巴中市疾病预防控制中心关于采购硬件VPN设备的比选公告

知识产权

国产品牌，具备完整自主知识产权；

产品形态

必须独立专业设备，非插卡式扩展的设备。

硬件接口

内置硬盘≥64G 硬盘

投标产品应支持6个10/100/1000M自适应电口，4个千兆光口（4千兆光口可修改为4光4GE、2SFP+）。

产品最大可扩展2个万兆接口（要求请提供产品满配万兆实物照片，并加盖公司公章）

最大并发连接数

并发会话数≥150万

每秒新建连接数

每秒四层新建不少于7万/秒

访问控制

支持基于接口/安全域、地址、用户、服务、应用和时间的访问控制策略

支持基于接口/安全域、地址、用户、服务、应用和时间的会话控制策略，包括总连接数控制、每秒总新建连接数控制、每IP总连接数控制、每IP新建连接数控制。

支持策略预编译技术，在大量设备访问控制策略情况下整机性能不受影响。提供相关界面截图。

支持路由、透明及混合部署模式

支持常见DOS攻击防护及ARP攻击防护

支持基于协议的长连接管理

入侵防御

支持并开通网络入侵检测及防御功能，入侵防御事件库事件数量不少于3000条

可基于IP地址、网段、用户、时间、VLAN、协议类型等条件设定入侵防御模块的检测事件及响应方式。提供相关界面截图。

具备协议自动识别功能；支持自定义事件功能；

提供SQL注入攻击、XSS攻击的检测和防御功能，对Web服务系统提供保护； 

防病毒

支持并开通对HTTP、FTP、SMTP、POP3、IMAP协议的病毒检测和过滤功能；

支持对文件感染型病毒、蠕虫病毒、脚本病毒、宏病毒、木马、恶意软件等过滤，病毒库数量不少于200万。

防病毒功能开启后，整机处理性能衰减不超过30%

行为管理及流量控制

★支持并开通基于DPI和DFI技术的应用特征识别及行为控制，应用识别的种类不少于1000种

支持并开通基于URL分类库的WEB访问管理，URL分类库规模不少于20万条

支持并开通基于线路和多层通道嵌套的带宽管理和流量控制功能，提供至少四层管道嵌套的流控界面截图。

支持基于接口的上下行带宽管理

支持高、中、低优先级通道设置

支持基于应用、用户、源地址、目标地址、服务、时间的通道匹配

支持带宽限制、带宽保障和弹性带宽

弱口令检查

支持对服务器、客户端进行的口令暴力破解的攻击防护；提供相关界面截图

支持高、中、低三种密码检查强度，提供相关界面截图

支持对常见应用（如HTTP、Telnet、FTP、SMTP、POP3等）进行弱口令检查，并上报安全事件，提供相关界面截图

Web应用防护

支持并开通WEB防护功能，支持对100个站点制订Web应用防护策略；提供相关界面截图

支持HTTP请求回应的头、体检查；

支持自定义WEB安全防护事件，可以对请求参数、各个头域、内容关键字、文件类型等进行灵活组合生成策略。提供相关界面截图

支持HTTP的异常检测，包括版本、方法、URL、头域字段、传输文件等的合规性检查；提供相关界面截图

支持检测WEB攻击事件，包括：SQL注入，XSS跨站脚本攻击，PHP代码注入，WEBSHELL攻击、信息泄漏等问题；提供相关界面截图

支持独立的WEB特征库，并可以自动、手工升级；提供相关界面截图

网络特性

★支持静态路由、动态路由（RIP、OSPF、BGP4），提供相关界面截图。

★支持基于入接口、源地址、目标地址、服务端口、应用类型的策略路由。

★支持并开通链路负载均衡，提供轮询、加权轮询、哈希等多种负载均衡算法，提供相关界面截图。

★支持并开通IPSec VPN和L2TP VPN，投标产品实配IPSec VPN隧道数量不少于200条

★支持并开通SSL VPN功能，投标产品实配SSL VPN并发用户数不少于200个。

支持通过ICMP、TCP、DNS和HTTP协议实现对链路可用性的多重健康检查，提供相关界面截图。

支持源NAT、目的NAT、静态NAT，支持一对一、一对多和多对多等形式的NAT

支持各种应用协议的NAT穿越：FTP、TFTP、H.323、SQL＊NET

支持标准DHCP服务功能，支持DHCP条件下的IP/MAC绑定及IP地址排除等功能。

支持DNS透明代理功能，可将指定范围内的DNS请求自动重定向至管理员指定的DNS服务器，且支持多台DNS服务器的负载均衡。提供相关界面截图。

支持标准DNS服务器功能，支持多种DNS 记录 ，包括A ，NS，CNMAE，TXT，MX，PTR记录。提供相关界面截图。

SD-WAN

▲支持双边链路质量优化，支持对称模式部署，在链路存在丢包、延迟、抖动等因素时，通过专有的协议隧道模式，封装用户应用，并改善网络环境中的应用性能解决数据丢包、延迟等问题。提供相关技术原理说明及界面截图。

▲支持链路复制技术，针对核心业务如“视频”，提供多路复制，单路收发功能，在多条链路间实现业务无缝切换；提供相关技术原理说明及界面截图

▲支持链路扩容技术，实现一个session在多条链路上同时传输，充分利用带宽。提供相关技术原理说明及界面截图

▲支持HTTP压缩功能，采用工业标准的GZIP或Deflate算法来压缩HTTP数据，从而减少传输数据量并降低带宽消耗，缩短客户端访问的下载等待时间   提供相关技术原理说明及界面截图

高可用性

支持主-主和主-备模式，主备模式下支持基于设备优先级的主设备抢占功能。

支持基于心跳信号丢失、链路断开等多种方式的HA切换条件及逻辑

支持HA设备之间的会话自动同步，包括主主模式和主备模式，确保HA切换时业务不发生任何中断

支持双路HA物理心跳线，确保HA运行稳定可靠

支持HA设备之间的配置自动同步，确保用户只需在一台设备进行业务配置

系统管理

支持基于WEB和命令行的设备管理模式，WEB界面和命令行模式下均可实现对设备所有功能的管理配置

支持SYSLOG和SNMP v3，SYSLOG日志支持同时发给多个日志服务器

支持威胁可视化技术和流量可视化技术，可提供详细的分析展示图表。

支持整机威胁统计和展示，包括基于地理位置的威胁地图展示、基于威胁级别和威胁类型的统计分析、基于威胁事件源/目的主机的TOP10统计展示、基于具体威胁事件/威胁类型的TOP10统计展示等，统计展示的时间周期包括1小时/1天/7天/30天。提供相关界面截图。

支持基于流量的TOP100用户和TOP100应用的流量曲线图，流量曲线图的统计周期包括小时、天、7天和30天。提供相关界面截图

支持基于并发会话数量的TOP100用户和TOP100应用的并发数量曲线图，并发数量曲线图的统计周期包括小时、天、7天和30天。提供相关界面截图

集中管理

支持集中管理，包括统一状态监控、配置下发、配置自动备份及回滚、版本统一升级、特征库统一升级等功能。

资质要求

★必须提供《防火墙销售许可证—万兆增强级》（提供证书扫描件原厂盖章证明）

★必须提供《中国国家信息安全产品认证证书》（提供证书扫描件原厂盖章证明）

★必须提供产品通过IPv6 Ready Certified证书（提供证书扫描件原厂盖章证明）

★必须提供国家版权局颁发的软件著作权登记证（提供证书扫描件原厂盖章证明）

★所投产品具备国家工业和信息化部颁发的《电信设备进网许可证》（提供证书扫描件原厂盖章证明）