒。授权接入≥40个日志源

★2.硬件配置：1U机型，含交流冗余电源模块，1*GE管理口，4*千兆SFP插槽，6*GE电口，4TB SATA硬盘。

3.系统支持的数据采集范围包括但不限于网络安全设备、交换设备、路由设备、操作系统、应用系统等

4.系统支持采集的设备厂家包括但不限于：NSFOCUS(绿盟科技)、Venustech(启明星辰)、Topsec(天融信)、DBAPPSecurit(安恒)、SANGFOR(深信服)、Hillstone(山石网科)、东软、瑞星、金山、网神、Dptech(迪普)、艾科网信、Imperva、Juniper(瞻博网络)、F5、Symantec(赛门铁克)、Deep Security(趋势科技)、MaAfee(迈克菲)、Fortinet(飞塔)、Windows、Linux/Unix、Cisco(思科)、HUAWEI(华为)、H3C(华三)、中兴、Apache、nginx 、IIS、WebLogic、Vmware、Kvm、Xen、OpenStack、Hyper-V、华为FusionSphere、Oracle、MySQL、PostgreSQL、SQL Server、Bind等

5.系统应能实现海量日志数据的采集并保存原始日志数据，系统应能够对异构日志格式进行统一化处理并保存统一化处理后的日志数据

6.系统应支持NAT环境下的Agent部署模式

7.系统支持的数据采集方式包括但不限于SYSLOG、RSYSLOG、SNMP Trap、FTP、ODBC、JDBC、Netflow、WMI、二进制数据、专用Agent等方式采集日志

8.系统应支持按类型、按日期(天)，手动、自动备份日志系统应支持设置日志存储备份策略，可设置备份周期、备份日志类型

9.系统应提供日志转发功能，应支持日志转发多个目标地址，可实现原始日志、范式化日志的转发，且不丢失原始日志源IP信息

10.三年维保，包含品系统升级授权、产品保修服务、远程支持服务。

台

1

5

运维审计系统

★1.性能：图形并发会话数≥300个，字符并发会话数≥300个。许可管理≥200台设备

★2.硬件配置：1U机型，含交流单电源，2*USB接口，1*RJ45串口，1*GE管理口，4*GE电口，4T SATA硬盘。

3.支持双机冗余热备方式部署，故障切换时间在秒级完成，不超过1分钟。数据配置支持手动和实时同步，数据配置同步时间分钟级完成，不超过2分钟。

4.支持字符型远程操作协议：SSH(V1、V2)、TELNET；支持图形化远程操作协议：RDP、VNC、X11，其支持文件共享；支持文件传输协议：FTP、SFTP；支持Oracle、MS SQL Server、IBM DB2、Sybase、IBM Informix Dynamic Server、MySQL、PostgreSQL等数据库；支持HTTP、HTTPS代理和操作审计。并支持通过应用代理方式扩充协议。

5.支持基于访问权限定义高危操作。支持基于时间、IP/IP段、用户/用户组、设备/设备组、设备账号、命令关键字、命令关键字正则表达式、危险级别等组合条件设置告警规则 ，当用户越权执行某些特定命令或者使用特权的时候进行告警、记录及阻断。

6.要求支持孤儿账号功能，能够提供对各从账号的运维使用率的分析功能，当发现使用率异常的从账号，对相关管理员采取告警、记录及通知等操作。

7.支持定期自动修改目标设备密码。支持自动填写特权密码，从普通管理模式进入到特权模式。

8.支持批量导入/导出/修改用户帐号信息，支持批量导入/导出/修改目标设备信息。

9.支持磁盘空间小于20G时，自动清理日志，支持根据时间、日志类型（字符、图形、网页、文件传输、危险等级）等类型清理日志，支持磁盘空间告警阈值限制。

10.三年维保，包含品系统升级授权、产品保修服务、远程支持服务

台

1

6

WEB防护系统（核心产品）

★1.性能：网络层吞吐≥2.4G，应用层吞吐≥400M，事务处理能力（TPS）≥15,000tps。

★2.硬件配置：1U机型，含交流冗余电源，2*USB接口，1*RJ45串口，1*RJ45管理口，4*GE电口(Bypass)。1个接口扩展槽位,硬盘1T。

3.支持HTTP 0.9/1.0/1.1，完全解析HTTP事务。

4.支持HA的A/S部署模式，支持配置同步。

5.支持Cookie注入、XSS检测、Cookie有效性检测，支持网页挂马检测，支持隐藏字段检测。

6.支持跨站脚本攻击检测，检测出不低于20种基于GET请求、POST请求的跨站攻击方法及变种。

7.支持基于时间、IP、端口、动作、事件类型、URI、方法等条件的日志查询。

8.支持在安全日志中带有客户端真实IP地址，便于IP溯源。

9.支持对于用户登录密码错误的次数进行限制，并可封禁异常登录的账号或IP，封禁时间可以配置。

10.三年维保，包含品系统升级授权、产品保修服务、远程支持服务

台

1

7

抗拒绝服务系统

★1.性能：清洗能力≥500Mbps。

★2.硬件配置：1U机型，交流冗电电源，千兆电口≥2(管理≥1,热备≥1)，千兆电口≥6(3组bypass),千兆光口≥4。

3.支持对欺骗与非欺骗的SYN Flood、ACK Flood、ICMP Flood、ICMP Fragment、UDP Flood、UDP Fragment、FIN/RST Flood、TCP Misuse、TCP Connection Flood、TCP Fragment、HTTP Flood、HTTP Slow Attack、HTTPS Flood、SIP Flood、DNS Query Flood、DNS Reply Flood、DNS Amplification、SSDP Amplification、NTP Amplification、Chargen Amplification、SNMP Amplification、Jenkins Amplification、WSDD Amplification、COAP Amplification、Memcache Amplification、 ARMS Amplification 、CLDAP Amplification、MS SQL Amplification及混合类型攻击进行检测、告警并防护。

4.设备支持使用智能攻击流量识别的技术进行防护，而不需要基于特定规则的方式，即当发生未知攻击，无需专门的撰写规则即可对这些攻击进行防护。

5.设备支持高级模版匹配的功能，过滤策略可定义内容至少包含：目标IP/掩码、目标端口、源IP/掩码、源端口、协议类型、接口范围、包长范围、TOS、TTL/HopLimit、UDP校验、ICMP类型、ICMPv6类型、TCP选项、TCP标志位、偏移量、深度、payload字符。并支持对每条策略添加描述。

6.设备提供过滤功能，支持白名单、黑名单、ACL、正则表达（同时支持TCP和UDP协议）、GeoIP功能。

7.支持URL访问控制规则等多种分组过滤方式， 支持基于UDP的payload长度和规律提供检查和防护。

8.支持故障信息一键收集功能，实现运维场景快速定位和解决问题

9.管理界面要友好、易用性强，应支持集中管理、本地管理、远程管理等多种管理方式，并能实时显示攻击事件、流量、系统运行状况等信息。

10.三年维保，包含品系统升级授权、产品保修服务、远程支持服务。

台

1

8

入侵检测系统

★1.性能：网络层吞吐≥12G，应用层吞吐≥3G，最大并发会话数≥150万，每秒新增会话数≥4万。

★2.硬件配置：1U机型，交流冗余电源，RJ45串口，RJ45管理口≥1，USB接口≥2，GE电口≥8，GE光口≥4，硬盘≥1T。

3.规则须支持按CVE、CNNVD、CWE、Bugtraq关联、查询和筛选。

4.系统应提供入侵行为特征的自定义接口，可根据用户需求定制相应的检测和阻断规则。支持以下自定义：名称、级别、协议类型、包长度、正则表达式定义关键字。至少支持IP\TCP\UDP\HTTP\POP3\SMTP\FTP协议的规则自定义。

5.系统需提供多种内置规则模板，帮助用户快速上线。如DMZ区服务器、内网客户端、Web服务器、Windows服务器、UNIX服务器防护等规则模板，并可根据内置规则模板直接派生模板。

6.系统应提供基于资产的保护，具备资产识别功能，包括操作系统、浏览器、应用类型等客户资产相关信息的识别能力。

7.系统应支持多种应用的暴力破解，如FTP、POP3、IMAP、HTTP、SMB、SNMP、SQL等，并能对暴力破解阈值进行设置。

8.系统应提供服务器异常告警功能，可以自学习服务器正常工作行为，并以此为基线检测处服务器非法外联行为。

9.三年维保，包含品系统升级授权、产品保修服务、远程支持服务。

台

1

9

服务器管理交换机

★1.交换容量≥730Gbps/7.30Tbps；包转发率≥220Mpps/390Mpps；

★2.接口：≥24个千兆电口（8个 Combo口）+4个万兆光口，1个扩展插槽；

3.支持静态聚合，支持动态聚合，支持跨设备聚合；

4.支持基于端口的VLAN，支持基于MAC的VLAN；

5.支持ERPS功能，并且收敛时间小于50ms；

6.支持本地端口镜像和远程端口镜像RSPAN、支持流镜像；

7.支持IGMP Snooping v1/v2/v3，MLD Snooping v1/v2；

8.支持IPv4静态路由、RIP V1/V2、OSPF、BGP、IS-IS；

9.支持802.1x认证，支持集中式MAC地址认证；

10.实配≥4个万兆光模块；

台

1

10

控制终端

配置≥I3处理器； 8G内存；256G硬盘；20寸显示器

台

5

11

机柜

42U高度，600MM*1000MM*2000MM单开平板六角网孔前门；单开平板六角网孔后门。

台

1

12

系统集成及运维服务

集成及运维服务要求：

1）总体目标：要求供应商通过设备及技术能力为采购人建立稳定、可靠、安全的网络边界防护体系；纵向上联上级单位，横向连接外联部门，提供对于需要共享的公共资源的横向互访能力。实现网络边界运行情况的统一监控和设备及软件的集中管理。为采购人的信息系统的稳定运行提供保障。实现采购人的信息系统运维安全需求。

2）供应商负责提供设备安装上架服务，并提供包括但不限于机柜配电，PDU插座，机柜防静电接地，电缆，网线，光纤等全部安装辅材。

3）要求供应商在项目实施前将充分做好应急预案，保障采购人的业务连续性，不可因本次项目实施而影响业务的正常办理；

4）供应商具备安全集成技术能力提供网络的规划和整改，对现状进行收集与分析，制定业务策略及网络安全策略。在实施过程中逐步对现行网络进行梳理和调优。

5）供应商具备安全运维服务能力，项目配备相关的专业人员。提供不少于一年的运维服务。

6）所实施项目实施及售后运维服务符合国家信息安全的相关标准及信息技术服务运行维护标准。

7）供应商有能力配合采购人完成等保测评工作，达到相关合规标准。

项

1