序号

项 目

指标项

功能描述

备注

1

设备要求

产品型号

飞塔(Fortinet) Fortigate3016B UTM设备

FG3016B

硬件架构

支持ASIC硬件架构

操作系统

FortiOS4.1.7（0207）版本

电源

支持双电源冗余

接口数量

支持16个10/100/1000M端口，配置4个10/100/1000M SFP电口模块

防火墙吞吐量

最大支持16Gbps

最大并发数

最大支持100万

每秒新建会话

最大40K

虚拟防火墙

提供10个

虚拟VPN

同时支持IPSEC VPN和SSL VPN

VPN隧道数

最大64K

IPS吞吐率

最大支持2G

AV吞吐率

最大支持300M

2

供应商要求

销售证明

要求提供原厂商授权销售证明

销售和服务证明必须提供FortiNet原厂证明

服务证明

要求提供原厂授权产品服务证明

具备至少系统集成二级资质　

要求提供资质证明，要求具有相关应用项目实施案例，要求原厂工程师设计及实施。

3

服务要求

IPS服务

提供3年IPS更新服务

AV服务

提供3年AV更新服务

产品保修服务

提供3年产品保修服务

项目

指标

具体要求

产品型号

冰峰iceflow 3000 pro

技术指标

并发会话连接数

不小于70万

每秒新建会话数

不小于1.2万

最大VPN Client用户数

不小于1500,

本次购买VPN用户数

600

防火墙吞吐率

不小于1Gbps

IPSec密文吞吐率

不小于450Mbps

支持VPN通道数

大于3000个

网络接口

1000Base-T RJ45，不少于4个

常规功能

路由

支持静态路由、策略路由。

支持多出口路由，可通过多条公网线路同时上网。

支持双向NAT（包括SNAT/DNAT）功能，可根据网络连接需要自定地址转换方式，并具有PAT功能。

支持DHCP功能，可同时对多个网段动态分配内网IP地址。

3G支持

设备支持与3G猫结合，通过3G猫实现设备3G上网

访问控制

支持DMZ非军事化区。

基于状态检测防火墙，可基于IP、MAC、协议和端口制定访问控制策略，并可自定义地址组、应用组，结合时间控制策略，设定局域网用户上网及使用VPN资源的权限。

支持一键式封闭QQ/MSN/P2P等应用，可对自定义的应用程序进行限制。

支持针对用户组的防火墙策略设置，通过用户组直接对一批分开的地址段做到策略设置

支持对内网所有主机IP/MAC地址绑定功能，抵御ARP木马的攻击威胁。

带宽管理

集成CBQ/HTB（QoS）优先级控制系统，可实时查看当前数据流量，可按客户需要对VPN及上网流量进行比率或定量调控。

可对内网用户网络带宽进行细粒度控制，可控制源和目标两个方向的单IP、IP地址范围、IP网段，可精确到对指定应用程序级别进行带宽管理。

支持黑名单功能，能将带宽占用过多的用户电脑加入限制列表中，通过限制列表的带宽设置限制黑名单用户的带宽使用。

URL内容过滤

支持基于URL的过滤机制，可对指定的URL或部分关键字实施过滤。

入侵检测功能

可根据用户需要设定对非法报文攻击（SMURF、Dos/DDos、Ascend Kill、Jolt、Ping of Death、Land、tcp scan、Teardrop等）和统计型报文攻击（Port Scan、SYN Flood、Ipsweep、ICMP flood、TCP flood、TCP flood等）进行相应的防范，并提供相应的日志记录，以抵御各种网络攻击，提高企业应用系统的整体安全级别。

可基于应用层，针对各种可疑活动，未经授权访问，缓存溢出、蠕虫检测、口令猜测、非法目录或文件访问、篡改、遍历等攻击事件进行检测拦截。

Session级保护

具备Session级保护，从而防止数据被窃听后伪装访问的攻击。

集群模式

支持8个节点以上的集群，模式可支持主/备模式、主/主模式。

支持双机、双线、双IP交叉集群模式。

负载均衡

支持对于VPN连接的负载均衡处理，分散设备运行压力

日志与监控

具有日志管理和故障定位功能，能对系统运行进行实时监控和报警。可提供访问日志、告警日志、错误日志、调试日志、防火墙日志、VPN日志、移动用户日志、系统日志等八类日志，管理员可对指定时间范围内的日志进行分类查询。

支持SYSLOG日志服务器，可通过独立的第三方日志服务器，形成图像化监控界面。

支持SNMP协议。

支持一键式日志清理。

设备管理

Web图形化管理、Console命令行管理、SNMP、SSH等管理方式，且单独通过命令行方式或图形化配置方式均可实现所有VPN配置及管理。

提供针对设备管理的三种不同等级权限，包括超级管理员、普通管理员和只读管理员，超级管理员拥有对设备的全部操作权限，其他级别管理员只拥有部分权限。

支持本地和远程升级设备系统升级。

管理界面

简体中文图形化管理界面。

支持管理界面的图片认证码功能。

通讯模式

支持路由模式、透明模式、NAT模式。

支持单臂模式部署设备。

支持多线路智能分流技术，能优化在多条线路接入情况下的数据转发。

支持混合模式部署，如多网口情况下，可针对不同的区域设置不同的通讯模式。

支持多种类型的线路接入模式，包括光纤固定IP接入、ADSL、CABLE MODEM接入等。

多VPN模式

支持IPSec VPN、SSL VPN及PPTP VPN三合一接入模式，可同时配置多种VPN接入方式。

固网接入

IPSec VPN

支持NAT穿越。

基于国际标准IPSEC协议构建隧道，支持3DES、AES、TWOFISH、SERPENT、BLOWFISH、CAST高强度加密算法。使用MD5、SHA1、SHA2算法保证数据的完整性。动态密钥交换机制，可根据安全性要求调整密钥生存周期，从而维护密钥的安全性。

通过可靠协议进行IP地址交换，避免使用可靠性不高的动态DNS方式。

具有兼容性，可与其他支持标准IPSec协议的VPN产品互联。

对于公网ADSL等接入导致的动态IP问题可利用专有技术解决（需提供软件著作权证、专利证书有效复印件）。

支持星型结构、网状结构及其他任意拓扑结构的网络构架，并且不论哪种方式均能正常使用VPN功能。

线路中断后VPN通道可自动恢复，线路恢复正常后VPN可在5到10秒内自动愈合。

支持全部通过动态公网IP地址建立VPN，支持城域网虚拟IP和公网IP之间建立VPN。

支持在中心节点具有固定公网IP时，在VPN设备上内置目录服务模块，直接将该设备作为目录服务器使用。

支持任意广播包跨网复制，支持直接浏览网上邻居，支持域登陆。

集中管控平台

可通过该平台直接对所有VPN节点做到管理控制

通过平台即可直接连接到相关指定设备做配置

第三方支持

支持与第三方厂商，如思科、华为设备建立标准IPSec VPN。

双NAT后VPN

支持当公司各节点均为NAT后节点时仍能建立VPN隧道。

移动接入

平台支持

支持Windows 98/2000/XP/2003/Vista/Win7等，支持Linux，支持IE5/IE6/Netscape navigator v4.x~7.x/Mozilla Firefox/Opera v6.0~7.X等各种浏览器。

协议自动选择

SSL VPN数据传输协议支持在TCP、UDP之间自动转换

应用支持

支持 Html/Dhtml,/Jsp/Asp/Java applet/Activx/Cookies等各种Web技术。

支持FTP、Email的Web访问。

支持基于IP层以上的各种TCP/IP协议的应用。包括：http，Email，Ftp，网上邻居，Notes，Outlook，Oracle, SQL等各种动态和静态的C/S应用，支持C/S应用自动转B/S应用。

支持内网DNS、支持对应用的透明访问、自动定位URL、支持隐藏服务、应用的快捷方式、自动启动服务。

应用程序透明访问，不必做修改。

SSL加密算法要求

密钥算法需支持：AES（128-bit），AES(256-bit)，DES (56-bit)，3DES (168-bit)，RC4 (128-bit)。

公钥算法需支持：RSA (1024-bit)。

消息认证需支持：MD5 (128-bit)，SHA-1 (160-bit)。

VPN传输加速功能

SSL VPN隧道支持数据传输加速功能

传输加速需支持强度选择，可选择无加速、中度加速和高度加速三类

移动终端登陆

需支持手机移动终端登陆VPN

多种登陆方式

支持IE方式登陆，即在浏览器中输入VPN地址即可远程登陆。

支持免安装专用客户端登陆方式。

支持PPTP、TSSL、SSL、WEB SSL、WEB TSSL等多种协议的客户端登陆方式。

人性化操作

可以定制无需输入IP地址的客户端，客户端登陆后可以实现自动弹出已发布的资源。

用户在登陆后可自行修改密码。

支持TCP 80端口自动跳转SSL登录页面。

支持多线路智能选路，用户登陆时VPN可自动选择网络连接速度快的线路进行连接。

支持使用公司内网专用域名进行地址解析。

支持页面定制功能,可定制页面IE窗口标题、系统标题、工具下载链接、公司名称、电话、EMAIL、首页欢迎图片、公司LOGO图标。

可根据公网IP自动识别用户。

支持客户端程序以Windows服务方式自动运行。

用户控制

支持对用户登录时段的设置以及用户账号过期时间的设置。

支持针对外网用户的流量限制，同时可限制用户登陆在线时间。

支持统计移动用户使用资源的流量以及登陆VPN的在线时间。

支持针对用户并发登录次数的设置，可允许账号同时重复登陆或不允许同一账号多次同时登陆。

虚拟工作台

采用虚拟工作台技术，类Windows VISTA界面，所有用户可用资源均可直接显示在虚拟工作台上。

用户通过浏览器访问时，只能看到管理员配置好的资源界面，相关资源应对用户透明。

虚拟工作台界面上所有资源，用户点击快捷图标后，直接可使用。

支持各类B/S、C/S应用，支持本机或远程程序调用。

内外网用户访问采用统一界面。

自动识别用户内外网登陆，判断其登录来源，并自动切换至内外网对资源的不同访问方式。

用户认证

支持增强认证方式包括：ISK认证、PC硬件特征码、ISK+PC硬件特征码、数字证书、指纹认证、公网IP限制、短信认证、令牌认证，支持动态密钥策略包括：密码定期更新、短信动态密码、手机动态密码、密宝动态密码、不能修改密码、自主管理密码，多种认证方式可组合使用。

可指定特定的公网IP登录SSL时自动登陆，无需再做其他账号验证。

可定期强制用户修改密码,增强安全性。

可结合LDAP、RADIUS、AD、MySQL、本地数据库进行用户身份验证，以及实现单点登陆模式和代理认证模式。

多网段设定

支持在一个用户组内设定多个地址网段，提供部门间不同的IP地址划分

终端安全

支持自动检测登陆用户是否安装有个人防火墙或杀毒软件，对于没有安装的用户可阻止其登陆。

支持自定义账号输错次数，超过次数后账号自动锁定。

支持客户端退出安全机制，可将缓存、Cookie及访问记录清除。

支持客户端无操作超时。

支持用户在拔除USB key后，SSL连接自动关闭，并清空访问数据。

全网隔离

支持全网隔离，可使用户在登陆后只能访问指定的资源而不允许访问到其他任何网段，包括本地局域网内的任何主机。

远程镜像

可以限制远程登录只运行独立的一个应用程序。

能隔离用户界面，用户只能看到指定的镜像程序。

支持C/S应用无缝转B/S。

支持远程登陆到服务器后，可将相关数据进行本地打印。

支持虚拟远程应用到本地，减少系统交互的处理负载。

可通过VPN设备对远程登录用户进行身份认证，保障服务器系统安全。

对网络应用进行加速，包括OA、ERP、CRM等各类，尤其是财务软件，能加速3倍以上，提高公司工作效率。

自动部署

支持远程用户在访问时，VPN自动检查用户终端配置。

支持自动扫描用户本机操作系统和所安装的应用程序，并将与资源相关联的程序自动添加到用户资源界面。

当用户程序不存在，或不符合管理员设定时，VPN可自动为用户安装相应程序。

支持当某些应用程序无法自动安装时，可自动跳转到相应的下载和配置页面，帮助用户自助安装。

智能发布

支持自动搜索资源，可智能扫描内网内的相关资源。

可通过网段方式发布资源，或者通过多端口方式智能发布资源。

支持一个站点通过多IP地址的方式进行智能发布。

支持一个IP通过多个端口智能发布一个或多个应用资源。

支持当应用资源端口未知的情况下智能发布资源。

资源管理

可将资源定义为主站点与子站点的二级管理层次，对多个资源进行合理化、逻辑化的分配。

支持以组的方式对资源进行分类，并利用组进行权限划分。

可统计资源站点被外网用户登陆访问的具体次数以及最后访问的时间和最后访问的用户IP。

支持对部分资源站点进行有选择性的统计。

支持自定义对公司指定应用资源的隐藏与显示。

资质要求

产品资质要求

具有中华人民共和国公安部的《计算机信息系统安全专用产品销售许可证》，提供有效复印件。

具有国家密码管理局颁发的《商用密码产品生产定点单位证书》，提供有效复印件。

具有国家密码管理局颁发的《商用密码产品销售许可证》，提供有效复印件。

具有国家密码管理局颁发的《商用密码SSL VPN产品型号证书

》，提供有效复印件。

厂商需通过ISO9001：2000质量认证体系，具有五个以上相关应用的大型项目案例

供应商

要求

资质要求

要求与防火墙供应商（集成商）为同一家，具有二级以上系统集成资质，提供资质证明，厂家授权证明。

服务要求

产品保修服务

提供3年产品保修服务