序号

设备或系统名称

配置或功能描述

数量

单位

1

入侵防御设备

1、设备性能及硬件配置要求：三层吞吐量≥7Gbps，应用层吞吐量≥1Gbps，并发连接数≥200W，每秒新建连接数≥10W，所投设备必须配置千兆电口≥6个（开通4条外网链路授权）。

2、部署模式要求：支持路由，网桥，单臂，旁路，虚拟网线以及混合部署方式。

3、网络特性：支持802.1Q VLAN Trunk、access接口，VLAN三层接口，子接口；支持链路聚合功能；支持端口联动功能，当上行/下行端口链路出现故障时，对应的另一端下行/上行端口自动切断链路。

4、路由支持：支持静态路由，ECMP等价路由；支持RIPv1/v2，OSPFv2/v3，BGP等动态路由协议；支持多播路由协议；支持路由异常告警功能；支持多链路出站负载，支持基于源/目的IP、源/目的端口、协议、应用类型以及国家地域来进行选路的策略路由选路功能（需提供相关功能截图证明）。

5、★基础功能：支持连接会话展示，可针对具体的IP地址进行会话详情查询，支持封锁异常会话信息，并支持设置监听具体IP的会话记录；访问控制规则支持失效规则识别，如规则内容存在冲突、规则生效时间过期、规则超长时间未有匹配等情况；支持根据国家/地区来进行地域访问控制；（需提供相关功能截图证明并加盖厂商公章）。

6、DDos攻击防护：支持Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing攻击防护、支持SYN Flood、ICMP Flood、UDP Flood、DNS Flood、ARP Flood攻击防护，支持IP地址扫描，端口扫描防护，支持ARP欺骗防护功能、支持IP协议异常报文检测和TCP协议异常报文检测。

7、★入侵防护功能：设备具备独立的入侵防护漏洞规则特征库，特征总数在7000条以上；支持对常见应用服务（HTTP、FTP、SSH、SMTP、IMAP、POP3、 RDP、Rlogin、SMB、Telne、Weblogic、VNC）和数据库软件（MySQL、Oracle、MSSQL）的口令暴力破解防护功能；提供最新的威胁情报信息，能够对新爆发的流行高危漏洞进行预警和自动检测，发现问题后支持一键生成防护规则；（需提供相关功能截图证明并加盖厂商公章）；支持同防火墙访问控制规则进行联动，可以针对检测到的攻击源IP进行联动封锁，支持自定义封锁时间。

8、僵尸主机检测：设备具备独立的僵尸网络识别库，特征总数在40万条以上；支持对终端已被种植了远控木马或者病毒等恶意软件进行检测，并且能够对检测到的恶意软件行为进行深入的分析，展示和外部命令控制服务器的交互行为和其他可疑行为；（需提供相关功能截图证明）；支持通过云端的大数据分析平台，发现和展示整个僵尸网络的构成和分布，定位僵尸网络控制服务器的地址；（需提供具备相关云端大数据分析能力的证明）。

9、WEB应用防护：设备具备独立的WEB应用防护识别库，特征总数在3000条以上；★支持针对网站的漏洞扫描进行防护，能够拦截漏洞扫描设备或软件对网站漏洞的扫描探测（需提供相关功能截图证明）；支持对网站黑链进行检测； （需提供相关功能截图证明）；支持Windows和Linux系统下网页防篡改功能。

10、安全可视化：支持资产的自动发现以及资产脆弱性和服务器开放端口的自动识别；（需提供相关功能截图证明）；支持对检测到的攻击行为按照IP地址的地理位置信息进行威胁信息动态展示，实时监测和展示最新的攻击威胁信息；（需提供相关功能截图证明）。支持自动生成安全风险报表，报表内容体现被保护对象的整体安全等级，发现漏洞情况以及遭受到攻击的漏洞统计，具备有效攻击行为次数统计和攻击举证；（提供安全报表并加盖厂商公章），支持以攻击链方式来匹配和展示资产遭受到的攻击行为。

11、资质及成熟度要求：要求产品具备计算机信息系统安全专用产品销售许可证；产品应具备ISCCC中国国家信息安全产品认证证书；为保障后期使用过程中的运维服务，要求所投设备厂商必须在省内具有直属的服务办事机构，并且售后服务体系通过ISO9001认证（提供相关证明）；为保障所投设备的软件开发质量及持续更新，要求所投产品厂商软件开发成熟度达到CMMI 5级（需提供相关证书）；厂商应是国家互联网应急响应中心网络安全应急服务国家级支撑单位；国家信息安全漏洞共享平台(CNVD)技术组成员；（需提供相关资料）。

12、系统配置管理：支持管理员权限分级，支持安全管理员、审计员、系统管理员三种权限。

13、资质及成熟度要求：为保障后期使用过程中的运维服务，要求所投设备厂商必须在省内具有直属的服务办事机构或分公司并且售后服务体系通过ISO9001认证（提供相关证明）、要求产品具备计算机信息系统安全专用产品销售许可证；为保障所投设备的软件开发质量及持续更新，要求所投产品厂商软件开发成熟度达到CMMI 5级（需提供相关证书）；厂商应是国家互联网应急响应中心网络安全应急服务国家级支撑单位；国家信息安全漏洞共享平台(CNVD)技术组成员；（需提供相关资料）。

14、维保要求：要求入侵防御提供五年硬件质保、三年软件升级、三年入侵防御、三年web应用防护更新及僵尸网络库升级。

2

台

2

Web应用防火墙

1、系统应为机架式独立WAF硬件设备，全内置封闭式结构，具有完全自主知识产权的专用安全操作系统，稳定可靠；专业web应用防护系统，非OEM或UTM/下一代防火墙等一体化安全产品。

2、自主研发，标准1U机架尺寸；1个RJ45串口，1个GE管理口，4个GE电口（内置电口Bypass），硬盘大于1TB，网络层吞吐量≥2.4Gbps，应用层检测能力≥400Mbps，最大并发连接≥10万，每秒新建会话数≥3000，每秒事务处理能力≥10000，Flood防护能力为60万pps，时延<150us。

3、支持VLAN划分；支持链路聚合；支持静态路由及策略配置；支持静态MAC地址表配置；支持ＩＰＶ６；支持透明部署，旁路部署，反向代理模式以及镜像部署模式。

4、支持HTTP 0.9/1.0/1.1，完全解析HTTP事务。

5、支持对SSL（HTTPS）加密会话进行分析。

6、支持对HTTP协议的异常元素、异常参数、非法编码和解码的灵活控制与处理，提供配置界面截图证明，并加盖原厂公章。

7、支持针对主流Web服务器及插件的已知漏洞防护。Web服务器应覆盖主流服务器：apache、tomcat、lightpd、NGINX、IIS等；插件应覆盖：dedecms、phpmuadmin、PHPWind、shopex、discuz、echsop、vbulletin、wordpress等。

8、支持对注入、XSS、SSI指令、Webshell防护、路径穿越及远程文件包含的攻击防护，提供配置界面截图证明，并加盖原厂公章。

9、支持CSRF（跨站请求伪造）防护，提供配置界面截图，并加盖原厂公章。

10、支持爬虫防护，实现对100种以上的爬虫特征进行识别和阻断，防止页面因爬虫而引起信息泄露等问题。

11、支持盗链防护，有效识别网页盗链行为，避免用户网页资源被滥用。

12、支持扫描防护。

13、支持网页防篡改防护。

14、支持Cookie安全机制。提供配置界面截图证明，并加盖原厂公章。

15、支持对服务器状态码进行过滤和伪装的安全策略，提供配置界面截图证明，并加盖原厂公章。

16、支持敏感关键字自定义功能。

17、支持URL ACL，对多种HTTP方法执行访问控制，包括GET、POST、HEAD、PUT、DELETE等

18、支持TCP Flood防护和HTTP Flood防护，并说明HTTP Flood防护的检测算法，提供配置界面截图证明，并加盖原厂公章。

19、支持XML防护，包括XML基础校验、Schema校验以及SOAP校验，提供配置界面截图证明，并加盖原厂公章。

20、支持基于五元组（源IP地址、目的IP地址、源端口、目的源口、协议类型）及接口的网络防火墙功能，提供配置界面截图证明，并加盖原厂公章。

21、支持根据用户配置的服务器信息，自动生成一套安全规则分析结果库，该结果库可直接应用于白名单，降低误报和漏报率，提供厂商盖章的配置界面截图证明，并加盖原厂公章。

22、可以与同品牌SaaS扫描服务或者Web漏洞扫描器产品联动，在WAF上定期自动获取专家级、个性化的《WEB漏洞扫描报告》，并转化为WAF可执行的、有针对性的WEB安全防护策略。支持手动导入扫描结果，也支持在WAF上自动下发扫描任务，扫描完成后扫描结果自动上传WAF，提供配置界面截图证明，并加盖原厂公章。

23、WAF可以和云中心进行联动，客户可通过下载手机APP，对设备进行状态监控，监控信息包括CPU、内存、规则库版本等，并提供厂商盖章的界面截图证明，并加盖原厂公章。

24、支持HA的A/S部署模式，支持配置同步。

25、支持VRRP协议，提供配置界面截图证明，并加盖原厂公章。

26、《计算机信息系统安全专用产品销售许可证（增强级）》，《IT产品信息安全认证证书》，《国家信息安全测评信息技术产品安全测评证书（EAL3 级别）》，提供上述产品有效证书的复印件，并加盖原厂公章。

27、投标产品应该是被广泛应用的成熟产品，在国内市场具有较高的市场份额，连续7年市场占有率排名不应低于前3名。须提供Frost &Sullivan市场占有率排名有效证明材料，并加盖原厂公章。

28、2014-2017连续4年入选Gartner WAF魔力象限，须提供相应证明，并加盖原厂公章。

29、投标产品厂商参与起草了国标《信息安全技术 WEB应用防火墙 安全技术要求与测试评价方法》GB/T 32917-2016和公安部行标《信息安全技术WEB应用防火墙安全技术要求》GA/T1140-2014，并且具备通信网络安全服务能力安全培训类证书（一级）及通信网络安全服务能力安全设计与集成类证书（二级）资质，提供上述资质有效证明文件，并加盖原厂公章。

30、厂商应具备完善的服务保障体系，拥有总部、分公司、办事处三级技术支持平台，提供统一的免费服务热线，为客户提供三年原厂质保，并提供本地分公司营业执照和官网截图，并加盖原厂公章。

1

台

3

VPN设备

1、设备性能及硬件配置要求：SSL最大加密流量≥150Mbps，SSL理论并发用户≥350个，防火墙网关性能≥200Mbps，，所投设备必须配置千兆电口≥4个。单台开通50个SSLVPN并发接入授权,单台开通10个APP封装并发接入授权。

2、专业VPN设备，采用标准SSL、TLS 协议，同时支持IPSec VPN、SSLVPN两种VPN，非插卡或防火墙带VPN模块设备。

3、支持PC终端使用包括Windows10、Windows8、Windows7、Windows xp、Mac OS、Linux等主流操作系统来登录SSLVPN系统，并完整支持该操作系统下的各种IP层以上的B/S和C/S应用；支持Windows、IOS、Android等操作系统的智能手机、PDA、平板电脑（PAD）等移动终端的SSL VPN接入，或通过PPTP、L2TP VPN方式接入。

4、支持终端使用包括IE6、7、8、10、11或其他IE内核的浏览器，以及最新版本的非IE内核浏览器，如Windows EDGE，Google Chrome，Firefox，Safari，Opera最新版登录SSLVPN系统，登录后可完整支持各种IP层以上的B/S和C/S应用。（提供截图证明）。

5、APP封装功能：产品必须支持经过集成的，基于Android IOS平台的第三方软件开发包（SDK），并实现基于Android IOS平台第三方应用软件（APP）代码量不超过20行。（要求提供代码Demo和企业证明）；支持针对移动APP的VPN安全代码的自动封装，实现App应用的安全加固（提供界面截图证明）。

6、★可支持虚拟门户功能，在一台设备上配置不同的访问域名、IP地址，以及不同的使用界面，实现一台设备为多个不同用户群体服务的的使用效果（提供截图证明）。

7、权限、服务器安全：支持主从认证账号绑定，必须实现SSL VPN账号与应用系统账号的唯一绑定，VPN资源中的系统只能以指定账号登陆，加强身份认证，防止登录SSL VPN后冒名登录应用系统（提供截图证明并加盖厂商公章）。

8、针对服务器地址保护方面，可支持SSLVPN资源列表界面上的用户授权资源隐藏；针对B/S应用，可进行URL地址伪装，防止服务器真实IP地址泄露。

9、产品必须支持Local DB 、USB KEY、短信认证、硬件特征码、动态令牌、数字证书认证、LDAP、RADIUS、等认证方式；可针对用户/用户组设置认证方式的与、或组合，可进行用户名/密码、LDAP、USB KEY、硬件特征码、短信认证或动态令牌的五因素捆绑认证。

10、支持设置对控制台管理员密码复杂度的要求，提升设备的安全性（提供截图证明）；在负载均衡集群部署模式下，支持授权漂移，即当集群中一台设备宕机，该宕机设备中的并发授权自动迁移到其他正常的设备中，而无需额外购买授权。

11、资质要求：为保障后期使用过程中的运维服务，要求所投设备厂商必须在省内具有直属的服务办事机构或分公司并且售后服务体系通过ISO9001认证（提供相关证明）；提供产品IPV6 Ready认证证书，并在全球IPV6测试中心官网可查；为保障软件开发质量，要求厂商具有CMMI5级认证。（提供证书复印件）。

12、维保要求：要求提供五年硬件质保、三年软件升级。

13、其他要求：提供一台集中管理平台，统一管理已有深信服上网行为管理设备，含50个设备管理授权。标准1U机架式设备，配备6个千兆电口，最大可管控200个设备。

2

台