序号

名称

功能参数

数量

单位

1

下一代防火墙

1、1U盒式设备，采用非X86 64位多核高性能处理器和高速存储器，主控模块内存≥2G；

2、主机固化千兆电口≥16，千兆光口≥8；

3、支持双电源扩展，可扩展类型支持交流电源、直流电源，本次实配内置双交流电源；

4、整机三层吞吐量≥1Gbps，最大并发连接数≥100万，每秒新建连接数≥2万，提供第三方测试报告；

5、支持路由模式、透明模式、混合模式和DPI bypass（含手动bypass、CPU/内存门限Bypass、特征库升级时的bypass）4种运行模式；

6、支持N:1虚拟化技术，利用双机集群式高可靠性技术，融合后可统一管理配置，对外单一节点，实现主备/主主方式转发，提供第三方测试报告；

7、支持在统一页面配置“内容安全”（含IPS策略、数据过滤策略、文件过滤策略、防病毒策略、URL过滤策略）和自定义长连接老化时间，提供配置截图；

8、支持高性能SSL VPN功能，最大并发可扩展≥750；

9、支持基于CPU、内存等硬件划分资源的完全虚拟化技术，可分配吞吐量、新建、并发，虚拟防火墙可独立重启、配置独立导出;

10、支持负载均衡功能，支持智能DNS，支持加权轮转、随机、加权最小连接、源IP地址hash、源IP地址和端口hash、目的地址hash、带宽算法、最大带宽算法、ACL、动态就近性、基于优先级的调度算法、主备实服务器组12种调度算法，提供配置截图；

11、支持静态路由、RIP v1/2、OSPF、ISIS、BGP、策略路由等，支持防火墙\NAT日志，支持域间策略匹配日志；

12、必须支持一对一、地址池等NAT方式，必须支持NAT444、Fullcone NAT、NAT hairpin、两次NAT、双向NAT，支持一个公网IP地址NAT无限连接，支持策略NAT ALG功能；

13、基于病毒特征进行检测，实现病毒库手动和自动升级，报文流处理模式，实现病毒日志和报表；

14、配置千兆电接口≥16，千兆光口≥8，与本次所配其他设备无缝兼容；

15、提供中华人民共和国公安部的《计算机信息系统安全专用产品销售许可证》，能提供有效证书的复印件；隶属CNVD技术组成员，提供有效证书复印件；具备CNNVD技术支撑单位一级资质，提供有效证书复印件；

16、3年原厂质保，签订合同时提供质保承诺函；

1

台

2

入侵防御系统

1、固化千兆电口≥16个，千兆光口≥8个，设备扩展槽位≥2，设备自带双电源；

2、提供独立的管理网口，不可与业务口混用，管理口需为10M/100M/1000M自适应以太电口；

3、开启防护策略后整机吞吐量≥6G，并发连接数≥300万，新建连接数≥3万；支持虚拟IPS，数量≥8；

4、必须实配病毒查杀能力、流量控制能力、URL过滤能力、攻击防护能力；产品支持防护授权，本次要求实配≥12路防护授权；

5、产品攻击特征库数量≥3000，病毒特征库数量≥8000，支持的协议识别数量≥800，提供设备界面截图；

6、支持深入七层的分析检测技术，能检测防范的攻击类型包括：蠕虫/病毒、木马、后门、DoS/DDoS攻击、探测/扫描、间谍软件、网络钓鱼、利用漏洞的攻击、SQL注入攻击、缓冲区溢出攻击、协议异常、IDS/IPS逃逸攻击等；

7、支持专业防病毒功能，集成第三方专业防病毒厂商的专业病毒库，提供针对IPS产品的与专业防病毒厂商的合作证明；

8、支持URL过滤功能，可以自定义需要过滤的URL规则，URL过滤可以基于时间、主机，能够精细到单一IP地址；

9、支持IP 碎片重组、TCP 流重组、会话状态跟踪、应用层协议解码等数据流处理方式；

10、采用全面深入的分析检测技术，结合模式特征匹配、协议异常检测、流量异常检测、事件关联等多种技术，能识别运行在非标准端口上的协议，准确检测入侵行为；

11、IPS检测到攻击报文或攻击流量后，支持隔离、Web重定向等响应方式，以实现第一时间隔离有安全威胁的主机，提供配置界面截图；

12、支持对不同的网段运用不同的入侵防御策略；可以针对不同的IP或IP网段应用不同的网络滥用带宽控制策略，针对不同网段应用不同的网络滥用带宽控制策略；

13、可以识别并检测802.1Q、MPLS、QinQ、GRE等特殊封装的网络报文；

14、支持特征库的手动、自动升级，特征库升级后设备无须重启即可生效；

15、对多台分布式部署的场景，提供管理软件实现对多台分布式部署的IPS设备进行集中管理；

16、支持路由、NAT等网关类产品功能，可以三层部署，同时支持串接部署的IPS模式以及旁路部署的IDS模式；

17、配置千兆电接口≥16个，千兆光口≥8个，配置3年特征库升级服务，与本次所配其他设备无缝兼容；

18、3年原厂质保，签订合同时提供质保承诺函；

2

台

3

上网行为管理

1、1U机架式独立硬件设备，采用多核架构设计，CPU核数目≥4个，不允许采用X86架构，功能采用模块化结构设计；

2、固化千兆电接口≥12，千兆光接口≥12，接口无路由/交换/LAN/WAN等固化区分，均可作为二三层接口使用；

3、为满足82号令行为日志要存储60天，要求内置≥1TB硬盘；

4、网络层吞吐量≥8Gbps，内存≥2G，并发连接数≥200万，支持用户数≥2000人；

5、支持路由模式、透明（网桥）模式、混合模式，部署模式切换无需重启设备；透明、路由模式下支持将多条链路带宽进行捆绑；

6、支持静态路由、策略路由、RIP、OSPF、ISP路由，其中ISP路由支持自定义，并可提供基于应用的策略路由，提供web配置界面截图；

7、支持电信、联通等主流3G网卡扩展，支持3G接口的常在线和按需上线模式，并支持在3G接口上运行IPSec VPN，提供web配置界面截图；

8、支持源地址转换、目的地址转换、双向地址转换、NAT44；支持DDNS功能，支持花生壳DDNS客户端以及域名IP绑定功能；

9、支持主流P2P、IM、在线视频、网络游戏、网络炒股等应用识别；支持BYOD特征库，可识别ios版和安卓版移动互联网软件如微博、微信等特征，并提供web界面配置截图；

10、内置URL分类库，支持≥56个URL分类，URL库可在线升级；可广泛识别恶意网站、违法网站；支持自定义URL过滤，并支持URL的模糊匹配，提供web界面配置截图；

11、支持自定义关键字对象，提供多种匹配模式，匹配类型包含关键字和数字，提供web界面配置截图；

12、支持即时通讯应用管控的精细化管理，例如微信的“所有行为”、“语音”、“发消息”、“收消息”、“登录”、“发文件”等行为，提供web配置界面截图；支持网络社区应用管控的精细化管理，例如可管控“所有行为”、“登录”、“网页浏览”、“发表”、“上传”等行为，提供web配置界面截图；

13、支持股票应用的行情和交易特征，并可以将股票软件的行情和交易进行区分管控，提供web界面配置截图；支持收集网站访问日志，记录用户所有访问网站行为；支持收集搜索引擎日志，记录用户的搜索内容；支持收集IM通讯软件日志，记录用户登录、注销、收发消息、收发文件等行为；支持收集邮件日志，记录邮件发件人、收件人、主题、正文、附件等信息，并提供web界面配置截图；

14、支持单用户全天行为分析报表，一个界面同时展示用户名、用户组、在线时长、虚拟身份（如QQ号码、微博账号等）、日志关联情况、全天流量使用分布、网站访问类别分布、全天关键网络行为轴等信息，提供web界面截图；

15、支持通道化的QoS，支持基于源地址、用户、服务、应用、时间进行带宽控制，并支持配置保障带宽、限制带宽、带宽借用、每IP带宽、流量限额、带宽优先级等QoS动作，时间选择支持基于日计划、周计划、单次计划等。并提供web界面配置截图；

16、支持WEB Portal认证功能，支持微信认证和短信认证，微信认证通过DPI方式实现，提供web界面配置截图；

17、支持中文Web界面管理及命令行管理，支持基于SSL协议的远程安全管理；支持账号管理员、权限管理员、审核员、系统管理员分权管理，可对不同系统管理员指定不同功能模块管理权限，可在三权和普通管理模式间进行切换；

18、配置千兆电接口≥12，千兆光接口≥12，硬盘容量≥1TB，3年应用识别特征库升级服务，与本次所配其他产品无缝兼容；

19、隶属CNVD技术组成员，提供有效证书复印件；具备CNNVD技术支撑单位一级资质，提供有效证书复印件；

20、3年原厂质保，签订合同时提供质保承诺函；

1

台

4

服务器

1、2U机架式设备，标配原厂导轨及安全面板；

2、支持2颗Intel 至强可扩展处理器，最大支持205W处理器，本次配置≥2颗Intel Skylake 4114处理器，单颗主频：2.2GHz，核数：10核；

3、支持可扩展≥24个内存插槽，官方支持最大内存容量不小于3.0TB，支持Advanced ECC、内存镜像、内存热备，配置≥4*16GB 2666MHz DDR4；

4、配置≥8个2.5寸热插拔硬盘槽位，可扩展至≥24个热插拔硬盘槽位，支持扩展≥16块NVME硬盘，支持双MicroSD和双M.2 SSD配置RAID1，作为虚拟化或者操作系统部署盘位，本次配置≥3*600GB 12G 10K SAS硬盘；

5、配置RAID阵列卡），支持RAID0/1/10/5/6/50/60/1E/Simple Volume；≥1GB缓存，支持缓存数据保护，且后备保护时间不受限制；

6、提供≥10个标准PCIE 3.0插槽，可配置≥3块双宽或8块单宽GPU卡，提供官网截图（含截图）；配置≥4个千兆电口；

7、配置≥5个USB3.0接口，最高可扩展至6个USB接口，标配1个VGA，可选配支持最高2个VGA接口，支持后部独立的管理端口，标配1个串口；

8、支持热插拔冗余风扇，配置≥2块550w热插拔冗余电源，支持最高5-50°C标准工作温度；

9、配置≥1Gb独立的远程管理控制端口，配置虚拟KVM功能, 可实现与操作系统无关的远程对服务器的完全控制，包括远程的开机、关机、重启、更新Firmware、虚拟光驱、虚拟文件夹等操作，提供服务器健康日记、服务器控制台录屏/回放功能，能够提供电源监控，支持3D图形化的机箱内部温度拓扑图显示，可支持动态功率封顶；

10、支持嵌入式管理模块支持防火墙功能，可基于MAC地址，IP，主机名定义访问规则，提供UEFI安全启动，支持中国标准TCM 1.0可信计算，可配置机箱入侵侦测，在外部打开机箱时提供报警功能；

11、支持防火墙、IPS、防病毒和QoS的安全功能，提供官网截图（含链接）；

12、提供TL9000质量体系认证和IS014001认证；提供知识产权管理体系认证证书；通过CMMI（软件能力成熟度集成模型）认证并通过5级，并提供证书复印件；

13、3年原厂质保，签订合同时提供质保承诺函；

1

套

5

核心交换机

1、交换容量≥5Tbps，整机包转≥210Mpps；

2、本次配置千兆电口≥24个，其中千兆Combo接口≥8个，万兆光接口≥4，支持接口模块扩展功能，支持扩展万兆光接口板卡、40GE接口板卡；

3、支持多业务安全扩展模块，可配置IPS、防病毒、负载均衡、应用识别等特征库，提供官网选配信息截图（含链接）；

4、支持虚拟化功能，支持多虚一功能，可将多台设备虚拟为一台，支持纵向虚拟化，纵向维度上将核心层设备和接入层设备虚拟为一台逻辑设备；

5、支持IPv4静态路由，支持RIPv1/v2，OSPFv1/v2，BGP4，支持VRRP，硬件支持IPv6静态路由、RIPng，OSPFv3，BGP4+ for IPV6，VRRPv3；

6、支持ARP入侵检测功能，支持IP+MAC+端口的绑定，支持MAC地址认证、802.1x认证、portal认证，要求提供Portal认证和802.1X认证第三方测试报告；

7、支持802.1ae Macsec安全加密，实现MAC层安全加密，包括用户数据加密、数据帧完整性检查及数据源真实性校验，提供官网截图（含链接）；

8、支持通过VxLAN技术实现不同交换机的二层或三层互通功能，支持通过EVPN技术实现不同交换机的二三层互通功能，提供第三方测试报告；

9、支持命令行接口（CLI），Telnet，Console口进行配置；支持SNMPv1/v2/v3，WEB网管；

10、配置双电源双风扇，实配VxLAN功能，千兆电口≥24，万兆光口≥4，配置1块防病毒业务板卡，含1年防病毒升级授权，3m SFP+ 堆叠电缆（含模块）≥1，万兆多模光模块≥3，与本次所配其他设备无缝兼容；

11、隶属CNVD技术组成员，提供有效证书复印件；具备CNNVD技术支撑单位一级资质，提供有效证书复印件；

12、3年原厂质保，签订合同时提供质保承诺函；

1

6

接入交换机

1、交换容量≥3Tbps，包转发能力≥100Mpps；

2、固定端口千兆电口≥24，千兆光接口≥4；

3、支持基于端口、MAC的VLAN，基于协议的VLAN,支持Voice VLAN；

4、支持将多台设备虚拟化为一台逻辑设备；

5、支持IPv4/IPv6静态路由，支持RIP/RIPng，OSPFV1/V2/V3，提供证明材料；

6、支持MAC地址认证、802.1X认证；

7、支持包过滤功能，支持SP/WRR/SP+WRR队列调度，支持双向ACL，支持基于端口的限速，支持基于流的重定向，支持时间段；

8、支持端口镜像，支持流镜像，支持GE/10GE端口聚合，支持跨设备聚合；

9、支持命令行接口（CLI），Telnet，Console口进行配置；支持SNMPv1/v2/v3；

10、配置要求：主机1台，每台固定端口千兆电口≥24，千兆光接口≥4，千兆多模光模块≥1，与本次配置其他产品无缝兼容；

11、产品制造厂商须隶属CNVD技术组成员，提供有效证书复印件；具备CNNVD技术支撑单位一级资质，提供有效证书复印件；

6

台

7

网管软件

1、后台服务器可支持安装在Windows、Linux、国产操作系统上；支持双机系统的热备和冷备，支持单机系统逃生技术，服务器宕机后能自动切换到逃生工具上，逃生工具部署简便；

2、支持用户分权管理，操作员可以管理各自的用户群组和策略组，只有上级管理员才能管理全部的用户组和策略，提供配置界面截图；

3、支持使用同一个客户端实现网络准入、用户认证、终端安全状态检查、桌面资产管理等所有功能，可避免多个客户端带来的管理不便，提供配置界面截图；

4、支持客户端防卸载，支持客户端密码卸载；支持客户端属性管理，可以通过客户端管理中心工具进行定制，如VPN接入配置、认证方式、是否上传IP地址、是否上传客户端版本信息、是否支持多播等，可限定配置由终端使用者更改与否；

5、支持802.1x、Portal、L2TIP IPSec VPN、SSL VPN、无线等多种网络环境的身份认证，支持基于端口的802.1x和基于MAC地址的802.1x，可管理HUB或非智能交换机下的多个用户，提供配置界面截图；

6、支持L2TP接入方式，可以设置备用LNS，支持虚拟网卡，指定USB Key认证等；支持L2TP+IPSec，可以支持LNS服务器和IPSec服务器合一和分开，支持NAT穿越，支持PPP协商过程中获取安全认证服务器信息，发起安全认证，提供配置界面截图；

7、支持用户的接入权限，可以在认证通过后下发给接入设备，由设备动态控制用户的访问权限，限制用户对内部敏感服务器和外部非法网站的访问；

8、支持基于客户端的ACL，可以对源/目的IP、源/目的掩码、源/目的网段等九元组进行控制，实现流量管理；

9、支持PAP/CHAP/EAP-MD5/EAP-PEAP/EAP-TLS/WAPI等认证协议，支持USB Key、数字证书、LDAP服务器、Windows域管理器、WLAN等方式的认证及多种方式的组合鉴别，支持LDAP用户，提供配置界面截图；

10、支持对接入时段的管理，超过可设定时段点后，可以根据需要强制在线用户下线；支持对接入区域进行控制，用户只有在特定区域的网络设备上接入才能认证成功，区域划分支持并不限于设备及端口、IP地址段、无线名称、访问时间段、接入终端设备类型、接入终端操作系统等；

11、支持与包括微软防病毒软件在内的主流防病毒软件联动，支持与微软WSUS/SCCM协同的自动补丁管理，与微软无缝集成，当用户安全认证时，自动检查、下载、安装补丁，实现操作系统补丁自动升级，提升系统易用性，可定期巡查操作系统补丁；

12、支持用户名、密码与用户IP、MAC、VLAN、设备IP、设备端口、主机名、域用户、SSID、IMEI、硬盘序列号等多种元素的绑定认证，可支持多元素自动学习绑定，可限定自动学习的个数，使单账号多个终端进行自动学习绑定，提供配置界面截图；

13、支持IP分配策略控制和MAC地址变更检查，可实现一对多、多对多等绑定方式；支持自学习绑定方式，即用户第一次认证时自动获取其IP/MAC等绑定信息，不需要管理员人工输入，提供配置界面截图；

14、支持对软件进行监控、对进程进行监控、支持对服务进行监控、支持对运行的文件进行监控。支持纯白软件管理，终端用户只能安装该纯白软件列表中的软件，不能安装该纯白软件列表之外的软件。支持MD5方式进程检查，支持检查运行软件的版本号。支持配置组内关系配置，与关系表示组内配置软件、进程、服务、文件必须同时满足。支持延时检查进程；

15、支持对客户端软硬件资产信息的编号、收集、统计、变更情况告警等，支持通过HTTP、FTP、文件共享等方式进行软件分发，在终端用户需要帮助时可提供远程协助，在内网环境下，可以通过网络驱动过滤方式防止非法外联，提供配置界面截图；

16、支持USB、软驱、光驱、串口、并口、红外、蓝牙、1394和Modem等外设的管理，可区分USB存储设备和非存储设备，支持离线策略，拔掉网线依然生效；支持对检测终端USB接入状态进行记录和上报，如用户插拔USB时间、操作文件名、操作文件大小等详细信息，提供配置界面截图；

17、支持在线查看用户状态及其所连接的网络设备信息，如此用户接入的登录名称、登录设备IP、设备端口、终端信息、在线session信息、接入开始时长、接入持续时长、安全状态等，对非法用户可以执行发送消息、在线检查、强制下线、关闭端口等操作，提供配置界面截图；

18、支持流量审计和用户管理系统联动，可以将IP地址对应到用户帐号、MAC地址和主机名，并且支持DHCP环境和NAT环境；

19、本次配置：终端准入控制授权数≥200个，可管理设备授权数≥50个，与本次配置其他产品无缝兼容；

20、通过公安部计算机信息系统安全专用产品销售许可证，提供软件著作权证书；提供知识产权管理体系认证证书；提供信息安全服务资质(安全工程类 1级)认证证书；提供信息安全风险评估服务资质（一级）认证证书；通过CMMI认证并通过5级，并提供证书复印件；

1

套