设备各称 |
技术指标 |
详细功能指标要求 |
防火墙 |
资质 |
通过公安部检测并获得公安部计算机信息系统安全专用产品销售许可证 |
获得中国国家信息安全认证中心颁发的中国国家信息安全产品认证证书 |
获得国家保密局涉密信息系统产品检测证书 |
原厂商具备湖北省公安厅颁发的湖北省网络与信息安全通报中心技术支撑单位(提供证明文件并盖公章) |
规格 |
标准1U专用万兆硬件平台 |
硬件架构 |
采用先进的多核网络专用架构,使用64位MIPS多核处理器,非X86的多核架构或ASIC架构 |
★网口数量 |
10*GE电口,2*combo光口 |
★性能 |
设备最大吞吐量≥2Gbps |
每秒新建连接数≥3万 |
最大并发连接数≥100万 |
部署模式 |
支持路由模式、透明(网桥)模式、混模式,支持将多个物理网口加入一个网桥中;部署模式切换无需重启设备;支持镜像和被镜像; |
NAT |
支持源地址转换、目的地址转换、双向地址转换、NAT44 |
路由支持 |
支持静态路由、策略路由、动态路由、ISP路由;动态路由支持RIP、OSPF等;ISP路由支持运营商地址自定义;提供web配置界面截图 |
链路聚合 |
透明、路由模式下支持将多条链路带宽进行捆绑 |
4G支持 |
支持4G扩展网卡。支持在4G接口上运行IPSec VPN,提供web配置界面截图 |
VPN |
实际配置支持IPSecVPN接入,内置VPN硬件协处理器实际配置支持DES、3DES、AES加密算法,并提供截图 |
IPsec VPN支持第三方对接和快速配置,自有设备对接时加密算法等参数无需配置,自动生成,共享密钥、IP地址,提供Web界面配置截图 |
HA可同步IPsec VPN状态,当HA主备切换时无需VPN重建 |
支持SSL VPN,客户端支持适应多平台、多终端 |
流量管理 |
支持4级层次化QoS、支持多级用户/用户组嵌套,提供web界面配置截图 |
支持应用、用户流量统计,应用流量支持趋势图、饼状图呈现,可查看某一应用的流量趋势图和其Top流量用户,提供web界面截图 |
防私接路由 |
支持私接用户的PPPoE账号展现,提供Web界面配置截图 |
支持基于用户、MAC、终端数量的监控和搜索 |
用户认证功能 |
支持WEB Portal认证功能,支持本地认证、Radius认证、LDAP认证 和LDAP用户同步,支持配置认证通过后重定向URL,要求本机自身支持短信认证功能,提供web界面配置截图 |
支持portal服务器联动,支持radius服务器联动,支持实现NAS-Identifier(32)在无线场景携带AC名字 |
支持微信认证功能,支持基于http获取access_token,支持微信内部浏览器http弹portal |
支持短信认证,登录后方可认证上网 |
支持混合认证,支持界面配置多种认证方式,用户可根据需要更换认证方式 |
链路负载均衡 |
支持7元组的链路负载均衡策略 |
支持基于域名的负载均衡策略 |
支持基于ICMP、TCP、DNS等协议的接口探测机制 |
双机热备 |
支持双机热备,支持主主模式、主备模式,支持同步配置、会话、运行状态、VPN状态、特征库,支持配置HA监控接口 |
配置管理 |
支持通过管理平台进行集中管理,统一升级,下发配置,收集日志 |
系统日志 |
支持本地日志记录和远程日志输出;支持专用的日志审计管理软件 |
入侵防御系统
|
★接口规格 |
1U机型,配置≥4个10/100/1000Base-T端口,其中2个10/100/1000Base-T端口支持bypass,1个console口,2个USB。 |
★性能要求 |
整机吞吐率≥1.5Gbps,最大并发连接数≥100W,IPS吞吐率≥800Mbps |
国产化及
市场成熟度 |
所投产品应为国产品牌,具备自主知识产权,所有配置界面、事件描述及手册均为中文;所投IPS必须在2015年后IDC或CCID市场排名前三位产品,投标时需提供权威机构IDC或CCID数据证明并加盖原厂公章; |
功能要求 |
入侵防御事件库事件数量不少于5000条; |
支持入侵防御事件库在线自动升级和手工导入,入侵事件特征库升级频率不少于一周一次; |
系统应支持弱口令检测功能,需支持至少8种网络协议并支持至少7种弱口令检测元素。 |
支持虚拟IPS功能,不同的用户可以方便定制满足自身要求的检测模版,至少支持400个用户。 |
系统应提供SQL注入攻击、XSS攻击的检测和防御功能,对Web服务系统提供保护,要求相关技术具备自主研发专利,可在国家版权局网站查询; |
系统需具有多种防web扫描能力,至少包括如下能力:防爬虫、防止CGI和漏洞扫描等,系统支持设置至少4个级别的扫描容忍度/扫描敏感度设置。 |
支持无线攻击检测和防护功能扩展,可手工或自动识别和区分内部AP和外部AP,也可以手工或自动识别合法终端,并基于此设定无线准入策略,通过射频信号阻止非法AP、终端的接入。支持无线扫描、欺骗、DoS、破解等常见无线网络攻击行为的检测、告警、阻断功能,同时支持多种类型流氓AP的检测与阻断。 |
支持基于SCADA等工控协议的相关漏洞攻击检测与防护 |
系统应支持敏感信息防护功能,识别信息和文件中的关键字、身份证、手机号码、固定电话号码、银行卡、IP地址等敏感信息,并支持文件指纹识别和白名单功能。说明支持的应用情况和处理方式。 |
系统内置恶意样本快速检测功能,无需搭配硬件检测模块,能对流经的http、ftp、邮件协议中包含的office文档、图片文档及压缩文档进行恶意代码快速检测,对可疑文件进行报警,报警信息应包括源目的IP、协议类型、文件基本信息、危险等级及文件的应用的详细信息(如邮件的发件人、收件人、标题等),方便对恶意文件进行追踪。 |
系统应支持单独的恶意样本检测规则升级功能,方便对恶意样本检测功能进行扩充。 |
具有终端和服务器环境感知能力,至少包含两种方式:和终端管理系统联动功能;通过主动扫描和扫描结果导入方式。 |
敏感信息防护 |
系统能够检测敏感信息的外泄行为并阻止传输行为,识别技术支持关键字、正则表达式(身份证、手机和固定电话号码、银行卡、IP地址)和文件指纹功能。 |
部署方式 |
系统应支持桥组部署方式,并支持STP协议。(提供截图并盖公章) |
系统应支持端口聚合/链路捆绑协议,并提供手工方式和LACP两种配置方式。(提供截图并盖公章) |
系统应支持路由模式,至少包括:静态路由、策略路由、ISP和OSPF路由协议。 |
支持DHCP功能,包括DHCP服务器和DHCP中继功能。并可以作为客户端获得IP地址,满足客户自动化管理的需要。 |
内容防护 |
系统应支持敏感信息防护功能,识别信息和文件中的关键字、身份证、手机号码、固定电话号码、银行卡、IP地址等敏感信息,并支持文件指纹识别和白名单功能。并说明支持的应用情况和处理方式。(提供截图并盖公章) |
高可用性 |
支持双机热备和双机主备功能。 |
支持硬件BYPASS。 |
系统应支持过载保护能,并可配置启用Bypass的CPU和内存阈值,及选择取值的计算方式(最高值/平均值、时间区间等),防止设备出现Bypass状态震荡。 |
管理功能 |
提供WEB登录图像验证码功能,防止暴力破解。(提供截图并盖公章) |
系统应支持在线管理员数目限制和管理员唯一性检查功能,提高系统管理的安全性。(提供截图并盖公章) |
支持场景分析功能,提供进行更深入的分析能力,至少包括僵尸木马蠕虫的分布式攻击场景分析。 |
集中管理中心报表支持客户个性化设置,包括:报表生成单位自定义、报表生成人自定义、单位logo和安全摘要信息,快速生成符合单位特点的报告,不需要二次加工即可直接使用。 |
集中管理中心需提供多种报表格式,满足客户对不同格式的需求,需包括:html、doc、xls、CSV和pdf。 |
产品资质及实力 |
具备公安部颁发的《计算机信息系统安全专用产品销售许可证》(国标三级及以上); |
具备中国信息安全测评中心颁发的《国家信息安全测评信息技术产品安全检测证书》(EAL3+级及以上) |
生产厂商资质 |
要求设备生产商具有信息安全应急处理服务一级资质; |
连续3届具有国家互联网应急中心第六届CNCERT《网络安全应急服务支撑单位证书》(国家级) |
2015年至今发现CVE漏洞等各类操作系统漏30-个以上; |
具有中国信息安全产品中心颁发的授权培训机构资质证书,可开展CISP培训业务,提供证书复印件。 |
为微软MAPP合作伙伴成员(微软开放源代码进行安全漏洞扫描) |
出于对整个网络安全性和漏洞的考虑,要求厂商具备《一级风险评估服务资质》; |
网闸 |
系统架构 |
产品采用“2+1”(即双主机系统+物理隔离数据通道控制系统)体系结构;采用特有控制逻辑和专用通讯协议完全控制数据的实时交换,确保可信网络(域)和非可信网络(域)之间任何连接的断开,彻底阻断TCP/IP协议及其他网络协议; |
系统要求 |
采用经过安全加固的基于linux内核的并行安全操作系统,提供数据通道控制系统软件著作权登记证书; |
物理参数 |
1U机架式EIA RS-310C标准机箱,(尺寸:45(高)x430(宽)x450(深)mm;);高强度钢结构机箱; |
接口配置 |
内网机:3个10/100/1000M BAST-T接口(包含1个HA口),2个USB接口, 1个console接口; |
外网机:3个10/100/1000M BAST-T接口(包含1个HA口),2个USB接口, 1个console接口; |
性能 |
数据传输数率≥500 Mbps;系统延时< 1ms; MTBF≥50,000小时;最大并发连接数≥100,000;最大并发视频路数≥200路D1视频;最大数据库同步速率≥1,800条/秒; |
文件交换 |
文件交换包括客户端方式和Samba、NFS文件共享同步方式,可以实现内网到外网、外网到内网、双向的文件传送;支持文件传输方向可控,实现单向或双向传输; |
支持病毒检测;(投标时提供功能截图) |
支持对传输文件的文件名控制机制;支持对文件类型的黑白名单控制,根据文件格式特征进行过滤,并且不依赖于文件扩展名;支持文件内容深度检测,对包含关键字内容的文件进行过滤;(投标时提供功能截图) |
支持文件自动收发功能,文件交换服务能够控制单个用户和分组用户的文件收发权限;文件交换可提供客户端和无客户端的操作; |
支持时间策略,实时或定时文件摆渡; |
支持按任务进行策略过滤;支持一源多目的及多源一目的文件交换; |
支持文件传输时的身份认证及加密传输功能; |
支持增量传输、传输后删除、改名传输、删除同步等传输策略;支持目录内子目录同步,子目录级别不受限制;支持对重名文件的控制策略,提供“覆盖”、“丢弃”、“重命名”等重名策略; |
支持文件交换容错和告警功能,交换出错能够自动重传,出现异常能够弹出告警提示并记录日志; |
支持客户端登录,用户列表支持十级以上在组织结构 |
支持发送文件功能支持一对一用户、一对多用户和多对一用户; |
支持日志审计功能,可以记录交换文件全功能和文件交换全过程在所有审计日志,可以在审计日志中可以显示文件名称,可以在审计日志中直接下载文件所有交换过在文件; |
文件交换客户端支持自动接收文件功能; |
文件交换客户端支持自动启动、支持下载目录自定义和管理功能; |
文件交换客户端支持扩展windows右键菜单发送文件、支持拖拽方式发送文件、客户端界面按钮选择文件三种方式发送文件; |
文件交换客户端支持windwos AD域帐号登录肯身份鉴别 |
FTP访问 |
支持动态数据通道建立,并可对访问端口号自定义 |
支持对FTP主动、被动传输模式的转换,并可灵活设置允许或禁止传输 |
支持对FTP命令字的黑名单控制策略;支持文件大小、文件名传输控制策略;支持传输文件扩展名过滤;支持对用户、命令、文件类型等细粒度访问控制;强化文件安全传输,内容过滤; |
支持时间访问控制策略; |
支持用户分组控制策略,对不同用户组进行不同访问控制;支持文件传输时的身份认证及加密传输功能; |
视频交换 |
支持D4、D1、VGA、2/3D1、1/2D1、SIF、3/4D1、CIF、QCIF等视频码流;特别针对流媒体文件进行优化,满足avi,wav,vob,mpg,wma,mp3等格式音视频高速传输与交换;支持完全深度检测:MPEG-2编码文件(*.MP2 *.bwf *.s48等光电常用协议);支持常规深度检测:*.mp3 *.avi *.wav *.mpg *.rmvb *.wmv *.mov *.flv *.psd *.swf *.vob等各种常见声频视频协议;支持SCTP、SIP、H.323、H.248等主流视频协议; |
支持视音频同时传输;支持SIP、RTSP代理,支持SIP、RTSP指令控制;支持视频管理服务器数据转发,视频管理服务器通道建立,支持视频SIP服务器数据转发,SIP管理服务器通道建立;采用复杂对称多处理(RSMP)技术,成倍提升处理能力,使网闸能够满足至少250路高质量视频并发数据交换要求; |
支持海康、大华、H3C、华为3COM视频等多种主流视频控制协议;支持视频会议;支持DB33标准;支持能对各视频平台进行二次开发; |
能够严格区分视频数据流和控制信令流,根据策略配置可以控制视频数据的单向传输;支持将视频流通道数据单向导入公安网功能。 |
支持视频文件传输白名单功能,对文件进行细微检测;支持自定义扩展名检测; |
对接入点身份进行审查,对未通过审查的对象一律丢弃,保证视频数据交换的安全可靠; |
数据库同步 |
支持ORACLE、SYBASE、MySQL、SQL Server、DB2等主流数据库; 数据库同步应用可通过灵活的同步机制保证安全等级不同的网络中的数据库系统实现数据同步更新; 提供灵活的接口,方便后期对其他数据库类型进行扩展,具备可配置性,松耦合,模块化。 |
同步由网闸主动发起并完成,不需要第三方软件支持(无需在数据库安装任何第三方软件),支持Windows、Linux、Unix等多种数据库操作系统,且网闸无需开放端口以杜绝安全隐患; |
支持多种同步方式(如镜像、增量),同步模式支持单向和双向同步;(投标时提供功能截图) 支持数据库客户端安全访问网络另一侧的数据库服务器的功能; 支持表级、字段级同步;支持同构数据库之间、异构数据库之间的数据同步,无需修改数据库表结构;支持对指定字段允许同步或不允许同步;支持对指定字段的指定内容允许同步或不允许同步;支持自定义间隔时间执行同步任务;(投标时提供功能截图)支持指定时间执行同步任务;(投标时提供功能截图)支持同步批处理量可选及自定义;(投标时提供功能截图)可以同时发送和接收一个关系数据库中的多个表; 可分别定义增加、删除、修改的数据传输; 根据指定字段值进行条件传输; 支持大字段数据同步交换包括Long、CLOB等;支持不同类型数据库之间的异构数据安全传输; |
支持不同数据库类型相同表结构同步;支持相同数据库相似表结构相同字段类型同步;支持不同数据库类型相似表结构相同字段类型同步; |
数据库同步支持大字段、1G以上字段;数据库同步支持空间数据库、空间字段;支持亿级别数据库同步; |
支持灵活的数据库冲突处理策略,当关键字数据发生冲突时可选择:覆盖/丢弃; |
支持数据库同步实时日志记录,提供日志审计、查询; |
数据库传输 |
提供对Oracle 、DB2、SYSBASE、SQL Server、MySql等主流数据库的安全访问,实现内外网之间数据库及表内容安全传输; |
支持任务单独启停管理,不影响数据库同步的其他任务运行; |
支持对访问源地址、目的地址、本机地址和端口的自定义访问控制; |
邮件传输 |
支持病毒扫描功能;支持基于SMTP协议的邮件发送和POP3协议的邮件接收,内外网隔离环境下可实现邮件收、发; |
支持邮件传输过滤控制;支持对邮件地址、主题、正文内容、附件、关键字等过滤;支持附件容量大小控制、附件扩展名过滤、支持黑名单过滤;(投标时提供功能截图) |
支持邮件收发日志记录,方便日志审计和管理; |
安全浏览 |
支持HTTP五种请求类型(GET/POST/PUT/HEAD/CONNECT)的黑白名单控制; |
支持代理模式; 支持URL地址过滤;(投标时提供功能截图)支持MIME类型细粒度控制,如网页中的应用程序、视频、音频等进行细粒度控制;支持对HTML细粒度控制,如网页中的Script脚本、ActiveX脚本、java applet等;支持关键字网页过滤;支持对下载文件的大小、类型过滤;(投标时提供功能截图) |
★支持用户名口+密码+IP+MAC等多种认证方式,对多次认证失败的用户可锁定其IP或用户名; |
支持安全浏览日志及认证失败用户记录,可导出列表;支持用户上网时段控制策略; |
支持上网用户列表及操作日志查询,可即时阻断单个用户或IP上网; |
定制访问 |
实现特定TCP、UDP协议的数据隔离交换,可合作定制开发针对特定协议的安全检测,实现如黑白名单控制、关键字过滤等; 支持路由映射功能支持时段控制策略,时间策略可以是一次性或者周循环模式; |
防病毒 |
支持病毒检查:对文件交换进行病毒检测和过滤,支持病毒库在线升级和手动升级; (投标时提供功能截图) |
入侵检测功能 |
具有实时入侵检测机制;支持对SMTP、FTP、DNS、DOS/DDOS攻击、PortScan的检测;(投标时提供功能截图) |
身份认证 |
★采用用户名和密码、IP地址、MAC地址、Radius多种组合方式实现客户端访问控制;(投标时提供功能截图)支持socks4/socks5代理; |
安全管理 |
|
★必须通过内网主机系统来管理和配置网闸,而不是采用低安全的管理方式,如采用内外网口分别管理和配置网闸;必须采用硬件USB钥匙加密管理;(投标时提供功能截图) |
接入方式 |
可根据来源、目的地、用户特权和时间来控制对特定的 HTTP、文件交换 或 FTP 等资源的访问;支持相同网络地址段之间部署;支持透明接入方式,支持普通接入方式,不同接入方式单独控制; |
多网隔离能力 |
支持多网隔离,每个网络接口可以接不同安全级别的网络; |
防爆力破坏限制 |
支持时间控制管理,可设置多个时间点来控制网闸网络服务的启动、终止;支持系统防爆处理,对管理员登陆有密码次数限制,密码输入错误,超过限定次数,自动锁定设备,阻止非法管理员再次登录。根据限定期限,可自动解除锁定;(投标时提供功能截图) |
双机热备 |
支持双机配置同步;通过独立的热备端口实现双机热备;(投标时提供功能截图)支持bypass链路热备; |
日志审计 |
专用日志服务程序处理系统日志:包括日志浏览、查询、导出、手工删除;支持日志自动删除功能; |
记录用户代理上网日志、文件收发日志、邮件收发日志、访问互联网日志、网闸配置日志、网闸ftp日志、数据库同步日志、共享文件同步日志、内网网卡状态日志、网闸内网ftp同步日志、开放端口连接日志、网闸报警日志、网闸链路日志、网闸性能日志、病毒查杀日志、入侵报警日志等;(投标时提供功能截图) |
日志支持本地和远程存储,能为第三方提供日志格式,实现日志数据分析; |
支持SysLog,Mysql标准;(投标时提供功能截图) |
产品资质 |
公安部计算机信息系统安全专用产品销售许可证(三级)及公安部计算机信息系统安全产品质量监督检验中心检验报告(三级); |
国家保密局涉密信息系统产品检测证书; |
国家电网公司EMC检测认证; |
数据通道控制系统软件著作权登记证书; |
基于PKI的身份认证与管理系统证书; |
内外网物理连通的检测、通断控制方法发明专利证书; |
一种安全交换计算机数据的方法及装置发明专利证书; |
安全隔离与信息交换系统软件著作权登记证书; |
中国国家信息安全产品认证证书(增强级); |
制造商通过最新的GB/T19001-2016/ISO9001-2015质量体系认证; |
从事网闸产品研发生产时间超过14年,提供连续的公安部销售许可证书影印件证明。 |
产品入围年度中央政府采购网; |
军用信息安全产品认证证书(军C+) |
交货期 |
合同签订后25个工作日 |
质保期 |
三年原厂质保 |
付款方式 |
验收合格后支付合同款的95%,留5%作为质保金一年后付清 |