南通政府采购货物或服务类项目需求说明1.doc

项目具体需求说明如下：一、背景概述、实现功能要求序号货物名称数量配置或技术参数用途说明备注1应用防火墙绿盟WAF NX3 P100016GE+4SFP业务接口，1000Mbps应用层吞吐量，时延<60 us，每秒最大事务数25,000 tps，支持网络接口内置fail-open，支持SQL注入、XSS防护，支持使HTTP头域中的Cookie、Referer、User-Agent，Except字段过防护策略，支持TCP Flood防护；支持HTTP Flood防护，支持ARP攻击防护原有设备做双机热备二、参数要求功能及技术指标参数要求厂商资质厂商应具备足够的信息安全服务技术实力及安全服务保障能力，获得中国信息安全测评中心颁发的信息安全服务二级资质证书厂商应具备针对安全事件的远程和现场的紧急响应能力，获得中国信息安全认证中心颁发的一级应急处理服务资质证书技术能力微软MAPP项目合作伙伴，提供网页截图证明厂商须具备业安全漏洞研究团队，能够独立发现Microsoft、HP、CISCO、SUN、Juniper等国际著名厂商的重大安全漏洞，须提供自2000年开始发现的漏洞列表厂商须具备可持续的技术研究能力，对云计划、虚拟化等当前热门技术进行跟踪与研究。

如厂商为CSA云安全联盟成员，可获得加分★产品资质《计算机信息系统安全专用产品销售许可证》《计算机软件著作权登记证》《涉密信息系统产品检测证书》（千兆），提供证书复印件证明《军用信息安全产品认证证书》★市场成熟度投标产品应该是经过市场考验的成熟产品，产品上市时间不少于5年须提供销售许可证或软件著作权证书等有效证明材料投标产品应该是被广泛应用的成熟产品，在国内市场具有较高的市场份额，连续3年市场占有率排名不应低于前3名须提供市场占有率排名有效证明材料投标WAF产品应该是被认可的成熟产品，如获得权威第三方咨询机构奖项可提供相应证明HTTP协议支持支持HTTP 0.9/1.0/1.1HTTP协议解析支持HTTP协议解码并对相关字段进行检查，包括URI、HTTP版本、请求方法、响应状态码、HTTP头部各字段和其他 HTTP 元素正向和反向安全模式防护策略模型由基于静态规则的反向（黑名单）安全模式及基于智能用户行为识别的动态防护机制（正向安全模式，即白名单）构建防护规则系统内置规则及自定义规则HTTP RFC符合性支持对HTTP协议合法性进行验证，提供HTTP协议防护功能HTTPS支持支持对SSL（HTTPS）加密会话进行分析漏洞和挂马扫描提供扩展“SQL注入、XSS漏洞扫描”和“挂马扫描”功能。

WEB基础架构防护支持防护：蠕虫、缓冲区溢出、CGI信息扫描、目录遍历等攻击WEB应用安全防护支持SQL注入、XSS防护，支持使HTTP头域中的Cookie、Referer、User-Agent，Except字段过防护策略支持CSRF（跨站请求伪造）防护支持爬虫防护支持盗链防护，可采用Referer和Cookie算法 支持扫描防护支持Cookie安全机制，包括加密和签名的防护方法，支持Cookie自学习支持对服务器状态码进行过滤和伪装的安全策略产品提供URL访问控制功能，能够基于多种HTTP方法执行访问控制，包括：GET、POST、UNKNOWN、HEAD、PUT、DELETE、MKCOL、COPY、MOVE、OPTIONS、PROPFIND、PROPPATCH、LOCK、UNLOCK TRACE、SEARCH、CONNECT非法上传防护能识别上传行为，并对上传行为的内容做安全检测，可以根据需要，禁止上传以下文件类型：PE(windows Executable File)、ELF(linux Executable File)、PHP web shell、Linux shell、Power shell(windows Script File)、Java shell、Asp shell、Perl shell、Python shell。

非法下载防护可以根据文件大小、MIME类型、及文件扩展名，灵活定义下载限制策略，限制用户非法获取网站的关键数据（比如数据库文件，配置文件等）★虚拟补丁可以与SaaS扫描服务联动，在WAF上定期自动获取专家级、个性化的《WEB漏洞扫描报告》，并转化为WAF可执行的、有针对性的WEB安全防护策略，提供配置界面截图证明网页篡改防护支持自动监测页面被篡改情况的功能，支持视觉恢复功能，即发生网页篡改后，对外仍显示被篡改前的正常页面，支持时间管理功能，可以在不同的时间段设定不同的网页篡改防护策略内容安全支持恶意代码过滤功能；支持敏感关键字自定义功能★DDOS防护支持TCP Flood防护；支持HTTP Flood防护，检测算法包括：etag、http cookies、url cookies、ascii-image、bmp-image提供配置界面截图证明支持ARP攻击防护网络层访问控制支持基于五元组（源IP地址、目的IP地址、源端口、目的源口、协议类型）及接口的网络层访问控制功能系统平台专用机架式硬件设备，系统硬件为全内置封闭式结构，稳定可靠用户界面用户界面友好支持多语言、多界面控制，易于配置和管理。

并有详尽的技术文档业务接口6GE+4SFP专用管理接口1GE接口硬盘容量和类型1T，SATA应用层吞吐量1000Mbps时延<60 us每秒最大事务数25,000 tps★部署方式支持透明部署，不更改网络或网站配置，且提供完整WAF功能（如HTTPS防护）支持旁路部署（静态路由牵引、二层/三层回注），提供配置界面截图证明多路防护支持单台设备同时保护4条以上链路日志类型支持系统运行日志和安全防护日志，安全防护日志类型包括：网络层访问控制、URL访问控制、DDoS防护、WEB安全、WEB防篡改、ARP防护、WEB访问 日志查询支持基于时间、IP、端口、协议、动作、事件类型、URL、方法、状态、匹配次数等条件的日志查询方法日志管理支持日志导出、清空、日志归并报表类型支持安全报表（告警分类统计报表、告警时段统计报表、告警区域分析报表）、访问统计报表（访问时段、访问区域及业务类型）、流量趋势报表报表查询可按事件类型、统计目标或周期类型等条件进行统计输出格式支持将生成的报表以Excel及打印格式输出监控类型支持安全事件监控、访问情况监控、负载监控及安全缓存监控，安全缓存监控中可以“查看”缓存的原始内容系统信息支持显示接口状态，引擎状态、系统CPU、内存及硬盘使用率，系统当前时间及系统运行时间管理方式支持B/S管理支持标准SNMP trap和Syslog接口多语言支持管理、操作界面支持多语种自由切换，支持简体中文和英文。

升级系统定期升级功能模块和规则库★配置信息管理支持创建配置还原点，可以备份/还原系统配置信息（配置文件导入/导出），提供配置界面截图证明设备网络管理采用HTTPS，可以通过界面修改Web GUI端口（例如443可改为4431）系统安全系统自身安全可靠，不依赖于WEB系统自身安全级别组件通信机制系统各组件通过强加密的SSL安全通道进行通讯，防止窃听，确保了整个系统的安全性和抗毁性管理账户安全能对账户进行安全策略配置，包括口令最小长度和口令生存期增加了对出厂默认密码的检查，如果用户使用默认密码登录设备的Web界面，则会被强制要求修改密码，且不能进行除修改密码之外的操作支持账号登录通过Radius进行认证冗余电源支持交/直流冗余双电源HA部署能力支持A/S部署模式（链路切换、配置同步）BYPASS方案支持网络接口内置fail-open支持外置BYPASS硬件设备部署★紧急模式支持紧急模式，当并发连接数超过阀值时，WAF自动进入紧急模式，已经代理的连接正常代理，对新增的请求不进行代理，直接转发，防止WAF成为访问瓶颈当连接数恢复正常时，自动退出紧急模式，提供配置界面截图证明★售后服务及安装提供三年免费硬件质保，三年免费系统软件版本升级。

提供原厂商三年全免现场质保（7*24小时响应）提供原厂质保函注：以上参数不接受负偏离三、付款时间和条件（请详细写明付款承诺）货物和服务到位验收合格后在5个工作日付合同金额的95％款项，验收满一年后支付5％余款四、其他1、签定合同日期：自采购中心中标（成交）通知书发出之日起5个工作日内按时签约2、交货期（服务时间）： 自合同签定之日起30天内3、交货（服务）地点： 4、售后服务及其他（含安装、调试、培训、维护等）：所供设备提供原厂三年质保服务5、由于投标人的原因所造成的额外费用，由投标人自行承担如果采购人要求删除或增加功能，投标人应适当调整，但是投标文件中的各项优惠条件保持不变投标人如果有其他优惠条件，必须在投标文件中作专门说明6、以上条款的内容如果需要修改或者有其他未涉及的事项，应由合同双方协商解决。