性能 吞吐速度 ≥300Mbps 并发会话数 ≥25.6万 Bypass 设备电口支持bypass功能,当行为管控设备故障或者断电时,网络不断。 硬盘 设备至少支持≥500G及硬盘。 CF卡 设备支持≥2G CF卡。设备本身的运行系统单独存放在CF卡中,要与日志存储分开。(需要厂家提供证明) 网络接口 最大配置为12个接口, 默认包括1个可插拨的扩展槽和4个10/100/1000BASE-T接口,接口支持Bypass; 用户数 ≥500 尺寸 标准机架尺寸,1U高度。 指标项 指标 具体功能要求 网络适应性 部署模式 支持路由模式,旁路模式、网桥模式、混合模式部署; 即插即用 支持即插即用功能。不管电脑的IP如何配置,开启即插即用功能后,只要插上网线,即可上网。(要求提供截图) 网络功能 支持基于应用层服务的策略路由;(要求提供截图) 支持ISP自动地址表(电信、移动、网通、铁通等)的策略路由的选路方式; (要求提供截图) 支持PPPoE拨号以及负载均衡;(要求提供截图) 支持支持基于轮询的多链路负载均衡算法;(要求提供截图) 支持基于链路的上行、下行、总流量自动均衡的多链路负载均衡算法,基于固定指派链路的自动均衡算法,基于最佳路径的多链路负载均衡算法; 支持DHCP Replay/Server; 支持智能DNS,对内部服务器负载均衡,按应用服务的负载均衡多链路冗余切换;(要求提供截图) 支持静态路由、ospf、vlan透传、单臂路由。(要求提供截图) 双机模式 支持两台及两台以上设备同时做主机的部署模式; 桥模式下必须支持接口联动,配置同步; 代理功能 要求支持http代理、https透明代理、socks5代理、DNS代理、dns缓存(提供截图) 链路聚合 支持将多个以太网物理端口捆绑成一条逻辑端口(即将多个端口捆绑成一个逻辑的端口以增加带宽,同时增加链路备份)支持基于mac、轮循、主备、哈希、广播、802.3ad、发送自适应、双向自适应等等多种负载方式。链路聚合通道要求可以捆绑数不少于6个物理端口。(提供截图) vpn 支持l2tp、gre vpn、pptp、ipsec。 支持链路健康检查 支持DNS链路健康检查算法;支持ICMP链路健康检查算法;支持TCP链路健康检查算法;支持自定义的链路健康检查算法;(每项提供截图) 设备管理 设备登录 必须支持ssl加密方式登录设备,支持ssh管理。 操作界面 系统能够支持简体中文、繁体中文/英文操作界面 网关策略 支持基于ip的网管策略,防止恶意ip探测攻击设备,增加网关的安全性。 管理认证 支持管理员通过Radius认证后才能登录设备。(提供截图) 排障工具 提供图形化排障及抓包工具,便于管理员排查策略错误等故障; 分级管理 不同用户组的管理权限支持分配给不同管理员(提供截图) Dkey登录 支持管理员基于硬件key登录方式 集中管理 行为管理支持分布式部署,通过部署集中管理平台,加入集中管理设备之后,可以实现策略下发、设备状态监控、设备日志、用户日志上传。 APP集中监控功能 支持行为管理设备接入集中管控平台,并通过APP管理集中管理平台并查各个局点的ACM的状态和告警信息。 特征库自动升级 必须支持URL分类库、应用识别库基于域名方式自动在线升级。(提供截图) 实时监控 设备资源 能够提供一小时内cpu使用率、内存使用率、活跃会话数、在线认证用户数以及最新的磁盘占用情况。 物理接口 能够实时展现每个接口接收发送流量、字节数、包个数以及错误、丢弃、帧冲突个数。 服务监控 能够提供服务趋势图、服务组趋势图、活跃服务以及所有服务趋势。并且支持快速定位使用对应服务的用户。 用户监控 能够提供流量适用排名,提供前50名用户流量适用情况,并支持趋势图、黑名单、显示活跃服务等操作。通过黑名单可以直接强制某个流量异常用户下线或者快速修改带宽。 在线用户 能够直接显示已认证且在组织结构中、已认证但不在组织结构中、以及未通过的认证的用户状态。支持以用户名、所属组、ip、mac、用户类型、绑定检查、时间等参数查询用户。 防火墙 安全策略 支持基于策略方向、源地址、目的地址、服务、生效时间的安全策略。(必须提供产品界面截图) Nat规则 支持内网代理、一对一地址转换、端口映射、服务器池。 移动终端管理 支持移动终端发现后拒绝移动终端接入并支持启用事件告警。支持移动终端列表添加信任列表。 防DOS攻击 支持防dos攻击,支持最大连接数、禁用ip时间、ip地址白名单等设置。 防ARP欺骗 支持ARP欺骗防护,支持arp保护对象以及arp广播间隔设置。 加速老化 支持对TCP、UDP、ICMP、TCP SYN超时时间,无回应UDP超时时间设置,并能支持按照新建会话与总会话比例设置老化开始或者结束。(必须提供产品界面截图) 用户管理 组织结构 支持按照公司架构创建用户组、用户、支持多层组和用户,分组能继承父组策略,用户能继承组的策略。 认证用户需支持中文用户名 对于未创建的用户,可根据其IP 地址、MAC地址、主机名或者VLAN ID等作为新用户名自动创建帐户,并可同时绑定 IP、绑定 MAC、绑定 IP+MAC、绑定VLAN,并自动分配到指定用户组,享有指定网络权限。 自动创建用户和绑定 对于创建好的用户也支持绑定 IP、绑定 MAC、绑定 IP+MAC、VLAN绑定。 用户有效期设置 支持临时账户、绑定账户、认证账户等多种用户身份的有效期设置,支持过期冻结、支持无流量自动下线。 NetbIOS 协议扫描 可通过 NetbIOS 协议扫描内网的主机信息,扫描结果将列出每个主机的 IP 地址、MAC地址和主机名等,然后可以将其加入某个用户组中,逐步完善组织结构的管理。 跨三层mac识别 支持通过snmp服务读取下层三层设备的arp表象获取客户真实的mac地址。 临时账号设置 支持临时账号自动申请功能,方便外来的临时用户使用。支持自动审核和管理员手动审核的核定方法将临时帐户加入到组织结构中。支持网页发送和邮件方式通知临时用户账号和密码(要求提供截图) 导入用户 支持表格手工导入用户、LDAP、ad个等自动导入用户 支持以CSV格式文件导入帐户/分组/IP/MAC/描述/密码等信息; 本地认证 支持本地设置用户名、密码的portal认证; 第三方服务器认证 支持Ad域、LDAP、Radius、POP3、Proxy等第三方认证服务器; Windows集成身份认证 支持windows集成身份认证,加入域的pc通过浏览器正常上网即可实现身份认证。 (要求提供截图) 单点登录 支持AD、POP3、Proxy、PPPOE、 H3C IMC/CAMS、锐捷 SAM、城市热点、web认证等系统进行认证单点登录,简化用户操作; 短信认证 支持短信认证方式,用户输入手机号作为用户名,通过短信猫或短信平台发送验证码;该认证页面可自定义。并且支持基于cookie和mac的免认证方式。 微信认证 支持与微信公众号结合的认证方式,用户关注微信公众号后即通过身份认证。支持点一点、连一连、扫一扫等多种方式。 二维码认证 临时账号支持二维码扫描接入认证。 指纹认证 支持通过指纹识别用户身份,并对用户做控制。 刷卡认证 支持通过磁卡识别用户身份,并对用户做控制。 行为管控 静态URL库 包含40个以上分类,至少1000万条预分类的URL地址库; URL库自定义 支持URL库接口开放,可以通过自定义方式用户自主创建url类和具体url 应用特征库 支持2000种以上的应用,至少支持300种以上的移动应用 应用特征自定义 支持自定义ip和端口的普通服务,支持自定义ip、协议类型、字符串、端口等组合的服务特征,支持自定义论坛/网评特征(要求提供截图) 协议玻璃 默认支持L2TP协议剥离、GRE协议剥离、LWAPP协议剥离、CAPWAP协议剥离,并支持自定义协议剥离。 加密网站识别和控制 支持https网站识别,支持加密网站搜索,支持ssl论坛加密发帖内容识别,支持基于关键字的控制。(要求提供截图) 支持基于授权签名的方式实现https审计免除告警的行为。(要求提供截图) 邮件过滤 支持基于支持邮件的“发件人/主题关键字/内容关键字/附件类型”过滤(POP3/SMTP/Web Mail),支持ssl加密邮件内容和标题的识别和过滤。 告 警 设备内存、cpu、会话、接口速率支持告警设置,支持时间告警,支持黑名单告警,支持违规网站、违规搜索、违规帖子、违规上传、违规邮件、还有潜在威胁的告警行为。告警策略要支持syslog、短信、邮件、日志记录,以及任意的方式组合。(要求提供截图) 白名单 支持url白名单,添加到白名单的url不受策略控制和审计。 支持即时通讯白名单,只有添加到白名单IM账号允许上网。(要求提供截图) 支持ip白名单,添加到白名单的ip不受策略控制和审计。 定义URL 网关支持管理者自定义新的URL地址和URL分类; 关键字过滤 关键字组支持通配符配置,支持论坛、微博发帖关键字过滤,支持搜索引擎关键字过滤,支持邮件内容、正文标题、附件内容的关键字过滤,支持包含制定关键字的页面过滤。 发帖管理 支持天涯、猫扑、麻辣社区、百度贴吧等常见论坛发帖控制,支持腾讯微博、搜狐社区、凯迪社区等常见微博的发帖控制。 终端提醒策略 支持基于用户设置终端提醒策略,能够实现公告页面按照策略推送。 网页附件管理 支持百度文库、百度云盘、华为网盘等常见网盘的文件过滤 流量管理 线路带宽 支持设备在各个工作模式的线路带宽设置 基于用户的流控 支持基于源ip、地址薄、用户及用户组的流控策略。支持基于每个人的限速以及整体限速。 服务限速 流控行为可以基于应用特征库选择,也可以基于url、文件类型控制。 带宽保障 支持基于用户、协议、应用、url、文件类型的贷款保障行为,可以通过队列实现重要业务优先转发。 黑名单 根据每用户的“每日/每周/每月”使用的流量(上行/下行/双向)总和超过预设阀值,则自动进入黑名单。根据每用户在连续一段时间的“上行速率/下行速率”超过预设阀值,则自动进入黑名单。根据每用户在连续一段时间的并发会话数(上行/下行)超过预设阀值,则自动进入黑名单。对进入黑名单的用户可采取强制下线或修改“上行带宽/下行带宽/上行会话数/下行会话数”的方式对用户进行惩罚。惩罚时间到期,可正常上网。对连续进入黑名单多次(如5次,可配置)的用户,可对用户进行加倍惩罚,惩罚时间可以原来的N倍。(要求提供截图) 生效时间 支持基于时间计划的流控策略。 防共享 支持防止1拖n共享行为。 移动终端管理 支持无线环境下,移动终端接入识别,对未添加信任的黑名单支持拒绝加入网络。 阻断记录 支持流控行为是否生成阻断记录。 上网日志分析 独立报表中心 为了日志安全性,设备必须支持独立硬盘存放审计日志,不能与审计系统共用硬盘。(要求提供截图) 内置报表中心 设备必须支持内置报表中心,默认自带数据库无需再安装数据库。 日志分级 通过配置管理员分组,实现指定分组的管理员只能访问指定用户组上网行为日志。(要求提供截图) DKEY管理 日志中心必须支持usb-key接入认证,当日志查看员同时拥有key和用户名密码时才能查看审计日志从而实现日志安全。 日志备份 支持通过集中管理平台或者ftp方式备份日志。 Syslog 系统能够支持Syslog等第三方日志服务器系统。 网监平台 支持与任子行、烽火、派博等主流网监平台对接并按照网监要求上传审计日志。 虚拟身份 支持记录qq、微信等常见即时通讯账号登录信息,支持天涯、猫扑等常用论坛登录信息,支持记录新浪新闻、搜狐新闻等常见新闻类登录信息。支持短信认证、pppoe等常见认证身份信息记录。 邮件审计 支持收件人、发件人账号审计(POP3/SMTP/Web Mail)。 支持邮件内容审计(POP3/SMTP/Web Mail)。 支持邮件附件审计(POP3/SMTP/Web Mail)。 支持机密邮箱内容审计。 即时通讯 支持Windows pc版qq聊天内容审计、支持飞信、msn等IM登录、聊天、文件传输审计。 支持手机网页版qq聊天内容审计。 支持Facebook line等国外常见加密即时通讯审计 url审计 能基于组织结构记录用户访问的具体url、标题、网站类型、访问时间、动作等信息,通过详细信息可以查看用户访问的源和目的地址,以及访问的端口。 网页搜索 能基于组织结构记录用户搜索的关键字、搜索的类型时间、动作等信息,通过详细信息可以查看用户访问的源和目的地址,以及访问的端口 论坛微博 能记录用户发帖行为,可以记录用户访问的具体url、访问时间、发帖内容、用户明、对应分组、以及是否被阻断 Telnet 支持记录用户telnet访问行为,记录访问的人员、命令信息。 http上传下载 支持http上传和下载记录,包括上传人员地址、mac、用户名信息,上传文件名字 FTP 支持FTP的上传和下载记录,包括用户名和文件名,以及上传下载的文件 阻断记录 支持防火墙模块阻断、流量模块阻断、行为管控模块阻断记录(要求提供截图) 告警日志 支持非法网站、违规帖子、ftp上传、网页上传、违规邮件、违规im、以及匹配潜在威胁的记录。(要求提供截图) 会话日志 支持所有访问的会话日志记录,包括: 源 IP、目的 IP、协议类型、七层应用名称、源端口、目的端口、是否进行 NAT 转换(可显示转换后的 IP 和端口)、会话产生的时间和会话持续时间. (要求提供截图) 个人统计分析 基于个人的所有行为监控报表,包括:网页标题记录、发贴记录、网页评论记录、在搜索引擎上的搜索记录、网页文件上传记录、URL访问记录、即时通讯的登录信息/聊天内容/文件传输记录、邮件记录(详细内容、附件)、FTP登录信息/上传记录/下载记录;(要求提供截图) 递进式查询 能够进行层层深入的递进式查询,获取某应用对应的用户,或某用户使用网络应用的情况,便于对网络使用现状进行深入分析。 高级检索 支持基于时间、动作、应用类型、具体应用、关键字、目标ip等条件的高级检索行为 报表管理 支持基于统计分类、统计分类、用户及其用户组的自定义报表,通过邮件方式给部分人员发送日报、周报、月报、年报。 统计分析 支持cpu、内存、活跃会话、在线用户的统计以及趋势图 用户统计 支持基于流量、会话、用户及其用户组统计 服务统计 支持基于服务、服务类型的统计 url统计 支持基于url、url类型的统计,支持url访问量统计,网页文件访问统计 线路统计 支持都出口情况下,线路统计 上网时长统计 支持基于用户的上网时长统计。 | 
