指標項

招標要求

系統(tǒng)架構

系統(tǒng)要求為下一代防火墻產品，原廠商要求參與第二代防火墻標準GA/T1177-2014《信息安全技術 第二代防火墻安全技術要求》標準編制，投標時要求提供相關證明復印件

硬件要求

網絡處理能力≥60Gbps，并發(fā)連接≥800萬，每秒新建連接≥50萬/秒，≥16個10/100/1000M自適應電、≥6個SFP插槽和≥16個SFP+插槽,HA口≥1個，Console口≥1個，包含訪問控制、地址轉換、靜態(tài)路由、動態(tài)路由、策略路由、流量控制、VPN等基礎功能； 默認含≥32個IPsecVPN 并發(fā)隧道數（最大5000）和≥32個SSLVPN 并發(fā)用戶數（最大300），另外含有≥2個擴展插槽，≥4T存儲容量的企業(yè)級硬盤。含3年硬件維保服務。3年全功能模塊升級訂閱服務包（威脅情報數據訂閱服務、應用識別庫、URL分類特征庫、病毒防護特征庫、入侵防御特征庫升級服務）

網絡協(xié)議

支持MPLS流量透傳；支持針對MPLS流量的安全審查，包括漏洞防護、反病毒、間諜軟件防護、內容過濾、URL過濾、基于終端狀態(tài)訪問控制等安全防護功能；

支持MTU≥9000byte的巨型幀Jumbo Frame

地址轉換

支持在源地址轉換過程中，對SNAT（源地址轉換）使用的地址池利用率進行監(jiān)控，并在地址池利用率超過閾值時，通過SNMP Trap、郵件、聲音、短信等方式告警

訪問控制

支持基于源安全域、目的安全域、源用戶、源地址、源地區(qū)、目的地址、目的地區(qū)、服務、應用、隧道、時間、VLAN等多種方式進行訪問控制，并支持地理區(qū)域對象的導入以及重復策略的檢查。

網絡攻擊防護

支持基于不同安全區(qū)域防御SYN Flood、UDP  Flood、ICMP  Flood、IP  Flood、DNS Flood、HTTP Flood攻擊，并支持警告、丟棄、普通防護（首包丟棄）、增強防護（TC反彈技術）、授權服務器防護（NS重定向）、普通防護（自動重定向）、增強防護（手工確認）等多種防護措施（投標文件需要提供能夠體現上述功能及配置選項的截圖）

網元管理

支持將其他硬件安全設備（包括但不限于防火墻、IPS、IDS、WAF、行為管理、流量探針等）加入網元組，并接受流量編排；支持將同類型安全設備劃歸同一網元組，組成硬件安全資源池（如WAF安全資源池），并將流量通過負載均衡的方法編排給組內所有網元（提供功能截圖證明和信息產業(yè)信息安全測評中心、國家網絡與信息系統(tǒng)安全產品質量監(jiān)督檢驗中心或公安部信息安全產品檢測中心出具的產品具備“網元管理功能”的檢測報告）

服務鏈配置

支持靈活的服務鏈編排配置，支持串接鏈和旁路鏈，支持網元組的方向和位置設置。（提供功能截圖證明和信息產業(yè)信息安全測評中心、國家網絡與信息系統(tǒng)安全產品質量監(jiān)督檢驗中心或公安部信息安全產品檢測中心出具的產品具備“網元服務鏈配置功能”的檢測報告）

引流功能

支持靈活的細粒度引流策略，可基于源安全域、目的安全域、源用戶、源地址、目的地址、服務、VLAN、服務鏈、流量方向（內網到外網/外網到內網）的引流策略，并詳細記錄日志。（提供功能截圖證明和信息產業(yè)信息安全測評中心、國家網絡與信息系統(tǒng)安全產品質量監(jiān)督檢驗中心或公安部信息安全產品檢測中心出具的產品具備“網元引流功能”的檢驗檢測報告）

編排流量監(jiān)控

支持對編排的流量進行監(jiān)控，至少能從網元組、引流策略兩個維度對編排流量監(jiān)控統(tǒng)計（提供功能截圖證明）

病毒防護

能夠對HTTP/FTP/POP3/SMTP/IMAP/SMB六種協(xié)議進行病毒查殺；本地病毒庫規(guī)模大于3000萬;支持對最多6級的壓縮文件進行解壓查殺；

支持基于MD5的自定義病毒簽名；支持設置例外特征，對特定的病毒特征不進行查殺；

入侵防御

產品的漏洞防護特征庫包含高危漏洞攻擊特征，至少包括“永恒之藍”、“震網三代”、“暗云3”、“Struts”、“Struts2”、“Xshell后門代碼”以及對應的攻擊的名稱、CVEID、CNNVDID、CWEID、嚴重性、影響的平臺、類型、描述、解決方案建議等詳細信息；（投標文件需要提供設備包含上述所有高危漏洞攻擊的特征及對應詳細信息的截圖）

威脅情報

所投產品的漏洞防護特征庫及間諜軟件庫包含高危漏洞攻擊特征，至少包括“永恒之藍”、“震網三代”、“暗云3”、“Struts”、“Struts2”、“Xshell后門代碼”以及對應的攻擊的名稱、CVEID、CNNVDID、CWEID、嚴重性、影響的平臺、類型、描述、解決方案建議等（CVEID、CNNDID、CWEID等信息在漏洞攻擊特征中體現）詳細信息；（投標文件需要提供設備包含上述所有高危漏洞攻擊的特征及對應詳細信息的截圖）

共享接入管理

支持共享接入檢測和共享接入管控功能；（提供信息產業(yè)信息安全測評中心、國家網絡與信息系統(tǒng)安全產品質量監(jiān)督檢驗中心或公安部信息安全產品檢測中心出具的檢驗檢測報告）

SSL 解密

支持IPv4和IPv6流量的HTTPS、POP3S、SMTPS、IMAPS協(xié)議進行解密，支持配置基于源安全域、目的安全域、源地址、目的地址、SSL協(xié)議服務的解密策略，動作可以設置解密或不解密，并可基于安全域、IPv4和IPv6地址進行例外設置，同時支持將解密后流量鏡像到其他設備進行分析統(tǒng)計（提供功能截圖證明）

蜜罐策略

支持IPv4和IPv6流量的蜜罐引流策略，支持配置基于源安全域、目的安全域、源地址、目的地址、服務、VLAN的引流策略，并支持強制導流，能夠通過設置服務器和端口進行引流（提供功能截圖證明）

支持威脅引流功能，威脅引流可以通過開關設置是否開啟，通過添加蜜罐地址實現引流，同時支持添加例外域名，做到精細化引流管控

網絡異常感知

支持基于主機或威脅情報視圖，統(tǒng)計網絡中確認被入侵、攻破的主機數量，至少可查看被入侵、攻破的時間、威脅類別、情報來源、威脅簡介、被入侵、攻破的主機IP、用戶名、資產等信息；并對威脅情報發(fā)現的惡意主機執(zhí)行自動阻斷

策略與處置

支持接收針對突發(fā)重大安全事件的“應急響應消息”，并至少在界面顯示安全事件名稱、類型、當前防護狀態(tài)、處置狀態(tài)以及相應的操作等信息；并可根據設備安全配置的變化動態(tài)顯示應急響應的處理結果

運維管理

具有獨立審計用戶，支持標準Syslog日志審計方式，支持Syslog端口自定義，支持內外端機主機名更改，強化日志審計及集中管理功能，能夠對功能訪問模塊拒絕訪問進行日志記錄，支持對日志的高性能處理和存儲，提供具備高性能Syslog日志處理和存儲技術的第三方機構測試報告或證書復印件；

支持資產管理，能夠通過設置資產監(jiān)控、VPN、源安全域來控制資產識別范圍，支持scanner或onvif類型的掃描方式和網段，實現自動或手動資產掃描；支持通過設置IP地址、MAC地址、資產類型、生效市場、廠商、位置等信息來制定黑/白名單，方便日常資產管理，支持通過設置IP地址、MAC地址、資產類型、操作系統(tǒng)、應用、開放的端口和訪問的端口等信息來制定資產指紋庫

具備快速上線部署功能，能夠通過集中管理設備下發(fā)的配置鏈接一鍵快速上線部署，充分降低后續(xù)上線部署難度，提升部署效率。（提供信息產業(yè)信息安全測評中心、國家網絡與信息系統(tǒng)安全產品質量監(jiān)督檢驗中心或公安部信息安全產品檢測中心出具的具備“快速上線部署功能”的檢測報告）

產品資質（提供證書復印件）

為保障產品滿足客戶多種使用場景和業(yè)務需求，產品具備公安部計算機信息系統(tǒng)安全專用產品銷售許可證且類別同時為網絡型防火墻（增強級-虛擬化-高性能）、WEB應用防火墻（增強級）、數據庫防火墻（增強級）

中國信息安全測評中心頒發(fā)的《國家信息安全漏洞庫兼容性資質證書》

國家信息安全測評自主原創(chuàng)產品安全測評證書

國家信息安全測評信息技術產品安全測評證書（EAL4+級）

廠商資質（提供證書復印件

設備制造商具備CIC信息化建設及數字化能力評價證書

設備制造商為CNCERT反網絡詐騙領域應急服務支撐單位

設備制造商具備通信網絡安全服務能力評定證書-應急響應（二級）

設備制造商要求為“信息安全等級保護關鍵技術國家工程實驗室”理事單位

其他

中標三個工作日內提供原廠商出具的三年原廠商質保服務承諾函。中標后將對上述功能要求進行逐一測試驗證，測試中發(fā)現虛假應標的行為將予以廢標處理并保留追究相關責任的權利。