序号

指标项

子功能

规格要求

1

硬件规格

★硬件规格

国产化设备，≥2U高度，内存≥32G，交流双电源，≥1*RJ45串口，≥1*RJ45管理口，≥2*USB接口,≥16个SFP光口，≥8个万兆SFP+，≥4个网络扩展槽，≥4T机械硬盘，≥256G固态硬盘

2

性能参数

★性能参数

应用层吞吐量≥40G,整机吞吐量≥60G,安全模块全开吞吐量≥20G，最大并发连接数≥1000万,新建连接数≥60万

4

规则库

★IPS特征库

≥3年

6

部署模式

★部署模式

支持虚拟线，二层透明，三层，混合，旁路监听，单臂接入方式

7

VPN功能

★SSL VPN

配置≥3000个用户授权，并发用户≥200个用户

★IPSec VPN

支持网关-网关部署模式

支持网关预共享密钥、x509证书（RSA）、国密数字信封等认证方式

支持3DES、AES-192、AES-128、AES-256、SM4等加密算法

支持标准MD5、SHA、SHA-256、SHA-384、SHA-512、SM3摘要验证算法，SM2非对称密钥算法

支持星型、网状隧道连接

支持隧道模式、传输模式

支持主动模式、野蛮模式

支持通过PPPoE接口建立IPSec VPN并自动适配动态IP地址变化

支持对端地址为动态IP地址的场景

支持NAT地址穿越

支持NAT场景下配置本端映射IP地址与对端映射IP地址

支持隧道心跳探测DPD，如遇隧道异常自动断掉并尝试重新连接

支持本地记录隧道协商、信息、新建/撤销以及错误日志

支持双机HA场景下的IPSec VPN，总部两台设备做可靠性保护与多分支进行组网

★SSL VPN

支持网关-客户端/浏览器的业务部署方式

支持IE11、Firefox、Chrome、Safari等常见厂商浏览器，支持32/64位系统浏览器

支持七层web反向代理、三层隧道模式

Web反向代理支持HTTP、HTTPS等应用模式

支持移动用户账号本地、Radius、证书认证

支持证书生成和导出

支持基于用户、用户逻辑组的访问授权，包括七层Web和三层授权。授权粒度包括基于URL、子网、IP、协议等的细粒度授权

支持本地信息、告警、错误、调试等vpn日志，支持双机热备，主设备出现故障，立即切换致从设备，VPN自动连接正常运行

支持openvpn客户端、自研客户端（支持x86(32位/64位）win7、win8、win10、win11相关操作系统）

GRE

支持建立GRE隧道，指定隧道源目的IP

支持keepalive探测，以及故障自动重连机制

支持基于GRE逻辑接口的SLA探测能力，包括基于TCP、UDP、ICMP的探测，支持设置探测间隔与最大探测失败次数

支持GRE隧道状态统计、隧道流量统计

8

NAT

★NAT

支持基于策略的源地址NAT、目的地址NAT和双向NAT，通过一条策略完成双向NAT的配置

支持一对一、一对多、多对一等多种转换方式。

支持目的服务器负载均衡

目的NAT模式下，支持配置链路探测功能，对内部服务器IP地址可达性进行实时探测，当其中某些IP地址不可达时，自动将流量迁移到其它服务器上

支持ALG，支持协议包括FTP、SIP、H.323（RAS）、H.323(Q931)、TFTP、TNS等,支持自定义端口

支持按照新建顺序、按照匹配顺序进行NAT策略查看，支持手动修改NAT策略的匹配优先级顺序

9

IPv6能力

★IPv6能力

支持NAT64，支持TCP、UDP、ICMP报文的IPv6toIPv4和IPv4toIPv6转换，同时支持有状态和无状态两种转换方式，支持调整策略优先级

支持IPv6静态路由，IPv6策略路由

支持基于源/目的IPv6地址、安全区、应用、应用组、协议/端口、时间、安全模板的精细粒度的安全访问控制

支持针对IPv6地址进行黑名单和白名单的配置

支持基于IPv6的流量控制

10

黑白名单

★黑白名单

支持针对源地址或者目的地址、网段、IP地址池进行黑名单和白名单的配置

名单内容支持IP地址、协议TCP/UDP/ICMP和端口进行设置

黑名单支持配置生效时间

支持基于IP地理位置归属信息，进行黑白名单防护

支持通过IPS、AV模块的日志信息，智能一键添加黑名单策略

支持通过态势感知平台统一下发封堵策略到多台NF设备

11

安全检测能力

入侵防护

支持≥*****+种入侵规则过滤并提供服务器、内网等多种规则模板，提供产品截图证明材料

支持远程扫描、暴力破解、缓存区溢出、蠕虫病毒、木马后门、SQL注入、跨站脚本等检测和防护

防病毒

支持≥1200w+文件病毒库，病毒查杀率高，提供产品截图证明材料

文件传输协议，支持基于HTTP、FTP、POP3、SMTP、IMAP协议的进行多线程下载以及有密码压缩包下载限制

URL过滤

支持工业系统类应用协议识别，例如：OPC、IEC、MODBUS、航天云网-INDICS、FOCAS、PCWORX等工控协议，提供产品截图证明材料

支持内置Web信誉库，收录40万+恶意站点

提供64+种精细分类（如艺术、商务、新闻论坛、论坛聊天、科技、体育等等）

12

防火墙策略

一体化策略

支持对每条策略命中数据包的统计显示，通过数据包命中数判断策略的命中频率。也可以清空命中计数重新进行统计

支持自定义策略分组，可基于业务需要将多条策略定义为一个策略分组

策略可按匹配顺序、策略分组、新建顺序、安全区分组等不同维度的查看方式，在按匹配顺序查看下，可以通过拖拽实现优先级的调整，也可以输入具体的策略序号、置顶或者置底等方式进行调整

为高效编辑策略，支持对多条策略的源/目的地址、协议/端口、应用、时间等进行批量修改，实现一次修改覆盖多条策略

基于源安全区、目的安全区、源地址、目的地址、源端口、目的端口、协议等，模拟运行直接获得策略的命中信息，并可对命中的策略信息进行编辑，提供产品截图证明材料

支持对IPSec隧道内报文进行安全检测防护

13

协同联动

安全平台

支持与日志审计系统联动，自定义上传日志，在平台进行深度分析与处理

终端联动

支持与EDR产品进行联动，针对没有安装EDR软件、或者没有通过安全检测的终端设备流量，管理者可以向防火墙下发防护策略进行流量放行或阻断操作

★态势感知

防火墙需与学校现有的态势感知平台进行联动，实现防火墙日志、入侵防护日志、防病毒日志、内容过滤日志、URL过滤日志、VPN日志、系统日志、认证日志上传至态势感知平台进行深度分析与处理，提供产品截图证明材料

通过现有态势感知平台的SOAR响应能力，配置基于安全策略的IP封堵，支持基于黑名单的IP封堵等，快速控制风险

14

可靠性

可靠性

当用户配置两台设备共同承载流量时，可以选择配置双机聚合模式，两台设备的上下行流量，将在两台设备之间进行动态分配，提供产品截图证明材料