技术指标

具体功能要求

硬件性能指标

★性能参数：三层吞吐量5G，应用层吞吐量700M，并发连结数180W，新建连接数（CPS）50000个，SSL VPN接入数（最大）1000个，SSL最大加密流量250M ，IPSecVPN隧道数（最大）1000个，IPSec VPN加密速度100M；硬件参数：1U，4G内存，SSD 64G硬盘，单电源，6个千兆电口；

★架构

X86架构

部署方式

支持路由，网桥，单臂，旁路，虚拟网线以及混合部署方式；

路由支持

支持静态路由，ECMP等价路由；

支持多链路出站负载，支持基于源/目的IP、源/目的端口、协议、应用类型以及国家地域来进行选路的策略路由选路功能

基础功能

访问控制规则支持基于源／目的IP，源端口，源／目的区域，用户（组），应用/服务类型，时间组的细化控制方式；

★访问控制规则支持数据模拟匹配，输入源目IP、端口、协议五元组信息，模拟策略匹配方式，给出最可能的匹配结果，方便排查故障，或环境部署前的调试；

★支持根据国家/地区来进行地域访问控制；

支持IPv4／v6NAT地址转换，支持源目的地址转换，目的地址转换和双向地址转换，支持针对源IP、目的IP和双向IP连接数控制；支持NAT64、NAT46 地址转换；

支持双机环境下IPSec VPN组网；

行为管理与流量控制

能够识别管控的应用类型超过1200种，应用识别规则总数超过3000条；

★支持基于应用类型，网站类型，文件类型进行带宽分配和流量控制，支持基于时间、地域、认证用户、子接口和VLAN；

DoS/DDoS攻击防护

支持Land、Smurf、Fraggle、WinNuke、Pingof Death、Tear Drop、IPSpoofing攻击防护，支持SYN Flood、IPv4和IPv6 ICMP Flood、UDP Flood、DNS Flood、ARP Flood攻击防护，支持IP地址扫描，端口扫描防护，支持ARP欺骗防护功能、支持IP协议异常报文检测和TCP协议异常报文检测

Web应用安全防护

设备具备独立的WEB应用防护识别库，特征总数在3500条以上；

★支持抵御SQL注入、XSS攻击、网页木马、网站扫描、WEBSHELL、跨站请求伪造、系统命令注入、文件包含攻击、目录遍历攻击、信息泄露攻击、WEB整站系统漏洞等攻击；

★支持针对网站的漏洞扫描进行防护，能够拦截漏洞扫描设备或软件对网站漏洞的扫描探测，支持基于目录 访问频率和敏感文件扫描等恶意扫描行为进行防护；

支持对网站黑链进行检测；

★支持Windows和Linux系统下网页防篡改功能，防篡改支持网站登录后台和FTP登录后台防护，管理员支持IP认证和邮件认证；

支持安全日志进行分析，识别持续性攻击、黑链、高危僵尸病毒等高级威胁并通过微信进行预警；

僵尸主机检测

设备具备独立的热门威胁库，支持木马、勒索软件、蠕虫、挖矿病毒等种类，特征总数在50万条以上；

支持恶意域名重定向功能，用于DNS代理服务器场景下定位内网感染僵尸网络病毒的真实主机IP地址；

★支持对终端已被种植了远控木马或者病毒等恶意软件进行检测，并且能够对检测到的恶意软件行为进行深入的分析，展示和外部命令控制服务器的交互行为和其他可疑行为；

★支持通过云端的大数据分析平台，发现和展示整个僵尸网络的构成和分布，定位僵尸网络控制服务器的地址

安全可视化

★支持在同一个界面对全网所有服务器和主机的安全状况进行风险评估，支持对当前所有业务的安全防护状态进行动态保护，支持对所有已被入侵和受控的设备进行风险检测与分析，针对风险可以实现快速响应与处置；支持手动评估功能，自动展示最终的风险；

安全集中管理

支持安全设备的集中管理，包括配置统一下发，规则库统一更新，安全日志，流量日志实时上报等功能；

支持接入统一的安全监测平台，通过安全监测平台可以实时看到每台安全设备的详细安全状态信息，包括安全评分级别、最近有效事件、有效事件趋势、用户安全统计、服务器安全统计和攻击来源统计；

安全监控平台可以查看到每台安全设备最近的有效安全事件及安全有效事件趋势图，支持根据每台安全设备的最近的安全趋势进行安全状况分级；

产品资质

产品应具备公安部销售许可证

厂商资质

厂商具备CERT颁发的《网络安全应急服务支撑单位证书（国家级）》资质证书

技术指标

具体功能要求

硬件性能指标

★性能指标：推荐带宽性能500Mb， 支持用户数4500; 硬件指标：1U，4G内存，1TB硬盘，3对ByPass口，6个千兆电口 ，1个串口(RJ45) ，2个USB2.0

多主模式

★必须支持两台及两台以上设备同时做主机的部署模式；

所有功能支持IPv6

支持部署在IPv6环境中，其所有功能（认证、应用控制、内容审计、报表等）都支持IPv6

Web访问质量监测

1.针对内网用户的web访问质量进行检测，对整体网络提供清晰的整体网络质量评级

2.支持以列表形式展示访问质量差的用户名单

3.支持对单用户进行定向web访问质量检测

首页可视化分析展示

支持首页分析显示接入用户人数、终端类型、认证方式；带宽质量分析、实时流量排名；泄密风险、违规访问、共享上网等行为风险情况；

多种认证方式

★支持多种认证方式，包括本地用户名密码、第三方服务器、短信认证、微信认证、二维码认证等

共享接入管理（防共享）

设备能够发现私接路由（或者共享软件等）共享网络的行为：

1.支持自定义配置终端数量和冻结时间，和添加信任列表；

2.支持显示以IP或用户名的维度统计一段时间内的趋势图。

3.支持例外排除功能：如指定例外条件1台PC，2个终端。当PC或终端数超过例外条件才会被判定为共享。

应用标签功能分类管理

1.支持根据标签选择应用，标签分类至少包含安全风险、高带宽消耗、发送电子邮件、降低工作效率、外发文件泄密风险、主流论坛和微博发帖6大类；

2.支持给每个应用自定义标签；

3.支持根据标签选择一类应用做控制；

4.支持对每一种应用的定义和解释，帮助客户快速定位应用的分类；

SSL加密内容审计和过滤

针对SSL加密的网站、论坛发帖、web邮箱的内容进行关键字过滤和内容审计；

应用审计

1、支持记录QQ、TIM、微信、MSN等IM聊天行为和聊天内容；
2、支持移动APP（IOS和android）审计（如论坛类、微博类、新闻评论类等）

父子通道

必须支持流量父子通道技术，且至少支持三级父子通道；

流控通道实时可视化

能够实时看到各级流控通道的状态：包括所属线路、瞬时速率、通道占用比例、用户数、保证带宽、最大带宽、优先级，启用状态等。

动态流控

★支持在设置流量策略后，根据整体线路或者某流量通道内的空闲情况，自动启用和停止使用流量控制策略，以提升带宽的高使用率；

P2P智能流控

★支持通过抑制P2P的上行流量，来减缓P2P的下行流量，从而解决网络出口在做流控后仍然压力较大的问题；

流控黑名单

基于“流量”、“流速”、“时长”设置配额，当配额耗尽后，将用户加入到指定的流控黑名单惩罚通道中

流控单位

支持灵活配置流控单位是IP还是用户名（适用于公共账号：多个IP公用一个账号时，可以对每个IP进行限速，更加灵活准确）（提供相关功能截图并加盖厂商公章）

上网安全

支持防火墙功能；

支持防DOS攻击，识别并封堵来自于内网或外网的DOS攻击；

支持防ARP欺骗，防范三层网络环境中的ARP欺骗问题；

支持病毒查杀功能，必须能够针对各种下载文件进行病毒查杀；

支持与多种网安日志平台对接

★内置多套日志模板与各省市网安日志平台对接，至少支持以下平台：派博、任子行、网博、云辰、烽火、中新软件、兆物、新网程、美亚柏科、爱思等。

联动性

★为了保证处理问题的及时性，要求此次配置的上网行为管理设备与防火墙能进行联动。

技术指标

具体功能要求

硬件性能要求

★带宽性能≥1Gbps，1U，内存≥1G，硬盘≥64G SSD，千兆电口≥4个,千兆光口≥2个；

部署模式

旁路部署，支持探针同时接入多个镜像口，每个口相互独立不影响

基础检测功能

具备报文检测引擎,可实现IP碎片重组、TCP流重组、应用层协议识别与解析等, 具备多种的入侵攻击模式或恶意URL监测模式,可完成模式匹配并生成事件,可提取URL记录和 域名记录,在特征事件触发时可以基于五元组和二元组(IP对)进行原始报文的录制。

监测识别规则库

能够识别应用类型超过1100种，应用识别规则总数超过3000条，具备亿万级别URL识别能力。漏洞利用规则特征库数量在4000条以上，漏洞利用特征具备中文相关介绍，包括但不限于漏洞描述，漏洞名称，危险等级，影响系统，对应CVE编号，参考信息和建议的解决方案

Web应用安全检测能力

可实现对外联行为分析、间歇会话连接分析、加密通道分析、异常域名分析、上下行流量分析等在内的多场景网络异常通信行为分析能力。

可提供网络流量的会话级视图,根据网络流量的正常行为轮廓特征建立正常流量模型,判别流量是否出现异常,对原始流记录进行异常检测,可发现网络蠕虫、网络水平扫描、网络垂直扫描、IP地址扫描，端口扫描，ARP欺骗，IP协议异常报文检测和TCP协议异常报文等常见网络异常流量事件类型;

支持对节点检测节点内部主机外发的异常流量进行检测 支持对信任区域主机外发的异常流量进行检测，如ICMP，UPD，SYN，DNS Flood等DDoS攻击行为；

支持对常见应用服务（HTTP、FTP、SSH、SMTP、IMAP）和数据库软件（MySQL、Oracle、MSSQL）的口令暴力破解检测功能；

可提供最新的威胁情报信息，能够对新爆发的流行高危漏洞进行预警和自动检测

★支持同步DNS审计日志，主要用于平台dns flow分析引擎进行安全分析；同步HTTP审计日志，主要用于平台http flow分析引擎进行安全分析；同步SMB审计日志，主要用于平台SMB flow分析引擎进行安全分析；同步SMTP审计日志主要用于平台smtp flow分析引擎进行安全分析（提供相关功能截图并加盖厂商公章）

支持HTTP 1.0/1.1，HTTPS协议的安全威胁检测；

★支持针对B/S架构应用抵御SQL注入、XSS、系统命令等注入型攻击；支持跨站请求伪造CSRF攻击检测；支持对ASP,PHP,JSP等主流脚本语言编写的webshell后门脚本上传的检测；支持其他类型的Web攻击，如文件包含，目录遍历，信息泄露攻击等的检测；

产品应具备独立的Web应用检测规则库，Web应用检测规则总数在3000条以上；

★支持对被Web网站是否被挂黑链进行检测

僵尸主机检测

具备独立的僵尸主机识别特征库，恶意软件识别特征总数在35万条以上；

对于未知威胁具备同云端安全分析引擎进行联动的能力，上报可疑行为并在云端进行沙盒检测，并下发威胁行为分析报告；

违规访问检测

流量记录

能够对网络通信行为进行还原和记录，以供安全人员进行取证分析，还原内容包括：TCP会话记录、Web访问记录、SQL访问记录、DNS解析记录、文件传输行为、LDAP登录行为。

抓包分析

管理功能

支持通过设备对流量进行抓包分析，可定义抓包数量、接口、IP地址、端口或自定义过滤表达式

能够支持时间同步

能够提供网络管理功能，可进行静态路由配置

多次登录失败将锁定账号5分钟内不得登录

可支持在线升级和离线升级，并依托安全态势感知平台进行统一管控

可支持用户初次登陆强制修改密码功能。

可实时监控设备的CPU、内存、存储空间使用情况。

能够监控监听接口的实时流量情况

管理

★能接受现有态势感知平台的管理

技术指标

指标要求

光模块

SFP-850nm-1GE-LC

名称

数量

单位

参数

六类网线

45

箱

国标非屏蔽六类四对双绞线

有线模块及底盒面板

210

套

六类模块及明装面板底盒

光缆

500

米

国标8芯多模光缆

机柜

7

个

12U机柜壁挂机柜

辅助材料

1

项

线槽、线管、螺丝钉、PVC配件等

施工

1

项

线缆敷设、设备安装、光纤熔接及集成服务等