外联防火墙

2

山石、天融信

硬件参数要求

不高于2U标准机架式硬件设备，硬件平台采用先进的多核网络架构

除设备本身自带的网络接口外，每台设备还要有不少于4个通用扩展槽位，支持灵活扩展4口或8口以上的千兆电口板卡、4口或8口以上的千兆SFP光口板卡、4口或8口以上的万兆SFP光口板卡，实现每台最大可支持42个业务口，并且设备支持业务接口板卡的热拔插功能，即：插入或拔出不带业务的接口板卡不会对设备现有承载的业务数据流转发处理产生影响，要求提供产品清晰彩照

网络接口，每台配备不少于12个1000M自适应电口、4个千兆SFP光口（满配多模光模块）、2个万兆SFP光口（暂可不用配备万兆光模块）

每台设备配置双冗余电源，交流供电

性能参数要求

防火墙吞吐量≥10Gbps

最大并发连接数≥600万

每秒新建连接数（TCP）≥17万

防火墙功能

支持高可用性（HA），支持A-S主备模式，A-A主主模式

接入模式支持路由工作模式

支持OSPFv2和静态路由等主流路由协议

支持NTP网络时钟协议，可自动根据NTP服务器的时钟调整本机时间

访问控制，可按照应用、时间、IP地址、服务端口、物理端口等方式对数据进行访问控制

端口镜像，支持将任意接口的数据完全镜像到设备自身的其余接口,用于抓包分析

支持802.3ad链路聚合LACP功能，路由模式下可将多个接口、多条链路进行逻辑捆绑

支持会话控制(基于源地址/目的地址/Service服务)

支持NAT地址转换功能，主要包括：静态NAT、动态多对多NAT、动态多对一端口复用PAT等，并支持同时对源IP和目的IP地址的NAT转换功能

支持双操作系统，故障时自动切换备用系统

支持针对每个访问控制策略单独开启、关闭日志记录功能，便于收集被拒绝访问的和被允许访问的会话Session日志信息

资质与服务要求

产品具有国家版权局颁发的《计算机软件著作权登记证书》

产品具有中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》

要求3年原厂全免费保修支持服务，供应商需开具原厂3年质保的授权函

外联AR路由器

2

华为、华三

硬件参数要求

不高于3U标准机架式硬件设备，每台设备配置双主控引擎，转发不存在单点故障（要求实配两块转发平面板卡）

模块插槽≥10个，网络接口，除引擎转发板（主控板）上所带的接口外，每台设备还需配备不少于24个10/100/1000M的二层交换电口，4个千兆SFP的三层路由光口（满配单模模块），4个10/100/1000M的三层路由电口，以及1个155M通道化CPOS光接口（支持划分时隙）

每台配置双冗余电源，交流供电，支持热拔插

性能参数要求

交换容量≥640Gbps

转发性能≥12Mpps

路由器功能

支持Vlan、Vlan Trunk、LACP链路聚合等，并支持多个Vlan Interface三层虚接口的创建

支持STP、RSTP、MSTP等

支持SNMPv2、SNMPv3等网管协议

支持LLDP链路层发现协议

支持镜像配置，主要包括：本地端口镜像、远端端口镜像等

支持IS-IS（IPv4/v6）、静态路由、OSPFv2、OSPFv3、BGP、BGP4+等主流路由协议

支持ACL配置，包括：基本ACL、高级ACL、二层ACL等功能

支持NAT地址转换功能，主要包括：静态NAT、动态多对多NAT、动态多对一端口复用PAT等，并支持不少于250个nat address-group地址池的创建配置

支持SLA、NQA等实时网络地址可达性及性能探测的功能

支持Diffserv模式的QoS功能，优先级映射，流量监管（CAR），流量整形，拥塞避免等功能

资质与服务要求

产品具有国家版权局颁发的《计算机软件著作权登记证书》

要求3年原厂全免费保修支持服务，供应商需开具原厂3年质保的授权函

千兆电口三层交换机

4

华为、华三

硬件参数要求

不高于1U标准机架式硬件设备

网络接口，每台设备不少于24个1000M自适应电口（可含4个复用千兆Combo口，并满配千兆多模光模块）、4个万兆SFP光口（暂可不用配备万兆光模块）

配备以太网堆叠所需的一切固件，如：堆叠卡、堆叠线、光纤等

每台配置双电源冗余，交流供电

性能参数要求

包转发率（整机）≥222Mpps

交换容量（整机）≥598Gbps

交换机功能

支持堆叠，多台交换机堆叠虚拟成一台，并具备防止堆叠分裂的双主检测机制功能, 支持纵向虚拟化

支持镜像配置，包括：基于端口的镜像、基于vlan的镜像、基于Mac地址的镜像等

支持SNMPv2、SNMPv3等网管协议

支持LLDP链路层发现协议

支持802.1Q、Vlan、Vlan Trunk、LACP以太网链路聚合，并支持多Vlan Interface三层虚接口的创建

支持STP/RSTP、MSTP等

支持IS-IS（IPv4/v6）、静态路由、OSPFv2、OSPFv3等主流路由协议，支持配置多个OSPF进程，以及多个OSPF进程间的相互路由注入重发布，支持MPLS

支持单向链路检测

资质与服务要求

产品具有国家版权局颁发的《计算机软件著作权登记证书》

要求3年原厂全免费保修支持服务，供应商需开具原厂3年质保的授权函

IPS入侵防御设备

2

绿盟、启明星辰

硬件参数要求

不高于2U标准机架式硬件设备，硬件平台采用先进的多核网络架构

每台设备网络接口不少于8个千兆工作电口，其中每两个千兆工作电口组成一组，具备Bypass功能，无防护链路限制。每台设备要有不少于3个通用扩展槽位，支持灵活扩展4口或8口以上的千兆工作电口板卡

设备故障或不加电的情况下，仍可实现数据透传转发，不影响正常数据流的处理，支持软件bypass以及硬件bypass（≥4路硬件bypass）

双冗余电源，交流供电

性能参数要求

应用层防护能力吞吐量≥4Gbps

IPS入侵防御功能

系统应提供覆盖广泛的攻击特征库，可针对网络病毒、蠕虫、间谍软件、木马后门、扫描探测、暴力破解等恶意流量进行检测和阻断，攻击特征库数量至少为7000种以上。提供截图证明

系统应能够有效抵御SQL注入、僵尸网络等多种常见的应用层安全威胁

支持未知威胁防护，提供文件信誉功能，支持提供恶意软件分析服务，支持对未知可疑文件统计，支持与第三方沙箱等未知威胁分析系统联动防护，须提供上述功能截图

支持敏感数据感知功能，可解决内部主机中了木马成为僵尸主机与外部控制服务器连接问题。提供功能截图

支持服务器异常防护，能够检测服务器非法外联行为，从而检测是否存在跳转等攻击行为，合法连接可以通过服务器异常学习到的结果添加进来也可以通过“新建”自定义合法连接，当服务器发生有悖于合法连接行为，能检测出异常产生告警，提供功能截图

具备以下信誉防护功能特性：信誉防护能够基于信誉库检测C&C攻击和恶意URL访问，并进行告警，发送日志到ESPC，能够防止连接僵尸网络服务器及访问恶意URL地址（提供截图证明）；信誉库支持实时升级和定期升级；支持信誉白名单，不对白名单中的IP/URL进行信誉防护检测（提供截图证明）

支持IPv6/IPv4双协议栈下的入侵攻击防御

系统应防止内部敏感数据（身份证、电话号码、银行卡号）的泄露；支持文件识别，监控特定格式的文件的外发（可识别文件类型分文档类如word、excel、pdf、ppt等、压缩文件类、图像类、音频、视频、程序等）；提供截图证明。敏感数据保护和文件识别支持的协议： http、ftp、pop3、smtp、imap

支持入侵防护、高级威胁防护、僵尸网络防护、服务器异常防护、应用管理、流量管理和抗拒绝服务等功能

可以与主流抗DDoS产品联动，当有DDoS攻击发生时进行可以与主流抗DDoS系统联动，通告上游旁路流量清洗设备牵引流量进行清洗，保护内部服务器健康运行，确保提供配置界面截图证明

提供对终端的保护功能，支持用户感知能力

网络功能

支持透明模式，可串接在两条链路的聚合链路上

支持链路状态联动,如：每两个千兆工作电口组成一组，支持Bypass，如果一个网络电口处于down关闭状态，其他另一个电口也会联动感知并至down关闭状态

实时监控与日志审计

支持直观动态图的WEB展示，主要提供针对攻击类型、攻击地址、系统转发速率、接口转发速率、系统连接数、Top sessions地址、TOP流量、日志等

支持安全防护状态的WEB展示，主要提供最近1、24小时应用级别防护分布状态图，提供应用/攻击/病毒防护最近1、24小时事件/来源/目标前5名分布

支持系统资源使用情况的WEB展示，主要包括：监控CPU、内存、当前连接等系统状态，用户可自行定义刷新时间；当系统资源利用率过高，用户可以选择记录日志、报警等方式进行处理

支持监视设备每个网络接口工作状态、收发报文数目等

支持实时连接会话监控，可以监控系统当前总连接数目、TCP连接数目、UDP连接数目、ICMP连接数目；可以根据源IP、目的IP、会话端口等信息进行连接统计；可以根据协议、连接类型（半连接、全连接）、源IP、目的IP、端口等信息监视特定的连接

支持日志上报给日志服务器，以及本地日志导出

除设备外还需提供一套集中管理中心软件永久授权，用于入侵防御系统集中管理、实时监控、集中监控

集中管理中心系统应提供基于告警设备、时间、IP地址、事件类型、用户身份等条件的日志检索功能，具备日志备份、清除和恢复功能。系统应具备递归查询功能，在查询结果中再次输入查询条件获得更详细的查询结果，进行细粒度分析

设备管理功能

支持命令行管理界面，如：ssh、console等

支持Web管理界面，如：https

支持SNMPv2、SNMPv3等

支持管理员权限分级，用户可以通过自行定义管理员角色，生成具有不同权限的管理员

支持管理地址控制，可控制特定IP地址的管理员才可以进行设备的管理

支持本地和NTP时间同步

支持软、硬件Bypass外，还可手动配置硬件Bypass启停

资质与服务要求

产品具有国家版权局颁发的《计算机软件著作权登记证书》

产品具有中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》

产品源厂商应具备多年的漏洞研究经验和专业的攻防技术研究团队，具备独立漏洞发掘的能力，具备自主发现并提交CVE国际性组织的安全漏洞能力，须提供自主发现的安全漏洞列表。

要求3年原厂全免费保修支持服务，供应商需开具原厂3年质保的授权函，三年质保期内，需含三年的特征库升级授权

其他辅材设施

1

安普

配套的其他基础配件

安普产品，六类非屏蔽跳线2米（AMP UTP CABLE  ASSEMBLY CAT6，BLUE,2M），共300根，须出具原厂供货证明

安普产品，六类非屏蔽跳线13米（AMP UTP CABLE  ASSEMBLY CAT6，BLUE,13M），共40根，须出具原厂供货证明

外网防火墙

2

外联AR路由器

2

千兆电口三层

4

IPS入侵防御设备和其他辅材

2

其他辅材设施

1