资源描述
B包网络系统设备技术指标
一、核心交换机(2台)
序号
功能及技术指标
参数要求(★项必须满足)
1
业务插槽数(不包含引擎插槽数)★
业务插槽数>=6
2
整机交换容量★
>=720Gbps
3
整机包转发能力★
>=400 Mpps
4
转发架构
要求实配设备及接口板卡必须是全分布式转发工作模式
5
单台设备实际配置要求★
配置单引擎;
配置冗余电源;
配置2个万兆光接口;2个万兆多模光模块
配置24个千兆电接口;
配置12个千兆光接口,3个千兆多模光模块,3个千兆单模10Km光模块。
配置1块硬件防火墙插卡,处理能力>=5.5Gbps;
6
虚拟化技术★
支持两台核心交换机虚拟化成一台设备,并提供两台主机的协同工作、统一管理和不间断维护功能,提供毫秒级的链路收敛能力。
7
IPv4协议
硬件支持分布式IPv4线速处理,其中路由协议必须支持RIP、OSPF V2、IS-IS和BGP,组播协议必须支持IGMP V1/V2/V3 Snooping、PIM-SM、PIM-DM、PIM-SSM和MSDP
8
IPv6协议
硬件支持分布式IPv6线速处理,其中路由协议必须支持RIPng、OSPF V3、IPv6 IS-IS和IPv6 BGP,隧道协议必须支持IPv6手动隧道、6to4隧道和ISATAP隧道
9
多业务硬件模块功能特性★
支持独立内置无线控制器硬件模块,可管理的AP数量>300个;
支持独立入侵防御系统硬件模块;
支持独立应用系统负载均衡硬件模块;
10
安全功能
支持DHCP Snooping;支持动态ARP检测,防止中间人攻击和ARP拒绝服务;支持BPDU guard, Root guard;支持uRPF(单播反向路径检测),杜绝IP源地址欺骗,防范病毒和攻击;
11
访问控制
支持基于第二层、第三层和第四层的ACL,平均每板提供ACl条目数不小于4000条;支持VLAN ACL和IPv6 ACL;支持出方向ACL,以便于灵活实现数据包过滤;支持IEEE 802.1和Portal方式用户认证, 802.1x动态VLAN分配;支持IP/Port/MAC的绑定功能
12
QoS支持
至少具备8个QoS优先级,通过服务质量策略(特别是优先权规则和算法)为关键业务和特定应用预留带宽;支持出方向的流量限速功能(Egress Car);提供广播风暴抑制功能
13
管理特性
支持SNMP V1/V2/V3、RMON、SSHV2;支持通过命令行、Web、中文图形化配置软件等方式进行配置和管理;引擎支持并配置外置Flash,便于配置升级和日志存放
14
资质认证★
提供信息产业部入网证,入网证上申请单位和生产企业必须是同一公司,以保证投标产品非OEM产品;
二、汇聚交换机(3台)
序号
功能及技术指标
参数要求(★项必须满足)
1
业务插槽数(不包含引擎插槽数)★
业务插槽数>=2
2
整机交换容量★
>=190 Gbps
3
整机包转发能力★
>=140 Mpps
4
转发架构
要求实配设备及接口板卡必须是全分布式转发工作模式
5
本次项目实际配置★
每台配置冗余引擎;
每台配置冗余电源;
每台配置16个千兆光接口,8个千兆电接口;
共配置28个千兆多模光模块;6个千兆单模10Km光模块
6
IPv4协议
硬件支持分布式IPv4线速处理,其中路由协议必须支持RIP、OSPF V2、IS-IS和BGP,组播协议必须支持IGMP V1/V2/V3 Snooping、PIM-SM、PIM-DM、PIM-SSM和MSDP
7
IPv6协议
硬件支持分布式IPv6线速处理,其中路由协议必须支持RIPng、OSPF V3、IPv6 IS-IS和IPv6 BGP,隧道协议必须支持IPv6手动隧道、6to4隧道和ISATAP隧道
8
多业务硬件模块功能特性★
支持独立内置无线控制器硬件模块,可管理的AP数量>300个;
支持独立入侵防御系统硬件模块;
支持独立应用系统负载均衡硬件模块;
9
安全功能
支持DHCP Snooping,防止欺骗的DHCP服务器;支持动态ARP检测,防止中间人攻击和ARP拒绝服务;支持BPDU guard, Root guard;支持uRPF(单播反向路径检测),杜绝IP源地址欺骗,防范病毒和攻击;
10
访问控制
支持基于第二层、第三层和第四层的ACL,平均每板提供ACl条目数不小于4000条;支持VLAN ACL和IPv6 ACL;支持出方向ACL,以便于灵活实现数据包过滤;支持IEEE 802.1和Portal方式用户认证, 802.1x动态VLAN分配;支持IP/Port/MAC的绑定功能
11
QoS支持
至少具备8个QoS优先级,通过服务质量策略(特别是优先权规则和算法)为关键业务和特定应用预留带宽;支持出方向的流量限速功能(Egress Car);提供广播风暴抑制功能
12
管理特性
支持SNMP V1/V2/V3、RMON、SSHV2;支持通过命令行、Web、中文图形化配置软件等方式进行配置和管理;引擎支持并配置外置Flash,便于配置升级和日志存放
13
资质认证★
提供信息产业部入网证,入网证上申请单位和生产企业必须是同一公司,以保证投标产品非OEM产品;
14
品牌一致性★
要求与网络核心交换机统一品牌
三、接入层交换机(18台)
序号
功能及技术指标
参数要求(★项必须满足)
1
交换容量★
>=48 Gbps
2
转发性能★
>=35 Mpps
3
接口类型★
可用千兆接口数量>=24;千兆光接口数量>=4
4
路由协议★
支持三层静态路由协议
5
VLAN特性
支持基于端口的VLAN,支持基于协议的VLAN;
支持基于MAC的VLAN;
最大VLAN数>=4K
6
镜像功能
支持本地端口镜像和远程端口镜像RSPAN;
7
QOS
每端口支持8个优先级队列;支持802.1P,DSCP/TOS优先级和重新标记能力,支持基于时间段的流分类和QoS控制能力;提供广播风暴抑制功能;
8
生成树
支持STP/RSTP/MSTP协议;
9
访问控制策略★
支持基于第二层、第三层和第四层的ACL;支持基于端口和VLAN的 ACL;
支持802.1x认证,支持集中式MAC地址认证;
10
安全特性★
支持IP+MAC+PORT的绑定;支持DHCP Snooping,防止欺骗的DHCP服务器;
支持ARP检测来抵御ARP欺骗攻击;支持IP Source Check
11
管理和维护
支持最大16台设备堆叠;支持SNMP V1/V2/V3、RMON、SSHV2;支持虚电缆检测功能,快速准确定位网络中故障电缆的短路或断路点;支持单向链路检测,有效的防止网络中单通故障的发生;支持通过命令行、Web、中文图形化配置软件等方式进行配置和管理。
12
资质认证★
要求提供信产部入网证,入网证上申请单位和生产企业必须是同一公司,以保证投标产品非OEM产品;
13
品牌一致性★
要求与网络核心交换机统一品牌
四、接入路由器(1台)
序号
功能及技术指标
参数要求(★项必须满足)
1
包转发能力★
>=2Mbps
2
扩展模块插槽★
>=4
3
外置CF卡
>=256M
4
接口类型★
支持E1、E3、155M POS、155M CPOS、155M ATM等接口;支持FE(光/电)、GE(光/电)以太网接口
5
可靠性
支持接口模块热插拔(包括电源、风扇、单板);支持VRRP;
6
路由协议★
支持RIP、OSPF、BGP、IS-IS等路由协议;
7
组播
IGMP/IGMPv3,PIM-DM,PIM-SM,PIM SSM,MBGP,MSDP
8
IPv6
支持Ipv6 ND,Ipv6 PMTU,Ipv6 FIB,Ipv6 ACL;支持NAT-PT,Ipv6隧道,6PE;支持Ipv6静态路由、RIPng、OSPFv3、IS-Isv6、BGP4+;Ipv6组播路由协议:MLD,PIM-DM,PIM-SM,PIM-SSM
9
链路层协议
支持ATM、PPP、MP、ETHERNET等链路层协议
10
语音协议
支持H.323, SIP协议
11
网络安全特性★
支持包过滤,状态防火墙功能;支持硬件加密加速,支持IPSec/ IKE, L2TP,GRE,MPLS/BGP VPN,L2VPN,DVPN;支持PPPoE Client&Server,PORTAL认证,802.1x认证;支持NAT/NAPT,PKI,RSA,SSH v1.5/2.0,SSL VPN,URPF;
12
实际配置★
配置1+1冗余交流电源;配置3个千兆光电复用接口;配置>=1G内存,256M外置CF卡
13
管理和维护
支持SNMP V1/V2/V3、RMON、SSHV2;支持通过命令行、Web、中文图形化配置软件等方式进行配置和管理。
14
资质认证★
要求提供信产部入网证,入网证上申请单位和生产企业必须是同一公司,以保证投标产品非OEM产品;
15
品牌一致性★
要求与网络核心交换机统一品牌
五、综合管理系统软件技术指标(1套)
规格
序号
功能及技术指标
参数规格(★项必须满足)
系统架构
1
网管性能
要求资源拓扑、告警、性能等功能组件支持多服务器负载分担部署,保证各网管组件性能
2
分域、分权管理★
可以为不同的管理员设置不同的用户名、密码,并限制管理员的管理权限和管理范围,实现分域、分权管理。
3
支持设备与用户统一管理★
支持网络管理平台实现设备管理与用户管理联动,如通过点击拓扑楼层接入交换机查看该楼层所有接入用户帐户信息。
4
支持设备与流量分析统一管理
支持网络管理平台实现设备管理与流量分析联动,如通过点击拓扑某链路可查看该链路的关键应用流量分布、关键用户流量使用等。
基础网络管理
5
自动发现拓扑
自动发现网络中的所有网络设备,并在拓扑中显示出来,可以自动将网络中的逻辑连接关系显示出来。
6
可以自定义拓扑
根据网络的实际组网,管理员可对拓扑图进行灵活定制网络拓扑,包括对设备、链路、背景图等自定义修改。
7
支持多种拓扑类型
IP拓扑:展示了网络中的三层设备与三层设备,三层设备与子网的连接关系,反映出网络中的路由和子网划分情况。
二层拓扑:各个设备之间的二层连接关系、链路状态、设备状态等网络结构和状态信息。
邻居拓扑可以清楚地表明指定设备在某个范围内的物理连接关系、链路状态、设备状态等网络结构和状态信息。
8
拓扑融合用户信息★
在拓扑的接入节点上查询在线用户列表、强制下线所有用户、下发消息、总在线用户数统计、不安全用户数统计等;
9
支持故障检测并实时告警
支持对全网设备告警的实时监控和统一浏览。
10
支持告警提醒、转发
支持多种提醒方式,比如告警实时提醒(告警板)、告警音响提示;多种转发方式,比如转E-mail,转短信,转上级网管或其它网管等。
11
支持基于任务的性能监控
可定制监控任务,长期监控网络性能,可以形成日报、月报等报表。
12
支持定制性能阈值
可以为监控的性能指标设置两级阈值,当性能指标超过阈值时根据不同的阈值发送不同级别的告警。
13
提供直观的设备的面板视图
支持设备面板的显示、定时刷新、面板缩放功能,通过面板管理,网络管理人员可以直观地看到设备、板卡、端口的工作状态。
14
License数量★
提供25个节点的设备管理License
配置管理功能
15
支持设备配置集中管理
配置库包括配置文件和配置片断,配置内容可带有参数,在部署时根据设备的差异设置不同的值;配置文件可部署到设备的启动配置或者运行配置;配置片断只能部署到设备的运行配置;
16
统一的部署向导
以任务方式进行设备配置和设备软件的部署。
17
批量的设备配置备份和恢复
支持向导方式或者任务方式(周期性任务、一次性任务或立即任务)批量的备份、恢复完整的配置文件,也可以批量的下发配置片断。
18
设备软件智能升级
支持网络运行设备的软件版本查询功能,支持先备份后升级,保证一旦升级失败后可以恢复到原有设备软件版本,支持对整个升级过程的可靠性检查,如设备软件版本和设备是否配套,flash空间是否足够等,确保用户的整个升级操作万无一失。
19
基线化的设备配置变更审计
提供设备运行配置和启动配置的基线化版本管理,将每个设备相关的配置文件划分为三种版本:基线、普通、草稿。便于管理员识别、管理。通过备份、恢复手段,以及备份历史、升级历史管理,使配置文件管理和软件升级管理具有了可回溯性
20
配置变更告警
支持网络运行设备的配置变化检查,一旦配置发生变化,立刻以告警方式通知管理员关注
终端安全准入控制系统功能
21
License数量★
提供700点 License
22
高可靠性★
安全策略服务器要求具备高可用性,可安装在Windows或UNIX平台上,同时支持双机系统的热备和冷备,单机系统支持逃生技术
23
客户端认证方式
支持802.1x、Portal、VPN、WLAN组网环境下的的身份认证;
支持基于端口的802.1x和基于MAC地址的802.1x。
支持无客户端技术,事前免安装、事后免卸载,用户上网时自动重定向到认证网页,通过ActiveX技术安装并下载相关安全插件和补丁管理插件,并自动对终端用户进行病毒、补丁等安全状态的检查。对于合法用户和非法用户都能弹出页面,提示安全检查结果,对非法用户能告知不合格项和修复方法。
支持802.1x、Portal和Windows域统一认证,实现网络登录与域登录的一次性认证。
24
操作系统补丁自动检测、升级功能
评估客户端的补丁安装是否合格,可以检测的补丁包括:操作系统(Windows 2000、XP、Server2003等)符合微软补丁规范的热补丁。保证全网终端操作系统补丁及时安装;保证终端操作系统符合统一的安全策略要求。提供与微软WSUS/SMS协同的自动补丁管理,当用户安全认证时,自动检查、下载、安装补丁,实现终端操作系统补丁自动升级。
25
防病毒软件联动功能
支持与瑞星、江民、金山、趋势科技、McAfee、Symantec、安博士、北信源、CA、Kill等厂商的防病毒软件联动,支持杀毒软件安装状态、运行状态等的检测。
26
终端应用软件安装运行控制功能
支持检测终端应用程序、进程的运行状态。可以限制接入网络的用户必须安装、运行或禁止安装、运行某些软件;必须运行或禁止运行某些进程。杜绝安装/运行非法软件用户接入网络,提升用户终端控制力度。
27
终端用户分级管理功能
针对普通用户、Guest用户、VIP用户分别提供不同安全控制力度,便于用户分级安全管理,提供灵活的安全控制策略。
28
终端信息绑定功能
支持以下终端多元素信息绑定功能,防止帐号盗用和非法接入,提升终端用户认证安全接入控制力度:
在验证用户名、密码的同时,支持用户名与设备IP地址、端口、VLAN、用户IP地址和MAC地址的绑定认证,并具备绑定信息自学习功能,自动学习绑定信息,减少管理员手工录入的工作量;
支持防止篡改MAC地址仿冒用户接入功能,保证网络环境安全性;支持MAC地址修改限制功能,探测终端用户是否修改过MAC地址,并可限制其网络接入功能。
支持一个用户绑定多对IP和MAC地址,有效解决单用户多终端问题。
29
防内网外联功能
客户端监控多网卡和拨号用户,隔离或监控危险用户。防止用户终端成为内外网互访的桥梁,防止内网外联,避免因此可能造成的信息安全问题;
客户端监控私设代理用户,隔离或监控危险用户。限制用户使用代理服软件和设置IE代理服务器,防止内网外联
品牌一致性
30
品牌一致性要求★
要求与网络核心交换机统一品牌
六、互联网出口千兆防火墙(1台)
序号
功能及技术指标
参数要求(★项必须满足)
1
硬件架构★
防火墙必须采用先进的硬件架构,非工控机和X86架构。
2
操作系统
专业的安全操作系统,系统具有特性可扩展能力
3
产品性能★
最大并发连接数≥100万;每秒新建连接数≥20000;防火墙吞吐量≥2Gbps;
IPSec VPN加密性能≥600Mbps;SSL VPN加密性能≥100Mbps;
本次配置IPSec VPN隧道License数≥3500;SSL VPN在线并发用户License数≥500。
本次配置虚拟防火墙License数量≥64个
4
业务接口数量★
本次配置4个GE光接口和6个GE电接口;
5
基本功能
支持FTP、HTTP、SMTP、RTSP、H323协议簇的状态报文过滤,支持时间段安全策略设置。
支持 P2P限流功能
支持L3 Monitor,多出口情况下,可以根据远端路由状况(非本地链路状态)切换路由
支持免客户端SSL VPN。
VPN支持:IPSec VPN、L2TP VPN、GRE VPN,支持动态VPN,如:DVPN。
支持Syslog、NAT转换、攻击防范、黑名单、地址绑定等日志
支持流量监控日志
支持二进制格式日志、支持用户行为流日志
防火墙必须支持一对一、地址池等NAT方式
必须支持必须支持多种应用协议,如FTP、H323、RAS、HWCC、SIP、ICMP、DNS、PPTP、NBT的NAT ALG功能
支持策略NAT ALG功能
支持策略NAT功能
支持静态路由、RIP v1/2、OSPF、BGP、策略路由等
支持应用层过滤,必须支持Java Blocking、ActiveX 过滤,支持FTP协议深度检测,支持FTP命令字过滤,支持URL过滤,HTTP网页过滤,SMTP内容过滤
能够防范DOS/DDOS攻击:
Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、SYN Flood、
ICMP Flood、UDP Flood、ARP欺骗、ARP主动反向查询、TCP报文标志位不合法、超大ICMP报文、地址扫描的防范、端口扫描的防范
6
部署模式★
支持透明模式、透明模式和混合模式
7
配套管理
支持网管软件统一网管,支持SNMPv1、SNMPv2C、SNMPv3,可以与网络、交换设备统一管理;
支持CONSOLE、TELNET、SSH V1.5管理方式;
支持NTP时间同步;
8
资质证明★
必须具有中华人民共和国公安部的《计算机信息系统安全专用产品销售许可证》,提供有效证书的复印件。
必须具有《国家信息安全评测中心认证》,提供有效证书的复印件。
七、互联网出口入侵防御系统(1台)
序号
功能及技术指标
参数要求(★为必须满足项)
1
产品结构★
机架式独立IPS硬件设备,系统硬件为全内置封闭式结构,稳定可靠,加电即可运行,启动过程无须人工干预。
2
硬件架构★
多核MIPS硬件架构。
3
网络接口★
固定业务接口数:10/100/1000电口≥4个;
通过扩展,业务接口数最多可到12个。
管理接口:千兆电口≥1个
4
电源★
配置冗余电源,电源支持热插拔
5
产品性能★
吞吐量≥1Gbps;最大并发连接数≥200万;每秒新建连接数≥20万;
单包处理时延≤200微秒
6
业务功能指标
攻击特征库数量≥2500+
★集成第三方专业防病毒厂商的专业病毒库,病毒特征库数量≥8000+
支持的协议识别数量≥800+
支持深入七层的分析检测技术,能检测防范的攻击类型包括:蠕虫/病毒、木马、后门、DoS/DDoS攻击、探测/扫描、间谍软件、网络钓鱼、利用漏洞的攻击、SQL注入攻击、缓冲区溢出攻击、协议异常、IDS/IPS逃逸攻击等。
可以识别迅雷、BT、eDonkey/eMule、Kugoo下载协议、多进程下载协议(网络快车、网络蚂蚁)、腾讯超级旋风下载协议、脱兔TuoTu下载协议、Vagaa哇嘎“画”时代、Gnutella、DC等P2P应用;可以识别MSN、QQ、ICQ、Yahoo Messenger等IM应用;可以识别PPLive、PPStream、HTTP下载视频文件、沸点电视、QQLive等网络视频应用;可在识别的基础上对这些应用流量进行阻断或限流。
支持IP 碎片重组、TCP 流重组、会话状态跟踪、应用层协议解码等数据流处理方式。
采用全面深入的分析检测技术,结合模式特征匹配、协议异常检测、流量异常检测、事件关联等多种技术,能识别运行在非标准端口上的协议,准确检测入侵行为。
支持URL过滤;URL过滤可以基于时间、主机,能够精细到单一IP地址
IPS检测到攻击报文或攻击流量后,支持阻断、隔离、Web重定向、限流的响应方式。
支持基于时间、方向、用户IP对网络滥用流量进行限流
支持对病毒感染主机或黑客主机的网络隔离或访问重定向,支持对攻击报文进行抓包追踪。
支持白名单和黑名单功能
内置缺省使能的IPS检测策略,支持策略自定制能力。
支持对不同的网段运用不同的检测策略
支持细粒度的特征规则设置,可以为单条不同的特征规则设置不同响应方式,包括告警、阻断、隔离、限流、重定向等。
可以识别并检测802.1Q、MPLS、QinQ、GRE等特殊封装的网络报文。
支持手动、自动升级特征库
7
部署模式
支持在线部署模式(IPS模式)、并同时支持旁路部署模式(IDS模式),两种模式可以同时工作。
在线部署时,支持透明部署,即插即用。
8
管理方式
支持基于Web的图形化管理方式,支持HTTP、HTTPS登录Web图形管理系统进行管理。
不需要部署额外的管理系统,通过基于Web的图形化管理方式,即可实现完备的单机的设备管理、安全策略管理、攻击事件统计分析功能。
支持基于串口、Telnet的命令行管理。
支持对多台分布式部署的IPS设备进行集中管理。
IPS支持对设备本身电源的监控
9
日志功能
提供全面的系统日志、审计日志功能,日志可导出。
支持本地存储介质、syslog服务器、远端服务器等多种日志告警保存方式
支持实时的攻击日志归并功能,可以根据用户需要,对告警日志执行任意粒度的归并,有效避免告警风暴。
能够按照用户需求生成各种风格的统计报表,并可导出报表。
支持Syslog日志发送接口。
10
可靠性★
支持二层回退功能,当检测引擎在极端情况下失效时,设备可回退到二层模式,保证网络连通。
支持掉电保护功能,可提供掉电保护装置,保证设备掉电时网络可连通。
11
安全联动功能★
支持与终端准入控制系统联动,当IPS检测到攻击后,可通知终端准入控制系统,以保证攻击源在接入层就被隔离,同时将隔离原因(攻击源相关的攻击事件)通知到攻击源的终端准入控制系统的客户端上。
12
资质证明★
必须具有中华人民共和国公安部的《计算机信息系统安全专用产品销售许可证》,提供有效证书的复印件。
必须具有《国家信息安全评测中心认证》,提供有效证书的复印件。
必须具有《入侵抵御系统软件知识产权证书》,提供有效证书复印件。
提供针对IPS产品的与国际知名专业防病毒厂商的合作证书
八、网络防病毒系统(1套)
项目
参数要求(★为必须满足项)
网络防病毒软件
1.★提供20个服务器600点的网络版防病毒软件,系统中心必须支持同时管理 WIN2000 PRO、WINXP、Vista、WIN2000PRO、WINDOWS NT/WIN2000/WIN2003 SERVER等多种操作系统;
2.全球网络防病毒领导厂商产品,有较高的产品知名度;
3.★ 厂商必须通过中国信息安全评测认证中心的信息安全服务资质认证;
4.★ 厂商在国内必须具有产品研发中心;
5.★ 厂商在国内设有病毒应急处理中心并有及时制作病毒应急专杀工具的能力;
6.★ 厂商必须通过ISO9001:2000国际标准认证;
7.★ 厂商必须通过BS7799国际标准认证;
8.产品具备病毒爆发防御功能。当未知病毒爆发时,可在病毒代码未完成之前自动对企业网络中的病毒传播端口、共享等进行关闭,切断病毒传播途径,预防最新病毒的攻击;
9. 支持多种安装方式,包括:智能安装、远程安装、 WEB 安装、安装包安装、服务器远程推送安装以及脚本登录安装等方式;
10. 控管中心采用B/S架构进行管理;
11. 具备间谍软件、网络钓鱼、灰色软件扫描功能;
12. 产品可基于网络层对病毒数据包进行扫描和清除;
13. 具备客户端部署管理功能,可以自动扫描网络,发现网络中未安装防毒软件的机器;
14. 更新采用增量更新,同时可以指定一组机器中的一台作更新代理,其它机器到更新代理上更新,降低更新对带宽的消耗;
15. 具备防火墙功能,可集中定制和分发安全策略,同时具备IDS功能,可对网络中异常浏览进行监控;
16.★专杀工具集成。防病毒客户端软件整合了各种病毒专杀工具,能够统一、集中将专杀工具从防病毒服务器自动分发到每一个防病毒客户端,能够远程进行专杀工具调用,清除病毒,专杀工具能够随客户端自动更新,无需手动下载;
17. 支持对网络层的病毒攻击包进行扫描和清除,阻止病毒攻击包进入客户端系统;
18. 具备成熟的“云安全”技术,内含Web信誉服务功能可以对用户访问的URL自动进行安全评估,阻止用户对高风险URL的访问;
19. 可以自动扫描网络,发现网络中未安装防毒软件以及病毒码/引擎过期的计算机;
20. 具备病毒源准确定位功能,可以方便地查询到网络中的病毒传染源;
21.产品安装、卸载、代码或引擎升级均无需重新启动操作系统;
22. 控管中心与防毒子系统通讯采用TCP固定端口,可以很好地支持跨广域网管理,管理通讯采取加密措施;控管中心具备漏洞评估功能。
23. 具备病毒爆发防御功能,防病毒系统弱点评估功能和远程病毒集中清除功能。
24. 具备防病毒系统的实时集中监控功能;具有单一节点集中报警和日志功能,能定制生成统计报告等;
25. 网络版防毒系统可以灵活地基于IP、操作系统、MAC地址、更新状态等属性进行分组管理;
26. 具备整个防病毒系统策略统一配置管理,能根据不同的防病毒需求进行随意分组、并分别制定和实施不同的防病毒策略;
27.★ 病毒系统弱点评估功能。可扫描出网络中哪些计算机未安装防病毒软件,哪些计算机病毒代码或扫描引擎过期、哪些计算机未安装系统补丁,帮助管理员快速掌控企业网络中的安全漏洞;
28. 具备远程病毒集中清除功能。可对网络中感染病毒的计算机进行远程自动清除,无需知道计算机的物理位置,无需到客户端逐一清除病毒;
29. 具备跨广域、跨子网并支持VPN的Web管理;
30. 具备整个防病毒系统策略统一配置管理,能根据不同的防病毒需求进行随意分组、并分别制定和实施不同的防病毒策略;
31.★提供软件原厂商针对本项目的授权证明。
九、上网行为控制管理系统(1台)
项目
指标
招标文件要求
产品性能要求
网络接口
★设备至少具备6个千兆接口【1000 BASE-T(RJ45)*6】;至少一个RS232串口
并发用户数
≥2000
网络吞吐量
≥1.0Gbps
并发连接数
≥900,000
流控策略数
≥7500
转发时延
≤0.1ms
部署方式
部署模式
支持网关、网桥(透明)、旁路模式;
多路桥接
★设备必须支持多路桥接,且至少可形成4路网桥;
双主模式
★必须支持多台设备同时主机模式运行;
网关管理
分级管理
支持管理员权限设置,管理不同用户组;(提供产品界面截图证明)
集中管理
支持统一平台集中管理多台设备;(提供产品界面截图证明)
告警功能
★支持对网络攻击行为、泄密行为等进行邮件告警;(提供产品界面截图证明)
用户管理
用户认证
1.支持本地WEB认证;
2. ★支持LDAP、Radius、POP3、Proxy等第三方认证,支持AD、POP3、Proxy单点登录;支持强制AD域认证;
3.支持USB-Key认证;
4.支持IP、MAC绑定,及IP/MAC绑定认证等;(以上功能需提供产品界面截图证明)
IP段认证
支持基于接入用户IP实现自动分组、不同认证方式、不同IP、MAC绑定方式;
临时帐户
支持临时账户有效期限制,过期自动失效;
页面跳转
支持页面跳转:
1. 跳转到用户原本输入的URL地址;
2.跳转到管理员指定的URL地址;
3.跳转到注销页面;
(以上功能需提供产品界面截图证明)
终端管理
终端准入管理
★支持识别终端
1. 操作系统版本;
2. 系统补丁安装情况;
3. 硬盘指定目录下的文件;
4. 终端系统的进程信息;
5. 终端系统注册表中表项和键值;
并禁止不满足终端检查要求的用户访问互联网;(必须提供自主知识产权证明);
自动下发脚本
★支持在终端自动定期运行管理员设定脚本或程序;
网页行为管理
静态URL库
网关内置预分类的URL地址库;
URL智能识别
★必须支持基于关键字、用户访问习惯的未知网页的自动识别与分类,支持允许管理员手工调整;(提供产品界面截图证明)
SSL网址识别
★支持过滤SSL加密的钓鱼网站等(提供自主知识产权证明);
关键字过滤
支持基于多关键字过滤搜索行为、过滤网页、过滤发帖内容;(提供产品界面截图证明)
发帖控制
★支持允许用户浏览帖子但不准发贴功能;
文件行为管理
文件外发控制
支持对HTTP、FTP、Email附件方式外发文件的识别、报警、过滤等管理措施;
★文件外发告警
1.支持识别外发文件的扩展名;
2.支持识别删除、篡改文件扩展名行为并告警;
3.支持识别压缩、加密文件内文件类型并报警;
(以上功能提供产品界面截图证明)
邮件行为管理
邮件过滤
支持根据如下条件过滤邮件:
1. 收发件人地址;
2. 基于邮件附件扩展名过滤;对于异常邮件附件(如删、改扩展名)进行告警;
3. 基于多关键字过滤;
4. 支持基于关键字、发件人地址等过滤SSL加密邮件;
(以上功能提供产品界面截图证明)
Webmail管理
★支持控制用户Webmail发送权限
邮件拦截审计
★支持根据收件人地址、关键字等拦截邮件,并通知管理员审核后再外发(提供自主知识产权证明);
垃圾邮件过滤
必须能过滤内网用户外发垃圾邮件、外网向内网用户发送垃圾邮件的行为;
应用行为管理
应用识别
1. 包括不少于450条以上应用识别规则;
2. IM识别:QQ、MSN、阿里旺旺、百度Hi、51挂挂、chikka等不少于70种;
3. 游戏识别:天龙八部、天下贰、武林外传、星尘传说、英雄岛、诛仙、卓越之剑等不少于90种;
4. 流媒体识别:QVOD、PPlive、VGO、蚂蚁电视、猫眼电视、球皇等不少于70种;
5. 炒股识别:安信行情、操盘手、大智慧、方正证劵、股道、股票行情等不少于35种;
6. 网银识别:招商银行、建设银行、农业银行、交通银行、工商银行等不少于15种;
7. P2P识别:识别:BT、BTCommet、电骡、Foxy等不少于35种;
8. 远程控制与木马识别:Byshell、Cybernetic、木马帝国、灰鸽子等不少于20种;
9. 支持管理员自定义规则;
(以上功能提供产品界面截图证明)
P2P智能识别
★必须具有识别和管理P2P的新版本、不常见的P2P、和未识别P2P的技术(提供自主知识产权证明)(提供产品界面截图证明)
代理封堵
支持禁用公网web代理服务器的,并能封堵自由门、无界浏览器等加密代理;
封堵用户代理他人上网的行为;
(提供产品界面截图证明)
上网权限管理
权限控制
支持基于时间段、基于用户/用户组、基于应用类型控制用户的上网权限;
支持限制用户一天内总上网时长;
上网提醒
★支持自动提醒功能,用户使用某应用时长、流速超过管理员设定值时,网关自动向该用户发起提醒;(提供产品界面截图证明)
策略有效期
必须支持上网策略对象有效期设定,过期自动失效;
上网流量管理
网关多线路
网关能同时连接多条外网线路,且支持线路复用和智能选路技术;
网桥多线路
★网桥下支持识别外网多线路并分别流控;
流控子通道
★必须支持通道内再划分子通道技术;(提供产品界面截图证明)
流控功能
1. 支持基于应用类型、网站类型、文件类型分配带宽;
2. 支持基于时间段、基于用户/用户组的带宽分配带宽;支持用户平均带宽策略;
3. 支持基于目标IP实分配带宽;
(以上功能提供产品界面截图证明)
缓存加速
1. 必须支持缓存加速功能,且对内网用户透明,无需任何配置;
2. 支持控制台中查看当天、当周、当月的加速命中情况;
3. 支持管理员设定优先缓存的页面;
(以上功能提供产品界面截图证明)
上网行为审计
网页审计
1. 支持记录访问的网址、网页标题、网页正文;
2. 支持基于关键字审计网页正文;
3. 支持审计发帖内容、发帖用户、发帖时间等;
(以上功能提供产品界面截图、审计图片证明)
邮件审计
1. 支持审计用户的Webmail邮件,包括正文附件;
2. 审计邮件客户端发送邮件的正文及附件;
(以上功能提供产品界面截图、审计图片证明)
文件审计
★支持审计用户通过HTTP、FTP、Email当方式外发的文件内容;包括无后缀名、改后缀名、加密文件;
IM审计
★支持记录QQ、MSNShell、Skype、等加密聊天内容;
★支持记录MSN、飞信、雅虎通等明文聊天内容;
(以上功能提供产品界面截图、审计图片证明)
应用审计
审计P2P、流媒体、炒股、网络游戏、FTP、Telnent等应用行为;
异常行为记录
★必须记录木马、病毒、端口扫描等危险行为;
反向审计
支持能审计外网访问内网网站、发帖、收发邮件、下载上传文件的行为;
硬件免审计
★支持指定用户通过硬件方式(USB-Key)免审计的功能;(提供产品界面截图证明)
IP、域名免审计
支持基于IP、域名设置免除审计;
上网日志管理
数据中心
设备必须支持内置数据中心和独立数据中心;
日志查看权限
1. 支持管理员配置,普通管理员只能查看指定用户组的日志;
2.支持超级管理员USB-Key方式验证;(提供产品界面截图证明)
统计报表功能
1. 提供柱状图、饼状图、详细报表等分析工具;
2. 支持基于IP/用户组/用户/应用,统计在指定时间段内的上网行为、上网流量、上网时间并形成报表;
3. 支持自定义报表,管理员可依据关心的主题生成报表;
4. 支持报表直接导出成PDF、Excel格式;
(以上功能提供产品界面截图证明、报表图片证明)
排行报表功能
1. 关键字排行:支持对搜索引擎关键字、网络发贴关键字进行排行并输出报表;
2. 支持指定时间段对内网发帖行为进行热度排行;
3. 支持对网站进行访问时长排行;
(以上功能提供产品界面截图证明)
风险报表功能
1. 支持统计篡改、删除扩展名、压缩、加密后外发文件行为;
2. 支持管理员自定义风险行为特征并输出相关报表;
3. 支持记录终端木马、间谍软件、垃圾邮件发送、异常端口扫描并
展开阅读全文