主要指标要求

机架式架构，最大扩展到34个接口，标配6个10/100/1000BASE-T接口（作为HA口和管理口），可配置2个SFP+万兆接口卡，要求开放10路授权许可（1对硬件接口1路）。

整机吞吐量：>10Gbps

最大并发连接数：>800W

支持串行、旁路、三角传输部署模式。

支持多功能合一同时支持链路负载均衡、服务器负载均衡和全局负载均衡的功能,无需额外购买相应授权。

★此外设备集成TCP协议优化、WEB压缩缓存、页面加速、SSL卸载、网络防火墙、DNS防火墙、漏洞扫描、四七层DDos攻击防护等功能。

入向链路负载均衡算法:轮询算法，比率算法，拓扑算法，备用ip算法，丢包算法，最小连接数算法，最小延时算法，最小新建连接算法，跳数算法，包速率算法，实时带宽算法，可用带宽算法。

出向链路负载均衡算法，轮询算法，加权轮询算法，带宽比率算法，首个有效算法，随机算法，加权随机算法，丢包算法，最小连接数算法，加权最小连接数算法，最小流量算法，加权最小流量算法，观察者算法，包速率算法，实时带宽算法，最小新建连接数算法，静态就近算法。

链路健康检查支持ICMP、ARP等类型，高级健康检查可自定义逻辑组合条件判断链路健康状态，当某一条链路故障时，将访问流量自动切换到其它链路，保障用户网络访问不中断。

提供链路过载保护，可基于链路的实时上下行流量阈值保护链路，如果流量达到阈值，后续新增流量自动迁移到其它空闲链路。

提供智能DNS功能，单个域名可绑定多个运营商地址，自动识别互联网用户访问请求返回用户对应的运营商链路，引导用户从最优路径的线路访问业务系统。DNS服务支持内网DNS记录，支持A记录，CNAME记录，MX记录和TXT记录，支持内网DNS请求透明代理功能。

地址库包含国内运营商地址库、全国地址库和全球地址库，支持地址库手动导入，支持地址库查询。内置应用协议特征库，可识别主流P2P下载、P2P视频、网络游戏、财经软件等应用，支持依据识别后的应用进行链路选择。

提供链路信息统计。可统计链路健康状态、故障分类、流量走势、报文数走势、访问次数走势、带宽使用率走势、流量占比、报文数占比、访问次数占比等信息。支持在线用户信息统计，支持查看实时会话连接信息。

提供针对多站点业务发布的全局负载均衡功能，通过智能DNS实现公网用户对多个数据中心多条线路的最佳访问，可实现应用级别的健康检查功能，支持数据中心互备或者双活。

提供TCP连接复用功能，降低服务器频繁三次握手的资源消耗。

提供WEB压缩功能，使用浏览器标准GZIP和Deflate压缩算法。

提供WEB缓存加速功能,可缓存动静态网页内容，智能控制客户端端浏览器行为。

提供CSS加速功能，支持内嵌CSS,合并CSS,最小化CSS，将CSS移动到head中，将CSS移动到JS前。

提供JavaScript加速功能，支持内嵌JS，合并JS，最小化JS。

提供HTML加速功能，支持去除空白，去除注释，提前解析DNS。

提供图片加速功能，支持内嵌图片，转换图片格式。

设备内置数据中心，通过设备的管理界面上看到自带的各类统计信息及可视化报表，可以根据用户需求定制报表模板，然后基于定制化的报表模板导出数据报表，支持数据报表导出，支持日报表、周报表、月报表。

★提供DNS防火墙功能，支持DNS安全认证，兼容IETF提供的国际标准DNS 安全扩展 (DNS Security Extensions, DNSSEC)。支持DNS协议漏洞攻击、DNS反射放大攻击、DNS投毒攻击防护，保障智能DNS解析过程的安全性和可靠性。

★提供数据库安全功能，检查访问数据库的权限，杜绝非授权用户访问数据，保证数据库的安全。

计算机软件著作权登记证书。

为实现统一策略管理，要求设备能加入到我局现有的统一管理平台能够上传日志和接受平台的策略统一下发，实现无缝对接。

功能类别

技术要求及指标

★产品架构

监控平台采用B/S架构，系统平台和管理对象模块分离。采用JAVA+HTML5开发。

基于数据安全考虑，平台不能使用SQL、Oracle或者MYSQL数据库，建议自带数据库，数据做加密处理。

支持分布式采集部署方式，可同时采集广域网和局域网信息。系统须具备智能运维分析能力，能充分利用运维数据进行异常挖掘。

★系统平台

提供以周维度的健康状态视图，提供趋势管理能力，在一张图上列出问题最多的设备和指标、关键指标环比变化最大的线路和主机等信息。

提供日维度的运维工作总览视图，在一张图上至少包含当前重要事件、近期重要事件、昨日设备性能变化汇总。

支持跨广域网的分布式采集，单套产品至少具备支持20个及以上的分布式采集器，管理平台需要自带本地采集器。

分布式采集器至少需要支持单采集器1000节点的数据采集能力，同时带宽占用不得超过2M。

提供自动数据基线运维能力，必须根据自动采集的数据形成基线，不能以人工导入或者手工绘制方式实现，基线能按照用户要求随时重构。

提供一年数据（5分钟采样）无压缩保存，支持性能数据，告警数据，配置数据，操作记录的一年数据转存。

要求不少于10个并发用户同时登录系统并进行操作。

智能运维引擎

系统须提供配置模板。管理对象一旦添加，即可自动适配相关智维规则、告警规则、报表规则，无需人工参与配置。

系统须提供业务基线。系统须自动学习被管对象业务运行规律，自动形成业务基准基线、高负载基线和低负载基线。设备运行一旦偏离高/低负载基线后即可进行异常提示。

系统须预置上百种管理策略，当检测到异常后需要自动通知管理员。

提供强大的平台能力和后台开发能力，能将用户个性化的分析方式和处置方式转换成自动执行策略。

★网络管理

系统须支持各大设备厂商的各型号设备，支持多厂商设备组成的混合网络自动发现，并且提供设备的真实面板,提供端口关闭与启用操作，可以更改VLAN ID。

拓扑图的生成须支持网络设备的SNMP V1、V2、V3这三个版本的混和生成，并能对SNMP V3设备进行管理。

系统须能解决广域网环境中子网IP不可达的问题，须支持由分布式采集器为起点的拓扑发现算法。

提供拓扑添加功能，在保留原有拓扑图的基础上，搜索新的网络设备并自动添加到网络拓扑上。

提供对全网的网络设备线路按照流量、带宽占用比、丢包率、错包率、广播包等指标的实时负载进行排名。

可根据IP或MAC查询某客户端连接在哪个交换机的哪个端口。支持以IP段方式预设各类管理规则，实现分类管理。

提供任意IP类型对象的监控，支持通过ping方式检测在线设备状态、TCP端口状态、URL跳转方式实现该对象的基础管理。

要求拓扑图上的设备和线路支持按照性能参数的不同区间以红、黄、绿颜色进行显示，性能负载可自定义。

支持不同采集域的设备在一张图上进行展现，且通过图标跳转到任意拓扑图。

提供对网络链路丢包，错包，广播包的趋势变化进行实时监控，帮助判断网络潜在的故障风险，并且提供详尽的处理建议。

提供拓扑图自动布局，网络设备可实现星型排布、圆型排布、从上到下树形排布、从左到右树形排布多种自动排布方式。在拓扑图上可直接显示线路峰值流量、广播流量、组播流量信息。拓扑图设备间的连线除直线形式外，还可支持以折线、合并线等线型，并可将网络拓扑按照线路图、地域分布图、逻辑关系图等方式呈现，要求提供截图证明。

★主机管理

提供对于Windows、HP unix、Aix、Solaris、linux（redhat、CentOS、Suse（oracle）、Redflag、麒麟）类型操作系统的管理，支持对于CPU、内存、进程、日志、网络流量、磁盘性能的监控。

支持国产麒麟操作系统管理，支持对于CPU、内存、进程、日志、网络流量、磁盘性能的监控。

提供HP、Dell、IBM的硬件状态的监控，支持对于温度、风扇、磁盘、CPU、内存、电源等重要主机硬件的状态监控，提供硬件监控截图证明。

提供以主机为核心自动生成系统拓扑图，智能布局，无需人工调整，一张图展现了所有承载的数据库和中间件、标准应用之间的实时状态监控，为主机监控提供全景视图，提供截图证明。

提供对主机进程列表的监控，支持定期备份进程表，支持进程表比对，进程状态告警。

提供主机趋势管理视图，包括CPU、内存、文件系统，流量指标的对比，磁盘容量可用时间的预测。

提供通过主机的核心性能指标 CPU、内存、文件系统，流量增长趋势对比，主动找到增长趋势异常的主机。

要求自动分析出内存泄露主机，并找出具体泄露进程，要求对全部主机有效且无需设置。

要求能主动捕获系统高负载的主机，及时通知用户并给出具体进程使用情况，要求对全部主机有效且无需设置。

要求具备对数据增长的一定预测能力，比如对于磁盘容量可用时间的预测。

提供主机管理以波浪图方式显示所有主机的全局信息，以图形化方式显示主机的常用管理参数，提供截图证明，如:详细的主机基本管理参数，单个系统的CPU、内存增长趋势，单个系统的业务流量变化趋势，单个系统存储空间实时和变化情况。

支持主机监控密码的批量化修改并根据设备端配置变化自动更新。
要求相关管理方案模板化，新增对象可实现自动启用管理方案，进行自动巡检，无需再次配置。

提供对统计范围内的主机进行详细的实时分析数据，根据使用率自动按照TOP 20排名。

提供最近一个月操作系统总体负载使用的TOP20的排名。

数据库管理

提供SQLServer、Oracle、Sybase、Mysql、Informix、DB2等数据库的各项常用运行参数，支持ODBC和JDBC取数。

支持国产达梦数据库的管理，提供数据库运行视图。

数据库添加支持EXCEL格式导入系统。

提供对于各个数据库实时运行状态的实时统计，包含数据库会话数、死锁数实时排行，支持对表空间大小和会话数、缓存信息、锁信息进行重点监管。

中间件管理

中间件管理须提供对 WEBLogic、、Tuxedo、WebSphere、EAServer、Cognos、MQ、Apache、Tomcat、Jboss、IIS、TongWeb 等中间件实时监控。

提供图形化方式显示应用的承载主机状态和应用的基本性能信息，同时展示相关的运维负责人和联系方式，提供截图证明。

标准应用管理

提供FTP、SFTP、HTTP、HTTPS、POP3、SMTP、DHCP、JVM、Exchange的监控。

提供图形化方式显示应用的承载主机状态和应用的基本性能信息，展示相关的运维负责人和联系方式，提供截图证明。

★虚拟化管理

提供虚拟机中心、文件夹、数据中心、集群、宿主机、资源池、vApp的全面管理，包括实时性能和逻辑关系。

提供宿主机和虚拟机的配置、状态、性能信息的一体化管理。

要求以图形化方式展现虚拟化拓扑，显示宿主机、虚拟机、虚拟网络、数据存储关系，动态显示管理对象负载、告警，提供截图证明。

事件预警和处理

提供对所有管理对象指标均支持批量告警设置,设置时可以屏蔽差异项,实现快速设置,缩短设置时间和维护的复杂度。

提供将智维发现的异常事件，快速转换成告警规则。

系统提供处置知识库，自动实现告警和处置知识快速关联，方便的实现处置知识的快速应用。

提供多种告警信息输出方式，至少包含短信、邮件、屏幕通知方式。

★其它要求

为了保证分析数据的连续性、可靠性和安全性，所提供的产品需与用户原有自动管理分析平台系统中的数据无缝对接，分析数据需用原有的自动管理分析平台系统采集器进行采集，不能通过中间转换或其他方式将数据进行转存导出。

功能大类

子功能

描述

设备管理

多级安全域管理

可以将设备按照管理范围划分为多个域；域之间可以有上下级关系，最多支持4级域，可以为管理员指定可管理的域范围。

设备注册及认证

被管理设备自动完成注册与认证；

支持动态IP的防火墙设备管理；

设备自动发现和

在线状态扫描

利用snmp、ping、http等通信协议探测设备在线状态

接收设备自动发现消息，可用于发现第三方设备，并批量添加设备；

设备远程管理

在设备管理列表中选择设备，通过调用浏览器登录远程设备进行管理、在拓扑图上选择设备进行远程管理调用、提供管理工具： Ping/SSH/telnet/Traceroute。

设备配置集中保存、查看、导出、更新和比较

能够查询、接收并保存设备配置信息，并为设备提供查看、导出和配置更新服务。可以为一个设备保存多个配置，并在更新时由管理员进行选择；设备配置应用后需要提示保存；支持华盾设备配置保存；可定期获取设备配置信息；可定期检查设备配置是否被私自修改；可显示配置变化状态。

设备操作

开启服务、开启vpn服务包过滤服务、设备重启、时钟设置、snmp设置、设置ROOT管理员口令等；

复制、移动设备

支持将设备从某级设备域复制或移动到另一级设备域

NAT环境支持

支持NAT环境下的设备配置、升级管理等

设备批量升级

可以按域或按设备制定升级计划，在有可用的升级包时在指定时间自动升级

自动搜索对应的设备类型

能够根据“网络卫士“系列产品的产品代号（PN）自动选择设备类型

支持第三方设备

添加自定义设备类型和配置来对第三方设备进行管理支持。

拓扑管理

拓扑图维护

显示和编辑拓扑图；放大缩小等功能。

根据安全域、设备列表以及隧道列表，生成拓扑图；

显示设备摘要信息：设备名称、IP、隧道名。

通过子域结点，进入下级域的拓扑显示

拓扑图显示支持位置手工和自动排列

基于拓扑图状态管理

基于拓扑图的设备与隧道监控，

可查看跨域隧道的状态

图形化编辑

手动图形化增加、移除设备、安全域、隧道； 复制、移动设备；

显示方式

显示设备中服务列表；当前图节点变化时自动刷新；拓扑未变化不需提示存盘；显示子域报警；显示中转设备；显示子域设备总数；开关控制是否显示隧道名称；支持拓扑图打印；导出拓扑；图标排列操作；拓扑查找（名称、IP、类型为条件）；

防火墙策略

全局对象管理

包括地址、区域、服务、时间和内容过滤对象等的编辑；对象分发

防火墙策略编辑和下发

支持包过滤策略、访问控制策略、NAT策略、内容过滤策略、带宽控制策略；防病毒策略参数、反垃圾邮件策略参数和防火墙参数的统一配置；支持策略分组。

策略集中编辑和下发

可以手工创建策略；策略按域制定；可将策略下发并应用到所选设备（可多台）或域；支持定期将指定的设备（可多台）进行下发

阈值监控策略

可设置防火墙的CPU、内存、连接数和接口流量阀值 ，超限后自动报警。

IPS策略

IPS对象编辑和下发

服务、动作、规则对象定义；支持IPS对象下发；

IPS策略编辑和下发

支持IPS策略编辑和下发，策略引用防火墙地址、区域对象以及IPS对象；支持定期将指定的设备（可多台）进行下发

防病毒网关策略

防病毒网关策略

包含网页扫描、SMTP/POP3扫描、 IMAP扫描、反垃圾邮件, FTP扫描、蠕虫防护等策略定义

设备监视

设备监视

在线状态的监视，及详细信息的监视（系统资源、接口流量等）；

在子域结点中显示该域内所有下级设备的活跃数；

批量监视

通过分析设备健康记录判断设备运行状态；同时监控多台设备的接口信息；支持监视数据存储、回放

TOP N

支持对监控的设备进行“TOP N”排序

IPS事件TOP N

N可设置：范围5－20；

TOP N包括：

1、事件最多的源IP

2、事件最多的目的IP

3、发生次数最多的事件

4、事件最多的IPS设备

统计时间可设置：范围10分钟－1天；

可以指定1、2、3的统计设备

威胁分析统计

图形化显示历史威胁统计，内容为：所有攻击发生次数；

统计时间可设置：范围1小时－1天

NETFLOW流量监控

支持NETFLOW V5和V7版本协议；指定范围内的TCP等协议流量信息 ；查看指定时间范围内当前TOPN个IP的流量；查看指定时间范围内当前TOPN个端口流量；

设备流量监控

支持天融信防火墙3.3.005和3.3.006，天融信IPS，

通过分析日志监控天融信VONE设备流量

动态隧道

支持设备动态隧道管理

下发虚拟路由策略支持隧道冗余

TSM融合

通过EXCEL文件导入TSM资产

导入时对资产编号进行唯一性判断，如果已存在，则不能导入

将资产通过EXCEL文件导出

导出时包括字段：

资产编号，设备名称，IP，设备类型

没有指定资产编号和管理IP的设备不能导出

策略联动

TSM通过TP下发PF规则；

支持TP策略与TA日志关联查询；

TP将运行时统计信息发送给TSM

使用syslog格式，发送信息包括：

统计时间、设备总数、在线设备数、VRC总数、在线VRC数、隧道活跃的VRC数、隧道数、活跃隧道数、在线管理员数。

TopAnalyse（TA）与TP交互

TA系统中集成TP管理端的Web主页

TP Web管理端可及时与TA系统同步设备状态、隧道信息等

CA管理

本地CA功能

为设备生成、更新、发放证书。

为VRC生成、更新、发放证书。

为管理员生成、更新、发放证书。

证书验证与CRL文件管理

第三方CA功能

为设备导入/更新第三方CA生成的证书

验证设备和VRC身份。

支持通过OCSP协议验证设备和VRC身份。

支持第三方根证书和CRL导入。

支持通过HTTP、LDAP协议自动下载CRL。

日志管理

设备和IPS日志接收及存储

支持设备和IPS日志的接收和存储，以及系统日志的存储和转发。

日志查询

对系统、设备和IPS日志进行详细的按关键字查询

设备日志数据库备份和恢复

根据设定的容量或者时间周期，增量备份或者循环覆盖备份日志；可以手工恢复日志；

报警

报警方式对象管理

为每个对象选择报警方式包括邮件、WINPOP、SNMP、管理器显示、短信、调用外部应用程序、向上级服务器发送、向下级服务器发送；可添加多个对象；

报警功能

根据定义的报警条件，产生报警；

报警条件有VRC用户上下线，设备上下线信息，隧道连通断线信息，监控阀值、NETFLOW流量等等。

TA、IPS报警接收

接收网络卫士入侵检测系统、天融信IPS、TA的SNMP TRAP报警信息

报警信息浏览

根据关键字查询和浏览历史报警信息

软件升级

设备及VRC软件升级

对设备和VRC的升级补丁进行管理；可直接为设备进行升级；也为VRC提供下载升级服务。

升级检测

TP根据设备的版本号判断是否有设备需要升级，如果有需要升级的设备，则提示用户。

IPS规则库自动升级

指定升级URL，升级周期1－30天，或者不升级；

病毒库升级

可以手工或者任务调度方式升级病毒库

用户管理

管理员管理

基于角色的权限划分和管理。

三权分立模式

支持审计类、监控类、管理类三类用户，提供对系统用户行为的审计能力

统计分析

报表统计模版管理

统计信息的子模版包括设备日志、系统日志、NETFLOW流量、报警信息、系统运行状态、IPS事件日志和流量、VONE流量、防病毒网关统计报表等；针对子模版具备TOPN排列功能；可管理多个模版；

统计报表输出

提供统计功能，并可以打印统计报表。

支持PDF格式、WORD/EXCEL格式导出报表；

支持批量导出报表；

可以针对单台或多台网关的信息进行统计和描述，也可以针对整个网络信息进行统计和描述。

报表形式

报表支持列表、饼图、柱状图、曲线图等多种图形组合的方式显示

报表统计方式

日、周、月和自定义时间段

高可靠性

服务器配置备份和恢复

可实现服务器配置备份。

可实现配置恢复。

可实现设备日志备份与恢复。

服务器级联

支持TP服务器分布式部署，下级上传关键数据；向下级服务器发送设备升级包、IPS规则库补丁、IPS描述库补丁、防火墙策略、IPS策略、VPN策略模板和报警信息