序号

产品名称

描述

数量

单位

单价（元）

总价（元）

1

业务系统安全防火墙

2U,6个千兆电口，4个千兆光口,4个万兆光口，冗余电源,1个扩展槽位,防火墙吞吐20G，并发连接500万，每秒新建连接16万（含3年描查杀病毒库升级服务许可）

4

台

功能项

详细功能要求

产品要求

所投产品必须为下一代防火墙，非UTM或其他产品，产品采用X86多核及自主知识产权的多核并行安全操作系统构成；（提供相应资质证明）；配备1年应用特征库升级许可；3年描查杀病毒库升级服务许可；

为保障系统运行的可靠性与稳定性，要求信息安全设备、系统软件的开发、生产符合TL9000-HSV R6.3/R5.7标准，提供认证证书复印件；

性能指标

防火墙吞吐≥20Gbps，应用（HTTP）吞吐量≥16 Gbps，每秒新建连接数≥16 万，并发连接数≥500万；用于HIS等业务系统服务群安全防护

硬件指标

机箱高度≤2 U，默认配置6 个千兆电口，4个千兆光口，4个万兆光口，配置交流冗余电源，配置1T硬盘；

工作模式

支持路由、交换、虚拟线、Listening、混合工作模式；

路由交换

支持根据入接口、源/目的IP地址/地址对象、源/目的端口、协议、用户、应用、选路算法、探测、度量值、权重等多种条件设置策略路由；

链路聚合

支持链路聚合，可根据源/目的mac、源/目的IP、源/目的端口、五元组、端口轮询等条件提供不少于10种链路负载算法；

支持具备多核下子连接并发识别与处理的能力，有效的提高了从控制连接中识别子连接并进行后续处理的性能,有效的提高了系统的并发处理能力。

DNS Doctoring

支持DNS Doctoring功能，能够将来自内部网络的域名解析请求定向到真实内网资源，提高访问效率，同时支持通过配置多条 DNS Doctoring，实现内网资源服务器的负载均衡；

媒体业务

支持SIP协议的媒体业务接入，实现内外网媒体系统之间上联和下联安全防护，符合GB/T 28181-2016《公共安全视频监控联网系统信息传输、交换、控制技术要求》；

访问控制

支持一体化安全策略配置，通过一条策略实现五元组、源MAC、域名、地理区域、应用、服务、时间、长连接、并发会话、WEB认证、IPS、AV、WAF、URL过滤、邮件安全、数据过滤、文件过滤、审计、APT等功能配置，简化用户管理；

提供策略命中、冗余、冲突、包含检查及策略查询功能，支持五元组快速查询以及针对策略名、源/目的区域、源/目的地址、服务、对象、未命中时间等条件进行细粒度查询；

支持资源利用最大化，具备提高防火墙芯片硬件加速性能的能力

应用控制

内置P2P应用（提供P2P流量识别能力相关权威证明材料）、加密应用（提供截图与加密流量识别相关能力权威证明材料）、数据库应用、工控物联网协议等应用特征库；支持应用特征库在线或本地更新，支持自定义应用特征；

URL分类过滤

支持超过80类、1000万的URL地址分类库，可针对网站类别实施管控，杜绝非法、违规网站的访问行为；

文件过滤

内置文件过滤引擎，支持HTTP/FTP/SMTP/POP3等标准协议进行检测，识别可执行文件、office文件、视频文件、图片文件、帮助文件、压缩文件、数据文件等超过50种文档类型的文件过滤；

内容过滤

内置内容过滤功能，可对FTP上传文件、下载文件、删除文件、重命名文件、创建目录、删除目录、列出目录等信令以及邮件发件人、收件人、主题、内容、附件等进行过滤；

黑名单

支持将五元组、源MAC、地址范围、应用、用户等加入静态黑名单，可与URL过滤、病毒过滤、防代理功能进行联动实现动态黑名单封锁，（提供截图证明）支持静态和动态黑名单命中统计和监控；

防代理

内置防代理功能，阻断网络用户通过代理主机进行攻击、共享上网等行为；

连接控制

支持连接控制和监控，可对源/目的地理对象、应用制定连接限制策略，可展示被拦截的IP、地址对象、应用的限制条件、被拒次数、最近被拒时间等信息；

入侵防御

支持独立的入侵防护规则特征库，规则库支持根据攻击类型、风险等级、流行程度、操作系统等进行分类，特征总数在5000条以上；能对常见漏洞进行安全防护，兼容国家信息安全漏洞库；

入侵防护动作包括告警、阻断、记录攻击报文，支持针对地址、应用设置入侵防御白名单，支持攻击规则搜索以及自定义，可对自定义规则导入导出；

厂商需具备强大的漏洞和攻防研究能力，为CNNVD一级支撑单位，能够确保每周至少更新1次攻击特征库；

病毒防御

支持对HTTP/SMTP/POP3/FTP/IM等协议进行病毒防御；支持至少2种专业反病毒厂商的病毒特征库（提供至少2家专业防病毒厂商或研究机构的合作文件复印件），病毒特征库规模超过400万

联动阻断

为提高服务器区针对SQL注入攻击等行为防范能力，设备支持与用户现有数据库审计系统TA-DB联动功能。从而可以实现由TA-DB系统进行监听，由联动防火墙进行阻断的安全策略；

DDOS防御

支持针对IP、ICMP、TCP、UDP、DNS、HTTP、NTP等协议进行DDOS防护；

支持基于UDP协议的检测清洗，包括对源、目的限速，对UDP最大及最小报文限制；支持UDP关联认证，对源地址进行合法性认证；

支持DNS FLOOD防护，能对DNS QUERY FLOOD、DNS REPLY FLOOD、DNS投毒、DNS格式等攻击提供DNS REPLY源认证、源限速、目的限速、域名限速等综合防护手段；

支持NTP流量检测清洗，能对NTP QUESY FLOOD、NTP REPLY FLOOD等攻击进行检测并提供基于NTP请求限速、NTP响应限速、源认证、会话认证的防御策略；

邮件安全

内置邮件安全防护功能，可进行匿名发件人、收发件人同名、非标客户端、收/发件人频率、收/发件IP频率、邮件长度、附件名称、附件数量检测，支持黑、白名单检测；

IPSEC VPN

支持IPSec VPN功能，支持AES、DES、3DES、MD5、SHA-1等VPN加密、认证算法，支持对隧道内网络流量进行监控展示；

SSL VPN

支持SSL VPN功能，满足远程用户安全接入内网，支持windows、Android、iOS等远程客户端接入；

配置维护

支持多个配置文件并存，配置文件备份能力不少于4个；配置文件支持选择部分配置和全部配置导入导出；

升级维护

支持主、备双系统以及多个系统版本文件并存，系统版本数量不少于5个；

审计

支持独立审计策略，可对URL地址、网页标题、网页内容、邮件行为、邮件内容、FTP上传/下载行为及文件内容进行审计；

提供完善的审计数据查询功能，可对用户访问网站、邮件收发、论坛微博、FTP、TELNET等上网行为以及用户上网流量时长等内容进行查询；

日志

支持日志本地存储，可对不同类型日志设置存储空间，支持日志外发至多个服务器，可设置日志传输协议、时间类型、日志语言、是否合并及加密传输等参数；

设备状态

支持对设备CPU、内存、磁盘、整机流量、新建、并发进行统计，展示设备CPU、内存、硬盘实时利用率及其历史走势图；

流量统计

为方便用户运维管理，设备支持根据服务器对通过设备的数据报文流量进行统计，包括各个服务器的服务器 IP、上行流量、下行流量、总流量以及新建会话数；