某通信技术有限公司安全产品技术规范.docx

技术规范—安全产品 杭州华三通信技术有限公司 目录 1. 防火墙系列 4 1.1. M9000防火墙核心引导指标说明： 4 1.2. M9006 4 1.3. M9010 7 1.4. M9014 10 1.5. 新一代防火墙F50X0核心引导指标说明： 13 1.6. F5040防火墙招标参数 13 1.7. F5020防火墙招标参数 14 1.8. F5000-S防火墙招标参数 16 1.9. F5000-C防火墙招标参数 17 1.10. 新一代F10X0防火墙核心引导指标说明： 19 1.11. H3C SecPath F1020防火墙招标参数 19 1.12. H3C SecPath F1030防火墙招标参数 21 1.13. H3C SecPath F1050防火墙招标参数 23 1.14. H3C SecPath F1060防火墙招标参数 25 1.15. H3C SecPath F1070防火墙招标参数 27 1.16. H3C SecPath F1080防火墙招标参数 30 1.17. 三款新千兆防火墙核心引导指标说明： 32 1.18. F1000-E 32 1.19. F1000-E-SI 33 1.20. F1000-A-EI 34 1.21. F1000-S-AI 36 1.22. SecBlade FW Enhanced招标参数 37 1.23. SecBlade FW招标参数 39 1.24. SecBlade FW Lite防火墙招标参数 41 1.25. 新一代F1000-C-SI、F100-A/M-SI防火墙核心引导指标说明： 42 1.26. F1000-C-SI防火墙招标参数 42 1.27. F100-A-SI防火墙招标参数 44 1.28. F100-M-SI防火墙招标参数 45 2. VPN系列 47 2.1. SSL VPN插卡 47 3. 负载均衡（加VLB的指标） 47 3.1. SecBlade LB(S75E、S95E、SR88、S10500、S12500配套) 47 3.2. L5000-C（DRX说明更加清晰一些） 49 3.3. L1000-A 50 4. 流量分析NetStream (S75E、S95E、S105、S125配套) 52 5. 应用控制与审计网关ACG 53 5.1. ACG 1000E(1G) 53 5.2. ACG 1000A（500M） 57 5.3. ACG 1000M（200M） 60 5.4. ACG 1000S（30M） 63 5.5. ACG 1000C（10M） 67 5.6. ACG 2000 70 5.7. ACG 8800 73 5.8. ACG 插卡（S75E、S95E、S105、S125配套） 77 6. 入侵防御IPS系列 78 6.1. IPS核心引导指标说明 78 6.2. IPS T5000-S3 79 6.3. IPS T1000-A 81 6.4. IPS T1000-S 83 6.5. IPS T1000-C 86 6.6. IPS T200-A 88 6.7. IPS T200-M 90 6.8. IPS T200-S 93 6.9. IPS 插卡（S125、S95E、S75E、S58、SR88、SR66配套） 95 7. UTM 96 7.1. UTM核心引导指标说明 96 7.2. U200-A 96 7.3. U200-M 98 7.4. U200-S 100 7.5. UTM200-CA 102 7.6. UTM200-CM 104 7.7. UTM200-CS 106 1. 防火墙系列 防火墙整体引导策略： 1、 要求采用指定架构（M9000的分布式架构、中低端的多核非X86架构等），屏蔽和抬高友商。 2、 按照我司产品接口形态（含扩展槽）引导（接口速度越高、接口数量越大友商商务越高）。 3、 强调整机最大吞吐量，及单位吞吐对应的新建数，并发数等关键性能指标。 4、 要求实现多业务特性：出站链路负载均衡、多种VPN、智能安全策略。 5、 要求支持完全虚拟化：SCF(多虚一)、SOP（一虚多）。 6、 要求实配虚拟防火墙数量、IPsec VPN隧道数、SSL VPN数是为了增加华为（虚拟防火墙/VPN均需要License）、思科（虚拟防火墙/SSL VPN需License费用）等厂家的商务； 7、 要求支持基于IPV6的状态防火墙及攻击防范。 8、 证书：要求提供CMMI4证书、IPv6 Ready认证证书。 1.1. M9000防火墙核心引导指标说明： 9、 要求支持采用控制、数据、业务相分离的全分布式架构。 10、 要求每槽位支持100G接口≥2个、40G接口≥4个. 11、 要求接口数量引导32万兆接口（数量越大友商商务越高）。 12、 强调整机最大吞吐量，及单位吞吐对应的新建数，并发数等关键性能指标。 13、 要求实现多业务特性：出站链路负载均衡、多种VPN、智能安全策略。 14、 要求支持完全虚拟化：SCF(多虚一)、SOP（一虚多）。 15、 要求实配虚拟防火墙数量、IPsec VPN隧道数、SSL VPN数是为了增加华为（虚拟防火墙/VPN均需要License）、思科（虚拟防火墙/SSL VPN需License费用）等厂家的商务； 16、 要求支持基于IPV6的状态防火墙及攻击防范。 17、 证书：本次招标引导的证书出来传统的公安部销售许可证证书外，我们要求提供CMMI4证书、IPv6 Ready认证证书。 1.2. M9006 技术指标 M9006 系统架构 采用控制、数据、业务相分离的全分布式架构 具备独立的主控引擎、具备独立的业务引擎、具备独立的交换引擎、具备独立的接口单元 主控引擎、业务引擎、交换引擎、接口单元均硬件槽位分离 ※要求提供设备正面及背面清晰照片，投标设备照片与实物不相符将作为废标项 业务槽数 ≥6 系统可靠性 l 主机支持主流及交流电源模块，非外置电源框扩展 l 电源M+N冗余 l 电源数量≥4 l 主控引擎1+1冗余，主控故障或切换时设备最大转发性能不受任何影响 l 所有主控引擎必须支持热插拔 l 所有交换引擎必须为独立形态（非主控集成），占用专用的硬件槽位 l 独立交换引擎N+1冗余，N≥3 l 所有交换引擎必须支持热插拔 系统性能 吞吐量≥120G 并发连接数≥9000万 每秒新建连接≥180万 虚拟防火墙数 ≥768 IPSec隧道数 ≥15万 IPSec隧道性能 ≥45G L2TP隧道数 ≥15万 L2TP会话数 ≥15万 GRE隧道数 ≥15万 GRE隧道性能 ≥60G 接口板卡 支持100G、40G、10G、GE端口： l 每槽位支持的100G接口≥2 l 每槽位支持的40G接口≥4 l 每槽位支持的万兆接口≥32 l 每槽位支持的千兆接口≥48 ※要求提供所投接口板卡清晰照片，投标接口数量、类型与实物不相符将作为废标项 统一管理 通过一个串口/IP即可进行设备管理，在统一管理界面上能监控并管理所有业务模块 智能分流 业务引擎能够资源池化管理、支持即插即用； 无需配置ECMP、链路聚合等策略来负载分担流量； 无需配置哪些流量交给哪个业务引擎处理； 无需手工控制某些会话的两个方向在指定业引擎处理； 安全集群 支持安全集群，将多台物理设备虚拟化为1台逻辑设备； 设备集群后能完全作为1台设备来统一配置管理； 支持不同型号设备之间进行集群 ※要求提供集群配置截图，提供官网配置手册链接 ※要求提供多台防火墙虚拟成一台防火墙的用户证明 虚拟防火墙 l 支持将1台设备虚拟化为多台设备使用，可为虚墙划分各类硬件资源(至少包括CPU、内存、存储空间)，支持网络虚拟化（如IP、VLAN、VRF资源）， l 虚拟防火墙可以按需启动、停止，设备上可以查看到虚拟防火墙状态 l 支持1个物理接口可以同时属于不同的虚拟防火墙 l 每单板虚拟防火墙≥256个，增加业务板能增加系统虚拟防火墙数量 ※要求提供设备配置截图证明、提供以上功能截图，提供官网配置手册链接 ※要求提供防火墙一虚多后互不干扰的用户证明文件 NAT特性 功能： 支持源地址NAT转换； 目的地址NAT(nat server)； 支持静态NAT映射； 支持静态NAT444、支持动态NAT444、支持NAT端口块增量分配； 支持Fullcone NAT：EIM,EIF 支持NAT Hairpin； 支持两次NAT； 支持双向NAT； 支持NAT二进制日志，可以设置发送开始、结束日志、活跃流日志； 支持NAT二进制日志主机负载分担：日志主机≥16台 支持NAT444用户日志支持设置端口块分配和回收日志、支持NAT444会话日志支持设置NAT444会话开始和结束日志 支持NAT ALG： IP Sticky/IP Persistenc 支持Easy IP 支持NAT端口复用无限连接 性能： 每个接口下可以配置NAT outbound≥2048 每个接口下可以配置的NAT server≥2048 系统支持的Nat Outbound≥4096 系统支持的Nat Server≥4096 系统支持NAT444端口块数目≥150万 ※要求提供设备配置截图证明、提供以上功能截图，提供官网配置手册链接 过渡技术 l 支持隧道技术： IPV6 Over IPV6 or IPV4、IPv6 over IPv4 manual、IPv6 over IPv4 6to4、IPv6 over IPv4 ISATAP、DS-LITE AFTR l 支持翻译技术： NAT64、DNS64、ALG 热备技术 支持1:1热备，支持主/备、主/主部署； 支持N:N热备； 路由协议 支持IPv4、IPv6静态路由、等价路由、策略路由，以及BGP、RIPv2、OSPF、ISIS等动态IPv4路由协议，支持BGP4+、OSPFv3、ISISV6等动态IPv6路由协议 QOS 支持拥塞管理：FIFO、PQ、CQ、WFQ 支持拥塞避免：WRED 支持流量限制：LR、CAR 支持流量整形：GTS 支持优先级标记 支持报文过滤 支持报文镜像 ※要求提供设备配置截图证明，提供官网配置手册链接 设备安全ê 支持基于标准、扩展的ACL报文过滤 支持OSPF、RIPv2 及BGPv4 报文的明文及MD5密文认证 支持命令行采用分级保护方式，防止未授权用户的非法侵入，为不同级别的用户有不同的配置权限 可靠特性 主控故障或切换时设备最大转发性能不受任何影响 支持OSPF/IS-IS/BGP/BGP4+ GR， 支持双引擎快速倒换，实现50ms的引擎故障主备切换时间，支持热补丁功能，可在线进行补丁升级 支持BFD for VRRP / OSPF、支持NQA 支持静态链路聚合、动态链路聚合LACP 支持跨板链路聚合、跨设备链路聚合 链路聚合成员≥16 ※要求提供设备配置截图证明，提供官网配置手册链接 设备管理 支持命令行 支持10级以上管理权限控制 支持基于命令、特性、web菜单的权限划分 支持对外接口：CLI、Netconf、SNMP MIB、TCL脚本 支持独立网管审计平台 资质要求 厂商必须通过CMMI4认证以保障产品代码质量与稳定性，证书认证国家为China，提供证书复印件 所有安全业务板均需具备IPv6 Ready第二阶段金色认证证书 主机及安全业务板卡均具备公安部《计算机信息系统安全专用产品销售许可证》 服务证明 在本地有售后服务人员，提供相关证明 厂家必须在当地设有备件库 能提供快速本地化现场技术支持，能提供7×24小时技术服务支持 1.3. M9010 技术指标 M9010 系统架构 采用控制、数据、业务相分离的全分布式架构 具备独立的主控引擎、具备独立的业务引擎、具备独立的交换引擎、具备独立的接口单元 主控引擎、业务引擎、交换引擎、接口单元均硬件槽位分离 ※要求提供设备正面及背面清晰照片，投标设备照片与实物不相符将作为废标项 业务槽数 ≥8（竖插槽、利于散热） 系统可靠性 l 主机支持主流及交流电源模块，非外置电源框扩展 l 电源M+N冗余 l 电源数量≥6 l 主控引擎1+1冗余，主控故障或切换时设备最大转发性能不受任何影响 l 所有主控引擎必须支持热插拔 l 所有交换引擎必须为独立形态（非主控集成），占用专用的硬件槽位 l 独立交换引擎N+1冗余，N≥3 l 所有交换引擎必须支持热插拔 系统性能 吞吐量≥240G 并发连接数≥1.8亿 每秒新建连接≥360万 虚拟防火墙数 ≥1536 IPSec隧道数 ≥35万 IPSec隧道性能 ≥90G L2TP隧道数 ≥35万 L2TP会话数 ≥35万 GRE隧道数 ≥35万 GRE隧道性能 ≥140G 接口板卡 支持100G、40G、10G、GE端口： l 每槽位支持的100G接口≥2 l 每槽位支持的40G接口≥4 l 每槽位支持的万兆接口≥32 l 每槽位支持的千兆接口≥48 ※要求提供所投接口板卡清晰照片，投标接口数量、类型与实物不相符将作为废标项 统一管理 通过一个串口/IP即可进行设备管理，在统一管理界面上能监控并管理所有业务模块 智能分流 业务引擎能够资源池化管理、支持即插即用； 无需配置ECMP、链路聚合等策略来负载分担流量； 无需配置哪些流量交给哪个业务引擎处理； 无需手工控制某些会话的两个方向在指定业引擎处理； 安全集群 支持安全集群，将多台物理设备虚拟化为1台逻辑设备； 设备集群后能完全作为1台设备来统一配置管理； 支持不同型号设备之间进行集群 ※要求提供集群配置截图，提供官网配置手册链接 ※要求提供多台防火墙虚拟成一台防火墙的用户证明 虚拟防火墙 l 支持将1台设备虚拟化为多台设备使用，可为虚墙划分各类硬件资源(至少包括CPU、内存、存储空间)，支持网络虚拟化（如IP、VLAN、VRF资源）， l 虚拟防火墙可以按需启动、停止，设备上可以查看到虚拟防火墙状态 l 支持1个物理接口可以同时属于不同的虚拟防火墙 l 每单板虚拟防火墙≥256个，增加业务板能增加系统虚拟防火墙数量 ※要求提供设备配置截图证明、提供以上功能截图，提供官网配置手册链接 ※要求提供防火墙一虚多后互不干扰的用户证明文件 NAT特性 功能： 支持源地址NAT转换； 目的地址NAT(nat server)； 支持静态NAT映射； 支持静态NAT444、支持动态NAT444、支持NAT端口块增量分配； 支持Fullcone NAT：EIM,EIF 支持NAT Hairpin； 支持两次NAT； 支持双向NAT； 支持NAT二进制日志，可以设置发送开始、结束日志、活跃流日志； 支持NAT二进制日志主机负载分担：日志主机≥16台 支持NAT444用户日志支持设置端口块分配和回收日志、支持NAT444会话日志支持设置NAT444会话开始和结束日志 支持NAT ALG： IP Sticky/IP Persistenc 支持Easy IP 支持NAT端口复用无限连接 性能： 每个接口下可以配置NAT outbound≥2048 每个接口下可以配置的NAT server≥2048 系统支持的Nat Outbound≥4096 系统支持的Nat Server≥4096 系统支持NAT444端口块数目≥150万 ※要求提供设备配置截图证明、提供以上功能截图，提供官网配置手册链接 过渡技术 l 支持隧道技术： IPV6 Over IPV6 or IPV4、IPv6 over IPv4 manual、IPv6 over IPv4 6to4、IPv6 over IPv4 ISATAP、DS-LITE AFTR l 支持翻译技术： NAT64、DNS64、ALG 热备技术 支持1:1热备，支持主/备、主/主部署； 支持N:N热备； 路由协议 支持IPv4、IPv6静态路由、等价路由、策略路由，以及BGP、RIPv2、OSPF、ISIS等动态IPv4路由协议，支持BGP4+、OSPFv3、ISISV6等动态IPv6路由协议 QOS 支持拥塞管理：FIFO、PQ、CQ、WFQ 支持拥塞避免：WRED 支持流量限制：LR、CAR 支持流量整形：GTS 支持优先级标记 支持报文过滤 支持报文镜像 ※要求提供设备配置截图证明，提供官网配置手册链接 设备安全ê 支持基于标准、扩展的ACL报文过滤 支持OSPF、RIPv2 及BGPv4 报文的明文及MD5密文认证 支持命令行采用分级保护方式，防止未授权用户的非法侵入，为不同级别的用户有不同的配置权限 可靠特性 主控故障或切换时设备最大转发性能不受任何影响 支持OSPF/IS-IS/BGP/BGP4+ GR， 支持双引擎快速倒换，实现50ms的引擎故障主备切换时间，支持热补丁功能，可在线进行补丁升级 支持BFD for VRRP / OSPF、支持NQA 支持静态链路聚合、动态链路聚合LACP 支持跨板链路聚合、跨设备链路聚合 链路聚合成员≥16 ※要求提供设备配置截图证明，提供官网配置手册链接 设备管理 支持命令行 支持10级以上管理权限控制 支持基于命令、特性、web菜单的权限划分 支持对外接口：CLI、Netconf、SNMP MIB、TCL脚本 支持独立网管审计平台 资质要求 厂商必须通过CMMI4认证以保障产品代码质量与稳定性，证书认证国家为China，提供证书复印件 所有安全业务板均需具备IPv6 Ready第二阶段金色认证证书 主机及安全业务板卡均具备公安部《计算机信息系统安全专用产品销售许可证》 服务证明 在本地有售后服务人员，提供相关证明 厂家必须在当地设有备件库 能提供快速本地化现场技术支持，能提供7×24小时技术服务支持 1.4. M9014 技术指标 M9014 系统架构 采用控制、数据、业务相分离的全分布式架构 具备独立的主控引擎、具备独立的业务引擎、具备独立的交换引擎、具备独立的接口单元 主控引擎、业务引擎、交换引擎、接口单元均硬件槽位分离 ※要求提供设备正面及背面清晰照片，投标设备照片与实物不相符将作为废标项 业务槽数 ≥12 系统可靠性 l 主机支持主流及交流电源模块，非外置电源框扩展 l 电源M+N冗余 l 电源数量≥6 l 主控引擎1+1冗余，主控故障或切换时设备最大转发性能不受任何影响 l 所有主控引擎必须支持热插拔 l 所有交换引擎必须为独立形态（非主控集成），占用专用的硬件槽位 l 独立交换引擎N+1冗余，N≥3 l 所有交换引擎必须支持热插拔 系统性能 吞吐量≥400G 并发连接数≥3亿 每秒新建连接≥600万 虚拟防火墙数 ≥2560 IPSec隧道数 ≥55万 IPSec隧道性能 ≥135G L2TP隧道数 ≥55万 L2TP会话数 ≥55万 GRE隧道数 ≥55万 GRE隧道性能 ≥200G 接口板卡 支持100G、40G、10G、GE端口： l 每槽位支持的100G接口≥2 l 每槽位支持的40G接口≥4 l 每槽位支持的万兆接口≥32 l 每槽位支持的千兆接口≥48 ※要求提供所投接口板卡清晰照片，投标接口数量、类型与实物不相符将作为废标项 统一管理 通过一个串口/IP即可进行设备管理，在统一管理界面上能监控并管理所有业务模块 智能分流 业务引擎能够资源池化管理、支持即插即用； 无需配置ECMP、链路聚合等策略来负载分担流量； 无需配置哪些流量交给哪个业务引擎处理； 无需手工控制某些会话的两个方向在指定业引擎处理； 安全集群 支持安全集群，将多台物理设备虚拟化为1台逻辑设备； 设备集群后能完全作为1台设备来统一配置管理； 支持不同型号设备之间进行集群 ※要求提供集群配置截图，提供官网配置手册链接 ※要求提供多台防火墙虚拟成一台防火墙的用户证明 虚拟防火墙 l 支持将1台设备虚拟化为多台设备使用，可为虚墙划分各类硬件资源(至少包括CPU、内存、存储空间)，支持网络虚拟化（如IP、VLAN、VRF资源）， l 虚拟防火墙可以按需启动、停止，设备上可以查看到虚拟防火墙状态 l 支持1个物理接口可以同时属于不同的虚拟防火墙 l 每单板虚拟防火墙≥256个，增加业务板能增加系统虚拟防火墙数量 ※要求提供设备配置截图证明、提供以上功能截图，提供官网配置手册链接 ※要求提供防火墙一虚多后互不干扰的用户证明文件 NAT特性 功能： 支持源地址NAT转换； 目的地址NAT(nat server)； 支持静态NAT映射； 支持静态NAT444、支持动态NAT444、支持NAT端口块增量分配； 支持Fullcone NAT：EIM,EIF 支持NAT Hairpin； 支持两次NAT； 支持双向NAT； 支持NAT二进制日志，可以设置发送开始、结束日志、活跃流日志； 支持NAT二进制日志主机负载分担：日志主机≥16台 支持NAT444用户日志支持设置端口块分配和回收日志、支持NAT444会话日志支持设置NAT444会话开始和结束日志 支持NAT ALG： IP Sticky/IP Persistenc 支持Easy IP 支持NAT端口复用无限连接 性能： 每个接口下可以配置NAT outbound≥2048 每个接口下可以配置的NAT server≥2048 系统支持的Nat Outbound≥4096 系统支持的Nat Server≥4096 系统支持NAT444端口块数目≥150万 ※要求提供设备配置截图证明、提供以上功能截图，提供官网配置手册链接 过渡技术 l 支持隧道技术： IPV6 Over IPV6 or IPV4、IPv6 over IPv4 manual、IPv6 over IPv4 6to4、IPv6 over IPv4 ISATAP、DS-LITE AFTR l 支持翻译技术： NAT64、DNS64、ALG 热备技术 支持1:1热备，支持主/备、主/主部署； 支持N:N热备； 路由协议 支持IPv4、IPv6静态路由、等价路由、策略路由，以及BGP、RIPv2、OSPF、ISIS等动态IPv4路由协议，支持BGP4+、OSPFv3、ISISV6等动态IPv6路由协议 QOS 支持拥塞管理：FIFO、PQ、CQ、WFQ 支持拥塞避免：WRED 支持流量限制：LR、CAR 支持流量整形：GTS 支持优先级标记 支持报文过滤 支持报文镜像 ※要求提供设备配置截图证明，提供官网配置手册链接 设备安全ê 支持基于标准、扩展的ACL报文过滤 支持OSPF、RIPv2 及BGPv4 报文的明文及MD5密文认证 支持命令行采用分级保护方式，防止未授权用户的非法侵入，为不同级别的用户有不同的配置权限 可靠特性 主控故障或切换时设备最大转发性能不受任何影响 支持OSPF/IS-IS/BGP/BGP4+ GR， 支持双引擎快速倒换，实现50ms的引擎故障主备切换时间，支持热补丁功能，可在线进行补丁升级 支持BFD for VRRP / OSPF、支持NQA 支持静态链路聚合、动态链路聚合LACP 支持跨板链路聚合、跨设备链路聚合 链路聚合成员≥16 ※要求提供设备配置截图证明，提供官网配置手册链接 设备管理 支持命令行 支持10级以上管理权限控制 支持基于命令、特性、web菜单的权限划分 支持对外接口：CLI、Netconf、SNMP MIB、TCL脚本 支持独立网管审计平台 资质要求 厂商必须通过CMMI4认证以保障产品代码质量与稳定性，证书认证国家为China，提供证书复印件 所有安全业务板均需具备IPv6 Ready第二阶段金色认证证书 主机及安全业务板卡均具备公安部《计算机信息系统安全专用产品销售许可证》 服务证明 在本地有售后服务人员，提供相关证明 厂家必须在当地设有备件库 能提供快速本地化现场技术支持，能提供7×24小时技术服务支持 1.5. 新一代防火墙F50X0核心引导指标说明： 1、 要求支持下一代深度安全特性，以及丰富的接口数量。 2、 强调整机最大吞吐量，及单位吞吐对应的新建数，并发数等关键性能指标。 3、 要求实现多业务特性：出站链路负载均衡、多种VPN、智能安全策略。 4、 要求支持完全虚拟化：SCF、SOP。 5、 要求实配虚拟防火墙数量、IPsec VPN隧道数、SSL VPN数是为了增加华为（虚拟防火墙/VPN均需要License）、思科（虚拟防火墙/SSL VPN需License费用）等厂家的商务； 6、 要求支持基于IPV6的状态防火墙及攻击防范。 7、 证书：本次招标引导的证书出来传统的公安部销售许可证证书外，我们要求提供CMMI4证书、IPv6 Ready认证证书、信息安全评测报告EAL3级、ISCCC颁发的《中国国家信息安全产品认证证书》。 1.6. F5040防火墙招标参数 功能及技术指标（带★号为必须满足） 技术要求 ★硬件架构 采用非X86 64位多核高性能处理器和高速存储器 主控模块内存≥32G 2U以下盒式设备 ★支持单板类型 24个千兆+6个万兆接口 ★端口要求 ≥12个千兆光口+12个千兆电口+ 4个万兆端口 整机最大可扩展接口数量48GE+10*10GE ★产品性能 最大并发连接数≥3000万 每秒新建连接数≥600K 整机吞吐量≥40Gbps 3DES加密≥10G AES256加密≥10G ★可靠性要求 支持VRRP的链路备份 支持双机堆叠SCF技术，融合后可统一管理配置，并实现负载分担和业务备份，要求提供配置截图及公司盖章 支持Ipsec VPN的IKE状态同步 基本功能 支持安全区域管理，可基于接口、VLAN划分安全区域 ASPF状态检查 支持、SMTP、RTSP、H323协议簇的状态报文过滤，支持时间段安全策略设置。 支持基于CPU、内存、等硬件划分资源的完全虚拟化，可分配吞吐量、新建、并发,虚拟防火墙数量≥256个，要求提供配置截图及公司盖章 支持AV防病毒、IPS深度安全防护功能，要求提供配置截图及公司盖章 支持应用层防护：入侵防御、带宽管理，要求提供配置截图及公司盖章 支持链路负载均衡功能，要求提供配置截图及公司盖章 支持IPV6： IPV6状态防火墙、IPV6动态路由协议、IPV6攻击防范、IPV6虚拟防火墙、IPV6管理、NAT64/DS-LITE等过渡技术，要求提供配置截图及公司盖章 支持Syslog、NAT转换、攻击防范、黑名单、地址绑定等日志 支持流量监控日志 支持二进制格式日志、支持用户行为流日志 必须支持一对一、地址池等NAT方式 必须支持多种应用协议，如、RAS、HWCC、SIP、ICMP、DNS、PPTP、NBT的NAT ALG功能 支持一个公网IP地址NAT并发100万连接 支持策略NAT ALG功能 支持策略NAT功能 支持静态路由、RIP v1/2、OSPF、BGP、策略路由等 支持应用层过滤，必须支持Java Blocking、ActiveX 过滤，支持FTP协议深度检测，支持FTP命令字过滤，支持URL过滤 能够防范DOS/DDOS攻击： Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、SYN Flood、ICMP Flood、UDP Flood、ARP欺骗、TCP报文标志位不合法、超大ICMP报文、地址扫描的防范、端口扫描的防范 ★部署模式 支持路由模式、透明模式和混杂模式 电源 采用模块化电源，支持交流、直流电源两种模式,支持1+1备份。 产品认证 符合欧盟绿色环保RoHS认证 欧盟强制性要求CE IPv6 第二阶段增强型认证金色证书 能提供以上认证的证书 配套管理 支持SNMPv1、SNMPv2C、SNMPv3， 支持CONSOLE、TELNET、SSH V1.5管理方式 支持NTP时间同步 资质证明 具有中华人民共和国公安部的《计算机信息系统安全专用产品销售许可证》，能提供有效证书的复印件。 具有中国信息安全评测中心颁发的《国家信息安全评测/信息技术产品安全评测EAL3级》证书 具有中国信息安全认证中心ISCCC颁发的《中国国家信息安全产品认证证书》 防火墙所使用软件必须获得CMMI 4级（软件能力成熟度模型集成4级）认证评估并提供证书。 1.7. F5020防火墙招标参数 功能及技术指标（带★号为必须满足） 技术要求 ★硬件架构 采用非X86 64位多核高性能处理器和高速存储器 主控模块内存≥16G 2U以下盒式设备 ★支持单板类型 24个千兆+6个万兆接口 ★端口要求 ≥12个千兆光口+12个千兆电口+ 4个万兆端口 整机最大可扩展接口数量48GE+10*10GE ★产品性能 最大并发连接数≥2400万 每秒新建连接数≥400K 整机吞吐量≥30Gbps 3DES加密≥8G AES256加密≥10G ★可靠性要求 支持VRRP的链路备份 支持双机堆叠SCF技术，融合后可统一管理配置，并实现负载分担和业务备份，要求提供配置截图及公司盖章 支持Ipsec VPN的IKE状态同步 基本功能 支持安全区域管理，可基于接口、VLAN划分安全区域 ASPF状态检查 支持、SMTP、RTSP、H323协议簇的状态报文过滤，支持时间段安全策略设置。 支持基于CPU、内存、等硬件划分资源的完全虚拟化，可分配吞吐量、新建、并发,虚拟防火墙数量≥256个，要求提供配置截图及公司盖章 支持AV防病毒、IPS深度安全防护功能，要求提供配置截图及公司盖章 支持应用层防护：入侵防御、带宽管理，要求提供配置截图及公司盖章 支持链路负载均衡功能，要求提供配置截图及公司盖章 支持IPV6： IPV6状态防火墙、IPV6动态路由协议、IPV6攻击防范、IPV6虚拟防火墙、IPV6管理、NAT64/DS-LITE等过渡技术，要求提供配置截图及公司盖章 支持Syslog、NAT转换、攻击防范、黑名单、地址绑定等日志 支持流量监控日志 支持二进制格式日志、支持用户行为流日志 必须支持一对一、地址池等NAT方式 必须支持NAT444、Fullcone NAT、NAThairpin、两次NAT、双向NAT 必须支持多种应用协议，如、RAS、HWCC、SIP、ICMP、DNS、PPTP、NBT的NAT ALG功能 支持一个公网IP地址NAT无限连接 支持策略NAT ALG功能 支持策略NAT功能 支持NAT二进制日志 支持静态路由、RIP v1/2、OSPF、BGP、策略路由等 支持应用层过滤，必须支持Java Blocking、ActiveX 过滤，支持FTP协议深度检测，支持FTP命令字过滤，支持URL过滤 能够防范DOS/DDOS攻击： Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、SYN Flood、ICMP Flood、UDP Flood、ARP欺骗、TCP报文标志位不合法、超大ICMP报文、地址扫描的防范、端口扫描的防范 ★部署模式 支持路由模式、透明模式和混杂模式 电源 采用模块化电源，支持交流、直流电源两种模式,支持1+1备份。 产品认证 符合欧盟绿色环保RoHS认证 欧盟强制性要求CE IPv6 第二阶段增强型认证金色证书 能提供以上认证的证书 配套管理 支持SNMPv1、SNMPv2C、SNMPv3， 支持CONSOLE、TELNET、SSH V1.5管理方式 支持NTP时间同步 资质证明 具有中华人民共和国公安部的《计算机信息系统安全专用产品销售许可证》，能提供有效证书的复印件。 具有中国信息安全评测中心颁发的《国家信息安全评测/信息技术产品安全评测EAL3级》证书 具有中国信息安全认证中心ISCCC颁发的《中国国家信息安全产品认证证书》 防火墙所使用软件必须获得CMMI 4级（软件能力成熟度模型集成4级）认证评估并提供证书。 1.8. F5000-S防火墙招标参数 功能及技术指标（带★号为必须满足） 技术要求 ★硬件架构 采用64位多核高性能处理器和高速存储器 主控模块内存≥4G 2U以下盒式设备 ★支持单板类型 24个千兆+6个万兆接口 ★端口要求 ≥12个千兆光口+12个千兆电口+ 4个万兆端口 整机最大可扩展接口数量48GE+10*10GE ★产品性能 最大并发连接数≥400万 每秒新建连接数≥300K 整机吞吐量≥40Gbps SSL VPN并发数≥200 ★可靠性要求 支持VRRP和跨设备的双机热备，实现负载分担和业务备份；支持IPSec VPN的IKE状态同步。 基本功能 支持安全区域管理，可基于接口、VLAN划分安全区域 ASPF状态检查 支持、SMTP、RTSP、H323协议簇的状态报文过滤，支持时间段安全策略设置。 支持虚拟防火墙技术,虚拟防火墙数量≥256个 支持 P2P限流功能 VPN支持：IPSec VPN、GRE VPN； 内置IPSec VPN硬件加密芯片 支持Syslog、NAT转换、攻击防范、黑名单、地址绑定等日志 支持流量监控日志 支持二进制格式日志、支持用户行为流日志 必须支持一对一、地址池等NAT方式 必须支持多种应用协议，如、RAS、HWCC、SIP、ICMP、DNS、PPTP、NBT的NAT ALG功能 支持一个公网IP地址NAT并发100万连接 支持策略NAT ALG功能 支持策略NAT功能 支持静态路由、RIP v1/2、OSPF、BGP、策略路由等 支持应用层过滤，必须支持Java Blocking、ActiveX 过滤，支持FTP协议深度检测，支持FTP命令字过滤，支持URL过滤 能够防范DOS/DDOS攻击： Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、SYN Flood、ICMP Flood、UDP Flood、ARP欺骗、TCP报文标志位不合法、超大ICMP报文、地址扫描的防范、端口扫描的防范 ★部署模式 支持路由模式、透明模式和混杂模式 电源 采用模块化电源，支持交流、直流电源两种模式,支持1+1备份。 产品认证 符合欧盟绿色环保RoHS认证 欧盟强制性要求CE IPv6 第二阶段增强型认证金色证书 能提供以上认证的证书 配套管理 支持SNMPv1、SNMPv2C、SNMPv3， 支持CONSOLE、TELNET、SSH V1.5管理方式 支持NTP时间同步 资质证明 具有中华人民共和国公安部的《计算机信息