沧州师范学院上网行为管理及超融合平台扩容采购项目（A包：上网行为管理系统）

序号

设备名 称

技术指标

数量

1

Web VPN

硬件配置：

★≥1U机架架构，≥6个10/100/1000 Mbps网络接口，≥2个USB接口，≥1个console口，≥2个可扩展万兆接口，支持多机分布式部署。

性能要求：

★支持≥10000统一身份认证系统用户对接，并发用户数≥5000，并发连接数≥500000，可管理网站数量≥200，可管理运维主机数量≥100。

系统架构：

▲系统要求可支持分体式部署的HTTP引擎（非代理服务器、SSL VPN、L2TP或IPSec VPN），主控制器允许外网访问，而由内网隧道控制器来访问内部业务，中间由防火墙做相应的安全策略，主控制器不可以访问隧道控制器或内网，保证内外网络隔离和分级。

★能够按照用户组和用户来确定用户身份，通过资源白名单来做资源授权访问，做到应用隔离；要求无需浏览器插件和客户端程序，访问网络内的业务系统和进行设备运维。

兼容性要求：

兼容主流的浏览器包括IE、Chrome、Firefox等。

全功能免浏览器插件和客户端。（此功能要求提供现场演示）

支持Windows、Linux、安卓、IOS、WinCE等

资源类型：

▲支持校内的信息门户、OA、财务、人事、科研、学工等各类Web业务系统，未授权系统不可访问。

支持图书馆购买的外部电子资源访问，且支持资源库的自动更新。支持站点白名单通配符泛域名和IP段配置。（提供截图证明文件）

支持主机运维调试，支持Telnet、SSH、RDP、VNC协议访问设备。

支持校内站点反向代理配置。

资源安全：

支持主机运维屏幕录像审计。

支持内部站点的白名单授权，未授权站点禁止访问。

支持图书馆外部资源库白名单授权，未授权站点禁止访问。

禁止资源站点作为此系统的站点目录来访问。

用户认证：

支持手机动态口令、微信动态口令、动态口令卡、用户名口令、CAS统一身份认证。（提供截图证明文件）

支持LDAP、CAS、CAS Restful API、oauth、radius统一身份认证。

支持同时启用CAS+LDAP+本地用户+微信企业号认证+动态网络协议口令牌。（提供截图证明文件）

网络协议：

支持IPv4、IPv6，6to4、4to6、6to6、4to4

支持http、https

支持Telnet、ssh、超级终端、远程桌面、VNC、RDP

便捷性：

支持站点与站点分组的正交配置

支持用户和用户组的正交配置

支持站点和用户的批量修改

支持站点和分组的排序

支持管理员共享主机给其他厂商的人员访问

支持运维主机共享时间设置

支持资源的授权访问和公开访问配置

支持资源链接的快捷访问，能够识别内外网IP来源，内部IP可不认证直接访问，外部用户要认证后才可访问（提供截图证明文件）

支持运维主机密码代填

系统安全：

启用https，签发可信域名证书

外部主控制器和内部隧道机采用单向连接，只允许内部隧道机访问外部主控制器，不允许外部的主控制器访问内网隧道机及内部业务系统

不允许外部的用户直接访问内部隧道机的IP及系统，包括NAT之后的IP及反代之后的系统

主控制器和隧道机之间点对点的认证和加密数据传输

主控制器系统页面防篡改

系统资源对用户白名单授权，禁止未授权用户能够显示和越界访问资源

登录安全：

支持短信和微信动态口令

支持弱口令登录阻断

支持口令错误过多后账号锁定

支持单IP用多账号错误登录的IP锁定

支持管理员登录IP限制

支持管理员二次登录认证

支持双因子认证

支持几次错误口令后启用页面验证码

日志统计：

支持本地日志存储（按照国家等级保护要求日志存储180天）

支持外部syslog日志服务器存储

登录日志、访问日志、配置修改日志等全记录

支持记录用户、时间、IP、访问主机、访问URL

支持用户、IP、主机访问日志查询，支持时间段查询

支持top站点统计和top用户统计

主机运维屏幕录像

日志统计

访问控制系统云服务：

可支持动态口令短信服务

可支持微信动态口令

https可信域名证书签发服务

图书馆资源库自动更新

二次开发：

与数字校园原有身份认证系统对接服务

★提供三年原厂质保和软件特征库升级服务

1台

2

一体化上网行为审计平台

硬件配置：

★设备要求＞1U机架架构，≥1个console口，≥1个USB口，≥6个千兆电口，≥2个SFP光口，≥2个接口扩展插槽，开放至少24个WAN接口永久使用授权许可，开放8路SFP+授权许可，存储空间≥1T，双电源，网络吞吐≥7.5Gbps，并发连接≥450万。设备电口支持bypass功能，当行为管控设备故障或者断电时，网络不断；设备本身的运行系统单独存放在CF卡中，要与日志存储分开；

网络适应性：

★本次采购的上网审计平台能接受、分析我校现有网络出口部署的一体化网络防护单元分光或者镜像（为避免单点故障，无需额外配置分光模块和交换机）过来的全院全网流量。本次采购的上网审计平台必须可以和我校现在部署的网络准入平台实现用户认证联动（上网审计平台可以读取并审计准入平台的用户名和密码）。

▲支持基于应用层服务的策略路由，支持ISP自动地址表（电信、移动、网通、铁通、教育网等）的策略路由的选路方式，支持PPPoE拨号以及负载均衡支持基于链路的上行、下行、总流量自动均衡的多链路负载均衡算法，基于固定指派链路的自动均衡算法，基于最佳路径的多链路负载均衡算法，支持DHCP Replay/Serve。

支持静态路由、gre、vlan透传、单臂路由。

支持两台及设备同时做主机的部署模式，桥模式下必须支持接口联动，配置同步；

为配合国家主管部门IPV6网络升级改造要求，本次采购设备必须支持接口配置ipv6地址、支持ipv6地址簿、支持ipv6策略路由、NAT64、NAT66、DNS64等相关配置，支持ipv6流量审计支持ipv6环境下认证、流量控制、行为控制和防火墙策略。

▲我单位存在互联网多出口，为保障带宽要求采购设备支持将多个以太网物理端口捆绑成一条逻辑端口（即将多个端口捆绑成一个逻辑的端口以增加带宽，同时增加链路备份）支持基于mac、轮循、主备、哈希、广播、802.3ad、发送自适应、双向自适应等，在保障网络带宽的同时能够实现链路的冗余。

▲为满足下联单位通过加密方式传输数据和视频，要求采购设备配置l2tp、gre vpn、pptp、ipsec授权许可。

支持DNS链路健康检查算法，支持ICMP链路健康检查算法；支持TCP链路健康检查算法，支持自定义的链路健康检查算法；

实时监控：

能够提供服务趋势图、服务组趋势图、活跃服务以及所有服务趋势。并且支持快速定位使用对应服务的用户。

为保证视频的带宽要求本次采购设备能够提供流量使用排名，提供前50名用户流量适用情况，并支持趋势图、黑名单、显示活跃服务等操作。通过黑名单可以直接强制某个流量异常用户下线或者快速修改带宽。

能够直接显示已认证且在组织结构中、已认证但不在组织结构中、以及未通过的认证的用户状态。支持以用户名、所属组、ip、mac、用户类型、绑定检查、时间等参数查询用户。

行为管控：

★默认支持L2TP协议剥离、GRE协议剥离、LWAPP协议剥离、CAPWAP协议剥离，并支持自定义协议剥离。

支持https网站识别，支持加密网站搜索，支持ssl论坛加密发帖内容识别，支持基于关键字的控制。支持基于授权签名的方式实现https审计免除告警的行为。

支持基于支持邮件的“发件人/主题关键字/内容关键字/附件类型”过滤（POP3/SMTP/Web Mail），支持ssl加密邮件内容和标题的识别和过滤。

支持智能流量控制、实名认证、防非法外连、基于行为动作的精细化管控，让网络有序可控。

可以对网页、聊天工具、邮件、论坛、微博、搜索引擎、文件传输等行为多维关联轨迹分析和可视化呈现，保障内部网络安全合规。

流量管理：

支持基于源ip、地址薄、用户及用户组的流控策略。支持基于每个人的限速以及整体限速。

为保证视频会议召开要求采购设备能根据地址的“每日/每周/每月”使用的流量(上行/下行/双向)总和超过预设阀值，则自动进入黑名单。

为保证视频会议召开要求采购设备能根据在连续一段时间的“上行速率/下行速率”超过预设阀值，则自动进入黑名单提供证明文件。

日志管理：

系统能够支持Syslog等第三方日志服务器系统。

支持与态势感知系统对接，发用用户行为分析等数据。

支持将用户行为日志上传到学校现有的日志集中管理平台：

★一体化综合上网行为审计平台日志数据必须能加入到我校现有的网络安全日志收集与综合分析平台，并且能够免费提供日志对接接口，免费按照日志审计系统日志格式要求进行开发和对接（按照国家等级保护要求日志存储180天）

其他要求：

★按照计算机等级保护2.0测评标准要求，我中心已配置了统一网络管理平台系统，实现了对各种设备的监控、管理、记录等功能，要求本次采购的设备和中心机房现有安全设备全部接入同一网络管理平台系统，实现对设备的运行状态监控、联动管理和数据记录等功能，由中标单位对管理设备节点授权许可免费扩展增加，本次增加授权许可数量不低于100点。

★提供三年原厂质保和软件特征库升级服务

1台