珠海检验检疫局网络安全设备清单及技术指标.doc

珠海检验检疫局网络安全设备清单及技术指标一、设备清单名称参考型号/规格及性能要求产地数量主要用途高性能防火墙天融信 NGFW4000-UF(TG-5464),2U 机架式结构,配置 12 个接口，其中 4 个千兆 COMBO 口（每个 COMBO 口为两个互斥的千兆口——SFP 口和 100/1000 电口可灵活选择），6 个千兆 SFP 插槽；2 个10/100/1000BASE-T 接口（1 个专用 HA 口，一个管理口）;整机吞吐量>6G,最大并发连接数>2200000.中国1服务器区访问控制VPN 防火墙天融信 TopVPN 6000(TV-6766-VONE),200 个 SSL VPN License,2U机架式结构,最大配置为 12 个接口，包括：4 个10/100/1000BASE-T 口，6 个千兆 SFP 插槽；2 个 10/100BASE-T 接口（1 个专用 HA 口，一个管理口）;SSL VPN 性能:用户>3000;IPSEC VPN 性能：并发隧道>10000,加密速率>350M;防火墙性能：并发连接>2200000,最大吞吐量>4G中国1服务器管理员、开发人员、出差人员接入内网二、技术指标1、、VPN 防火墙设备：防火墙设备：采购设备 名称防火墙（带VPN接入模块）设备产地中国参考品牌天融信数量1单位套性能要求系统平均无故障时间MTBF ：≥60000 小时；★2U机架式结构,最大配置为12个端口，包括: 4个10/100/1000BASE-TX口；6个千兆SFP 插槽；2个10/100BASE-TX端口（可用于HA口和管理口）；★支持双电源；★带100个SSL VPN的License；★SSL VPN 性能：用户>3200；★IPSEC VPN 性能：并发隧道>10000,加密速率>450M；★防火墙性能：并发连接>2200000,最大吞吐量>4G；功能要求类别类别功能功能详细描述详细描述工作模式工作模式支持透明、路由、混合模式路由★支持静态路由、动态路由。

支持基于源/目的地址、接口、Metric的策略路由支持单臂路由，可通过单臂模式接入网络，并提供路由转发功能★支持Vlan路由，能够在不同的VLAN虚接口间实现路由功能★支持RIP、OSPF、BGP等路由协议组播支持 IGMP 组播协议 支持 IGMP SNOOPING 可有效地实现视频会议等多媒体应用VLAN可与交换机的Trunk接口对接，并且能够实现Vlan间通过安全设 备传播路由支持802.1Q，能进行封装和解封★支持ISL，能进行ISL的封装和解封在同一个Vlan内能进行二层交换生成树支持802.1D生成树协议ARP支持ARP代理、ARP学习可设置静态ARPDHCP支持DHCP Client、DHCP Server接入★支持ADSL等宽带接入★支持PPPOE拨号接入网络适应 性其它支持网络时钟协议 SNTP，可以自动根据 NTP 服务器的时钟调整 本机时间 支持 IPX、NetBEUI 等非 IP 协议安全算法支持 AES、DES、3DES、RC4、MD5、SHA1、RSA 等多种算法选择协议类型支持 SSL 2.0/3.0 TLS 1.0SSL VPN 数据压缩支持高效流压缩算法用户认证★支持“用户名＋口令”、“用户名＋口令＋图形认证码”认证支持X.509数字证书认证★支持数字证书＋UKEY+口令多因子认证支持公共帐户登陆，支持临时禁止帐户登录支持本地数据库认证支持基于LDAP/RADIUS/TACAS等协议的外部服务器认真用户授权支持分组授权、支持独立用户授权和授权继承★支持基于 URL、访问路径、访问文件、访问动作的细粒度授权 支持基于时间的访问授权方式 支持本地授权、支持外部组映射授权、支持证书用户授权应用支持支持 HTML、JAP、ASP、JAVA APPLET、ACTIVE、Cookies 等各种 Web 应用★支持基于 IP 协议的各种 C/S 应用，如 EMAIL,FTP,ERP,CRM,DB 等 支持 Windows/CIFS 远程文件共享实时监控★实时监控用户的登录时间、时间、访问流量，认证方 式等多种信息 支持对使用公共帐户登录用户进行独立监控 支持主动中断用户的隧道连接日志审计详细审计用户登录认证过程、各种认证授权错误、内网资源访问 情况等信息★支持多级审计日志，可以灵活配置审计级别 支持日志本地保存，支持将日志上传到外部日志服务器★支持天融信专用的 TA-L 日志服务器，可以对日志内容进行深 度分析和统计端点安全★支持接入客户端痕迹清除，能够清楚cookie、缓存、历史记录 等各种访问痕迹支持拔KEY隧道自动中断支持用户超时自动退出，超时时间可以设置协议支持 ESP/AH/IKE/NATT 等标准 IPSEC 协议，支持隧道模式、传输 模式算法支持DES/3DES/AES等标准加密算法，支持MD5/SHA1等标准HASH算 法支持DH GROUP1/2/5，RSA 1024/2048非对称算法★支持国家商密专用的SSP02/SSF33/SCB2算法硬件加速支持高速算法加速卡数据压缩支持高效数据流压缩算法IPSEC VPN隧道认证支持预共享密钥、数字证书认证，支持扩展认证网络 适应性支持网状、树型、星型等多种VPN网络拓扑支持隧道的NAT穿越、双向NAT隧道建立★支持全动态IP地址间的VPN组网支持隧道转发★支持多机多隧道的负载均衡和冗余备份方案★支持隧道内的访问控制L2TP VPNL2TP支持远程用户通过 L2TP 接入，建立 L2TP 隧道访问内部网络PPTP VPNPPTP支持远程用户通过 PPTP 接入，建立 PPTP 隧道访问内部网络证书格式支持 X.509 V3 数字证书，支持 DER/PEM/PKCS12 多种证书编码本地 CA支持内置 CA，为其他设备或移动用户签发证书 支持本地 CA 根证书、根私钥的更新 支持证书废弃，支持生成标准 CRL 列表PKI第三方CA★支持同时导入多个第三方 CA 的根证书和 CRL 列表，对不同 CA 证书用户进行身份认证，支持通告 HTTP 协议定时下载 CRL 列表 支持通过 OCSP/LDAP 等协议认证证书内容过滤采用完全内容检测（Complete Content Inspection）技术。

支持基于流、数据包、透明代理的过滤方式支持对HTTP、SMTP、POP3、FTP等协议的深度内容过滤支持URL过滤支持对移动代码如Java applet、Active-X、VBScript、Java script的过滤支持对邮件的收发邮件地址、文件名、文件类型过滤支持对邮件主题、正文、收发件人、附件名、附件内容等关键字 匹配过滤★支持MSN，，Skype等Instant Messenger通信，并可以对于 这些应用进行登陆限制★可限制BT，eMule，eDonkey等P2P应用可屏蔽受保护主机/服务器系统信息，如替换服务器 （FTP、SMTP、POP3、telnet,HTTP）的BANNER信息防火墙包过滤基于状态检测的动态包过滤 基于源/目的 IP 地址、MAC 地址、端口和协议、时间、用户的访 问控制 支持基于用户的 PPTP 的访问控制 支持报文合法性检查 动态端口支持协议： H.323、SIP、FTP、RTSP、SQL*NET、MMS、RPC、TFTP、PPTP 可实现 IP/MAC 绑定防御攻击非法报文攻击：land 、Smurf、Pingofdeath、winnuke 、tcp_sscan、ip_option、teardrop、targa3、ipspoof。

统计型报文攻击： Synflood、Icmpflood、Udpflood、Portscan、ipsweep Topsec联动：可与支持TOPSEC协议的IDS设备联动，以提高入侵 检测效率端口阻断：可以根据数据包的来源和数据包的特征进行阻断设置SYN代理：对来自定义区域的Syn Flood攻击行为进行阻断过滤★CC攻击：可通过设置端口和阀值阻断CC攻击可记录攻击日志和报警NAT支持双向 NAT 支持动态地址转换和静态地址转换 支持多对一、一对多和一对一等多种方式的地址转换 支持虚拟服务器功能用户认证支持使用一次性口令认证（OTP）、本地认证、双因子认证 （SecurID）以及数字证书（CA）等常用的安全认证方式 支持使用第三方认证，如 RADIUS、TACACS/TACACS+、LDAP、域 认证等安全认证方式 支持 Session 认证、HTTP 会话认证 支持认证保活功能 可将认证用户信息加密存放在本地数据库日志支持 Welf、Syslog 等多种日志格式的输出 支持通过第三方软件来查看日志 支持日志分级 支持对接收到的日志进行缓冲存储 支持安全审计系统（TA-L），获得更详尽的日志分析和审计功能。

TA-L 除接受防火墙日志外还能接受交换机、路由器、操作系统、 应用系统和其他安全产品的日志进行联合分析 可对日志进行加密传输监控支持网络接口、CPU 利用率、内存使用率、操作系统状况、网络 状况、硬件系统、进程、进程内存、加密卡状况的监测 可根据配置文件进行错误恢复安全管理报警内置了“管理”、“系统”、“安全”、“策略”、“通信”、 “硬件”、“容错”、“测试”等多种触发报警的事件类 支持邮件、NETBIOS、声音、SNMP、控制台等多种组合报警方式QoS 流量整形QOS 带宽管理★根据IP、协议、网络接口、时间定义带宽分配策略 支持最小保证带宽和最大限制带宽 支持分层的带宽管理带宽管理优先级支持 8 级优先级控制双机热备★支持双机热备（Active-Active，与Active-Standby两种模式） 支持系统故障切换，包括主设备抢状态开关功能，控制主设备是 否在设备恢复正常情况时抢回主设备状态支持VPN网关的双机热备功能高可用性其它功能★支持链路备份功能★支持双系统引导支持Watchdog功能配置方式支持 WEB 图形配置、命令行配置 支持本地配置、远程配置 支持基于 SSH、SSL 的安全配置。

命令行支持配置命令分级保护 支持中英文 支持命令超时、历史命令、命令补齐、命令帮助、命令错误提示 等功能SNMP支持 SNMP 的 v1 、v2 、v2c 、v3 版本 与当前通用的网络管理平台兼容，如 HP Openview 等系统升级支持双系统升级 支持远程维护和系统升级 支持 TFTP 升级报文调试提供强大的报文调试功能，可以帮助网络管理员或安全管理员发 现、调试和解决问题 支持发送虚拟报文配置恢复可以进行配置文件的备份、下载、删除、恢复和上载配置管理时钟调整支持网络时钟协议 SNTP，可自动根据 NTP 服务器时钟调整本机 时间★资质认 证要求设备须具有公安部颁发的《计算机信息系统安全专用产品销售许可证》；安全产品原厂商须具有国家保密局颁发的《涉及国家秘密的计算机系统集成资质证书》 －甲级；设备原厂商须有国家密码管理委员会办公室颁发的《国家商用密码定点销售单位证书》 ；设备须具有国家密码管理委员会办公室颁发的《商用密码产品型号证书》；设备须具有VPN计算机软件著作权登记证书；为保证售后服务能力与服务可靠性，安全产品的原厂商必须具备国家信息安全认证信息安全服务二级资质并在广东设有分公司（提供有效证明文件）,原厂商须提供广东本 地化的售后服务支持；为保证售后服务能力与服务可靠性，安全产品的原厂商必须具备《广东省计算机信息 系统安全服务资质证》二级；为保证售后服务能力与服务可靠性，投标人须提供所投产品厂商开具的设备销售《售 后服务承诺涵》原件；为保证商品质量和售后服务质量，要求投标单位须具有所采购商品的中央政府采购网 协议供货资质。

为方便供货和售后服务，投标单位须为广东本地供应商和在广东有销。