项目

产品

数量

单位

1

防火墙

2

台

2

入侵防御

1

台

3

原有华为核心交换机模块新增

4

个

技术指标

指标要求

★接口

标准2U设备,标配6个千兆电口；4个万兆光口；并含2个高速USB2.0接口，1个RJ45串口；冗余电源。配置与设备同一品牌原厂万兆多模模块SFP+（850nm,0.3km,LC）4个

★性能

整机吞吐量≥15Gbps，并发连接数≥4,000,000，每秒新建连接数≥220,000

智能防护

支持路由模式，网桥模式，旁路模式，虚拟网线模式以及混合模式部署方式；支持链路聚合，上下行接口联动，802.1Q VLAN Trunk、access接口，子接口；支持包过滤，网络地址转换，状态检测，应用流量识别，应用层安全防护，用户控制，深度内容检测，支持IPSec VPN，支持统一安全运维管理；

★为保证能有效防护大规模攻击，所投设备必须具备入侵防御、web应用防护、僵尸网络的联动封锁功能，可智能生成临时规则封锁攻击源IP，临时封锁时间可自定义（需提供入侵防护、web应用防护、僵尸网络设置联动封锁配置功能截图证明、设置IP冻结时间，设置时间自动刷新封锁IP列表的截图证明）；

路由支持

支持静态路由，ECMP等价路由；

支持RIPv1/v2，OSPFv2/v3等动态路由协议；

支持多播路由协议；

支持路由异常告警功能；

支持多链路出站负载，支持基于源/目的IP、源/目的端口、协议、应用类型以及国家地域来进行选路的策略路由选路功能；（需提供相关功能截图证明）

基础功能

支持连接会话展示，可针对具体的IP地址进行会话详情查询，支持封锁异常会话信息，并支持设置监听具体IP的会话记录；

能够识别管控的应用类型超过1200种，应用识别规则总数超过3000条；

支持IPv4／v6 NAT地址转换，支持源目的地址转换，目的地址转换和双向地址转换，支持针对源IP或者目的IP进行连接数控制；

支持基于应用类型，网站类型，文件类型进行带宽分配和流量控制；

支持IPSec VPN，SSL VPN接入方式；

VPN支持在防火墙上配置安全策略对加密隧道内的流量进行清洗；

应用安全

★为保证业务系统常用的应用协议安全，应具备对服务器系统、数据库系统（如WEB，FTP，SSH，SMTP，IMAP，MySQL，Oracle，MSSQL等）的口令暴力破解防护功能（提供上述至少8种以上协议和数据库软件防爆破功能详细截图证明）；

★为实时发现业务系统的威胁，应支持对经过设备的流量进行深度检测，输出业务系统存在的漏洞，并根据业务系统发现漏洞进行分类，列出服务器的漏洞类型，包括已被攻击的漏洞、高、中、低漏洞，并对漏洞进行分析；（提供已被攻击、高、中、低的漏洞的威胁报告证明）；

为保证业务系统安全，应支持WEB行为进行过滤，提供Web攻击防护、Web远控木马防护等功能，web应用防护能力通过开源web应用安全项目组（OWASP）评测认证，并且在OWASP的25项评测要求中，获得满分（五星）评测项在19项（含）以上（提供OWASP认证证书以及对应的web攻击防护能力测评报告）；

★为保证业务系统安全，必须支持对重要业务系统提供重要URL或者其他应用服务的短信认证机制（提供至少包括SSH、TELNET、HTTP、POP3等四种以上服务进行短信认证加强登录防护的配置截图证明）；

★支持在管理界面多维度的展示发现的安全威胁，如攻击风险，漏洞风险，终端安全威胁和数据风险等，并支持将所有发现的安全问题进行归类汇总，并针对给出相应的解决方法指引（提供攻击风险，漏洞风险，终端安全威胁和数据风险统一界面截图，并提供相关解决方案截图）；

当前互联网威胁变化迅速，为保证网络安全能及时防护最新威胁，设备需具备终端请求恶意链接检测拦截功能，提供接入云端安全联动功能（提供接入云端安全联动功能的配置界面截图、僵尸网络和未知威胁实时分析云检测平台截图和官网链接以及沙盒分析报告复印件）

★为实现安全可视化，应支持对设备各类威胁行为进行深度分析，输出总部存在的威胁问题，并对各类威胁行为输出有效攻击次数和攻击趋势；（提供具备有效攻击、攻击趋势的威胁报告证明）

★僵尸主机检测

支持调用Google SafeBrowsing API接口过滤恶意URL链接；

支持内置恶意URL链接库，恶意链接库能够做到每日实时更新；

支持通过静态特征识别定位僵尸恶意软件，恶意软件识别特征总数在40万条以上；（需提供相关功能截图证明）

支持通过随机域名算法，DGA域名检测算法和动态域名分析等行为识别技术定位僵尸主机；

支持对终端已被种植了远控木马或者病毒等恶意软件进行检测，并且能够对检测到的恶意软件行为进行深入的分析，展示和外部命令控制服务器的交互行为和其他可疑行为；（需提供相关功能截图证明）

对于未知威胁具备同云端安全分析引擎进行联动的能力，上报可疑行为并在云端进行沙盒检测，并下发威胁行为分析报告；（需提供具备相关云端查杀能力的证明）

支持通过云端的大数据分析平台，发现和展示整个僵尸网络的构成和分布，定位僵尸网络控制服务器的地址；（需提供具备相关云端大数据分析能力的证明 ）

★威胁地理位置感知

支持将检测到的应用层攻击行为按照IP地址的地理位置信息进行动态展示，实时监测和展示最新的攻击威胁信息；（需提供相关功能截图证明）

支持根据国家/地区来进行地域访问控制；（需提供相关功能截图证明）

★安全可视化

支持对经过设备的流量进行分析，发现被保护对象存在的漏洞（非主动扫描），并根据被保护对象发现漏洞数量进行TOP 10排名，列出每个服务器发现的漏洞类型以及数量，支持生成和导出威胁报告，报告内容包含对整体发现的漏洞情况进行分析；（提供威胁报告并加盖厂商公章）

支持在首页多维度的展示发现的安全威胁，如攻击风险，漏洞风险，终端安全威胁和数据风险等，并支持将所有发现的安全问题进行归类汇总，并针对给出相应的解决方法指引；

提供安全报表，报表内容体现被保护对象的整体安全等级，发现漏洞情况以及遭受到攻击的漏洞统计，可以查看到有效攻击行为次数和攻击趋势；（提供安全报表并加盖厂商公章）

智能云端

监控

提供7*24小时监测网站服务，包括攻击态势、网站漏洞、篡改检测，实时为用户提供可视化的安全风险分析报告。

产品联动安全专家提供7*24小时在线服务，提供基于日志的应急响应服务。

★厂商及产品资质

产品应具备计算机信息系统安全专用产品销售许可证；

产品应具备ISCCC中国国家信息安全产品认证证书

厂商具备CMMI L5认证证书

国家信息安全漏洞共享平台(CNVD)技术组成员

要求所投防火墙产品入围2016年Gartner企业级防火墙魔力象

产品厂商至少有5款产品入围gartner魔力象限，并提供相关证明。

要求所投产品经过国际知名实验室NSSLabs测试，并获得recommended推荐级别；（提供NSS Labs相关测试报告并加盖厂商公章）

中标后三个工作日内，提供样机进行上述功能要求的逐一测试验证，全部通过后才能执行合同流程，测试中发现虚假应标的行为将予以废标处理并保留对该厂商追究相关责任的权利。

必须提供原厂投标授权函和售后服务承诺函并加盖公章。

提供三年原厂维保。

技术指标

指标要求

★接口

标准2U机架设备,标配4个千兆电口，2个万兆光口；含2个高速USB2.0接口，1个RJ45串口；配置与设备同一品牌原厂万兆多模模块SFP+（850nm,0.3km,LC）2个

★性能

整机吞吐量≥10Gbps，发连接数≥2,000,000，每秒新建连接数≥110,000

部署方式

支持路由，网桥，单臂，旁路，虚拟网线以及混合部署方式。

网络特性

支持链路聚合功能

支持端口联动

支持802.1Q VLAN Trunk、access接口，子接口。

路由支持

支持静态路由，ECMP等价路由

支持RIPv1/v2，OSPFv2/v3动态路由协议

支持多链路出站负载，支持基于应用类型的策略路由选路。

基础功能

访问控制策略支持基于源／目的IP，源端口，源／目的区域，用户（组），应用/服务类型，时间组的细化控制方式；

能够识别应用类型超过1100种，应用识别规则总数超过3000条；

支持IPv4／v6 NAT地址转换，支持源目的地址转换，目的地址转换和双向地址转换，支持针对源IP或者目的IP进行连接数控制；

支持基于应用类型，网站类型，文件类型进行带宽分配和流量控制；

移动终端支持通过IPSec/SSL VPN方式接入，分支支持通过IPSec VPN方式接入；

★支持根据国家/地区来进行地域访问控制；（需提供相关功能截图证明）

入侵防护功能

入侵防护漏洞规则特征库数量在4000条以上；

支持对常见应用服务（HTTP、FTP、SSH、SMTP、IMAP）和数据库软件（MySQL、Oracle、MSSQL）的口令暴力破解防护功能；

具备防护常见网络协议（SSH、FTP、RDP、VNC、Netbios）和数据库（MySQL、Oracle、MSSQL）的弱密码扫描功能；

支持同防火墙访问控制规则进行联动，可以针对检测到的攻击源IP进行联动封锁，支持自定义封锁时间；

★可提供最新的威胁情报信息，能够对新爆发的流行高危漏洞进行预警和自动检测；发现问题后支持一键生成防护规则；（需提供相关功能截图证明）

DdoS攻击防护

支持Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing攻击防护、支持SYN Flood、ICMP Flood、UDP Flood、DNS Flood、ARP Flood攻击防护，支持IP地址扫描，端口扫描防护，支持ARP欺骗防护功能、支持IP协议异常报文检测和TCP协议异常报文检测；

支持对信任区域主机外发的异常流量进行检测，如ICMP，UPD，SYN，DNS Flood等DdoS攻击行为；

内容安全防护

支持HTTP 1.0/1.1，HTTPS协议的安全威胁检测；

★支持针对B/S架构应用抵御SQL注入、XSS、系统命令等注入型攻击；支持跨站请求伪造CSRF攻击防护；支持对ASP,PHP,JSP等主流脚本语言编写的webshell后门脚本上传的检测和过滤；支持对网站的扫描防护和防止恶意爬虫攻击；支持其他类型的Web攻击，如文件包含，目录遍历，信息泄露攻击等；（要求对以上列出的攻击类型进行逐条响应提供相应的功能界面截图）

★产品应具备独立的Web应用防护规则库，Web应用防护规则总数在3000条以上，需提供截图证明；

★具备针对主流网站内容管理系统CMS的安全防护能力，如dedecms，phpcms，phpwind等；支持的CMS类型数量不少10种；（需提供截图证明）

支持敏感数据防泄密功能，支持敏感信息自定义，支持根据文件类型和敏感关键字进行信息过滤；

★支持B/S服务漏洞扫描功能，可扫描WEB网站是否存在SQL注入、XSS、跨站脚本、目录遍历、文件包含、命令执行等脚本漏洞；（需提供截图证明）

★支持对被防护网站是否被挂黑链进行检测；

支持CC攻击防护；

僵尸主机检测

★支持对终端种植了远控木马或者病毒等恶意软件进行检测，且能够对检测到的恶意软件行为进行深入的分析，展示和外部命令控制服务器的交互行为和其他可疑行为，需提供截图证明；

具备独立的僵尸主机识别特征库，恶意软件识别特征总数在50万条以上；

★对于未知威胁具备同云端安全分析引擎进行联动的能力，上报可疑行为在云端进行沙盒检测，下发威胁行为分析报告，需提供云端恶意软件分析报告样本。需提供具备相关云端查杀能力的证明。

★支持通过云端的大数据分析平台，发现和展示整个僵尸网络的构成和分布，定位僵尸网络控制服务器的地址；（需提供具备相关云端大数据分析能力的证明）

病毒防护

支持对HTTP，FTP，SMTP，POP3协议进行病毒文件检测；

病毒样本数量超过1000万；

支持对常见压缩文件格式的检测，如zip，rar，7z等；

支持杀毒文件类型自定义；

支持杀毒白名单功能，可以根据URL或者IP进行排除不检测病毒；

检测到病毒后的操作支持阻断，记录杀毒日志；

安全可视化

★支持对经过设备的流量进行分析，发现被保护对象存在的漏洞（非主动扫描），根据被保护对象发现漏洞数量进行TOP 10排名，列出每个服务器发现的漏洞类型以及数量，支持生成和导出威胁报告，报告内容包含对整体发现的漏洞情况进行分析，并提供威胁报告。

★支持在首页多维度的展示发现的安全威胁，如攻击风险，漏洞风险，终端安全威胁和数据风险等，支持将所有发现的安全问题进行归类汇总，针对给出相应的解决方法指引；

★提供安全报表，报表内容体现被保护对象的整体安全等级，发现漏洞情况以及遭受到攻击的漏洞统计，可以查看到有效攻击行为次数和攻击趋势，需提供安全报表。

支持自定义统计指定IP/用户组/用户/应用在指定时间段内的服务器安全风险、终端安全风险等内容，形成报表；

支持每天/每周/每月自动生成报表，将报表自动发送到指定邮箱，可以自定义报表内容；

支持对指定IP自定义业务名称，在报表中可快速识别业务系统存在的漏洞威胁和遭受攻击情况；

支持报表以HTML、Excel、PDF等格式导出；

★支持将检测到的应用层攻击行为按照IP地址的地理位置信息进行动态展示，实时监测和展示最新的攻击威胁信息；（需提供相关功能截图证明）

高可用性

双机支持A/S，A/A方式部署，支持配置同步，会话同步和用户状态同步。

系统配置

支持管理员权限分级，支持安全管理员、审计员、系统管理员三种权限；

支持自动备份配置，最大支持十五天内的配置恢复；

支持NTP协议；

支持修改TCP，UPD和ICMP协议的连接超时时间；

支持内置规则库的手动/自动更新；

支持邮件和短信告警；

★产品及厂商资质

1.产品应具备计算机信息系统安全专用产品销售许可证；

2.产品应具备入侵防御系统软件著作权证书

3.产品制造商CMMI L5认证证书；

4.产品厂商至少有5款产品入围gartner魔力象限，并提供相关证明。

5.产品制造厂商应具备国家信息安全漏洞共享平台(CNVD)技术组成员

6.产品制造厂商应具备国家应急中心应急支撑单位CNCERT证书。

★其他

1.中标后三个工作日内，提供样机进行上述功能要求的逐一测试验证，全部通过后才能执行合同流程，测试中发现虚假应标的行为将予以废标处理并保留对该厂商追究相关责任的权利。

2.投标产品须提供原厂授权函和售后服务承诺函并加盖公章。

维保

提供三年原厂维保。