序号

设备名称

技术参数

数量

1

服务器

机架服务器/双颗E5-2620v4 CPU/双电源/16G内存/3*1T SAS硬盘/R5

4台

2

防火墙

下一代防火墙/企业级/防火墙吞吐量2Gbit/s,IPSec吞吐量400Mbit/s/接口：4GE+2Combo、SSL VPN并发用户数:500/30000新建连接数/15000个策略数/支持VPN功能/支持根据应用场景模板生成安全策略,智能对安全策略进行优化,自动发现冗余和长期不使用的策略/全局配置视图和一体化策略管理,配置可在一个页面中完成/可视化多维度报表呈现,支持用户/应用/内容/时间/流量/威胁/URL等多维度呈现报表/入侵检测:基于特征检测,支持超过3500漏洞特征的攻击检测和防御/基于协议检测,支持协议自识别,基于协议异常检测/支持自定义IPS签名

1台

3

网阐

系统基本架构

“2+1”系统结构，内外端机为TCP/IP网络协议的终点，阻断TCP/IP协议的直接贯通。内外端机之间采用专用硬件和专用协议进行连接，不可编程。网闸以软硬件结合的方式，有效地隔断内外网络间直接的连接，防止信息无限制交换。

2台

安全体系结构

控制台管理系统部署于内端机上，采用专有协议对设备进行管理，无法通过外端机直接连接到隔离系统。

只能通过内端机上的管理口对网闸进行配置，不允许使用任何数据通讯口进行管理包括ssh后台管理。可避免内外端机由于被黑客从通讯口入侵，导致隔离网闸被黑客完全控制的现象。

硬件架构

硬件架构由内端机、外端机、专有隔离硬件三部分组成。内端机和外端机各自具有独立主板、独立总线、独立的存储和运算单元；

内端机和外端机之间非网线、USB线、SCSI线等线缆直连，基于光隔离技术专有硬件进行隔离和数据交换。通过光交换技术，可以防止内部的数据通过电子电磁泄露的方式被非法窃取，从物理上保障数据交换安全。

2U机架式，标配单电源；内端机4个10/100/1000Base-T接口，含1个MAN口；外端机4个10/100/1000Base-T接口，含1个HA口；标准配置包含web访问模块、邮件访问模块、FTP访问模块、数据库访问模块、视频监控模块、OPC工业控制模块、自定义应用模块。

性能

吞吐量≥300Mbps；并发连接数≥40000

安全上网功能

支持WEB访问，支持HTTP协议应用的各种指令控制。

支持HTTPS网络传输，并且可在该加密通道中分解出正常HTTPS网络应用，保障传输。同时可以屏蔽自由门等各类加密翻墙软件的传输。

内容过滤：关键字过滤。

其他过滤策略：文件类型、页面提交方式等。支持情景模式，能够控制用户上网以及服务器对外提供服务的具体时间。

代理、透明和路由工作模式下均支持HTTP协议内部命令及命令参数控制策略。

安全邮件功能

提供安全的邮件访问，支持POP3、SMTP协议。

支持邮件主机地址过滤、附件过滤。

支持发件地址、收件地址过滤。

支持内容过滤包括URL和关键字。

支持情景模式，能够设置指定时间段允许进行邮件信息交换。

代理、透明和路由工作模式下均支持POP3和SMTP协议内部命令及命令参数控制策略。

文件传输功能

支持FTP文件传输协议，支持主动被动两种模式。支持FTP命令参数控制支持对传输文件的类型过滤。

支持内容过滤。

支持情景模式，能够设置时间段允许文件传输。

代理、透明和路由工作模式下均支持FTP协议内部命令及命令参数控制策略。

文件同步功能

支持Samba、FTP、HTTP等多种通信协议。

提供专用文件同步客户端提供安全的文件同步功能。

支持文件变动实时同步、定时同步、系统资源空闲智能同步等多种同步方式。

支持同步删除和同步覆盖策略配置，并能将同步删除和同步覆盖的文件备份到指定文件夹。

支持文件同步容错策略和告警策略，同步出错能够自动重传并能够设置重传次数，出现异常同步状况能够终止同步弹出告警提示并记录日志。

数据库访问功能

提供对多种主流数据库,如：MYSQL、SQLSERVER、ORACLE、DB2、SYBASE等系统的安全访问。

支持SQL语句控制。

支持情景模式，能够设定特定时间允许访问数据库。

代理、透明和路由工作模式下均支持数据库内部命令及命令参数控制策略。

数据库同步功能

基于专用客户端与网闸安全连接方式，提供多种主流数据库系统如：ORACLE、SQLSERVER、MYSQL、SYBASE、DB2等之间的同步。

支持国产数据同步。

支持客户端与网闸数据摆渡通道数据特征绑定，确保只有授权的合法数据表记录可以通过网闸,可以实现数据库业务通过网闸进行精确深层的交换。

数据库同步传输不使用通用数据库服务端口例如1433、1521、3306等，保障数据库同步传输的安全性。

视频监控

兼容主流视频传输及控制协议H.323、H.264、MMS、RSTP、SIP等，通过内置多媒体应用处理模块，提供高效率的视频信息交换。

能够支持基于动态端口传输的流媒体视频应用。

采用复杂对称多处理（RSMP）技术，成倍提升处理能力，使网闸能够满足高并发、高质量、多路视频数据交换要求。

根据策略配置可以控制视频数据的单向传输。

对接入点身份进行审查，对未通过审查的对象一律丢弃，保证视频数据交换的安全可控。

支持情景模式，能够设置视频监控允许传输的时间。

OPC工控应用

支持DCS/SCADA网络与办公网络之间的OPC应用数据的传输。

支持同步、异步监测数据的传输，只需要绑定固定的一个起始端口即可满足动态的数据端口的数据传输。

支持TRPROXY功能，可拦阻任何不符合OPC标准格式的DCE/RPC 访问，通过OPC基金会的测试套件OPC协议测试。

支持情景模式，能够设置OPC工控应用允许通信的时间。

自定义功能

支持自定义的TCP、UDP协议的数据隔离交换，以用户定制的命令、参数等协议解析方式来解析自定义应用的通信内容，支持16进制数据格式的定制。

用户自定义应用无需对自定义协议软件进行二次修改开发。

提供二次开发，可以根据需求开发新的专用协议处理过滤功能。

支持情景模式，能够控制自定义应用的访问时间。

代理、透明和路由工作模式下均支持用户自定义应用的应用层数据控制功能。

管理配置

管理采用C/S架构专有协议管理，网闸管理口无IP地址，管理主机也不必设置IP即可搜索到设备，管理设备，支持设备集中管理。

双重密码验证，用户需要同时输入管理密码设备密码才能登录到设备上并进行规则配置等操作。

采取系统策略配置管理员与日志管理员角色分立的权限分配模式，用户只能维护操作本类基础管理角色的功能与操作，权限各不交叉。支持多用户权限分配制度，确保合法用户只能做指定的操作。

管理端通过独立的管理口与网闸内网机相连，策略统一从内端机下发，不允许采用外端机上的任何网络接口进行管理。

设备管理端提供系统状态查看，可以实时的了解到设备的CPU、内存以及系统网络数据吞吐量，管理者可设定状态监测的更新频率，支持策略规则模板的导入、导出。

日志审计

支持对所有访问进行日志记录，包括系统事件、成功事件、报警事件。提供对日志信息的浏览、查询、删除、下载等多种操作。

支持本地日志存储，也可以将日志外发到单独的syslog日志服务器上，支持图形化日志统计可以生成html格式的日志报表文件。

其他功能

支持代理模式、透明代理、路由模式三种工作模式，管理员可依据实际网络状况进行相应的部署，以满足各种网络环境状况。

支持SNMP协议，可与标准网管平台无缝兼容。

支持OSPF动态路由穿透。内置IDS特征库，支持抗DDOS攻击功能。

所有功能模块均支持基于源地址、目的地址、源端口、目的端口、通讯协议的访问控制功能。

支持双机热备及多机热备功能，备机不需要二次配置支持配置自动学习功能。

支持IP/MAC地址绑定，可实现基于IP与MAC绑定的客户端访问控制。