指标

指标项

规格要求

设备

基本

要求

*专用的硬件和软件保障

采用专用硬件架构与专用安全操作系统，基于操作系统内核的完全检测技术；专用的安全操作系统具有自主知识产权；硬件设备可以机架安装。

*双操作系统

采用双安全操作系统，防止配置不当或系统故障造成的网络中断，充分保证了系统的稳定性。

软件模块化设计

软件采用模块化结构设计，可以根据需要组合，可以扩展其它功能。

硬件模块化设计

硬件采用模块化设计，设备在用户现场就可以进行接口的扩展。

*结构与接口配置

本次包括4个10/100/1000Base-T端口。设备支持最大可扩展到12个接口，且不需要返厂，支持模块化扩展卡（请提供设备正面的图片）

工作环境

² 工作温度、湿度：温度0～40摄氏度，相对湿度5～90%(非冷凝)

² 存储温度：-20～85摄氏度

MTBF

不少于50000小时

*性能

要求

防火墙性能

并发连接数不少于160万，整机吞吐量大于12Gbps

IPSECVPN性能

最大并发隧道数：8000；加密速率：200 Mbps，本次设备提供并发50个IPSECVPN的license。

SSLVPN性能

最大并发用户数：5000，吞吐率：500Mbps，本次设备提供并发200个SSLVPN的license。

冗余电源

双电源冗余。

PKI

证书格式

支持X.509 V3数字证书

支持DER/PEM/PKCS12等多种证书编码

本地CA

支持内置CA，为其他设备或移动用户签发证书

可生成、吊销、删除证书

支持本地CA根证书、根私钥的更新

支持证书废弃，支持生成标准CRL列表

支持证书请求的生成，由第三方CA进行签名

支持证书链管理

内置支持SM2算法的CA

PKI

第三方CA

支持同时导入多个第三方CA的根证书和CRL列表，对不同CA证书用户进行身份认证，支持通过HTTP协议定时下载CRL列表

支持通过OCSP/LDAP等协议在线认证证书

网络

适应性

*工作模式

支持透明、路由、混合模式

*路由

支持静态路由、动态路由

支持基于源/目的地址、接口、Metric的策略路由

支持单臂路由，可通过单臂模式接入网络，并提供路由转发功能

支持Vlan路由，能够在不同的VLAN虚接口间实现路由功能

支持RIP、OSPF等路由协议

支持多线路源路返回的智能选路

支持多线路捆绑和负载均衡

*组播

支持IGMP组播协议

支持IGMP SNOOPING

可有效地实现视频会议等多媒体应用

VLAN

支持Vlan Trunk

支持802.1Q，能进行封装和解封

支持ISL，能进行ISL的封装和解封

在同一个Vlan内能进行二层交换

支持QinQ技术（vlan-vpn），对报文进行二次基于802.1Q封装

*生成树

支持802.1D生成树协议

ARP

支持ARP代理、ARP学习

可设置静态ARP

DHCP

支持DHCP Client、DHCP Relay、DHCP Server

接入

支持以太网、光纤、ADSL、DHCP等多种接入方式

其它

支持网络时钟协议SNTP，可自动根据NTP服务器的时钟调整本机时间

支持IPX、NetBEUI等非IP 协议

SSL VPN

*安全算法

支持AES、DES、3DES、RC4、MD5、SHA1、RSA等多种算法

支持国家商密专用的SM1(SCB2)、SM2、SM3算法

协议类型

支持SSL 2.0/3.0 TLS 1.0

数据压缩与加速

支持高效流压缩算法

支持智能压缩

支持WebCache加速

*用户认证

支持“用户名＋口令”、“用户名＋口令＋图形认证码”认证

支持X.509数字证书认证

支持数字证书（USBKEY）+口令多因子认证

支持公共帐户登陆，支持临时禁止帐户登录

支持本地数据库认证

支持基于LDAP/RADIUS/TACAS等协议的外部服务器认证

支持短信认证、图形码校验、硬件特征码校验

用户授权

支持角色授权、支持独立用户授权

支持基于URL、访问路径、访问文件、访问动作的细粒度授权

支持基于时间的访问授权方式

支持本地授权、支持外部组映射授权、支持证书用户授权

支持基于证书中的字段属性组合授权

*应用支持

支持WEB转发、端口转发、全网接入模式

支持HTML、JAP、ASP、JAVA APPLET、ACTIVE、Cookies等各种Web应用

支持基于IP协议的各种C/S应用，如EMAIL,FTP,ERP,CRM,DB等

支持Windows/CIFS远程文件共享

能满足合法用户在校外访问学校图书馆所有内外部电子资源

*实时监控

实时监控在线用户的登录时间、在线时间、访问流量，认证方式等多种信息

支持主动中断在线用户的隧道连接

*日志审计

详细审计用户登录认证过程、各种认证授权错误、内网资源访问情况等信息

支持多级审计日志，可以灵活配置审计级别

支持日志本地保存，支持将日志上传到外部日志服务器

端点安全

支持接入客户端痕迹清除，能够清楚cookie、缓存、历史记录等各种访问痕迹

支持拔KEY隧道自动中断

支持用户超时自动退出，超时时间可以设置

*与学校门户无缝融合

SSL VPN可以与学校门户无缝融合，即用户可以通过学校门户登录SSL VPN，并且SSL VPN能够自动跳转Portal页面到企业的某个网站

*客户端

支持安卓系统的智能终端

支持Linux系统的PC机

支持Windows 2000、XP、2003、2008、Vista、Win7系统PC

支持独立客户端

支持用户设定代理服务器信息

端口转发

支持TCP协议

支持UDP协议

支持智能递推

单点登陆

支持HTTP401认证单点登录

支持用户修改单点登陆的账户信息

支持WEB方式的单点登录

支持密码助手方式的单点登录

*VPN应用

认证源

支持学校的统一身份认证系统

手机应用

支持手机SSL VPN应用

IPSEC VPN

协议

支持ESP/AH/IKE/NATT等标准IPSEC协议

支持隧道模式、传输模式

*算法

支持DES/3DES/AES等标准加密算法，支持MD5/SHA1等标准HASH算法

支持DH GROUP1/2/5，RSA 1024/2048非对称算法

支持国家商密专用SSP02/SSF33/SM1(SCB2)/SM2/SM3算法

硬件加速

支持高速算法加速卡

数据压缩

支持高效数据流压缩算法

隧道认证

支持预共享密钥、数字证书认证，支持XAuth扩展认证

支持使用标准的X.509证书建立隧道

网络

适应性

支持网状、树型、星型等多种VPN网络拓扑

支持隧道的NAT穿越、双向NAT隧道建立

支持全动态IP地址间的VPN组网

支持隧道转发

支持GRE over IPsec方式

支持组播穿越IPSec隧道

支持多机多隧道的负载均衡和备份

VPN

客户端

支持第三方标准IPSec客户端接入

支持苹果终端IPSEC VPN客户端接入

支持为移动用户定义访问权限

支持基于时间的移动用户访问控制策略

支持用户在线修改口令

支持移动用户接入状态的监控和审计

技术标准

*SSLVPN

符合国密局制定的《SSL VPN技术规范》

*IPSecVPN

符合国密局制定的《IPSEC VPN技术规范》

L2TP

L2TP

支持远程用户通过L2TP接入，建立L2TP隧道访问内部网络

PPTP

PPTP

支持远程用户通过PPTP接入，建立PPTP隧道访问内部网络

*网络

安全性

内容过滤

完全内容检测（Complete Content Inspection）技术

支持基于流、数据包、透明代理的过滤方式

支持对HTTP、SMTP、POP3、IMAP、FTP等协议的深度内容过滤

支持DNS过滤、DNS中继

支持web重定向

支持挂马网站过滤

支持对移动代码如Java applet、Active-X、VBScript、Java script的过滤

支持对邮件的收发邮件地址、文件名、文件类型过滤

支持对邮件主题、正文、收发件人、附件名、附件内容等关键字匹配过滤

支持Telnet、Ftp、RSH命令过滤

可屏蔽受保护主机/服务器系统信息，如替换服务器（FTP、SMTP、POP3、Telnet、HTTP）的BANNER信息

访问控制

基于状态检测的动态包过滤

基于源/目的IP地址、MAC地址、端口和协议、时间、用户、角色的访问控制

支持基于用户的PPTP的访问控制

支持隧道内的访问控制

支持IPSec客户端与SSL全网模式与FW联动

支持报文合法性检查

动态端口支持协议：H.323、SIP、FTP、RTSP、SQL*NET、MMS、RPC、TFTP、PPTP

访问控制策略分组管理

支持大数量级的策略匹配加速算法

可实现IP/MAC绑定

NAT

支持双向NAT

支持动态地址转换和静态地址转换

支持多对一、一对多和一对一等多种方式的地址转换

支持虚拟服务器功能

应用识别

支持近百种应用程序库的过滤，包括P2P、IM等

支持MSN、QQ、Skype等Instant Messenger通信，并可以对于这些应用进行登陆限制和帐号过滤

支持MSN在线用户显示

可限制BT、eMule、eDonkey、迅雷等P2P应用

支持流量异常检测

深度流量过滤（DFI），针对P2P行为的识别控制

防病毒

支持HTTP，FTP，POP3，SMTP，IMAP协议的病毒查杀

支持100万余种病毒的查杀，病毒库定期与及时更新

支持木马病毒、蠕虫病毒、宏病毒、脚本病毒的查杀

防御攻击

非法报文攻击：land 、Smurf、Pingofdeath、winnuke 、tcp_sscan、ip_option、teardrop、targa3、ipspoof

统计型报文攻击：Synflood、Icmpflood、Udpflood、Portscan、ipsweep

支持地址对象源目的最大连接数限制

Topsec联动：可与支持TOPSEC协议的IDS设备联动，以提高入侵检测效率

端口阻断：可以根据数据包的来源和数据包的特征进行阻断设置

SYN代理：对来自定义区域的Syn Flood攻击行为进行阻断过滤

CC攻击：可通过设置端口和阀值阻断CC攻击

可记录攻击日志和报警

安全管理

*用户认证

支持使用一次性口令认证（OTP）、本地认证、数字证书（CA）认证等常用的安全认证方式

支持统一用户管理，IPSEC与SSL使用同一套用户认证、管理系统

支持口令复杂度设置

支持多点登录地点数设置

支持登录时间、登录地址范围控制

支持密码找回功能

支持首次登录修改口令

支持使用第三方认证，如RADIUS、TACACS/TACACS+、LDAP、域认证等安全认证方式

支持短信、动态令牌、硬件特征码认证

支持Session认证、HTTP会话认证

支持WEB认证和指纹认证

支持认证保活功能

可将认证用户信息加密存放在本地数据库

*分级管理

可为用户管理员分配不同的权限，管理不同的用户信息

用户管理员没有系统配置的权限

不同的用户管理员之间不交叉

支持多达16级的分级管理

支持管理员的三元分立

*日志

支持Welf、Syslog等多种日志格式的输出

支持通过第三方软件来查看日志

支持日志分级

支持对接收到的日志进行缓冲存储

监控

支持网络接口、CPU利用率、内存使用率、操作系统状况、网络状况、硬件系统、进程、进程内存、加密卡状况的监测

可根据配置文件进行错误恢复

配置设备管理

配置方式

支持WEB图形配置、命令行配置

支持基于SSH、SSL的安全配置

SNMP

支持SNMP 的v1 、v2 、v2c 、v3 版本

² 支持SNMP MIB扩展

² 支持SNMP查询、SNMP Trap

² 与当前通用的网络管理平台兼容，如HP Openview 等

系统升级

支持双系统升级

支持远程维护和系统升级

支持TFTP升级

*用户案例

高校应用案例

提供三家以上案例证明（附合同复印件）

*售后服务

原厂保修

提供原厂三年售后保修服务，提供硬件保修、软件升级、5*8*4上门技术服务。提供原厂售后服务承诺函，加盖公章。

*资质要求

公安部

销售许可证

信息安全测评中心

EAL3证书

国家版权局

软件著作权证书

互联网测试中心

IPV6证书