佛山市顺德区乐从镇人民政府办公室采购防火墙、入侵防御系统网上竞价公告[采购项目编号：********FP*************]注：点击申购单编号查看相关商品信息详细说明佛山市顺德区乐从镇人民政府办公室采购防火墙、入侵防御系统网上竞价就以下项目进行网上竞价，请符合条件的供应商踊跃参与。一、网上竞价编号：********FP*************二、网上竞价名称：佛山市顺德区乐从镇人民政府办公室采购防火墙、入侵防御系统三、采购人：佛山市顺德区乐从镇人民政府办公室四、联系人：何先生五、联系电话：****-********六、 多个品目采购时，不允许供应商对其中一个品目单独报价七、确定成交供应商原则： 所有品目总报价最低八、竞价开始时间：****-**-** *:**:** 竞价截止时间：****-**-** **:**:**九、竞价轮数：* 轮；每轮持续时间：**分钟；每轮间隔时间：**分钟十、品目类型：交换设备十一、金额上限：******.**元十二、竞价商品：商品名称计量单位采购数量单个商品最高限价（元）合计（元）防火墙、入侵防御系统（要求详见备注）套***.******.***.**十三、其他说明： 品牌要求 ★网神信息技术（北京）****** 型号要求 ★NSG****-TG**M下一代智慧防火墙系统 规格要求 ★网络层吞吐量*G，并发连接≥***万，每秒新建连接数**万， 标准*U机箱，冗余电源，标准配置*个**/***/****M自适应电口，另至少有*个接口板卡扩展插槽配备*口万兆光口板卡，*个Console口，支持液晶屏。 部署模式 产品支持路由、透明、交换以及混合模式接入，复杂应用环境的接入需求。支持旁路模式； 网络协议 所投产品必须支持*G/*G接入，并可实现*G/*G连接与有线链路之间的互为备份；支持的*G/*G移动通讯运营商必须包括中国联通、中国电信；支持的*G/*G网卡必须包括中兴MF***C所投产品必须支持MPLS流量透传；支持针对MPLS流量的安全审查，包括漏洞防护、反病毒、间谍软件防护、内容过滤、URL过滤、基于终端状态访问控制等安全防护功能；所投产品必须支持支持通过***.*ad协议、轮询、热备等方式将多个物理口绑定为一个逻辑接口，实现接口级的冗余，并可根据：源目的MAC组合、MAC和IP组合或TCP/UDP端口组合等方式实现负载和备份▲所投产品必须支持MTU≥****byte的巨型帧Jumbo 并（投标文件需提供能够体现上述组合方式的配置选项截图） 路由协议 ▲所投产品必须支持支持静态路由、策略路由及动态路由。策略路由支持用户自定义其优先级，动态路由应至少支持RIP v*/v*/Ng， OSPFv*/v*，BGP*/*+协议；必须支持静态和动态多播路由，动态多播路由必须支持PIM-SM（稀疏模式）（投标文件需要提供能够体现上述功能及配置选项的截图）所投产品必须支持基于策略的路由负载，支持根据应用和服务进行智能选路，支持源地址目的地址哈希、源地址哈希、轮询、时延负载、备份、随机、流量均衡、源地址轮询、目的地址哈希、最优链路带宽负载、最优链路带宽备份、跳数负载等不少于**种路由负载均衡方式，支持基于IPv*或IPv*的TCP、HTTP、DNS、ICMP等方式的链路探测，同时TCP与HTTP可使用自定义目标端口进行测试。所投产品必须支持ISP路由负载均衡，最大可支持*条链路负载，支持自定义负载权重，支持基于优先级的ISP路由链路备份；支持基于IPv*或IPv*的TCP、HTTP、DNS、ICMP等方式的链路探测，同时TCP与HTTP可使用自定义目标端口进行测试。 地址转换 所投产品必须支持全面的NAT转换配置，包括包括一对一，一对多，多对一的源、目的地址转换，并至少支持FULL_CONE模式和SyMMETRIC模式。所投产品必须支持在会话的源、目的地址同为IPv*地址时，可将目的地址转换至指定服务器地址，同时可探测服务器是否存活。▲所投产品必须支持在源地址转换过程中，对SNAT（源地址转换）使用的地址池利用率进行监控，并在地址池利用率超过阈值时，通过SNMP Trap、邮件、声音、短信等方式告警。（投标文件需提供能够体现上述功能配置选项截图 DNS代理 支持IPv*的DNS代理功能，即从指定的入接口或源ISP接收到的DNS解析请求，设备可根据自定义的IP、域名对应关系，代理DNS服务器返回查询结果。支持出站的DNS代理功能，支持在不更改内网终端设备DNS服务器地址设置的情况下，将DNS解析请求发送至指定的DNS服务器，并代理原DNS服务器返回解析结果。▲支持DDNS功能，支持Oray向日葵、PubyuN公云、Noip、ChaNgeip提供的DDNS服务，将动态获取的IP地址映射为固定的域名（投标文件需提供能够体现上述功能配置选项及支持（投标文件需要提供能够体现上述功能及配置选项、DDNS服务商的截图） IPv*支持 所投产品必须设备接口支持配置IPv*地址，并可使用IPv*地址管理设备；支持IPv*手动及自动的IP/MAC探测及绑定；所投产品必须支持IPv*下静态路由及策略路由、动态路由，动态路由应包括RIPNg、OSPFv*、BGP*+所投产品必须支持NAT**，包括： 对源地址为IPv*地址、目的地址为IPv*地址的会话执行源地址转换，将IPv*地址转换为IPv*地址，实现IPv*客户端转换为IPv*地址后访问IPv*资源 源地址为IPv*地址、目的地址为IPv*地址的会话执行目的地址转换，将IPv*地址转换为IPv*地址。实现IPv*客户端通过IPv*地址访问IPv*资源所投产品必须支持DNS**功能；支持IPv*入站的DNS代理功能，即从指定的入接口或源ISP接收到的DNS解析请求，设备可根据自定义的IP、域名对应关系，代理DNS服务器返回查询结果。所投产品必须支持配置基于IPv*地址的安全策略，并在一条策略中可同时启用入侵防御、反病毒、URL过滤、应用识别、反间谍软件等安全功能；▲所投产品必须支持针对IPv*流量通过HTTP、HTTPS实现Web认证，用户身份信息可存储在本地或Active DirectoryRadiusTACACS+POP*等第三方服务器；通过HTTPS实现Web认证必须支持使用本地CA颁发的证书同时使用证书验证客户端身份（投标文件需要提供能够体现上述功能及配置选项的截图） 高可靠性 所投产品必须支持路由模式、透明模式的HA高可靠性部署，可工作于主备、主主模式，会话、用户、配置可实时同步；HA高可靠性部署支持接口联动，某个端口失效（DOWN），属于同一接口组中其他端口都会进入失效状态（DOWN）；HA高可靠性部署支持配置接口权重；支持链路探测。 访问控制 所投产品必须支持基于源安全域、目的安全域、源用户、源地址、源地区、目的地址、目的地区、服务、应用、隧道、时间、VLAN等多种方式进行访问控制，并支持地理区域对象的导入以及重复策略的检查。 应用识别与控制 所投产品必须支持应用识别，应用特征库包含的应用数量（非应用协议的规则总数）大于****种，可深度识别每种应用的属性，为每种应用提供预定义的风险系数，并将应用基于类型、使用场景、数据传输、风险等级等特征分类。所投产品可直观展示不同风险等级的应用在*天（**小时）或一周（*天）内传输流量的绝对数值及占全网流量的百分比。 用户识别与认证 所投产品必须支持基于用户的访问控制，可与LDAP/Radius/证书/Active Directory/TACACS+/POP*等用户认证系统联动。所投产品必须支持***.*x认证，要求支持基于端口和MAC两种接入控制方式支持二层MAC地址IP地址绑定；支持跨三层MAC地址IP地址绑定。 邮件过滤 ▲所投产品必须支持基于关键字的接收、发送或双向Email发件人、收件人过滤，并支持自定义RLB服务器地址配置，并可结合IP黑名单或白名单 文件过滤 所投产品必须支持对应用的文件传输行为进行上传、下载、双向的文件类型过滤，应用至少包含即时通讯、常用协议、文件共享、论坛、博客、网页邮件五种分类；▲所投产品必须支持上传、下载、双向的文件内容过滤；内容过滤支持手工及文件批量导入两种方式进行敏感信息定义；内容过滤至少支持html、doc、docx、xls、xlsx、ppt、pptx、chm、*z等**种常见文件类型；文件类型识别基于文件特征而非扩展名，更改文件扩展名后仍可有效识别（投标文件需提供支持的文件类型，敏感信息定义方式及对应的设备配置截图） 流量管理 所投产品必须支持多调度类相互嵌套最大*级的带宽管理设置。支持设置每IP最大或最小带宽，支持对每IP进行带宽配额管理，可通过优先级实现多应用的差分服务，并支持对剩余带宽进行基于优先级的动态分配。支持配置基于IP、用户、应用的流量管理规则，且至少支持对****种应用定制流量管理规则 网络攻击防护 所投产品必须支持基于不同安全区域防御DNS Flood、HTTP Flood攻击，并支持警告、阻断、首包丢弃、TC反弹技术、NS重定向、自动重定向、手工确认等多种防护措施▲所投产品必须支持可配置阈值的基于安全域或基于二层接口局域网广播防护，防止局域网内广播和多播数据包泛滥（投标文件需要提供能够体现上述功能及配置选项的截图）▲所投产品必须支持DHCP协议防护；支持手动定义可信DHCP服务器IPv*和基于阈值限制DHCP请求传输速率（投标文件需要提供能够体现上述功能及配置选项的截图）所投产品必须支持基于安全区域的异常包攻击防御，异常包攻击类型至少包括PiNg of Death、Teardrop、IP选项、TCP异常、Smurf、Fraggle、LaNd、WiNNuke、DNS异常、IP分片等；并可在设备页面显示每种攻击类型的丢包统计结果。所投产品必须支持防御基于安全域的IP地址欺骗攻击，指定IP或网段必须从特定安全域流入 病毒防护 所投产品必须能够对HTTP/FTP/POP*/SMTP/IMAP/SMB六种协议进行病毒查杀所投产品必须支持对最多*级的压缩文件进行解压查杀所投产品必须支持基于MD*的自定义病毒签名；支持设置例外特征，对特定的病毒特征不进行查杀。 入侵防御 所投产品必须支持漏洞防护功能，同时将漏洞防护特征库分类，至少包括缓冲区溢出、跨站脚本、拒绝服务、恶意扫描、SQL注入、WEB攻击等六种分类；漏洞防护支持日志、阻断、放行、重置等执行动作,可批量设置针对某一分类或全部攻击签名的执行动作；支持基于FTP、HTTP、IMAP、OTHER_APP、POP*、SMB、SMTP等应用协议的漏洞防护。所投产品必须支持在设备漏洞防护特征库直接查阅攻击的名称、CVEID、CNNVDID、严重性、影响的平台、类型、描述等详细信息；所投产品的漏洞防护特征库包含高危漏洞攻击特征，至少包括“永恒之蓝”、“震网三代”、“暗云*”、“Struts”、“Struts*”、“Xshell后门代码”以及对应的攻击的名称、CVEID、CNNVDID、严重性、影响的平台、类型、描述等详细信息；所投产品必须支持间谍软件防护功能，同时将间谍软件特征库分类，至少包括木马后门、病毒蠕虫、僵尸网络等三种分类;支持在防火墙间谍软件签名库直接查阅攻击的名称、严重性、描述等信息；间谍软件防护支持日志、阻断、放行、重置等执行动作,可批量设置针对某一分类或全部攻击签名的执行动作；支持基于FTP、HTTP、IMAP、OTHER_APP、POP*、SMB、SMTP等应用协议的间谍软件防护所投产品必须支持自定义TCP、UDP、HTTP协议的漏洞特征，漏洞特征可通过多个字段以文本或正则表达式的形式进行有序和无序匹配，并可自定义漏洞的源、目的端口范围；同时可标识自定义漏洞的CVE编号或CNNVD编号。（投标文件需要提供能够体现上述功能及配置选项的截图）▲所投产品必须支持自定义基于TCP、UDP、HTTP协议的间谍软件特征。间谍软件特征可通过多个字段以文本或正则表达式的形式进行有序和无序匹配；并可自定义间谍软件的源、目的端口范围（投标文件需要提供能够体现上述功能及配置选项的截图） SSL 解密 所投产品必须支持IPv*和IPv*流量的HTTPS协议进行解密，支持配置基于源安全域、目的安全域、源地址、目的地址、SSL协议服务的解密策略，并可同时基于安全域、IPv*和IPv*地址进行例外设置。 IPSec VPN 所投产品必须支持支持IPSec VPN功能，支持基于主模式（MaiN Mode）、积极模式（Aggressive Mode）、国密三种协商模式建立的网关-网关加密隧道；支持本地CA并可为参与IPSec VPN隧道建立的设备颁发用于身份认证的证书。所投产品必须支持支持GRE隧道，支持GRE over IPSec VPN所投产品的IPSec VPN功能必须支持无损数据压缩算法 其他VPN 所投产品必须支持L*TP、支持L*TP over IPSec、支持PPTP ，并支持本地认证以及LDAP/Radius/证书/Active Directory/TACACS+/POP*等第三方用户认证系统。支持客户端地址分配。所投产品必须支持SSL VPN，支持使用SSL VPN客户端与防火墙建立SSL VPN加密隧道，支持对远程用户进行口令认证或证书认证，或证书认证+口令认证双因素；口令认证支持本地认证以及LDAP/Radius/证书/Active Directory/TACACS+/POP*等第三方用户认证系统；支持USB-key证书；支持本地CA并可为SSL VPN客户端颁发用于身份认证的证书。 网络异常感知 ▲所投产品必须支持基于主机或威胁情报视图，统计网络中确认被入侵、攻破的主机数量，至少可查看被入侵、攻破的时间、威胁类别、情报来源、威胁简介、被入侵、攻破的主机IP、用户名、资产等信息；并对威胁情报发现的恶意主机执行自动阻断（投标文件需提供能够体现被入侵、攻破的主机状态的截图）所投产品必须支持基于主机或威胁情报视图，统计网络中存在安全风险的主机数量以及对应的风险等级，至少可查看遭遇风险的时间、威胁类别、情报来源、威胁简介、失陷主机IP、用户名、资产等信息。所投产品必须支持统计网络内威胁事件的数量及对应的风险等级；支持一键跳转查看详情并自动显示关联日志；可基于网络连接、应用名称、威胁事件处置威胁事件。▲所投产品必须支持用户自定义重点URL分类和应用，并可基于定义的重点关注对象进行用户维度关联，并结合分析中心进行基于关联的用户/地址、URL分类、应用进行二次递进式深度分析，挖掘异常用户及异常网络行为。（投标文件需提供能够体现以上功能的设备截图） 安全事件分析 所投设备必须提供关联分析面板，可将Top应用、Top威胁、Top URL分类、Top源地址、Top目的地址等信息关联，并支持以任意元素于为过滤条件且不少于**个维度进行数据钻取。所投设备必须支持基于网络活动，威胁活动、阻止活动等多维关联统计及分析，发现异常行为。所投设备必须提供关联的威胁事件日志，系统可自动将产生威胁事件的连接经过防病毒、防漏洞、防间谍软件、URL过滤、文件过滤等安全模块检查的日志集中显示。所投设备必须支持自定义一个或多个过滤条件，防火墙上的全部日志进行模糊检索或指定条件的精确检索，快速定位特定目标当前行为是否存在异常，网络中是否存在异常等问题，并可记录一个或者多个自定义过滤条件历史。 策略与处置 所投设备可在单条策略中启用病毒防护、入侵防御、网址过滤、文件过滤、文件内容过滤、终端过滤等安全功能选项。所投设备必须支持安全策略的快速检索及基于名称、地址、端口、协议多维度的高级策略检索，支持策略的复制、调序、查询▲所投产品必须支持基于受害主机的一键式阻断链接、记录日志等处置动作，处置周期至少包括*天、*天、**天、**天、永久等；投标文件需提供能够体现上述功能及配置选项的截图所投产品必须支持接收针对突发重大安全事件的“应急响应消息”，并至少在界面显示安全事件名称、类型、当前防护状态、处置状态以及相应的操作等信息；并可根据设备安全配置的变化动态显示应急响应的处理结果。所投产品必须支持针对“应急响应消息”的手动或自动处置，处置方法至少包括基于漏洞的处置和基于威胁情报的处置。 运维管理 所投产品必须支持双系统备份，且在系统切换中可实现配置的自动迁移；可记录不同时间点的历史配置文件。所投产品必须支持三权分立管理 ，权限设置至少包括全部权限，仅具有策略变更权限和仅具有日志审计权限、仅具有账户配置权限、虚系统配置管理权限以及虚系统审计权限；并支持以读写、只读、无权限的方式自定义权限管理，权限管理的范围至少包括策略配置、对象配置、网络配置、系统配置、统计分析、威胁处置等。支持添加报表任务。支持每天、每周、每月生成报表。报表支持本地保存、下载、FTP服务器上传、邮件发送。支持自定义报表模板。模板下默认支持威胁汇总、流量汇总、应用程序汇总子类型。所投产品必须支持加密的WebUI和CLI管理，且支持网页命令行管理（WebUI中内嵌CLI管理界面），投标文件需提供WebUI内嵌CLI管理界面的设备截图所投产品必须支持将告警信息以SNMP Trap、邮件、声音、短信等形式通知管理员，告警信息的范围至少包括配置变更、病毒事件、攻击事件、异常事件、CPU利用率、内存利用率、硬盘利用率、接口带宽利用率等。所投产品必须支持将不同设备模块产生的不同重要性的日志发送至不同的日志服务器，设备模块至少包括配置、时间、流量、URL过滤、内容过滤、邮件过滤、行为、威胁等，重要性等级至少包括紧急、警报、严重、错误、告警、通知、信息、调试八种。所投产品必须支持通过TFTP或FTP协议实现IPS特征库、威胁情报库、应用识别库等数据库的实时更新。▲所投产品必须提供可明文或加密方式调用的Restful API，并可指定Restful API使用的本地端口；为确保设备管理的安全性，所投产品必须支持限制特定主机调用Restful API（投标文件需要提供能够体现上述功能及配置选项的截图）支持定义第三方设备、平台通过调用Restful API 至少可配置所投设备的访问控制策略、源NAT策略、目的NAT策略、静态路由、高可用以及区域、地址、服务、时间、用户对象等功能（投标文件必须提供所投产品的Restful API******公章）所投产品必须web页面必须内置抓包工具，并可通过表达式方便灵活的指定抓包过滤条件 云端协同 ▲所投产品必须支持与云端联动，至少实现病毒云查杀、URL云识别、应用云识别、云沙箱、威胁情报云检测等功能（投标文件需提供能够体现上述功能及配置选项截图） 威胁感知系统联动 ▲所投产品必须支持与本方案中配置的网络威胁感知系统联动，将本地终端产生的异常行为、攻击活动等数据上报至网络威胁感知系统，网络威胁感知系统可实时监控网络内的攻击事件并预警可疑的受感染主机，同时支持接收来自网络威胁感知系统推送的情报信息。（投标文件需要提供能够体现上述功能及配置选项的截图） 资质要求 ▲所投产品具备网神信息技术（北京）******出具的《制造厂家出具的授权书》及《售后服务承诺函》，投标文件提需供证书复印件并加盖厂商公章▲所投产品具备信息产业信息安全测评中心出具的《软件产品登记测试报告》，投标文件提需供证书复印件并加盖厂商公章▲具备《中国国家信息安全产品认证证书》（万兆），投标文件提需供证书复印件并加盖厂商公章，在中国信息安全认证中心官网可查（https://***.******.***.cN/CertSearch.aspx）▲具备中国人民解放军信息安全测评认证中心颁发的《军用信息安全产品认证证书》（万兆、军B级），投标文件提需供证书复印件并加盖厂商公章。▲具备中华人民共和国工业和信息化部颁发的《电信设备进网许可证》（投标文件提需供证书复印件并加盖厂商公章）▲为确保产品厂商实力，产品厂商应通过国测信息安全服务资质-安全开发类一级（投标文件提需供证书复印件并加盖厂商公章）★具有CNNVD技术支撑单位一级证书，并且近三年获得 CNNVD年度最佳支撑单位；（投标文件提需供证书复印件并加盖厂商公章）▲投标产品厂商通过信息技术服务标准ITSS认证（投标文件提需供证书复印件并加盖厂商公章）附件：佛山市顺德区乐从镇人民政府办公室****-**-**