项目名称：北京大学医学部下一代防火墙及交换机购置招标采购项目项目编号：CEIECZB**－**CY***一、项目联系方式：项目联系人：陈彦、姚子良、张艳丽 项目联系电话：***－******** ***－******** 二、原公告名称及地址时间等：首次公告日期：****年**月**日本次变更日期：****年**月**日原公告项目名称：北京大学医学部下一代防火墙及交换机购置招标采购项目原公告地址：http://***.******.***.cn/cggg/zygg/gkzb/******/t********_*******.htm三、更正事项、内容：技术参数变更变更内容如下：一、更改“设备一：下一代网络出口防火墙”技术规格更改前为：设备一：下一代网络出口防火墙： 项目 参数要求 ★硬件要求 硬件架构 硬件平台采用下一代防火墙架构，具有下一代防火墙专用的安全操作系统，冗余本地化数据存储 接口数量 千兆电接口≥ **个千兆光接口≥ *个万兆光接口≥ *个配齐所有多模模块 电源风扇 配置双冗余电源，电源、风扇模块支持热插拔 ★性能指标 防火墙吞吐量 ≥**Gbps 防护性能 ≥**Gbps（同时开启IPS、防病毒功能、恶意程序防护功能、日志记录） IP sec ≥*.*Gbps 并发连接数 ≥***万 新建连接数/秒 ≥***,*** 策略数量 ≥**,*** 虚拟化系统 ≥*** 安全域 ≥*** 第三方评测报告 提供第三方评测报告，证明产品技术和知名度具有领先性，参考如Gartner报告等（提供相关证明报告） 提供第三方功能测试报告，对安全防护能力提供测试结果证明，如NSS Labs测试结果（提供相关证明报告） 功能要求 工作模式 支持路由模式、透明模式、混合模式 VLAN 设备支持 ***.*q VLAN 标签，最大接口数：****；支持聚合接口（***.*ad） DDos防护 支持 DDos的防护功能，可以基于策略进行精细设定 访问控制 针对传统IP *元组进行控制，同时能针对应用程序进行访问控制 应用识别 支持基于内部特征库的应用识别，防火墙安全策略可基于应用进行设置 URL 过滤 支持URL过滤功能，支持在线实时校验URL分类，支持自定义URL类别 文件控制 支持文件识别和数据过滤，可通过策略控制未经授权的文件传输和敏感数据传输 (提供功能截图) WEB应用行为控制 允许使用学校内网基于WEB应用比如教学、教务系统，但是不允许下载exe等可执行类型的文件(提供功能截图) 威胁防护能力 支持完善的IPS功能、完善的防病毒功能和恶意程序防护功能，实现对应用系统及操作系统漏洞的保护，能够应对病毒 、间谍软件、蠕虫的威胁。 安全事件分析响应 应用安全关联事件告警，能自动组合攻击日志，根据IPS、防病毒、间谍软件检测的事件做攻击来源画像(提供功能截图) NAT 支持正向、反向地址/端口转换、双向地址转换等，支持在透明方式下的地址转换，能够提供完整的地址转换解决方案，支持IPV*/IPV* 可靠性 支持双机热备功能，包括主备模式、主主模式，如设备具有存储能力，需保障存储设备冗余 配置管理 支持WEB管理及命令行管理，支持基于SSHv*的远程安全管理，支持分级管理，支持Syslog、 SNMPv*/v* 日志报表 提供报表模块功能，定期生成自动发送定制的应用安全事件报表可以按照应用在特定时间段的session、流量等情况进行报告、排序；支持基于应用、URL分类、威胁、数据过滤的统计分析，提供图形化统计工具；记录基于流量、威胁、URL和数据过滤等各种日志，便于查看分析 提供基开放API接口 提供API的第三方接口，便于获得设备各种状态和数据统计信息包括但不限于XML IPv* 支持IPv*基本特性（协议处理、ICMPv*、地址管理、ND，TCP*、UDP*）；支持IPv*转发，IPv*路由；支持基于IPv*的应用识别、内容识别 产品资质 投标产品具有公安部颁发的销售许可证 售后服务 免费现场安装和培训，提供*年免费维保服务（包括硬件更换、策略库更新、上门服务支持等） 更改后为：设备一：下一代网络出口防火墙： 项目 参数要求 ★硬件要求 硬件架构 硬件平台采用下一代防火墙架构，具有下一代防火墙专用的安全操作系统，冗余本地化数据存储；管理与安全控制功能使用分离的硬件资源，不能互相影响侵占资源。 接口数量 非定制化配置。千兆电接口≥ **个千兆光接口≥ *个万兆光接口≥ *个配齐所有多模模块 可靠性 配置双冗余电源，电源、风扇模块支持热插拔；支持双机热备功能，包括主备模式、主主模式。 ★性能指标 设备吞吐量 ≥**Gbps（开启*层应用识别功能），提供官网截图为证 *层防护吞吐量 ≥**Gbps（同时开启IPS、防病毒功能、恶意程序防护功能、日志记录；同时开启应以最小数据为准），数据以官网截图为证 设备性能率 *层防护吞吐量/设备吞吐量 ≥*.*，数据以官网截图为证。 IP sec ≥*.*Gbps 并发连接数 ≥***万 新建连接数/秒 ≥***,*** 策略数量 ≥**,*** 虚拟化系统 ≥*** 安全域 ≥*** ★第三方评测报告 提供国际计算机安全协会（ICSA，***.******.***）出具的****下一代防火墙对高级威胁防御模块（Advanced Threat Defense，简称ADT） 报告（提供ICSA官网截图报告） 提供NSS Labs测试报告，对安全防护能力提供测试结果证明。 功能要求 工作模式 支持web模式下配置旁路、路由模式、透明模式、混合模式 路由支持 静态路由、动态路由(OSPF/RIP/BGP以及子接口和端口聚合OSPF) VLAN 设备支持 ***.*q VLAN 标签，最大接口数：****；支持聚合接口（***.*ad） DDos防护 支持 DDos的防护功能，可以基于策略进行精细设定 访问控制 针对传统IP *元组进行控制，同时能针对应用程序进行访问控制 应用识别 支持基于内部特征库的应用识别，防火墙安全策略可基于应用进行设置 URL 过滤 支持URL过滤功能，支持在线实时校验URL分类，支持自定义URL类别 文件控制 支持文件识别和数据过滤，可通过策略控制未经授权的文件传输和敏感数据传输 (提供功能截图) WEB应用行为控制 允许使用学校内网基于WEB应用比如教学、教务系统，但是不允许下载exe等可执行类型的文件(提供功能截图) 未知威胁检测 支持以下所有文件格式，要求提供功能截图，包括但不限于：flash\apk\pdf\jar\pe\ppt\word\excel\以及Email Link 威胁防护能力 支持完善的IPS功能、完善的防病毒功能和恶意程序防护功能，实现对应用系统及操作系统漏洞的保护，能够应对病毒 、间谍软件、蠕虫的威胁。 安全事件分析响应 应用安全关联事件告警，能自动组合攻击日志，根据IPS、防病毒、间谍软件检测的事件做攻击来源画像(提供功能截图) NAT 支持正向、反向地址/端口转换、双向地址转换等，支持在透明方式下的地址转换，能够提供完整的地址转换解决方案，支持IPV*/IPV* 配置管理 支持WEB管理及命令行管理，支持基于SSHv*的远程安全管理，支持分级管理，支持Syslog、 SNMPv*/v* 日志报表 提供报表模块功能，定期生成自动发送定制的应用安全事件报表可以按照应用在特定时间段的session、流量等情况进行报告、排序；支持基于应用、URL分类、威胁、数据过滤的统计分析，提供图形化统计工具；记录基于流量、威胁、URL和数据过滤等各种日志，便于查看分析 提供基开放API接口 提供API的第三方接口，便于获得设备各种状态和数据统计信息包括但不限于XML，需支持无线厂商Aruba进行API集成，提取到无线AP后面的真实源IP地址和用户的对应关系。 IPv* 支持IPv*基本特性（协议处理、ICMPv*、地址管理、ND，TCP*、UDP*）；支持IPv*转发，IPv*路由；支持基于IPv*的应用识别、内容识别 产品资质 投标产品具有公安部颁发的销售许可证 售后服务 免费现场安装和培训，提供*年免费维保服务（包括硬件更换、策略库更新、上门服务支持等） 二、更改“设备二：下一代数据中心防火墙”技术规格更改前为：设备二：下一代数据中心防火墙： 项目 参数要求 ★硬件要求 硬件架构 硬件平台采用下一代防火墙架构，具有下一代防火墙专用的安全操作系统，冗余本地化数据存储 接口数量 千兆电接口大于等于 **个多模千兆光接口大于等于 *个万兆光接口大于等于*个配齐所有接口模块（多模） ★性能指标 防火墙吞吐量 ≥*Gbps 威胁防护性能 ≥*Gbps（同时开启IPS、防病毒功能、恶意程序防护能*层应用识别防护）要求同时启用日志记录 并发连接数 ≥**万 新建连接数/秒 ≥**,*** 策略数量 ≥**** SSL vpn用户数 ≥**** 提供第三方评测报告 提供第三方评测报告，证明产品技术和知名度具有全球领先性，参考如Gartner报告等提供第三方功能测试报告，对安全防护能力提供测试结果证明，如NSS Labs测试结果，（提供相关证明报告） 功能要求 工作模式 支持路由模式、透明模式、混合模式 VLAN 设备支持 ***.*q VLAN 标签，最大接口数：****；支持聚合接口（***.*ad） QoS 支持基于应用的QOS控制，能够基于区域Zone、IP地址、FQDN、URL、端口及*层应用设定保障带宽或限制带宽；支持对地址、端口、应用设置IP DSCP 或 IP Precedence的QOS标签 DDos防护 支持 DDos的防护功能，可以基于Zone或策略进行精细设定 访问控制 针对传统IP *元组进行控制，同时能针对应用程序进行访问控制 应用识别 支持基于内部特征库的应用识别，防火墙安全策略可基于应用进行设置 URL 过滤 支持URL过滤功能，支持在线实时校验URL分类，支持自定义URL类别 文件控制 支持文件识别和数据过滤，可通过策略控制未经授权的文件传输和敏感数据传输 (提供功能截图) WEB应用行为控制 允许使用学校内网基于WEB应用比如教学、教务系统，但是不允许下载exe等可执行类型的文件(提供功能截图) 威胁防护能力 支持完善的IPS功能、完善的防病毒功能和恶意程序防护功能，实现对应用系统及操作系统漏洞的保护，能够应对病毒 、间谍软件、蠕虫的威胁。 安全事件分析响应 应用安全关联事件告警，能自动组合攻击日志，根据IPS、防病毒、间谍软件检测的事件做攻击来源画像(提供功能截图) NAT 支持正向、反向地址/端口转换、双向地址转换等，支持在透明方式下的地址转换，能够提供完整的地址转换解决方案，支持IPV*/IPV* 可靠性 支持双机热备功能，包括主备模式、主主模式 配置管理 支持WEB管理及命令行管理，支持基于SSHv*的远程安全管理，支持分级管理，支持Syslog、 SNMPv*/v* 日志报表 提供报表模块功能，定期生成自动发送定制的应用安全事件报表可以按照应用在特定时间段的session、流量等情况进行报告、排序；支持基于应用、URL分类、威胁、数据过滤的统计分析，提供图形化统计工具；记录基于流量、威胁、URL和数据过滤等各种日志，便于查看分析 提供基开放API接口 提供API的第三方接口，便于获得设备各种状态和数据统计信息包括但不限于XML IPv* 支持IPv*基本特性（协议处理、ICMPv*、地址管理、ND，TCP*、UDP*）；支持IPv*转发，IPv*路由；支持基于IPv*的应用识别、内容识别 产品资质 投标产品具有公安部颁发的销售许可证 售后服务 免费现场安装和培训，提供*年免费维保服务（包括硬件更换、策略库更新、上门服务支持等） 更改后为：设备二：下一代数据中心防火墙： 项目 参数要求 ★硬件要求 硬件架构 硬件平台采用下一代防火墙架构，具有下一代防火墙专用的安全操作系统，冗余本地化数据存储；管理与安全控制功能使用分离的硬件资源，不能互相影响侵占资源。 接口数量 非定制化配置。千兆电接口大于等于 *个多模千兆光接口大于等于 *个万兆光接口大于等于*个配齐所有接口模块（多模） 可靠性 配置冗余电源，支持双机热备功能，包括主备模式、主主模式 ★性能指标 设备吞吐量 ≥*Gbps（开启*层应用识别功能），提供官网截图为证 *层防护吞吐量 ≥*Gbps（同时开启IPS、防病毒功能、恶意程序防护功能、日志记录，同时开启应以最小数据为准），数据以官网截图为证。 设备性能率 *层防护吞吐量/设备吞吐量 ≥*.*，数据以官网截图为证。 并发连接数 ≥**万 新建连接数/秒 ≥**,*** 策略数量 ≥**** SSL vpn用户数 ≥**** ★提供第三方评测报告 提供国际计算机安全协会（ICSA，***.******.***）出具的****下一代防火墙对高级威胁防御模块（Advanced Threat Defense，简称ADT） 报告（提供ICSA官网截图报告） 提供NSS Labs测试报告，对安全防护能力提供测试结果证明。 功能要求 工作模式 支持web模式下配置旁路、路由模式、透明模式、混合模式 路由支持 静态路由、动态路由(OSPF/RIP/BGP以及子接口和端口聚合OSPF) VLAN 设备支持 ***.*q VLAN 标签，最大接口数：****；支持聚合接口（***.*ad） QoS 支持基于应用的QOS控制，能够基于区域Zone、IP地址、FQDN、URL、端口及*层应用设定保障带宽或限制带宽；支持对地址、端口、应用设置IP DSCP 或 IP Precedence的QOS标签 DDos防护 支持 DDos的防护功能，可以基于Zone或策略进行精细设定 访问控制 针对传统IP *元组进行控制，同时能针对应用程序进行访问控制 应用识别 支持基于内部特征库的应用识别，防火墙安全策略可基于应用进行设置 URL 过滤 支持URL过滤功能，支持在线实时校验URL分类，支持自定义URL类别 文件控制 支持文件识别和数据过滤，可通过策略控制未经授权的文件传输和敏感数据传输 (提供功能截图) WEB应用行为控制 允许使用学校内网基于WEB应用比如教学、教务系统，但是不允许下载exe等可执行类型的文件(提供功能截图) 未知威胁检测 支持以下所有文件格式，要求提供功能截图，包括但不限于：flash\apk\pdf\jar\pe\ppt\word\excel\以及Email Link 威胁防护能力 支持完善的IPS功能、完善的防病毒功能和恶意程序防护功能，实现对应用系统及操作系统漏洞的保护，能够应对病毒 、间谍软件、蠕虫的威胁。 安全事件分析响应 应用安全关联事件告警，能自动组合攻击日志，根据IPS、防病毒、间谍软件检测的事件做攻击来源画像(提供功能截图) NAT 支持正向、反向地址/端口转换、双向地址转换等，支持在透明方式下的地址转换，能够提供完整的地址转换解决方案，支持IPV*/IPV* 配置管理 支持WEB管理及命令行管理，支持基于SSHv*的远程安全管理，支持分级管理，支持Syslog、 SNMPv*/v* 日志报表 提供报表模块功能，定期生成自动发送定制的应用安全事件报表可以按照应用在特定时间段的session、流量等情况进行报告、排序；支持基于应用、URL分类、威胁、数据过滤的统计分析，提供图形化统计工具；记录基于流量、威胁、URL和数据过滤等各种日志，便于查看分析 提供基开放API接口 提供API的第三方接口，便于获得设备各种状态和数据统计信息包括但不限于XML IPv* 支持IPv*基本特性（协议处理、ICMPv*、地址管理、ND，TCP*、UDP*）；支持IPv*转发，IPv*路由；支持基于IPv*的应用识别、内容识别 产品资质 投标产品具有公安部颁发的销售许可证 售后服务 免费现场安装和培训，提供*年免费维保服务（包括硬件更换、策略库更新、上门服务支持等） 四、其它补充事宜：其他事项不变。五、联系方式：采购单位名称：北京大学医学部采购单位地址：北京市海淀区颐和园路*号采购单位联系方式：凌老师 ***-********采购代理机构全称：北京中******采购代理机构地址：北京市西城区大木仓胡同北一巷*号采购代理机构联系方式：陈彦、姚子良、张艳丽***－******** ***－********