1、儀征市人民醫院防火墻主要技術參數及要求技術指標指標要求硬件規格硬件平臺采用先進的多核網絡專用架構。硬件平臺采用多核處理器，使用64位MIPS多核處理器，需提供能證明多核CPU并行處理的命令行截圖。標配4個通用擴展槽位，本次配置8個10/100/1000MBase-T電口，4個千兆SFP光纖插槽，至少可擴展至44個千兆接口，每個接口可劃分到不同安全域實現各接口間的安全隔離。提供官網可下載的白皮書或者彩頁，并提供官網站點地址。防雷擊，必須通過國家無線電監測中心檢測中心浪涌（沖擊）抗擾度（4KV）測試項目，并出具國家無線電監測中心檢測中心委托測試報告操作系統為保證投標產品硬件架構先進性所投產品硬件平

2、臺必須采用先進的多核網絡專用架構內部數據交互通過無阻塞矩陣，而非總線,控制和轉發分離架構,專用安全處理模塊轉發。(非X86多核架構或ASIC架構),必須為具有自主知識產權的64位安全操作系統，要求提供國家版權局頒發的相應著作權證書證明；性能吞吐率(bps)8G，最大并發連接數400萬，VPN吞吐量(bps) 2.5G，每秒新建連接數6萬，提供IPSec VPN隧道數6000條，并發SSL VPN用戶許可15個；提供官網可下載的白皮書或者彩頁，并提供官網站點地址。系統要求要求支持多系統引導，并可在WEB界面上直接配置啟動順序；提供多個系統的配置截圖以及WEB啟動順序截圖,訪問控制基于源/目的IP

3、地址、MAC地址、域名、端口或協議、服務、時間、用戶的訪問控制支持基于用戶、用戶組的訪問控制，用戶認證要求支持Radius、LDAP、Windows AD域等方式 ；支持用戶必須用AD域賬戶登錄操作系統，否則禁止上網功能；支持策略命中數統計，便于維護策略。提供產品界面截圖內容過濾支持內核級深度內容檢測技術, 支持對網頁關鍵字和JavaScript、ActiveX進行過濾, 支持對FTP上傳和下載文件的控制支持對收件人地址、發件人地址、主題、正文、附件名稱通配符匹配、附件大小等進行匹配過濾，提供功能截圖支持基于URL地址的關鍵字設置白名單和黑名單網絡適應性支持透明、路由、混合、直連（虛擬線）模式

4、支持將任意接口數據完全鏡像到設備自身的其他接口用于抓包分析，支持基于源IP、目的IP、源端口、目的端口、網絡協議（TCP、UDP、ICMP）等條件對鏡像流量進行過濾，并且支持選擇入方向、出方向及雙向流量鏡像，提供產品界面截圖有效支持目的IP替換，支持記錄所有日志或記錄被替換目的IP的日志，提供產品界面截圖有效支持WAP智能分流功能，通過HTTP request的URL內容將流量引向WAP網管或直接轉發到互聯網，提供產品界面截圖有效支持基于源地址、目的地址、生效時間、應用協議（http、https、mysql、ms-sql、sqlnet、sip等）限制新建連接、并發連接；提供產品界面截圖鏈路負載

5、均衡支持基于ISP的路由功能，支持內置ISP地址列表和自定義地址列表功能，實現電信資源從電信線路訪問、聯通資源從聯通線路訪問支持基于多出口的DNS代理功能，可根據配置實現對不同外網線路的DNS服務器地址管理，當一條鏈路出現故障時，流量自動切換到其他鏈路的同時將DNS服務器進行切換，避免出現跨運營商解析而導致訪問變慢或中斷，提供產品界面截圖有效支持基于Ping、Http、ARP、DNS、TCP端口等監控類型實現線路切換，提供產品界面截圖有效支持ECMP（五元組、源地址、源地址和目的地址等算法）等價權值負載均衡，針對不同鏈路的帶寬，給予不同的權值，從而實現多鏈路的負載均衡，提供產品界面截圖有效支持

6、SmartDNS功能；注：SMARTDNS功能實現當外部用戶訪問內部服務器時，聯通用戶解析到的域名IP為聯通地址，電信用戶解析到的域名IP為電信地址，提供產品界面截圖有效支持線路過載保護功能，當某條外網線路擁塞時，自動將其流量切換到其他鏈路；系統對各出口的流量帶寬進行實時監測，當自身接口的流量帶寬超過配置的閾值時，新建會話的流量將不再從這個接口轉發。當此接口的流量帶寬回落到正常值以下時，新建會話的流量再恢復從這個接口轉發，提供產品界面截圖有效支持基于接口時延的動態切換能力：系統從多出接口向外部某一個或多個目的地址探測時延。當自身接口的時延超過配置的閾值時，新建會話的流量就不再從這個接口轉發，而

7、是走其它接口。當此接口的時延回落到正常值以下后，新建會話的流量再允許從這個接口轉發，提供產品界面截圖有效支持就近探測算法（根據SYN報文探測的響應時間和PING報文探測的響應時間等方法自動生成靜態路由表，并將探測的響應時間生成日志）選擇最優路徑，提供產品界面截圖有效支持基于應用協議的路由功能，根據應用類型進行路由選擇。提供產品界面截圖有效應用協議智能識別支持對1500+ 種應用的識別和控制，包括200+移動應用，提供產品界面截圖有效支持應用過濾器便于配置和維護，至少支持6個維度進行過濾，包括：名稱、類別、子類、應用技術、風險界別、特性；其中應用技術至少包括：基于瀏覽器、客戶端服務器、網絡協議、

8、點對點；風險級別包括：1、2、3、4、5總共5個等級；特性包括：能夠傳輸文件、已被大規模使用、大量消耗帶寬、易逃逸、易被濫用、被其它應用使用、存在已知漏洞、被惡意軟件利用，提供產品界面截圖有效支持將通過應用過濾器篩選出來的應用直接生成模板供用戶統一管理使用，提供產品界面截圖有效上網行為管理支持對迅雷、BT、eDonkey、eMule等常見至少15種P2P下載軟件識別、控制并提供細粒度帶寬控制，提供功能截圖支持對PPLive、QQLive、PPStream等常見至少15種P2P視頻播放軟件識別、控制并提供細粒度帶寬控制，提供功能截圖支持對QQ、MSN、飛信、阿里旺旺等常見至少15種IM即時聊天軟

9、件識別、控制并提供細粒度帶寬控制，提供功能截圖支持對魔獸世界、同城游、征途、聯眾、三國殺online、新浪游戲等至少15種網絡游戲軟件識別、控制并提供細粒度帶寬控制，提供功能截圖支持對京東商城、蘇寧易購、淘寶、天貓、支付寶、大眾點評、凡客誠品、美團網、1號店、當當網、拉手網等移動終端（Android和IOS系統）等至少10種購物平臺應用識別、控制并提供細粒度帶寬控制，提供功能截圖支持對新浪微薄、貓撲、QQ空間、掌中天涯、世紀佳緣、騰訊微薄、蘑菇街、找對象、百合網等移動終端（Android和IOS系統）等至少10種社交網絡應用識別、控制并提供細粒度帶寬控制。提供產品界面截圖支持對米聊、微信、移動

10、QQ、飛信、陌陌、YY語音、旺信等移動終端（Android和IOS系統）等至少10種移動即時聊天應用識別、控制并提供細粒度帶寬控制。提供產品界面截圖支持對網易新聞、騰訊新聞、新浪新聞、環球時報、百度新聞、ONE、91熊貓看書、掌閱、QQ閱讀等移動終端（Android和IOS系統）等至少10種移動新聞、閱讀應用識別、控制并提供細粒度帶寬控制。提供產品界面截圖IPS功能提供IPS軟件著作權證書支持旁路和在線兩種模式，支持基于安全策略和安全域啟用IPS功能，可在不同的攻擊方向上啟用IPS（至少支持流入流出雙向等方向），提供產品界面截圖有效支持擴展對全局IPS特征庫、某個IPS特征庫行為設定自動抓包分

11、析取證，提供產品界面截圖有效IPS吞吐量1.2Gbps；必須提供官方網站可下載的產品彩頁或白皮書作證明具備6000種以上攻擊特征庫規則列表，并可自定義特征庫，提供產品真實界面截圖證明可以針對不同的特征制定不同的入侵防護系統動作（丟棄、通過）具備1100種以上HTTP特征庫規則列表，提供產品界面截圖有效支持CC攻擊檢測，支持訪問限速、代理限速、自定義請求閾值、爬蟲友好等方法，檢測到CC攻擊時支持JS Cookie、重定向、訪問確認、驗證碼四種認證方法，提供產品界面截圖有效防病毒功能提供防病毒軟件著作權證書防病毒吞吐量500Mbps；必須提供官方網站可下載的產品彩頁或白皮書作證明對于HTTP協議和

12、郵件協議，病毒特征庫數量大于100萬。提供產品真實界面截圖證明支持采用強制安裝客戶端進行加密認證方式對ARP病毒防御支持惡意站點防護功能支持擴展基于對HTTP、FTP、SMTP、POP3、IMAP協議病毒以及惡意網站設定自動抓包分析取證，提供產品界面截圖有效URL過濾 支持使用通配符定義URL類型支持30種以上域名分類庫，控制不良網站訪問虛擬防火墻可將一臺物理設備，支持擴展到80個虛擬防火墻系統，支持同一個網口用于多個虛擬防火墻要求支持虛擬系統技術每個虛擬防火墻互不干擾可擁有獨立的系統資源、管理員、安全策略等，每個虛擬防火墻提供獨立的web管理界面支持每個虛擬防火墻可自定義CPU資源、會話數、

13、策略數、安全域數、源NAT數、目的NAT數，提供產品界面截圖有效有效NAT功能支持多對一、多對多的NAT地址轉換，且公網地址池可選擇逐一使用和同時使用兩種模式。為解決公網IP地址資源問題，要求必須支持NAT的端口擴展技術。必須支持NAT full cone模式。支持NAT444模式，支持導出NAT444靜態映射表，提供產品界面截圖有效支持目的地址NAT、支持端口映射。支持NAT公網地址池中IP有效性檢測，避免因NAT地址無法使用導致業務中斷，提供產品界面截圖有效。威脅智能檢測和防御支持擴展高級威脅檢測引擎技術，采用行為分析技術檢測無法通過特征方式檢測出來的未知網絡威脅（如威脅的加殼與變種），提

14、供未知威脅的檢測詳細說明截圖：包括名稱、域名、已經惡意URL、惡意威脅URL、惡意軟件的可信度等，提供產品界面截圖有效支持擴展對設備資源的實時檢測，檢測內容包括：CPU使用率、內存使用率、新建連接速率、并發連接數、SNAT端口使用率、接口流量、磁盤使用率、機箱溫度、CPU溫度。提供產品界面截圖有效支持擴展對網絡節點可達性和可用性的實時檢測，檢測內容包括：延遲、丟包率；支持對業務服務節點業務可用性的實時檢測，檢測內容包括：對WEB、郵件、文件服務（FTP）、LDAP、DNS以及自定義協議的延遲。提供產品界面截圖有效支持擴展對惡意軟件進行識別和防護：惡意軟件類型包括Trojan、Worm、Viru

15、s、Adware、Riskware、Hacking tool、Grayware、Spyware等，提供產品界面截圖有效支持擴展服務器異常行為檢測：針對WEB 服務器實時監測建模，自動生成上限閾值、下限閾值、實施流量、預測值等屬性，根據安全基線偏離度綜合異常行為特征庫分析出當前的針對于Web服務器的異常行為，提供產品界面截圖有效支持擴展對主機遭受的攻擊次數進行統計和展示，并對該主機進行風險評估形成風險度,風險等級分為4個級別（嚴重、高、中、低）；支持查閱單個主機風險日志詳細信息，其中包含：威脅名稱/類型、攻擊主機、受害主機、應用/協議等，提供產品界面截圖有效支持擴展對威脅行為自動采取減緩措施，避

16、免威脅對業務造成嚴重的影響。支持帶寬限制、會話限制（新建連接數限制和并發連接數限制）、阻斷等減緩動作，提供產品界面截圖有效IPSEC VPN支持標準IPSec協議，能夠與Cisco等知名廠商的VPN設備互聯互通支持3DES、DES、AES等多種加密算法支持GRE、L2TP、Xauth等VPN連接SSL VPN必須支持對登錄SSL VPN的用戶端系統進行端點安全檢查，至少包括指定文件、指定進程、系統補丁、瀏覽器版本、殺毒軟件等方面，提供產品界面截圖有效支持SSL VPN的登陸頁自定義，并在登陸成功后可自動打開指定URL頁面支持基于手機短信的登錄認證方式以及硬件USB-key的認證方式虛擬機安全防

17、護支持VMware虛擬化平臺支持虛擬機的vMotion，支持動態地址薄，實現基于虛擬機的訪問策略，提供產品界面截圖有效支持透明串接和旁路模式部署、無需改變現有的虛擬機配置和網絡結構，用戶的虛擬機可被隨時加入或者移出安全服務，提供統一系統管理功能支持虛擬機的應用識別功能，應用特征庫支持網絡實時更新支持虛擬機資產發現、支持對流量、應用、威脅的統計，支持對接入服務的虛擬機進行全方位的網絡監控，支持會話日志、威脅日志、系統日志等以邏輯拓撲圖的方式展示可視化效果，提供產品界面截圖有效支持虛擬機之間以及虛擬機的會話限制功能提供虛擬機之間的多種畸形報文攻擊防護，支持SYN Flood、DNS Query F

18、lood等多種DoS/DDoS攻擊防護，支持ARP攻擊防護管理功能支持不少于8個配置文件并存，并支持配置文件備注以便配置回退。提供功能截圖有效支持基于IP地址的流量統計、支持基于應用的流量統計、支持基于IP地址的會話統計功能，支持基于應用的會話統計包括短時間周期和長時間周期（提供功能截圖）支持自定義統計功能，提供功能截圖高可用性支持A/P模式、A/A模式，支持非對稱路由場景產品資質公安部頒發的計算機信息系統安全專用產品銷售許可證（千兆三級） ，提供證明文件中國信息安全產品測評認證中心頒發的EAL3級認證（千兆），提供證明文件具備中國信息安全產品認證中心頒發的中國國家信息安全產品認證證書（ISCCC 千兆三級），提供證明文件具備國家保密局涉密信息系統安全保密測評中心頒發的涉密信息系統產