珠海检验检疫局络安全设备清单及技术指标

　 珠海检验检疫局网络安全设备清单及技术指标

　一、设备清单

　名称 参考型号/规格及性能要求 产地 数量 主要用途 高性能防火墙 天融信 NGFW4000-UF(TG-5464),2U机架式结构,配置12个接口，其中4个千兆COMBO口（每个COMBO口为两个互斥的千兆口——SFP口和100/1000电口可灵活选择），6个千兆SFP插槽；2个10/100/1000BASE-T接口（1个专用HA口，一个管理口）;整机吞吐量>6G,最大并发连接数>2200000. 中国 1 服务器区访问控制 VPN防火墙 天融信TopVPN 6000(TV-6766-VONE),200个SSL VPN License,2U机架式结构,最大配置为12个接口，包括：4个10/100/1000BASE-T口，6个千兆SFP插槽；2个10/100BASE-T接口（1个专用HA口，一个管理口）;SSL VPN性能:用户>3000;IPSEC VPN性能：并发隧道>10000,加密速率>350M;防火墙性能：并发连接>2200000,最大吞吐量>4G 中国 1 服务器管理员、开发人员、出差人员接入内网

　二、技术指标

　1、VPN防火墙设备：

　采购设备名称 防火墙（带VPN接入模块） 设备产地 中国 参考品牌 天融信 数量 1 单位 套 性能要求 系统平均无故障时间MTBF ：≥60000 小时；

　★2U机架式结构,最大配置为12个端口，包括: 4个10/100/1000BASE-TX口；6个千兆SFP插槽；2个10/100BASE-TX端口（可用于HA口和管理口）；

　★支持双电源；

　★带100个SSL VPN的License；

　★SSL VPN 性能：

　 用户>3200；

　★IPSEC VPN 性能：

　 并发隧道>10000,

　 加密速率>450M；

　★防火墙性能：

　 并发连接>2200000,

　 最大吞吐量>4G； 功能要求 类别

　功能

　详细描述

　工作模式

　工作模式

　支持透明、路由、混合模式

　网络适应性

　路由

　★支持静态路由、动态路由。

　支持基于源/目的地址、接口、Metric的策略路由。

　支持单臂路由，可通过单臂模式接入网络，并提供路由转发功能。

　★支持Vlan路由，能够在不同的VLAN虚接口间实现路由功能。

　★支持RIP、OSPF、BGP等路由协议。

　组播

　支持IGMP组播协议。

　支持IGMP SNOOPING。

　可有效地实现视频会议等多媒体应用。

　VLAN

　可与交换机的Trunk接口对接，并且能够实现Vlan间通过安全设备传播路由。

　支持802.1Q，能进行封装和解封。

　★支持ISL，能进行ISL的封装和解封。

　在同一个Vlan内能进行二层交换。

　生成树

　支持802.1D生成树协议。

　ARP

　支持ARP代理、ARP学习。

　可设置静态ARP。

　DHCP

　支持DHCP Client、DHCP Server。

　接入

　★支持ADSL等宽带接入。

　★支持PPPOE拨号接入。

　其它

　支持网络时钟协议SNTP，可以自动根据NTP服务器的时钟调整本机时间。

　支持IPX、NetBEUI等非IP 协议。

　SSL VPN

　安全算法

　支持AES、DES、3DES、RC4、MD5、SHA1、RSA等多种算法选择

　协议类型

　支持SSL 2.0/3.0 TLS 1.0

　数据压缩

　支持高效流压缩算法

　用户认证

　★支持“用户名＋口令”、“用户名＋口令＋图形认证码”认证

　支持X.509数字证书认证

　★支持数字证书＋UKEY+口令多因子认证

　支持公共帐户登陆，支持临时禁止帐户登录

　支持本地数据库认证

　支持基于LDAP/RADIUS/TACAS等协议的外部服务器认真

　用户授权

　支持分组授权、支持独立用户授权和授权继承

　★支持基于URL、访问路径、访问文件、访问动作的细粒度授权

　支持基于时间的访问授权方式

　支持本地授权、支持外部组映射授权、支持证书用户授权

　应用支持

　支持HTML、JAP、ASP、JAVA APPLET、ACTIVE、Cookies等各种Web应用

　★支持基于IP协议的各种C/S应用，如EMAIL,FTP,ERP,CRM,DB等

　支持Windows/CIFS远程文件共享

　实时监控

　★实时监控在线用户的登录时间、在线时间、访问流量，认证方式等多种信息

　支持对使用公共帐户登录用户进行独立监控

　支持主动中断在线用户的隧道连接

　日志审计

　详细审计用户登录认证过程、各种认证授权错误、内网资源访问情况等信息

　★支持多级审计日志，可以灵活配置审计级别

　支持日志本地保存，支持将日志上传到外部日志服务器

　★支持天融信专用的TA-L日志服务器，可以对日志内容进行深度分析和统计

　端点安全

　★支持接入客户端痕迹清除，能够清楚cookie、缓存、历史记录等各种访问痕迹

　支持拔KEY隧道自动中断

　支持用户超时自动退出，超时时间可以设置

　IPSEC VPN

　协议

　支持ESP/AH/IKE/NATT等标准IPSEC协议，支持隧道模式、传输模式

　算法

　支持DES/3DES/AES等标准加密算法，支持MD5/SHA1等标准HASH算法

　支持DH GROUP1/2/5，RSA 1024/2048非对称算法

　★支持国家商密专用的SSP02/SSF33/SCB2算法

　硬件加速

　支持高速算法加速卡

　数据压缩

　支持高效数据流压缩算法

　隧道认证

　支持预共享密钥、数字证书认证，支持扩展认证

　网络 适应性

　支持网状、树型、星型等多种VPN网络拓扑

　支持隧道的NAT穿越、双向NAT隧道建立

　★支持全动态IP地址间的VPN组网

　支持隧道转发

　★支持多机多隧道的负载均衡和冗余备份方案

　★支持隧道内的访问控制

　L2TP VPN

　L2TP

　支持远程用户通过L2TP接入，建立L2TP隧道访问内部网络

　PPTP VPN

　PPTP

　支持远程用户通过PPTP接入，建立PPTP隧道访问内部网络

　PKI

　证书格式

　支持X.509 V3数字证书，支持DER/PEM/PKCS12多种证书编码

　本地CA

　支持内置CA，为其他设备或移动用户签发证书

　支持本地CA根证书、根私钥的更新

　支持证书废弃，支持生成标准CRL列表

　第三方CA

　★支持同时导入多个第三方CA的根证书和CRL列表，对不同CA证书用户进行身份认证，支持通告HTTP协议定时下载CRL列表

　支持通过OCSP/LDAP等协议在线认证证书

　防火墙

　内容过滤

　采用完全内容检测（Complete Content Inspection）技术。

　支持基于流、数据包、透明代理的过滤方式。

　支持对HTTP、SMTP、POP3、FTP等协议的深度内容过滤。

　支持URL过滤。

　支持对移动代码如Java applet、Active-X、VBScript、Java script的过滤。

　支持对邮件的收发邮件地址、文件名、文件类型过滤。

　支持对邮件主题、正文、收发件人、附件名、附件内容等关键字匹配过滤。

　★支持MSN，QQ，Skype等Instant Messenger通信，并可以对于这些应用进行登陆限制。

　★可限制BT，eMule，eDonkey等P2P应用。

　可屏蔽受保护主机/服务器系统信息，如替换服务器（FTP、SMTP、POP3、telnet,HTTP）的BANNER信息。

　包过滤

　基于状态检测的动态包过滤。

　基于源/目的IP地址、MAC地址、端口和协议、时间、用户的访问控制。

　支持基于用户的PPTP的访问控制。

　支持报文合法性检查。

　动态端口支持协议：H.323、SIP、FTP、RTSP、SQL*NET、MMS、RPC、TFTP、PPTP。

　可实现IP/MAC绑定。

　防御攻击

　非法报文攻击：land 、Smurf、Pingofdeath、winnuke 、tcp_sscan、ip_option、teardrop、targa3、ipspoof。

　统计型报文攻击：Synflood、Icmpflood、Udpflood、Portscan、ipsweep。

　Topsec联动：可与支持TOPSEC协议的IDS设备联动，以提高入侵检测效率。

　端口阻断：可以根据数据包的来源和数据包的特征进行阻断设置。

　SYN代理：对来自定义区域的Syn Flood攻击行为进行阻断过滤。

　★CC攻击：可通过设置端口和阀值阻断CC攻击。

　可记录攻击日志和报警。

　NAT

　支持双向NAT。

　支持动态地址转换和静态地址转换。

　支持多对一、一对多和一对一等多种方式的地址转换。

　支持虚拟服务器功能。

　安全管理

　用户认证

　支持使用一次性口令认证（OTP）、本地认证、双因子认证（SecurID）以及数字证书（CA）等常用的安全认证方式。

　支持使用第三方认证，如RADIUS、TACACS/TACACS+、LDAP、域认证等安全认证方式。

　支持Session认证、HTTP会话认证。

　支持认证保活功能。

　可将认证用户信息加密存放在本地数据库。

　日志

　支持Welf、Syslog等多种日志格式的输出。

　支持通过第三方软件来查看日志。

　支持日志分级。

　支持对接收到的日志进行缓冲存储。

　支持安全审计系统（TA-L），获得更详尽的日志分析和审计功能。

　TA-L除接受防火墙日志外还能接受交换机、路由器、操作系统、应用系统和其他安全产品的日志进行联合分析。

　可对日志进行加密传输。

　监控

　支持网络接口、CPU利用率、内存使用率、操作系统状况、网络状况、硬件系统、进程、进程内存、加密卡状况的监测。

　可根据配置文件进行错误恢复。

　报警

　内置了“管理”、“系统”、“安全”、“策略”、“通信”、“硬件”、“容错”、“测试”等多种触发报警的事件类。

　支持邮件、NETBIOS、声音、SNMP、控制台等多种组合报警方式。

　带宽管理

　QoS

　流量整形

　QOS带宽管理。

　★根据IP、协议、网络接口、时间定义带宽分配策略。

　支持最小保证带宽和最大限制带宽。

　支持分层的带宽管理。

　优先级

　支持8级优先级控制。

　高可用性

　双机热备

　★支持双机热备（Active-Active，与Active-Standby两种模式）。

　支持系统故障切换，包括主设备抢状态开关功能，控制主设备是否在设备恢复正常情况时抢回主设备状态。

　支持VPN网关的双机热备功能。

　其它功能

　★支持链路备份功能。

　★支持双系统引导。

　支持Watchdog功能。

　配置管理

　配置方式

　支持WEB图形配置、命令行配置。

　支持本地配置、远程配置。

　支持基于SSH、SSL的安全配置。

　命令行

　支持配置命令分级保护。

　支持中英文。

　支持命令超时、历史命令、命令补齐、命令帮助、命令错误提示等功能。

　SNMP

　支持SNMP 的v1 、v2 、v2c 、v3 版本。

　与当前通用的网络管理平台兼容，如HP Openview 等。

　系统升级

　支持双系统升级。

　支持远程维护和系统升级。

　支持TFTP升级。

　报文调试

　提供强大的报文调试功能，可以帮助网络管理员或安全管理员发现、调试和解决问题。

　支持发送虚拟报文。

　配置恢复

　可以进行配置文件的备份、下载、删除、恢复和上载。

　时钟调整

　支持网络时钟协议SNTP，可自动根据NTP服务器时钟调整本机时间。

　 ★资质认证要求 设备须具有公安部颁发的《计算机信息系统安全专用产品销售许可证》；

　安全产品原厂商须具有国家保密局颁发的《涉及国家秘密的计算机系统集成资质证书》－甲级；

　设备原厂商须有国家密码管理委员会办公室颁发的《国家商用密码定点销售单位证书》；

　设备须具有国家密码管理委员会办公室颁发的《商用密码产品型号证书》；

　设备须具有VPN计算机软件著作权登记证书；

　为保证售后服务能力与服务可靠性，安全产品的原厂商必须具备国家信息安全认证信息安全服务二级资质并在广东设有分公司（提供有效证明文件）,原厂商须提供广东本地化的售后服务支持；

　为保证售后服务能力与服务可靠性，安全产品的原厂商必须具备《广东省计算机信息系统安全服务资质证》二级；

　为保证售后服务能力与服务可靠性，投标人须提供所投产品厂商开具的设备销售《售后服务承诺涵》原件；

　为保证商品质量和售后服务质量，要求投标单位须具有所采购商品的中央政府采购网协议供货资质。

　为方便供货和售后服务，投标单位须为广东本地供应商和在广东有销售或服务网点的外地供应商参与；

　安全产品须为具有自主知识版权的国内产品。 以上打★号的指标为本次招标采购关键技术指标

　2、高性能防火墙：

　采购设备名称 网络硬件防火墙 设备产地 中国 参考品牌 天融信 数量 1 单位 套 性能要求 系统平均无故障时间MTBF ：≥60000 小时；

　★2U机架式结构；

　★配置至少12个接口，其中4个千兆COMBO口（每个COMBO口为两个互斥的千兆口——SFP口和100/1000电口可灵活选择）；6个千兆SFP插槽；2个10/100/1000BASE-T接口（1个专用HA口，1个管理口）；

　★支持双电源；

　★整机吞吐量>6G；

　★最大并发连接数>2200000； 功能要求 功能类别

　功能项

　功能描述

　基本功能

　★芯片功能

　灵活速度共存：融合了NP可编程、传统ASIC高性能特点。比NP性能更高更稳定，编程更简单；比传统ASIC更加灵活。

　可编程ASIC构架，防火墙芯片可以灵活的现场升级；

　ASIC两级独立缓存。ASIC系统内部256Kbps的SRAM一级缓存，以及高达256M的ASIC独立专用存储空间（二级catch缓存），保证所有网络处理和表项都在ASIC内部快速执行，并保证表项的扩充能力，这也是产品拥有高性能的重要保证。

　系统集成化。将众多处理功能芯片（MAC、SRAM、VPN加密单元、NAT加速单元、FW功能单元等）集于ASIC一身，确保系统的低功耗，高性能，高稳定，长寿命。

　低报文延迟。采用TAPF（TopASIC Packet FastPath，ASIC报文快速路径），和其他ASIC对比，是降低报文延迟的关键技术。

　工作模式

　网络接入

　透明，路由，混合。

　虚拟系统

　支持路由(包括NAT)和透明模式下的虚拟系统。

　每个虚拟系统都提供独立的策略管理（包括NAT、包过滤、以及访问控制策略）。

　网络安全性

　★内容过滤

　采用完全内容检测（Complete Content Inspection）技术。

　支持基于流、数据包、透明代理的过滤方式。

　支持对HTTP、SMTP、POP3、FTP等协议的深度内容过滤。

　支持URL过滤

　支持对移动代码如Java applet、Active-X、VBScript、Java script的过滤

　支持对邮件的、过滤

　支持对邮件主题、正文、收发件人、附件名、附件内容等关键字匹配过滤

　支持MSN，QQ，Skype等Instant Messenger通信，并可以对于这些应用进行登陆限制。

　可限制BT，eMule，eDonkey等P2P应用。

　可屏蔽受保护主机/服务器系统信息，如替换服务器（FTP、SMTP、POP3、telnet,HTTP）的BANNER信息。

　★包过滤

　基于状态检测的动态包过滤

　基于源IP地址、地址、端口协议

　支持基于用户的PPTP的访问控制。

　支持报文合法性检查。

　动态端口支持协议：H.323、SIP、FTP、RTSP、SQL*NET、MMS、RPC、TFTP、PPTP。

　可实现IP/MAC绑定。

　★防御攻击

　非法报文攻击：land 、Smurf、Pingofdeath、winnuke 、tcp_sscan、ip_option、teardrop、targa3、ipspoof。

　统计型报文攻击：Synflood、Icmpflood、Udpflood、Portscan、ipsweep。

　Topsec联动：可与支持TOPSEC协议的IDS设备联动，以提高入侵检测效率。

　端口阻断：可以根据数据包的来源和数据包的特征进行阻断设置。

　SYN代理：对来自定义区域的Syn Flood攻击行为进行阻断过滤。

　CC攻击：可通过设置端口和阀值阻断CC攻击。

　可记录攻击日志和报警。

　AAA服务

　支持使用一次性口令认证（OTP）、本地认证、双因子认证（SecurID）以及数字证书（CA）等常用的安全认证方式。

　支持RADIUS、TACACS/TACACS+、LDAP、域认证等安全认证方式。

　支持Session认证、HTTP会话认证。

　支持认证保活功能。

　可将认证用户信息加密存放在本地数据库。

　NAT

　支持双向NAT

　支持动态地址转换和静态地址转换

　支持多对一、一对多和一对一等多种方式的地址转换

　支持虚拟服务器功能。

　网络适应性

　★路由

　支持静态路由、动态路由。

　支持基于源/目的地址、接口、Metric的策略路由。

　支持单臂路由，可通过单臂模式接入网络，并提供路由转发功能。

　支持Vlan路由，能够在不同的VLAN虚接口间实现路由功能。

　支持RIP、OSPF、BGP等路由协议。

　组播

　支持IGMP组播协议。

　支持IGMP SNOOPING。

　可有效地实现视频会议等多媒体应用。

　VLAN

　可与交换机的Trunk接口对接，并且能够实现Vlan间通过安全设备传播路由。

　支持802.1Q，能进行封装和解封。

　支持ISL，能进行ISL的封装和解封。

　在同一个Vlan内能进行二层交换。

　生成树

　支持802.1D生成树协议。

　ARP

　支持ARP代理、ARP学习。

　可设置静态ARP。

　非IP 协议

　支持对非IP 协议IPX/NetBEUI 的传输与控制。

　★DHCP

　支持DHCP Client、DHCP Relay、DHCP Server。

　接入

　支持ADSL等宽带接入。

　支持PPPOE拨号接入。

　其它

　支持网络时钟协议SNTP，可以自动根据NTP服务器的时钟调整本机时间。

　支持IPX、NetBEUI等非IP 协议。

　VPN

　PKI

　支持基于标准IKE协商的VPN通信隧道。

　支持多种IKE认证方式，如预共享密钥、数字证书，支持扩展认证。

　支持IKE扩展认证，如Radius认证等。

　支持OCSP在线证书认证协议

　★接入扩展

　可允许远程用户通过L2TP接入，建立L2TP隧道访问内部网络。

　可允许远程用户通过PPTP接入，建立PPTP隧道访问内部网络。

　★移动用户

　支持基于时间的移动用户访问权限控制。

　支持windows98\windows me\windows 2000和Windows XP操作系统用户。

　解决方案

　支持网关到网关、远程移动用户到网关的VPN隧道。

　在具有SCM的解决方案中，支持灵活的移动用户到移动用户的隧道。

　可以和密码机产品，远程客户端产品及VPN安全管理系统（SCM）共同组成完整的VPN解决方案。

　★算法

　支持3DES、DES、国密办等加密算法。

　支持标准MD5、SHA-1认证算法。

　工作模式

　支持HUB-SPOKE方式。

　 支持网状连接方式。

　支持分级的树状连接方式。

　其它功能

　支持Cleaned VPN，能对隧道内数据进行病毒查杀和内容过滤。

　支持网络邻居（利用WINS）。

　支持隧道内的QoS。

　 支持隧道的NAT穿越。

　支持对隧道内明文的访问控制。

　可同时支持明密传输。

　安全管理

　★用户认证

　支持使用一次性口令认证（OTP）、本地认证、双因子认证（SecurID）以及数字证书（CA）等常用的安全认证方式。

　支持使用第三方认证，如RADIUS、TACACS/TACACS+、LDAP、域认证等安全认证方式。

　支持Session认证、HTTP会话认证。

　支持认证保活功能。

　可将认证用户信息加密存放在本地数据库。

　★日志

　支持Welf、Syslog等多种日志格式的输出。

　支持通过第三方软件来查看日志。

　支持日志分级。

　支持对接收到的日志进行缓冲存储。

　支持安全审计系统（TA-L），获得更详尽的日志分析和审计功能。

　TA-L除接受防火墙日志外还能接受交换机、路由器、操作系统、应用系统和其他安全产品的日志进行联合分析。

　可对日志进行加密传输。

　监控

　支持网络接口、CPU利用率、内存使用率、操作系统状况、网络状况、硬件系统、进程、进程内存、加密卡状况的监测。

　可根据配置文件进行错误恢复。

　报警

　内置了“管理”、“系统”、“安全”、“策略”、“通信”、“硬件”、“容错”、“测试”等多种触发报警的事件类。

　支持邮件、NETBIOS、声音、SNMP、控制台等多种组合报警方式。

　带宽管理

　★QoS

　流量整形

　QOS带宽管理

　根据IP、协议、网络接口、时间定义带宽分配策略

　支持最小保证带宽最大限制带宽

　支持分层的带宽管理优先级控制

　高可用性

　★双机热备

　支持双机热备（Active-Active，与Active-Standby两种模式）。

　支持系统故障切换

　支持生成树协议，实现链路负载均衡。

　其它功能

　支持链路备份功能。

　支持双系统引导。

　支持Watchdog功能。

　配置管理

　配置方式

　支持WEB图形配置、命令行配置。

　支持本地配置、远程配置。

　支持基于SSH、SSL的安全配置。

　命令行

　支持配置命令分级保护。

　支持中英文。

　支持命令超时、历史命令、命令补齐、命令帮助、命令错误提示等功能。

　★SNMP

　支持SNMP 的v1 、v2 、v2c 、v3 版本。

　与当前通用的网络管理平台兼容，如HP Openview 等。

　系统升级

　支持双系统升级。

　支持远程维护和系统升级

　支持TFTP升级。

　报文调试

　提供强大的报文调试功能，可以帮助网络管理员或安全管理员发现、调试和解决问题。

　支持发送虚拟报文。

　配置恢复

　可以进行配置文件的备份、下载、删除、恢复和上载。

　时钟调整

　支持网络时钟协议SNTP，可自动根据NTP服务器时钟调整本机时间。

　 ★资质认证要求 设备须具有公安部颁发的《计算机信息系统安全专用产品销售许可证》；

　安全产品原厂商须具有国家保密局颁发的《涉及国家秘密的计算机系统集成资质证书》－甲级；

　安全产品须具有中国信息安全产品测评认证中心颁发的《国家信息安全认证产品型号证书》

　安全产品须具有国家保密局涉密信息系统安全保密测评中心颁发的《涉密信息系统产品检测证书》

　为保证售后服务能力与服务可靠性，安全产品的原厂商必须具备国家信息安全认证信息安全服务二级以上资质并在广东设有分公司（提供有效证明文件）；

　为保证售后服务能力与服务可靠性，安全产品的原厂商必须具备《广东省计算机信息系统安全服务资质证》二级以上资质；

　为保证售后服务能力与服务可靠性，投标人须提供所投产品厂商开具的设备销售《售后服务承诺涵》原件；

　为保证商品质量和售后服务质量，要求投标单位须具有所采购商品的中央政府采购网协议供货资质。

　为方便供货和售后服务，投标单位须为广东本地供应商和在广东有销售或服务网点的外地供应商参与；

　安全产品须为具有自主知识版权的国内产品。 以上打★号的指标为本次招标采购关键技术指标