指标项

技术规格要求

规格

★标准2U专用千兆硬件平台

接口要求

★≥2*GE电口，≥2*10GE光口，≥4*GE电口，最大支持网口数：8个

电源

★1+1冗余电源

部署方式

#设备采用旁路部署，不得影响业务环境；支持高可用部署，HA秒级切换

用户管理

支持用户多角色划分功能，如系统管理员、部门管理员、运维员、审计管理员、密码管理员等，对各类角色需要进行细粒度的权限管理

支持用户的批量导入/导出，按用户类型等分组方式；支持用户安全策略功能，如密码锁定次数、密码有效期、密码复杂度、用户有效期、用户登录时间限制、用户登录IP范围等

支持按部门组织架构（至少5个层级的部门）管理用户数据、资产数据、授权数据、审计数据；每个部门的审计管理员可以管理本部门及下级部门的运维会话日志

身份认证

支持与AD、LDAP、RADIUS系统联动登录堡垒机

支持与get、post、soap发送方式的http短信网关平台进行联动，实现短信动态口令双因素认证机制，如与阿里云短信服务、SendCloud联动

支持手机APP动态口令认证方式登录堡垒机，且新用户首次登录后需强制绑定APP动态口令

堡垒机须内嵌动态令牌和usbkey认证引擎，可同时使用动态令牌和USBkey

设备管理

支持常用的运维协议：SSH、TELNET、RDP、VNC、FTP、SFTP、rlogin；可通过应用发布的方式进行协议扩展，如数据库Oracle、MSSQL、MySQL、VMware vSphere Client、浏览器等客户端工具

支持DB2、oracle、mysql、sqlserver主流数据库协议代理运维，可直接调用本地windows系统的数据库客户端工具，支持自动登录、无需应用发布前置机

IE代填应用发布：HTTP/HTTPS协议的web设备，且可以直接代填账号和密码

可以通过socks5/http/ssh等代理协议连接管理异地云资源区中私有网络的云主机

支持对设备进行按设备类型分组、按部门分组，支持设备批量导入/导出

支持设备帐户和密码的自动登录、手工登录、二次自动登录模式

支持自动收集设备IP、运维协议、端口号、账号、密码、与用户的权限关系，甚至可自动完成授权

自动改密

支持定期自动修改windows服务器、网络设备、linux/unix等目标设备密码功能

支持完善的自动改密安全保护机制，包括：改密前备份、备份失败不改密、改密后备份、密码文件加密；支持发送方式，包括邮件、FTP、SFTP等

支持自动密码恢复、手工验证密码、密码强度控制等

运维方式

Web访问方式：至少支持使用IE、谷歌、火狐三种浏览器打开堡垒机的Web页面直接调用mstsc、VNC、Xshell、SecureCRT、Putty、winscp、flashFXP、FileZilla、SecureFX等运维客户端工具

支持通过堡垒机页面直接调用本地Windows系统里的plsql、sqlplus、toad、sqlwb、ssms、mysql.exe等数据库客户端工具

客户端访问方式：支持使用本地的mstsc/Xshell/SecureCRT/Putty等客户端工具登录堡垒机访问图形或字符设备，视图界面一致性、搜索能力

支持使用本地的winscp/flashFXP/SecureFX等客户端工具登录堡垒机访问SFTP/FTP设备

支持使用本地的SecurCRT/Xshell/OpenSSH工具通过SSH网关代理方式直接登录字符设备

支持在mac电脑里使用navicat工具通过堡垒机登录mysql、oracle等数据库服务器

AD/LDAP环境，支持直接使用登录堡垒机的AD/LDAP用户及密码可以直接自动登录到服务器里

审计日志

支持对运维操作会话的在线监控、实时阻断、日志回放、起止时间、来源用户、来源IP、目标设备、协议/应用类型、命令记录、操作内容（如对文件的上传、下载、删除、修改等操作等）的详细行为日志

支持保存SSH的sz/rz命令（zmodem）传输的原始文件

支持保存SFTP/FTP传输的原始文件

支持审计主流数据库（如DB2、oracle、mysql、sql server）运维中的SQL语句，可进行关键信息定位查询

支持全局搜索审计日志，无需区分图形/字符/文件/应用类型，只需通过关键信息直接搜索定位

审计数据支持通过SFTP/FTP方式自动归档，并在页面中可以查询哪些数据是否归档，可以设置归档成功之后自动删除数据，归档后的数据可以用专用播放器离线查看

安全策略

支持通过基于时间、IP/IP段、用户/用户组、设备/设备组、设备账号、命令关键字、控制动作、黑白名单等组合访问控制策略，授权用户可访问的目标设备

对重要设备启用登录审核功能，运维人员须向管理员申请登录，管理员允许之后才可登录，否则无法登录

支持自动推送命令任务，如可自动备份交换机/路由器的配置信息、可自动执行周期任务；并将结果以邮件/FTP/SFTP的方式发送给相关管理员

支持运维空闲会话时间全局设置限制功能

报表统计

内置丰富的报表统计模板，可点击柱状图、饼状图或曲线图进行数据钻取分析，且支持PDF、doc、html格式导出

内置根据运维人员和组生成各种维度的分析报表，维度包含总为运维次数、时长、活动时长、会话起止时间、会话大小、命令数、上传下载文件数，分别从全局及平均值、最大值、最小值、单次运维、单个会话等角度提供报表

支持运维报表自动定期发送，提供一键导出符合等级保护、SOX法案要求的综合分析报告

系统管理

支持自身审计，包括但不限于：系统状态检测、登录日志、用户配置日志、设备配置日志、授权配置日志、策略配置日志、运维访问日志、系统配置日志等

支持系统日志报表统计功能，包括但不限于登录日志统计、配置日志统计、运维访问日志统计等，可以导出报表

支持邮件/syslog方式输出告警日志

支持SNMP方式输出系统信息

产品资质

#具有公安部颁发的《计算机信息系统安全专用产品销售许可证》，提供证书复印件

指标项

技术规格要求

配置要求

★千兆电口≥16；千兆Combo接口≥8；光口≥2；SSL VPN并发数≥960；IPSec VPN隧道≥3960；虚拟防火墙数量≥95；配置1个电源，可扩展双电源

硬件架构

#设备形态1U；采用多核架构；自研芯片（提供官网截图）；支持交流双电源（提供证明截图）；支持风扇可插拔（提供证明截图）；支持前后风道（提供证明截图）

接口要求

★千兆电口≥16；千兆Combo接口≥8；万兆光口≥2；千兆WAN口≥2；USB口≥2，支持USB2.0、USB3.0（提供设备照片）

性能要求

★吞吐量≥4Gbps，最大并发连接数≥380万，每秒新建连接数≥7.5万,IPSec吞吐量≥2.5Gbps，SSL_VPN吞吐量≥450Mbps,IPS吞吐量≥2Gbps,SSL代理吞吐量≥450Mbps

策略管控

能够基于时间、用户/用户组/安全组、应用层协议、地理位置、IP地址、端口、域名组、URL分类、接入类型、终端类型、设备组、内容安全统一界面进行安全策略配置

路由功能

支持静态路由、策略路由、RIP、OSPF、BGP、ISIS等路由协议

策略路由支持的匹配条件：源IP/目的IP，服务类型，应用类型，用户(组)，入接口，DSCP优先级

IPV6

支持IPv6协议栈、IPV6穿越技术、IPV6路由协议

支持IPv6 over IPv4 GRE隧道，6RD隧道。

协议识别

可识别应用层协议数量≥5000种；支持识别国标SIP协议及主流安防厂家的私有协议

流量控制

可支持基于应用层协议设置流控策略，包括设置最大带宽、保证带宽、协议流量优先级等

支持流量整形

支持基于地理位置的流量和威胁分析

策略管理

支持策略的模糊查询，策略组，策略规则标签，方便策略的管理及运维。

支持将基于端口的安全策略转换为基于应用的安全策略，分析设备策略风险，及冗余策略，提供安全策略优化建议

支持与firemon对接，实现策略的命中，冗余分析及风险调优

支持与algosec对接，实现策略的命中，冗余分析及风险调优

数据安全

支持数据防泄露，对传输的文件和内容进行识别过滤，对内容与身份证、信用卡、银行卡、社会安全卡号等类型进行匹配

支持在本地部署URL服务器实现URL过滤

支持DNS过滤，提高WEB网页过滤的性能

支持SafeSearch，过滤掉Google搜索引擎返回的不健康的内容

DDoS防护

支持HTTP、HTTPS、DNS、SIP等应用层Flood攻击，支持流量自学习功能，可设置自学习时间，并自动生成DDoS防范策略

支持IP信誉

NAT

支持全面NAT功能，对多种应用层协议支持ALG功能，包括ILS、DNS、PPTP、SIP、FTP、ICQ、RTSP、QQ、MSN、MMS等

支持源NAT自动探测并排除NAT-IP地址池中无效地址（防封杀）

支持三元组NAT smart-fullcone

支持源NAT地址池使用率超限告警

入侵防御及病毒防护

基于特征检测，支持超过8000种特征的攻击检测和防御

支持基于场景进行策略入侵防御的模板定制

支持对常见应用服务（HTTP、FTP、SSH、SMTP、IMAP）和数据库软件（MySQL、Oracle、MSSQL）的口令暴力破解防护功能

IPS检出率获得NSS推荐级

支持恶意域名过滤，实现对C&C进行阻断

可以支持HTTP、FTP、SMTP、POP3、IMAP、NFS等协议的病毒防护。

加密流量安全防护

支持对HTTPS，POP3S，SMTPS,IMAPS加密流量代理解密后，并进行内容过滤，审计，安全防护

支持基于URL分类的精细化解密，提高解密性能

支持加密流量解密后镜像给第三方设备做审计，安全检测

集中管理及易用性

#支持防火墙向云管理平台自动注册，云管理平台对防火墙进行统一的管理及运维

支持U盘升级，减少运维成本

开放RESTCONF，NETCONF等北向接口，对接第三方的管理平台

智能威胁防御

#支持与云沙箱联动，实现对APT攻击的防御功能

#支持与本地沙箱联动，实现对APT攻击的防御功能。

支持防火墙内置流探针，对网络中的流量进行采集，上送网络安全智能分析系统进行威胁分析

上网用户认证

支持AD单点登录，Radius单点登录，NTLM认证，免认证，与认证服务器配合实现微信认证，MAC认证

支持Portal页面定制及调查问卷，进行营销推广

可靠性

支持BFD链路检测，支持BFD与VRRP联动实现双机快速切换，支持BFD与OSPF联动实现双机快速切换

支持HA平滑升级，升级窗口中支持不同版本的软件形成双机热备

支持跨数据中心集群，满足数据中心双活，多活场景

多出口智能选路

可根据目的地址智能优选运营商链路，支持主备接口配置以及按比例分配的负载分担方式

产品资质

#具有公安部颁发的防火墙《计算机信息系统安全专用产品销售许可证》（USG6000E/V6 增强级），提供证书复印件

#具有中国信息安全认证中心颁发的《中国国家信息安全产品认证证书》（USG6000E(千兆)/V6），提供证书复印件

指标项

技术规格要求

配置要求

★千兆电口≥16；千兆Combo接口≥8；万兆光口≥2；千兆WAN口≥2； SSL VPN并发数≥460；IPSec VPN隧道≥3900；虚拟防火墙数量≥50；配置1个电源，可扩展双电源

硬件架构

#设备形态1U；采用多核架构；自研芯片；（提供官网截图）；支持交流双电源（提供证明截图）；支持风扇可插拔（提供证明截图）；支持前后风道（提供证明截图）

接口要求

#千兆电口≥16；千兆Combo接口≥8；万兆光口≥2；千兆WAN口≥2；USB口≥2，支持USB2.0、USB3.0（提供设备照片）

性能要求

★吞吐量≥2Gbps，最大并发连接数≥290万，每秒新建连接数≥7万,IPSec吞吐量≥1.5Gbps，SSL_VPN吞吐量≥280Mbps,IPS吞吐量≥1.3Gbps,SSL代理吞吐量≥270Mbps

策略管控

能够基于时间、用户/用户组/安全组、应用层协议、地理位置、IP地址、端口、域名组、URL分类、接入类型、终端类型、设备组、内容安全统一界面进行安全策略配置

路由功能

支持静态路由、策略路由、RIP、OSPF、BGP、ISIS等路由协议

策略路由支持的匹配条件：源IP/目的IP，服务类型，应用类型，用户(组)，入接口，DSCP优先级

IPV6

支持IPv6协议栈、IPV6穿越技术、IPV6路由协议

支持IPv6 over IPv4 GRE隧道，6RD隧道。

协议识别

可识别应用层协议数量≥5000种；支持识别国标SIP协议及主流安防厂家的私有协议

流量控制

可支持基于应用层协议设置流控策略，包括设置最大带宽、保证带宽、协议流量优先级等

支持流量整形

支持基于地理位置的流量和威胁分析

策略管理

支持策略的模糊查询，策略组，策略规则标签，方便策略的管理及运维

支持将基于端口的安全策略转换为基于应用的安全策略，分析设备策略风险，及冗余策略，提供安全策略优化建议

支持与firemon对接，实现策略的命中，冗余分析及风险调优

支持与algosec对接，实现策略的命中，冗余分析及风险调优

数据安全

支持数据防泄露，对传输的文件和内容进行识别过滤，对内容与身份证、信用卡、银行卡、社会安全卡号等类型进行匹配

支持在本地部署URL服务器实现URL过滤

支持DNS过滤，提高WEB网页过滤的性能

支持SafeSearch，过滤掉Google搜索引擎返回的不健康的内容

DDoS防护

支持HTTP、HTTPS、DNS、SIP等应用层Flood攻击，支持流量自学习功能，可设置自学习时间，并自动生成DDoS防范策略

支持IP信誉

NAT

支持全面NAT功能，对多种应用层协议支持ALG功能，包括ILS、DNS、PPTP、SIP、FTP、ICQ、RTSP、QQ、MSN、MMS等

支持源NAT自动探测并排除NAT-IP地址池中无效地址（防封杀）

支持三元组NAT smart-fullcone

支持源NAT地址池使用率超限告警

入侵防御及病毒防护

基于特征检测，支持超过8000种特征的攻击检测和防御

支持基于场景进行策略入侵防御的模板定制

支持对常见应用服务（HTTP、FTP、SSH、SMTP、IMAP）和数据库软件（MySQL、Oracle、MSSQL）的口令暴力破解防护功能

IPS检出率获得NSS推荐级

支持恶意域名过滤，实现对C&C进行阻断

可以支持HTTP、FTP、SMTP、POP3、IMAP、NFS等协议的病毒防护。

加密流量安全防护

支持对HTTPS，POP3S，SMTPS,IMAPS加密流量代理解密后，并进行内容过滤，审计，安全防护

支持基于URL分类的精细化解密，提高解密性能

支持加密流量解密后镜像给第三方设备做审计，安全检测

集中管理及易用性

#支持防火墙向云管理平台自动注册，云管理平台对防火墙进行统一的管理及运维

支持U盘升级，减少运维成本

开放RESTCONF，NETCONF等北向接口，对接第三方的管理平台

智能威胁防御

#支持与云沙箱联动，实现对APT攻击的防御功能

#支持与本地沙箱联动，实现对APT攻击的防御功能。

支持防火墙内置流探针，对网络中的流量进行采集，上送网络安全智能分析系统进行威胁分析

上网用户认证

支持AD单点登录，Radius单点登录，NTLM认证，免认证，与认证服务器配合实现微信认证，MAC认证

支持Portal页面定制及调查问卷，进行营销推广

可靠性

支持BFD链路检测，支持BFD与VRRP联动实现双机快速切换，支持BFD与OSPF联动实现双机快速切换

支持HA平滑升级，升级窗口中支持不同版本的软件形成双机热备

支持跨数据中心集群，满足数据中心双活，多活场景

多出口智能选路

可根据目的地址智能优选运营商链路，支持主备接口配置以及按比例分配的负载分担方式

产品资质

#具有公安部颁发的防火墙《计算机信息系统安全专用产品销售许可证》（USG6000E/V6 增强级），提供证书复印件

#具有中国信息安全认证中心颁发的《中国国家信息安全产品认证证书》（USG6000E(千兆)/V6），提供证书复印件

指标项

技术规格要求

部署方式

★支持分布式部署与集中式（AllInOne）部署模式，产品客户端和服务器之间，采用私有协议进行通讯，或通过SSL协议进行保护

硬件要求

★采用独立的硬件，每台服务器配置不低于：2*10核2.2GHz CPU；内存不少于32G；硬盘不少于1.2TB SAS，24TB SATA

性能要求

★最大日志源数为不低于1500个；二进制会话日志均值不少于250,000 EPS；文本日志均值不少于15,000EPS

#支持日志压缩存储；支持通过二进制会话、Syslog、Dataflow、Netflow、FTP

日志报表

系统支持根据日志特征对防火墙的Syslog日志进行如下分类：攻击防范、流量监控、黑名单、地址绑定、操作命令、防火墙登录、策略命中、内容过滤和其它

支持用户上网行为报表，支持对用户上网行为中的WEB访问、邮件收发、IM使用、上网时长进行统计和分析

支持用户威胁报表，支持对攻击、病毒等威胁事件的统计和分析

支持创建周期报表任务，支持用户自定义周期报表任务

审计和分析

支持多维度Dashboard：入侵防御趋势分析、入侵防御事件排行、攻击防范事件趋势、入侵防御目的IP排行、病毒事件目的IP排行、病毒事件趋势、策略趋势、URL分类排行、日质量趋势、采集器CPU性能、采集器内存性能、分析器CPU性能、分析器内存性能等

厂商资质

#具有中国信息安全认证中心颁发《信息系统安全集成服务资质》（一级），提供证书复印件

指标项

技术规格要求

架构

★产品必须为标准机架的专业IPS设备，不能提供防火墙或UTM的IPS功能

硬件能力

★业务口≥16*GE 电口+8*Combo口+2*独立WAN口+2*10GE SFP+；支持1个GE独立管理口，1个Console口，2个USB口

#支持本地硬盘存储日志信息和查看报表，容量不少于240G，硬盘类型支持SSD

支持配置双电源模块，电源支持热插拔

性能要求

★IPS检测吞吐量≥2Gbit/s；每秒新建连接数≥8万；最大并发连接数≥400万

部署方式

#部署方式灵活，支持透明直路部署模式、旁路部署模式；单台设备支持IDS/IPS混合部署方式，实现部分接口旁路检测，部分接口对直路防护，设备支持单臂部署方式，可以旁挂在二层或者三层设备上进行入侵防御

路由

支持静态路由、策略路由，OSFP、BGP、ISIS等路由

可靠性

支持双机热备、支持主主部署模式、主备部署模式

入侵防护

能够防范各种应用层攻击，包括但不限于：后门程序，木马程序，间谍软件，蠕虫，僵尸主机，异常代码，协议异常，扫描，可疑行为审计类等，

能够对跨站攻击、SQL注入等WEB攻击行为进行有效防护，系统预定义入侵防御签名库数量不得少于7500条，支持用户自定义签名规则，支持正则表达式

报文检测类型

支持对VLAN、IPv4、MPLS、GRE、IPv6、IPv4 over IPv6、IPv6 over IPv4报文的入侵防护，支持SSL加密流量检测

应用识别及控制

支持对P2P，IM，网络游戏，炒股软件，语音聊天工具，流媒体，常用邮件以及远程控制软件等的识别和控制；支持不少于6000种的应用识别能力

DDoS防护

支持SYN Flood、SYN ACK、UDP Flood等DDoS防护，支持HTTP Flood、 HTTPS Flood等应用层DDoS防护

防病毒功能

支持对SMTP、POP3、HTTP、FTP协议实现病毒扫描检测

APT防护

#支持与沙箱，云沙箱混合联动，对含有未知威胁的文件进行检测，并能阻断

系统管理

支持基于部署场景的策略模板，提供调整优化后的策略配置，支持分权分域管理

报表

支持安全威胁的分析报表，提供基于威胁趋势、排行等呈现方式，支持接口流量、应用流量的分析报表，支持按日、周、月、导出报表

产品资质

#具有公安部颁发的入侵防御系统《计算机信息系统安全专用产品销售许可证》 NIP6000E/V6（三级），提供证书复印件

#具有中国信息安全认证中心颁发的《IT产品信息安全认证证书》，提供证书复印件

指标项

技术规格要求

硬件架构

★标准型2U机型，标配6个千兆电口，可扩展4电口或4光口插卡，1T硬盘，支持不低于持10个并发任务，支持并发扫描不低于60主机

总体要求

#支持系统扫描、Web扫描、数据库扫描、安全基线检测、弱口令扫描在内的五大扫描能力

#产品支持分布式部署、层级管理，上级管理中心下发扫描任务到下级引擎并进行集中查询、分析

最大支持添加无限个资产扫描

支持HTTPS安全访问方式；支持信任访问管理，自定义限制可访问主机网段或IP，支持限制扫描IP范围

任务管理

支持针对已经新建的任务做任务复制，快速生成一个相同任务，支持对复制出来的任务进行再编辑，包括：扫描目标、扫描策略、任务调度、扫描参数

支持IPV4、IPV6双协议栈地址扫描

扫描能力

支持近10万条系统特征库，支持特征库涵盖标准包含CVE、CVSS、CNVID、CNNVD等

支持SSH、SMB、TELNET、POP、POP3、IMAP、FTP、RSH、REXEC等登录扫描

支持系统登陆验证功能，验证授权登陆正常

支持自动探测网段的未知站点，并转为资产进行web扫描

支持Web登陆扫描，支持Cookie/Session认证、Form认证、Basic认证、NTLM认证、Digest认证和SSL证书认证

支持三种漏洞验证方式：浏览器验证、注入验证、通用验证

支持网页挂马、暗链、表单绕过、弱口令、敏感文件和目录、信息泄露、恶意编码、第三方软件、中间件漏洞、CGI漏洞检测

支持主流数据库漏洞的检测，Postgres、Oralce、MySQL、MsSQL、DB2、Informix、Sybase

支持数据库登录扫描，包括数据库账号，密码，SYSDBA、SYSOPER、NORMAL认证，SID、数据库名称、实例名称及实例号等登录选项的设置

支持数据库在线授权登陆验证，支持报表导出功能，可以导出Excel、Word、HTML、Pdf、XML5种格式的报表

支持多种协议的弱口令扫描：TELNET、FTP、SSH、POP3、SMB、SNMP、RDP、SMTP、REDIS、Oracle、MySQL、PostgreSQL、MsSQL、DB2、MongoDB

报表管理及告警

报表具备导出功能，可导出Excel、Word等格式

支持邮件告警、短信告警、SNMP Trap告警、SYSLOG等告警

支持根据端口、漏洞、厂商信息、 IP地址等对主机漏洞情况进行查询及保存

资产管理

支持资产自动发现功能，利用历史扫描过程中所发现的在线主机信息，添加部门资产

支持对资产进行导出备份及恢复

升级管理

支持远程自动升级以及本地升级最新特征库

支持通过Proxy定期更新特征库

日志管理

支持日志存储监控及告警功能

支持记录系统及设备的操作记录

产品资质

#具有公安部颁发的《计算机信息系统安全专用产品销售许可证》 web应用安全扫描（三级），提供证书复印件

指标项

技术规格要求

配置要求

★千兆电口≥12，万兆光口≥12，40GE接口≥2，配置交流双电源

硬件架构

★采用多核分布式硬件架构，1U高度

性能要求

#DDoS清洗性能最高可达80Gbps

单包攻击

支持畸形包攻击防御：包括Land、Smurf、Fraggle、Tear Drop、Winnuke；扫描攻击防御：地址扫描，端口扫描

网络层DDoS

支持网络层DDoS攻击防御: Syn Flood，Syn-Ack Flood，Ack Flood，Fin/Rst Flood，TCP Fragment Flood，UDP Flood，UDP Fragment Flood，ICMP Flood等

HTTPS应用DDoS

HTTPS应用DDoS攻击防御:HTTPS Flood，SSL-DoS，SSL-DDoS

DNS应用DDoS

支持DNS应用DDoS攻击防御：DNS Query flood，DNS Reply Flood， DNS权威服务器攻击防护， DNS cache功能， DNS源限速，DNS域名限速，DNS漏洞过滤

引流

支持策略路由，OSPF、ISIS、BGP等多种动态路由引流方式

回注

支持策略路由回注，MPLS VPN回注，MPLS LSP回注，GRE Tunnel回注，二层回注等多种回注方式

IP信誉

全球最活跃的500万僵尸主机，支持每日自动更新，快速阻断攻击；支持本地业务访问IP信誉，基于本地业务访问会话建立动态IP信誉，快速转发业务访问流量

告警

支持账号管理和权限分配功能；支持设备性能监控功能；支持短信和邮件告警；支持日志转储功能

产品资质

#具有公安部颁发的DDoS产品《计算机信息系统安全专用产品销售许可证》，提供证书复印件

#具有国家版权局颁发的异常流量清洗系统《计算机软件著作权登记证书》，提供证书复印件

指标项

技术规格要求

硬件规格

★机架式独立硬件设备，系统硬件为全内置封闭式结构，稳定可靠，加电即可运行，启动过程无须人工干预

★多核架构设计，采用模块化结构设计

#最大功率≤25W；支持硬件Bypass模块，在设备断电、重启时，可自动切换到Bypass状态，当设备恢复时，可自动切换回工作状态

★支持Combo千兆接口数量≥4，10M/100M/1000M自适应电接口数量≥14，千兆接口总数≥18，接口无路由/交换/LAN/WAN等固化区分，均可作为二三层接口使用，支持多桥组部署

性能

★网络吞吐量≥4.9Gbps；应用性能≥120Mbps；最大并发连接数≥191万；内存≥2G；最大用户数≥1000

部署模式

支持路由模式、透明（网桥）模式、混合模式，支持镜像接口，部署模式切换无需重启设备

NAT

支持源地址转换、目的地址转换、双向地址转换

路由支持

支持静态路由、策略路由、RIP、OSPF、ISP路由，其中ISP路由支持自定义，并可提供基于应用的策略路由

IPv6

支持接入IPv6网络

支持配置基于用户和应用均为任意的7元组的IPv6策略

应用协议识别

支持主流P2P、IM、在线视频、网络游戏、网络炒股等应用识别；支持BYOD特征库，可识别ios版和安卓版移动互联网软件如微博、微信等特征；支持基于IP、端口等自定义协议服务；应用特征库可提供在线升级和手动升级

URL过滤

内置URL分类库，支持≥56个URL分类，URL库可在线升级

支持自定义URL过滤，并支持URL的模糊匹配，提供web界面配置截图

可广泛识别恶意网站、违法网站

用户行为审计

支持自定义关键字对象，提供多种匹配模式，匹配类型包含关键字和数字

支持即时通讯应用管控的精细化管理，例如微信的“所有行为”、“语音”、“发消息”、“收消息”、“登录”、“发文件”等行为

支持网络社区应用管控的精细化管理，例如可管控“所有行为”、“登录”、“网页浏览”、“发表”、“上传”等行为

支持收集网站访问日志，记录用户所有访问网站行为；支持收集搜索引擎日志，记录用户的搜索内容；支持收集IM通讯软件日志，记录用户登录、注销、收发消息、收发文件等行为；支持收集邮件日志，记录邮件发件人、收件人、主题、正文、附件等信息

支持基于IP、端口、协议、URL对应用自定义

流量管理

支持通道化的QoS，支持基于源地址、用户、服务、应用、时间进行带宽控制，并支持配置保障带宽、限制带宽、带宽借用、每IP带宽、流量限额、带宽优先级等QoS动作，时间选择支持基于日计划、周计划、单次计划等。支持流量限额以日、月为单位配置

支持4级层次化QoS、支持多级用户/用户组嵌套

支持用户（用户组）+应用（应用组）+时间等条件的组合进行多线路带宽管理

用户认证功能

支持WEB Portal认证功能，支持本地认证、Radius认证、LDAP认证 和LDAP用户同步，支持对接AAS、SAM等常见AAA服务器，支持配置强制重新认证间隔，支持配置认证通过后重定向URL，要求本机自身支持短信认证功能

支持认证页面自定义

支持微信认证功能，使用微信连WiFi2.0接口，限制微信流量放通（移动端，认证通过放通），支持基于http获取access_token，支持微信内部浏览器http弹portal强制关注功能（定时检查用户是否关注公众号）

支持短信认证，登录后方可认证上网

用户管理

支持同步LDAP用户，支持AD域单点登录，标准AD服务器和OPEN LDAP服务器的用户导入，支持针对同步的用户和用户组配置策略

支持与AD 的自动同步用户，支持定时、配置及手动同步第三方用户

支持自新建、移动、删除和搜索用户、用户组，支持模糊搜索用户名、用户组名

支持用户批量移动功能，支持一键删除所有的用户，用户组

支持针对管理员开启双因子认证

双机热备

支持双机热备，支持主主模式、主备模式，支持同步配置、会话、运行状态、VPN状态、特征库，支持配置抢占模式和抢占延时，支持配置HA监控接口

支持地址代理

支持非对称路由

系统维护

web管理界面支持Ping、Traceroute、TCP Syn诊断工具，可支持基于接口、协议、IP地址、端口、应用进行网络抓包，并可下载导出分析

支持命令行、界面管理端口的自定义

系统日志要求

支持本地日志记录和远程日志输出，支持专用的日志审计管理软件，支持中文日志，支持审计日志导出

资质要求

#具有公安部颁发的《计算机信息系统安全专用产品销售许可证》，提供证书复印件

#具有公安部颁发的《互联网公共上网服务场所信息安全管理系统（无线接入前端）》，提供证书复印件