昌吉市电子政务外网网络防毒墙参数

数量:1台项目指标招标技术参数要求产品规格性能参数多核AMP+架构,网络处理能力≥3G,并发连接≥180万,每秒新建连接≥4万/秒,1U机箱,单电源,配置4个10/100/1000M自适应电口,2个千兆光口(含单、多模模块各1个),配备1个扩展板卡插槽,1个Console口,SSLVPN客户端接入≥50,IPSECVPN客户端接入≥50;具备网络入侵防御和防病毒功能;包括5年硬件维修服务、5年病毒防护特征库升级服务、5年入侵防护特征库升级服务.

基础组网部署模式产品支持路由、透明、交换以及混合模式接入,满足复杂应用环境的接入需求.
支持旁路模式;网络协议必须支持3G/4G接入,并可实现3G/4G连接与有线链路之间的互为备份(投标文件需要提供能够体现上述功能的截图);支持的3G/4G移动通讯运营商必须包括中国联通、中国电信;支持的3G/4G网卡必须包括中兴MF825C.

(投标文件需要提供原厂书面盖章证明支持指定运营商、指定网卡品牌)必须支持MPLS流量透传;支持针对MPLS流量的安全审查,包括漏洞防护、反病毒、间谍软件防护、内容过滤、URL过滤、基于终端状态访问控制等安全防护功能.

(投标文件需要提供能够体现上述功能及配置选项的截图)必须支持支持通过802.
3ad协议、轮询、热备等方式将多个物理口绑定为一个逻辑接口,实现接口级的冗余,并可根据:源目的MAC组合、MAC和IP组合或TCP/UDP端口组合等方式实现负载和备份.

(投标文件需提供能够体现上述组合方式的配置选项截图)必须支持MTU≥9612byte的巨型帧JumboFrame.
(投标文件需提供能够体现上述组合方式的配置选项截图)路由协议必须支持支持静态路由、策略路由及动态路由.
策略路由支持用户自定义其优先级,动态路由应至少支持RIPv1/v2/ng,OSPFv2/v3,BGP4/4+协议;必须支持静态和动态多播路由,动态多播路由必须支持PIM-SM(稀疏模式).

(投标文件需要提供能够体现上述功能及配置选项的截图)必须支持基于策略的路由负载,支持根据应用和服务进行智能选路,支持源地址目的地址哈希、源地址哈希、轮询、时延负载、备份、随机、流量均衡、源地址轮询、目的地址哈希、最优链路带宽负载、最优链路带宽备份、跳数负载等不少于12种路由负载均衡方式,支持基于IPv4或IPv6的TCP、HTTP、DNS、ICMP等方式的链路探测,同时TCP与HTTP可使用自定义目标端口进行测试.

(投标文件需要提供能够体现上述功能及配置选项的截图)必须支持ISP路由负载均衡,最大可支持8条链路负载,支持自定义负载权重,支持基于优先级的ISP路由链路备份;支持基于IPv4或IPv6的TCP、HTTP、DNS、ICMP等方式的链路探测,同时TCP与HTTP可使用自定义目标端口进行测试.

(投标文件需要提供能够体现上述功能及配置选项的截图)地址转换必须支持全面的NAT转换配置,包括包括一对一,一对多,多对一的源、目的地址转换,并至少支持FULL_CONE模式和SYMMETRIC模式.

(投标文件需要提供能够体现上述功能及配置选项的截图以及测试方案)必须支持在会话的源、目的地址同为IPv4地址时,可将目的地址转换至指定服务器地址,同时可探测服务器是否存活.

(投标文件需要提供能够体现上述功能及配置选项的截图)必须支持在源地址转换过程中,对SNAT(源地址转换)使用的地址池利用率进行监控,并在地址池利用率超过阈值时,通过SNMPTrap、邮件、声音、短信等方式告警.
(投标文件需提供能够体现上述功能配置选项截图)DNS代理支持IPv4的DNS代理功能,即从指定的入接口或源ISP接收到的DNS解析请求,设备可根据自定义的IP、域名对应关系,代理DNS服务器返回查询结果.

(投标文件需要提供能够体现上述功能及配置选项的截图)支持出站的DNS代理功能,支持在不更改内网终端设备DNS服务器地址设置的情况下,将DNS解析请求发送至指定的DNS服务器,并代理原DNS服务器返回解析结果.

(投标文件需要提供能够体现上述功能及配置选项的截图)支持DDNS功能,支持Oray向日葵、Pubyun公云、Noip、Changeip提供的DDNS服务,将动态获取的IP地址映射为固定的域名(投标文件需提供能够体现上述功能配置选项及支持).

(投标文件需要提供能够体现上述功能及配置选项、DDNS服务商的截图)IPv6支持必须设备接口支持配置IPv6地址,并可使用IPv6地址管理设备;支持IPv6手动及自动的IP/MAC探测及绑定;必须支持IPv6下静态路由及策略路由、动态路由,动态路由应包括RIPng、OSPFv3、BGP4+必须支持NAT64,包括:对源地址为IPv6地址、目的地址为IPv4地址的会话执行源地址转换,将IPv6地址转换为IPv4地址,实现IPv6客户端转换为IPv4地址后访问IPv4资源源地址为IPv4地址、目的地址为IPv4地址的会话执行目的地址转换,将IPv4地址转换为IPv6地址.
实现IPv4客户端通过IPv4地址访问IPv6资源.

(投标文件需要提供能够体现上述功能及配置选项的截图)必须支持DNS64功能;支持IPv6入站的DNS代理功能,即从指定的入接口或源ISP接收到的DNS解析请求,设备可根据自定义的IP、域名对应关系,代理DNS服务器返回查询结果.

(投标文件需要提供能够体现上述功能及配置选项的截图)必须支持配置基于IPv6地址的安全策略,并在一条策略中可同时启用入侵防御、反病毒、URL过滤、应用识别、反间谍软件等安全功能;必须支持针对IPv6流量通过HTTP、HTTPS实现Web认证,用户身份信息可存储在本地或ActiveDirectory\Radius\TACACS+\POP3等第三方服务器;通过HTTPS实现Web认证必须支持使用本地CA颁发的证书同时使用证书验证客户端身份.

(投标文件需要提供能够体现上述功能及配置选项的截图)访问控制访问控制必须支持基于源安全域、目的安全域、源用户、源地址、源地区、目的地址、目的地区、服务、应用、隧道、时间、VLAN等多种方式进行访问控制,并支持地理区域对象的导入以及重复策略的检查.

(投标文件需要提供能够体现上述功能及配置选项的截图)流量管理必须支持多调度类相互嵌套最大5级的带宽管理设置.
支持设置每IP最大或最小带宽,支持对每IP进行带宽配额管理,可通过优先级实现多应用的差分服务,并支持对剩余带宽进行基于优先级的动态分配.

(投标文件需要提供能够体现上述功能及配置选项的截图)支持配置基于IP、用户、应用的流量管理规则,且至少支持对2900种应用定制流量管理规则攻击防护网络攻击防护必须支持基于不同安全区域防御DNSFlood、HTTPFlood攻击,并支持警告、阻断、首包丢弃、TC反弹技术、NS重定向、自动重定向、手工确认等多种防护措施.

(投标文件需要提供能够体现上述功能及配置选项的截图)必须支持可配置阈值的基于安全域或基于二层接口局域网广播防护,防止局域网内广播和多播数据包泛滥(投标文件需要提供能够体现上述功能及配置选项的截图)必须支持DHCP协议防护;支持手动定义可信DHCP服务器IPv4和基于阈值限制DHCP请求传输速率.

(投标文件需要提供能够体现上述功能及配置选项的截图)必须支持基于安全区域的异常包攻击防御,异常包攻击类型至少包括PingofDeath、Teardrop、IP选项、TCP异常、Smurf、Fraggle、Land、Winnuke、DNS异常、IP分片等;并可在设备页面显示每种攻击类型的丢包统计结果.

(投标文件需要提供能够体现上述攻击防护类型及丢包统计结果的截图)必须支持防御基于安全域的IP地址欺骗攻击,指定IP或网段必须从特定安全域流入病毒防护必须能够对HTTP/FTP/POP3/SMTP/IMAP/SMB六种协议进行病毒查杀必须支持对最多6级的压缩文件进行解压查杀必须支持基于MD5的自定义病毒签名;支持设置例外特征,对特定的病毒特征不进行查杀.

(投标文件需要提供能够体现上述功能及配置选项的截图)入侵防御必须支持漏洞防护功能,同时将漏洞防护特征库分类,至少包括缓冲区溢出、跨站脚本、拒绝服务、恶意扫描、SQL注入、WEB攻击等六种分类;漏洞防护支持日志、阻断、放行、重置等执行动作,可批量设置针对某一分类或全部攻击签名的执行动作;支持基于FTP、HTTP、IMAP、OTHER_APP、POP3、SMB、SMTP等应用协议的漏洞防护(投标文件需要提供能够体现漏洞防护特征库分类信息、支持的执行动作以及支持的应用协议的截图)必须支持在设备漏洞防护特征库直接查阅攻击的名称、CVEID、CNNVDID、严重性、影响的平台、类型、描述等详细信息;(投标文件需要提供能够在设备上显示以上内容详细信息的截图)的漏洞防护特征库包含高危漏洞攻击特征,至少包括"永恒之蓝"、"震网三代"、"暗云3"、"Struts"、"Struts2"、"Xshell后门代码"以及对应的攻击的名称、CVEID、CNNVDID、严重性、影响的平台、类型、描述等详细信息;(投标文件需要提供设备包含上述所有高危漏洞攻击的特征及对应详细信息的截图)必须支持间谍软件防护功能,同时将间谍软件特征库分类,至少包括木马后门、病毒蠕虫、僵尸网络等三种分类;支持在防火墙间谍软件签名库直接查阅攻击的名称、严重性、描述等信息;间谍软件防护支持日志、阻断、放行、重置等执行动作,可批量设置针对某一分类或全部攻击签名的执行动作;支持基于FTP、HTTP、IMAP、OTHER_APP、POP3、SMB、SMTP等应用协议的间谍软件防护(投标文件需提供能够体现上述功能及配置选项截图)必须支持自定义TCP、UDP、HTTP协议的漏洞特征,漏洞特征可通过多个字段以文本或正则表达式的形式进行有序和无序匹配,并可自定义漏洞的源、目的端口范围;同时可标识自定义漏洞的CVE编号或CNNVD编号.

(投标文件需要提供能够体现上述功能及配置选项的截图)必须支持自定义基于TCP、UDP、HTTP协议的间谍软件特征.
间谍软件特征可通过多个字段以文本或正则表达式的形式进行有序和无序匹配;并可自定义间谍软件的源、目的端口范围(投标文件需要提供能够体现上述功能及配置选项的截图)SSL解密必须支持IPv4和IPv6流量的HTTPS协议进行解密,支持配置基于源安全域、目的安全域、源地址、目的地址、SSL协议服务的解密策略,并可同时基于安全域、IPv4和IPv6地址进行例外设置.

(投标文件需要提供能够体现上述功能及配置选项的截图)VPNIPSecVPN必须支持支持IPSecVPN功能,支持基于主模式(MainMode)、积极模式(AggressiveMode)、国密三种协商模式建立的网关-网关加密隧道;支持本地CA并可为参与IPSecVPN隧道建立的设备颁发用于身份认证的证书.
(投标文件需要提供能够体现上述功能及配置选项的截图)必须支持支持GRE隧道,支持GREoverIPSecVPN的IPSecVPN功能必须支持无损数据压缩算法其他VPN必须支持L2TP、支持L2TPoverIPSec、支持PPTP,并支持本地认证以及LDAP/Radius/证书/ActiveDirectory/TACACS+/POP3等第三方用户认证系统.
支持客户端地址分配.
(投标文件需要提供能够体现上述功能及配置选项的截图)必须支持SSLVPN,支持使用SSLVPN客户端与防火墙建立SSLVPN加密隧道,支持对远程用户进行口令认证或证书认证,或证书认证+口令认证双因素;口令认证支持本地认证以及LDAP/Radius/证书/ActiveDirectory/TACACS+/POP3等第三方用户认证系统;支持USB-key证书;支持本地CA并可为SSLVPN客户端颁发用于身份认证的证书.
(投标文件需要提供能够体现上述功能及配置选项的截图)安全管理运维管理必须支持双系统备份,且在系统切换中可实现配置的自动迁移;可记录不同时间点的历史配置文件.

(投标文件需提供历史配置文件>2个设备截图)必须支持三权分立管理,权限设置至少包括全部权限,仅具有策略变更权限和仅具有日志审计权限、仅具有账户配置权限、虚系统配置管理权限以及虚系统审计权限;并支持以读写、只读、无权限的方式自定义权限管理,权限管理的范围至少包括策略配置、对象配置、网络配置、系统配置、统计分析、威胁处置等.

(投标文件需提供能够体现上述功能及配置选项截图)支持添加报表任务.
支持每天、每周、每月生成报表.
报表支持本地保存、下载、FTP服务器上传、邮件发送.

支持自定义报表模板.
模板下默认支持威胁汇总、流量汇总、应用程序汇总子类型.

必须支持加密的WebUI和CLI管理,且支持网页命令行管理(WebUI中内嵌CLI管理界面).

投标文件需提供WebUI内嵌CLI管理界面的设备截图必须支持将告警信息以SNMPTrap、邮件、声音、短信等形式通知管理员,告警信息的范围至少包括配置变更、病毒事件、攻击事件、异常事件、CPU利用率、内存利用率、硬盘利用率、接口带宽利用率等.

(投标文件需要提供能够体现上述功能及配置选项的截图)必须支持将不同设备模块产生的不同重要性的日志发送至不同的日志服务器,设备模块至少包括配置、时间、流量、URL过滤、内容过滤、邮件过滤、行为、威胁等,重要性等级至少包括紧急、警报、严重、错误、告警、通知、信息、调试八种(投标文件需要提供能够体现上述功能及配置选项的截图)必须支持通过TFTP或FTP协议实现IPS特征库、威胁情报库、应用识别库等数据库的实时更新.

(投标文件需要提供能够体现上述功能及配置选项的截图)必须提供可明文或加密方式调用的RestfulAPI,并可指定RestfulAPI使用的本地端口;为确保设备管理的安全性,必须支持限制特定主机调用RestfulAPI(投标文件需要提供能够体现上述功能及配置选项的截图)支持定义第三方设备、平台通过调用RestfulAPI至少可配置所投设备的访问控制策略、源NAT策略、目的NAT策略、静态路由、高可用以及区域、地址、服务、时间、用户对象等功能(投标文件必须提供的RestfulAPI使用说明并加盖公司公章)必须web页面必须内置抓包工具,并可通过表达式方便灵活的指定抓包过滤条件(投标文件需提供能够体现上述功能及配置选项截图)产品资质产品资质具备《计算机软件著作权登记证书》,投标文件提供证书复印件并加盖厂商公章,在中国版权保护中心官网可查(http://www.
ccopyright.
com.
cn/cpcc/notice/soft/softRegisterNotice.
jsp)具备信息产业信息安全测评中心出具的《软件产品登记测试报告》,投标文件提需供证书复印件并加盖厂商公章具备国家信息安全测评中心颁发的《信息技术产品安全测评证书》(千兆EAL3+),投标文件需提供证书复印件并加盖厂商公章,在中国信息安全测评中心产品测评平台可查(http://www.
itsec.
gov.
cn/export/sites/itsec/product/)具备公安部网络安全保卫局颁发的《计算机信息系统安全专用产品销售许可证》(千兆三级),投标文件需提供证书复印件并加盖厂商公章,在计算机信息系统安全专用产品销售许可证服务平台可查(http://www.
ispl.
cn/ispl/jsp/common/ProductList_Public.
jsp)具备《中国国家信息安全产品认证证书》(千兆、增强级),投标文件提需供证书复印件并加盖厂商公章,在中国信息安全认证中心官网可查(https://p.
isccc.
gov.
cn/CertSearch.
aspx)具备国家保密科技测评中心颁发的《涉密信息系统产品检测证书》(千兆),投标文件提需供证书复印件并加盖厂商公章,在国家保密科技测评中心官网可查(http://www.
isstec.
org.
cn/cpjc/zscx/index.
shtml)具备中华人民共和国工业和信息化部颁发的《电信设备进网许可证》具备中国信息安全测评中心颁发的《国家信息安全漏洞库兼容性资质证书》(千兆),投标文件提需供证书复印件并加盖厂商公章.

产品服务产品服务提供五年硬件维修服务和五年病毒特征库、入侵防御特征库功能升级服务.
需与州电子政务外网管理及安全、运维设备进行对接、联通,并进入州电子政务外网统一管理平台监管.

设备升级设备升级本次采购设备部署在电子政务外网,与互联网隔离(非互联网接入环境),产品须满足特征库实时升级.