指標(biāo)項

招標(biāo)要求

系統(tǒng)架構(gòu)

系統(tǒng)要求為下一代防火墻產(chǎn)品，原廠商要求參與第二代防火墻標(biāo)準(zhǔn)GA/T1177-2014《信息安全技術(shù) 第二代防火墻安全技術(shù)要求》標(biāo)準(zhǔn)編制，投標(biāo)時要求提供相關(guān)證明復(fù)印件

硬件要求

網(wǎng)絡(luò)處理能力≥60Gbps，并發(fā)連接≥800萬，每秒新建連接≥50萬/秒，≥16個10/100/1000M自適應(yīng)電、≥6個SFP插槽和≥16個SFP+插槽,HA口≥1個，Console口≥1個，包含訪問控制、地址轉(zhuǎn)換、靜態(tài)路由、動態(tài)路由、策略路由、流量控制、VPN等基礎(chǔ)功能； 默認(rèn)含≥32個IPsecVPN 并發(fā)隧道數(shù)（最大5000）和≥32個SSLVPN 并發(fā)用戶數(shù)（最大300），另外含有≥2個擴(kuò)展插槽，≥4T存儲容量的企業(yè)級硬盤。含3年硬件維保服務(wù)。3年全功能模塊升級訂閱服務(wù)包（威脅情報數(shù)據(jù)訂閱服務(wù)、應(yīng)用識別庫、URL分類特征庫、病毒防護(hù)特征庫、入侵防御特征庫升級服務(wù)）

網(wǎng)絡(luò)協(xié)議

支持MPLS流量透傳；支持針對MPLS流量的安全審查，包括漏洞防護(hù)、反病毒、間諜軟件防護(hù)、內(nèi)容過濾、URL過濾、基于終端狀態(tài)訪問控制等安全防護(hù)功能；

支持MTU≥9000byte的巨型幀Jumbo Frame

地址轉(zhuǎn)換

支持在源地址轉(zhuǎn)換過程中，對SNAT（源地址轉(zhuǎn)換）使用的地址池利用率進(jìn)行監(jiān)控，并在地址池利用率超過閾值時，通過SNMP Trap、郵件、聲音、短信等方式告警

訪問控制

支持基于源安全域、目的安全域、源用戶、源地址、源地區(qū)、目的地址、目的地區(qū)、服務(wù)、應(yīng)用、隧道、時間、VLAN等多種方式進(jìn)行訪問控制，并支持地理區(qū)域?qū)ο蟮膶?dǎo)入以及重復(fù)策略的檢查。

網(wǎng)絡(luò)攻擊防護(hù)

支持基于不同安全區(qū)域防御SYN Flood、UDP  Flood、ICMP  Flood、IP  Flood、DNS Flood、HTTP Flood攻擊，并支持警告、丟棄、普通防護(hù)（首包丟棄）、增強(qiáng)防護(hù)（TC反彈技術(shù)）、授權(quán)服務(wù)器防護(hù)（NS重定向）、普通防護(hù)（自動重定向）、增強(qiáng)防護(hù)（手工確認(rèn)）等多種防護(hù)措施（投標(biāo)文件需要提供能夠體現(xiàn)上述功能及配置選項的截圖）

網(wǎng)元管理

支持將其他硬件安全設(shè)備（包括但不限于防火墻、IPS、IDS、WAF、行為管理、流量探針等）加入網(wǎng)元組，并接受流量編排；支持將同類型安全設(shè)備劃歸同一網(wǎng)元組，組成硬件安全資源池（如WAF安全資源池），并將流量通過負(fù)載均衡的方法編排給組內(nèi)所有網(wǎng)元（提供功能截圖證明和信息產(chǎn)業(yè)信息安全測評中心、國家網(wǎng)絡(luò)與信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗中心或公安部信息安全產(chǎn)品檢測中心出具的產(chǎn)品具備“網(wǎng)元管理功能”的檢測報告）

服務(wù)鏈配置

支持靈活的服務(wù)鏈編排配置，支持串接鏈和旁路鏈，支持網(wǎng)元組的方向和位置設(shè)置。（提供功能截圖證明和信息產(chǎn)業(yè)信息安全測評中心、國家網(wǎng)絡(luò)與信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗中心或公安部信息安全產(chǎn)品檢測中心出具的產(chǎn)品具備“網(wǎng)元服務(wù)鏈配置功能”的檢測報告）

引流功能

支持靈活的細(xì)粒度引流策略，可基于源安全域、目的安全域、源用戶、源地址、目的地址、服務(wù)、VLAN、服務(wù)鏈、流量方向（內(nèi)網(wǎng)到外網(wǎng)/外網(wǎng)到內(nèi)網(wǎng)）的引流策略，并詳細(xì)記錄日志。（提供功能截圖證明和信息產(chǎn)業(yè)信息安全測評中心、國家網(wǎng)絡(luò)與信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗中心或公安部信息安全產(chǎn)品檢測中心出具的產(chǎn)品具備“網(wǎng)元引流功能”的檢驗檢測報告）

編排流量監(jiān)控

支持對編排的流量進(jìn)行監(jiān)控，至少能從網(wǎng)元組、引流策略兩個維度對編排流量監(jiān)控統(tǒng)計（提供功能截圖證明）

病毒防護(hù)

能夠?qū)?/font>HTTP/FTP/POP3/SMTP/IMAP/SMB六種協(xié)議進(jìn)行病毒查殺；本地病毒庫規(guī)模大于3000萬;支持對最多6級的壓縮文件進(jìn)行解壓查殺；

支持基于MD5的自定義病毒簽名；支持設(shè)置例外特征，對特定的病毒特征不進(jìn)行查殺；

入侵防御

產(chǎn)品的漏洞防護(hù)特征庫包含高危漏洞攻擊特征，至少包括“永恒之藍(lán)”、“震網(wǎng)三代”、“暗云3”、“Struts”、“Struts2”、“Xshell后門代碼”以及對應(yīng)的攻擊的名稱、CVEID、CNNVDID、CWEID、嚴(yán)重性、影響的平臺、類型、描述、解決方案建議等詳細(xì)信息；（投標(biāo)文件需要提供設(shè)備包含上述所有高危漏洞攻擊的特征及對應(yīng)詳細(xì)信息的截圖）

威脅情報

所投產(chǎn)品的漏洞防護(hù)特征庫及間諜軟件庫包含高危漏洞攻擊特征，至少包括“永恒之藍(lán)”、“震網(wǎng)三代”、“暗云3”、“Struts”、“Struts2”、“Xshell后門代碼”以及對應(yīng)的攻擊的名稱、CVEID、CNNVDID、CWEID、嚴(yán)重性、影響的平臺、類型、描述、解決方案建議等（CVEID、CNNDID、CWEID等信息在漏洞攻擊特征中體現(xiàn)）詳細(xì)信息；（投標(biāo)文件需要提供設(shè)備包含上述所有高危漏洞攻擊的特征及對應(yīng)詳細(xì)信息的截圖）

共享接入管理

支持共享接入檢測和共享接入管控功能；（提供信息產(chǎn)業(yè)信息安全測評中心、國家網(wǎng)絡(luò)與信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗中心或公安部信息安全產(chǎn)品檢測中心出具的檢驗檢測報告）

SSL 解密

支持IPv4和IPv6流量的HTTPS、POP3S、SMTPS、IMAPS協(xié)議進(jìn)行解密，支持配置基于源安全域、目的安全域、源地址、目的地址、SSL協(xié)議服務(wù)的解密策略，動作可以設(shè)置解密或不解密，并可基于安全域、IPv4和IPv6地址進(jìn)行例外設(shè)置，同時支持將解密后流量鏡像到其他設(shè)備進(jìn)行分析統(tǒng)計（提供功能截圖證明）

蜜罐策略

支持IPv4和IPv6流量的蜜罐引流策略，支持配置基于源安全域、目的安全域、源地址、目的地址、服務(wù)、VLAN的引流策略，并支持強(qiáng)制導(dǎo)流，能夠通過設(shè)置服務(wù)器和端口進(jìn)行引流（提供功能截圖證明）

支持威脅引流功能，威脅引流可以通過開關(guān)設(shè)置是否開啟，通過添加蜜罐地址實現(xiàn)引流，同時支持添加例外域名，做到精細(xì)化引流管控

網(wǎng)絡(luò)異常感知

支持基于主機(jī)或威脅情報視圖，統(tǒng)計網(wǎng)絡(luò)中確認(rèn)被入侵、攻破的主機(jī)數(shù)量，至少可查看被入侵、攻破的時間、威脅類別、情報來源、威脅簡介、被入侵、攻破的主機(jī)IP、用戶名、資產(chǎn)等信息；并對威脅情報發(fā)現(xiàn)的惡意主機(jī)執(zhí)行自動阻斷

策略與處置

支持接收針對突發(fā)重大安全事件的“應(yīng)急響應(yīng)消息”，并至少在界面顯示安全事件名稱、類型、當(dāng)前防護(hù)狀態(tài)、處置狀態(tài)以及相應(yīng)的操作等信息；并可根據(jù)設(shè)備安全配置的變化動態(tài)顯示應(yīng)急響應(yīng)的處理結(jié)果

運維管理

具有獨立審計用戶，支持標(biāo)準(zhǔn)Syslog日志審計方式，支持Syslog端口自定義，支持內(nèi)外端機(jī)主機(jī)名更改，強(qiáng)化日志審計及集中管理功能，能夠?qū)δ茉L問模塊拒絕訪問進(jìn)行日志記錄，支持對日志的高性能處理和存儲，提供具備高性能Syslog日志處理和存儲技術(shù)的第三方機(jī)構(gòu)測試報告或證書復(fù)印件；

支持資產(chǎn)管理，能夠通過設(shè)置資產(chǎn)監(jiān)控、VPN、源安全域來控制資產(chǎn)識別范圍，支持scanner或onvif類型的掃描方式和網(wǎng)段，實現(xiàn)自動或手動資產(chǎn)掃描；支持通過設(shè)置IP地址、MAC地址、資產(chǎn)類型、生效市場、廠商、位置等信息來制定黑/白名單，方便日常資產(chǎn)管理，支持通過設(shè)置IP地址、MAC地址、資產(chǎn)類型、操作系統(tǒng)、應(yīng)用、開放的端口和訪問的端口等信息來制定資產(chǎn)指紋庫

具備快速上線部署功能，能夠通過集中管理設(shè)備下發(fā)的配置鏈接一鍵快速上線部署，充分降低后續(xù)上線部署難度，提升部署效率。（提供信息產(chǎn)業(yè)信息安全測評中心、國家網(wǎng)絡(luò)與信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗中心或公安部信息安全產(chǎn)品檢測中心出具的具備“快速上線部署功能”的檢測報告）

產(chǎn)品資質(zhì)（提供證書復(fù)印件）

為保障產(chǎn)品滿足客戶多種使用場景和業(yè)務(wù)需求，產(chǎn)品具備公安部計算機(jī)信息系統(tǒng)安全專用產(chǎn)品銷售許可證且類別同時為網(wǎng)絡(luò)型防火墻（增強(qiáng)級-虛擬化-高性能）、WEB應(yīng)用防火墻（增強(qiáng)級）、數(shù)據(jù)庫防火墻（增強(qiáng)級）

中國信息安全測評中心頒發(fā)的《國家信息安全漏洞庫兼容性資質(zhì)證書》

國家信息安全測評自主原創(chuàng)產(chǎn)品安全測評證書

國家信息安全測評信息技術(shù)產(chǎn)品安全測評證書（EAL4+級）

廠商資質(zhì)（提供證書復(fù)印件

設(shè)備制造商具備CIC信息化建設(shè)及數(shù)字化能力評價證書

設(shè)備制造商為CNCERT反網(wǎng)絡(luò)詐騙領(lǐng)域應(yīng)急服務(wù)支撐單位

設(shè)備制造商具備通信網(wǎng)絡(luò)安全服務(wù)能力評定證書-應(yīng)急響應(yīng)（二級）

設(shè)備制造商要求為“信息安全等級保護(hù)關(guān)鍵技術(shù)國家工程實驗室”理事單位

其他

中標(biāo)三個工作日內(nèi)提供原廠商出具的三年原廠商質(zhì)保服務(wù)承諾函。中標(biāo)后將對上述功能要求進(jìn)行逐一測試驗證，測試中發(fā)現(xiàn)虛假應(yīng)標(biāo)的行為將予以廢標(biāo)處理并保留追究相關(guān)責(zé)任的權(quán)利。