广州塔网络防火墙升级改造项目竞选采购公告

序号

产品

基本配置

数量

1

互联网防火墙

包括以下功能模块：1.下一代防火墙模块、2.IPSEC及SSL VPN模块、3.入侵检测与防御模块、4.流量控制模块、5.防病毒模块、6高可用性配置 主/主, 主/备, 集群，7.支持扩展上网行为管理模块，包含安装支架、电源线等必备配件，与内网防火墙同品牌。

2

2

服务器区防火墙

包括以下功能模块：1.下一代防火墙模块、2.入侵检测与防御模块、3.防病毒模块；高可用性配置 主/主, 主/备, 集群，包含安装支架、电源线等必备配件，与互联网防火墙同品牌。

2

3

出口交换机

24口10/100/1000M自适应端口，4个SFP光口，交流电源，包含安装支架、电源线等必备配件。

2

4

以上设备接入现有广州塔的网络的配置及调试等工作

1

指标项

指标要求

网口数量

千兆电接口不低于8个

千兆光接口不低于2个

性能

设备ipv4最大吞吐量不低于6Gbps（1518字节）

每秒新建连接数不低于10万/秒

最大并发连接数不低于320万

SSL VPN用户数不低于200个

IPS吞吐量不低于1.4Gbps

NGFW吞吐量不低于1.1Gbps

威胁防护吞吐量（Threat Prevention）不低于1Gbps

虚拟域不低于10个

内置存储不低于240G（SSD）

接入模式

必须支持透明、路由、混合、旁路四种工作模式，支持在旁路模式下对流量进行统计、扫描、记录和会话重置。

路由协议

BGP、OSPFv2/v3和RIPv1/v2（动态路由协议非透传）支持策略路由、支持ISP路由并内置多运营商路由表，支持IPv4和IPv6的静态路由，支持基于动态端口应用协议的策略路由，支持基于角色、用户、用户组的策略路由。

VPN支持

必须支持GRE和GRE over IPSec，IPSec VPN、SSL VPN、L2TP VPN。

多链路负载均衡

必须支持基于源、基于源和目的、基于会话等多种负载均衡模式。

智能链路负载均衡

必须支持智能链路负载均衡技术，可动态探测链路响应速度并选择最优链路进行转发，持智能DNS功能，使外网访问内部服务器的流量可以在多条链路上实现智能分担。

基于应用的健康监测

必须支持HTTP GET、DNS请求和TCP端口的方式探测被监控链路或被监控服务器的健康状态

802.3ad 链路聚合

透明、路由模式下支持将多条链路带宽进行捆绑

NAT技术

要求必须支持NAT full cone模式，要求必须支持多对多的NAT，且公网地址池可选择逐一使用和同时使用两种模式

高可用性（HA）

支持A-S模式，A-A模式

IPv6

必须支持基于IPv6邻居发现协议（ND）的攻击防护，包括地址欺骗攻击、路由通告欺骗攻击及泛洪攻击等

虚拟化

每个虚拟系统拥有独立的管理员，虚拟路由器、安全域、地址薄、服务薄，物理接口或逻辑接口，安全策略等；支持自定义虚拟系统的资源，包括会话数、策略数、NAT规则数的最大限额设定；

抗DDoS攻击

必须支持抵御所列所有攻击类型，包括：DNS Query Flood、SYN Flood、UDP Flood、ICMP Flood、Ping of Death、Smurf、Winnuke。

会话控制

必须支持会话控制功能，要求能够基于源、目的、应用协议三种条件做会话数限制；必须支持会话控制功能，要求能够限制会话新建速率。

访问控制

支持按照应用、时间、用户帐号、IP地址、服务端口、物理端口等方式对数据进行访问控制。

用户认证

支持本地数据库，并可通过LDAP、Radius和Windows AD域联动；认证用户提供有效期功能，并在登录成功页面上提示剩余时间；支持本地用户通过Web认证后，通过认证登录成功页面修改自己的用户密码。

防病毒

必须采用基于并行流引擎技术，被检测文件大小不受限制。

支持对压缩文件类型的病毒检测，必须支持RAR、ZIP、GZIP、BZIP2、TAR等压缩文件类型。

支持对多重压缩文件的病毒检测，且不小于5层压缩

必须支持对HTTP、FTP、SMTP、POP3、IMAP协议的应用进行病毒扫描和过滤。

必须支持恶意链接和病毒警告提示，提示用户所访问的网站为恶意网站或者发现病毒。

IPS

入侵攻击特征数量超过4000 种，针对Client / Server 系统的漏洞保护，针对常见网络病毒传播、蠕虫扩散等的检测防御，针对常见后门、木马等的检测防御，针对Shellcode、恶意软件检测防御，针对主流缓冲区溢出攻击的检测防御，可疑网络的访问记录与控制，深入数据包第七层执行内容解析

C&C(Command & Control) 特征库匹配检测验证，僵尸网络联机DNS、IP 地址黑名单(Real-time Black List) 检测。

Web分类管理

至少支持超过2000万域名的URL数据库，可以帮助管理员轻松设置禁止访问的网页，控制对不良网站的访问。

网页关键字过滤

对用户访问含有某关键字的网页（包括HTTPS加密网页）进行行为控制、行为审计；对用户在某网站（包括HTTPS加密网站）发布信息或发布含有某关键字信息进行行为控制、行为审计；支持加权算法，包括定义关键字的权重和出现次数等条件做控制。

QOS

必须支持基于用户，ip地址以及7层应用进行保证带宽，最大带宽的控制，支持针对7层应用的优先级转发控制。

SSL VPN

支持硬件USB-key的认证方式；支持基于手机短信的登录认证方式。

支持登录SSL VPN后自动打开可自定义的网页。

必须支持对登录SSL VPN的用户端系统进行端点安全检查，至少包括指定文件、指定进程、系统补丁、浏览器版本、杀毒软件等方面。

IPSec VPN

严格遵循RFC国际标准，必须支持的算法有DES、3DES、AES128、AES192、AES256，SHA-256、SHA-512等。

管理功能

必须支持2个系统软件并存，并支持系统软件回滚，防止配置不当或系统故障造成的网络中断，充分保证系统的稳定性。

必须支持基于已认证用户身份的访问URL日志记录。

支持监控设备系统资源的实时状况，必须包括CPU、内存、接口带宽、日志容量、策略数、会话数等对象。

必须支持在NAT的动态端口资源利用率达到一定值时,设备能够主动发送告警信息通知设备管理人员。

支持HTTP、HTTPS方式进行设备管理、操作界面支持全中英文管理界面。设备管理：可通过远程登录（命令行、图形界面）方式对设备进行管理操作，且可以完成所有操作。

统计

要求支持基于IP地址的流量统计功能，包括短时间周期和长时间周期。

要求支持基于应用的流量统计功能，包括短时间周期和长时间周期。

要求支持基于IP地址的会话统计，包括短时间周期和长时间周期。

要求支持基于应用的会话统计，包括短时间周期和长时间周期。

要求支持自定义统计功能。

指标项

指标要求

网口数量

千兆电接口不低于8个

千兆光接口不低于4个

性能

设备ipv4最大吞吐量不低于8Gbps（1518字节）

每秒新建连接数不低于8万/秒

最大并发连接数不低于320万

SSL VPN用户数不低于200个

IPS吞吐量不低于3Gbps

NGFW吞吐量不低于5Gbps

威胁防护吞吐量（Threat Prevention）不低于1.85Gbps

虚拟域不低于10个

内置存储不低于240G（SSD）

接入模式

必须支持透明、路由、混合、旁路四种工作模式，支持在旁路模式下对流量进行统计、扫描、记录和会话重置。

路由协议

OSPF、BGP和RIPv1/v2（动态路由协议非透传）支持策略路由、支持ISP路由并内置多运营商路由表，支持IPv4和IPv6的静态路由，支持基于动态端口应用协议的策略路由，支持基于角色、用户、用户组的策略路由。

多链路负载均衡

必须支持基于源、基于源和目的、基于会话等多种负载均衡模式。

智能链路负载均衡

必须支持智能链路负载均衡技术，可动态探测链路响应速度并选择最优链路进行转发，持智能DNS功能，使外网访问内部服务器的流量可以在多条链路上实现智能分担。

基于应用的健康监测

必须支持HTTP GET、DNS请求和TCP端口的方式探测被监控链路或被监控服务器的健康状态

802.3ad 链路聚合

透明、路由模式下支持将多条链路带宽进行捆绑

NAT技术

要求必须支持NAT full cone模式，要求必须支持多对多的NAT，且公网地址池可选择逐一使用和同时使用两种模式

高可用性（HA）

支持A-S模式，A-A模式

IPv6

必须支持基于IPv6邻居发现协议（ND）的攻击防护，包括地址欺骗攻击、路由通告欺骗攻击及泛洪攻击等

虚拟化

每个虚拟系统拥有独立的管理员，虚拟路由器、安全域、地址薄、服务薄，物理接口或逻辑接口，安全策略等；支持自定义虚拟系统的资源，包括会话数、策略数、NAT规则数的最大限额设定；

抗DDoS攻击

必须支持抵御所列所有攻击类型，包括：DNS Query Flood、SYN Flood、UDP Flood、ICMP Flood、Ping of Death、Smurf、Winnuke。

会话控制

必须支持会话控制功能，要求能够基于源、目的、应用协议三种条件做会话数限制；必须支持会话控制功能，要求能够限制会话新建速率。

访问控制

支持按照应用、时间、用户帐号、IP地址、服务端口、物理端口等方式对数据进行访问控制。

用户认证

支持本地数据库，并可通过LDAP、Radius和Windows AD域联动；认证用户提供有效期功能，并在登录成功页面上提示剩余时间；支持本地用户通过Web认证后，通过认证登录成功页面修改自己的用户密码。

防病毒

必须采用基于并行流引擎技术，被检测文件大小不受限制。

支持对压缩文件类型的病毒检测，必须支持RAR、ZIP、GZIP、BZIP2、TAR等压缩文件类型。

支持对多重压缩文件的病毒检测，且不小于5层压缩

必须支持对HTTP、FTP、SMTP、POP3、IMAP协议的应用进行病毒扫描和过滤。

必须支持恶意链接和病毒警告提示，提示用户所访问的网站为恶意网站或者发现病毒。

IPS

入侵攻击特征数量超过4000 种，针对Client / Server 系统的漏洞保护，针对常见网络病毒传播、蠕虫扩散等的检测防御，针对常见后门、木马等的检测防御，针对Shellcode、恶意软件检测防御，针对主流缓冲区溢出攻击的检测防御，可疑网络的访问记录与控制，深入数据包第七层执行内容解析

C&C(Command & Control) 特征库匹配检测验证，僵尸网络联机DNS、IP 地址黑名单(Real-time Black List) 检测。

QOS

必须支持基于用户，ip地址以及7层应用进行保证带宽，最大带宽的控制，支持针对7层应用的优先级转发控制。

管理功能

必须支持2个系统软件并存，并支持系统软件回滚，防止配置不当或系统故障造成的网络中断，充分保证系统的稳定性。

必须支持基于已认证用户身份的访问URL日志记录。

支持监控设备系统资源的实时状况，必须包括CPU、内存、接口带宽、日志容量、策略数、会话数等对象。

必须支持在NAT的动态端口资源利用率达到一定值时,设备能够主动发送告警信息通知设备管理人员。

支持HTTP、HTTPS方式进行设备管理、操作界面支持全中英文管理界面。设备管理：可通过远程登录（命令行、图形界面）方式对设备进行管理操作，且可以完成所有操作。

统计

要求支持基于IP地址的流量统计功能，包括短时间周期和长时间周期。

要求支持基于应用的流量统计功能，包括短时间周期和长时间周期。

要求支持基于IP地址的会话统计，包括短时间周期和长时间周期。

要求支持基于应用的会话统计，包括短时间周期和长时间周期。

要求支持自定义统计功能。

指标项

指标要求

交换性能

交换容量不低于56Gbps,转发速率不低于40Mpps

端口形态

提供10/100/1000MBase-T 端口数不低于24个；提供的千兆SFP光口数不低于4个且为非复用端口，最大可用千兆口>=28；

L2功能

支持Private VLAN、protocol based VLAN

IPv6

支持IPv6主机管理相关协议

ACL功能

支持标准IP ACL（基于IP地址的硬件ACL）、扩展IP ACL（基于IP地址、TCP/UDP端口号的硬件ACL）、MAC扩展ACL（基于源MAC地址、目的MAC地址和可选的以太网类型的硬件ACL）、专家级ACL （可同时基于VLAN号、以太网类型、MAC地址、IP地址、TCP/UDP端口号、协议类型、时间等灵活组合的硬件ACL）、时间ACL等

镜像功能

支持RSPAN、支持流镜像

IPv6 QoS/ACL

配置支持源/目的IPv6地址、源/目的端口的硬件IPv6 ACL 和IPv6 QoS