1、12016沪电设备采购第 41 号上海电力学院因校园网网站安全管理需要,拟采用询价方式采购校园网多功能网关设备一台。邀请具备相应设备销售和安装资质能力的制造商或经销商前来参加。经销商须具有原生产厂商出具的针对本项项目的授权书。一、 采购设备名称及预算多功能网关,项目预算:人民币 198,000 元。二、 所投产品资质及指标要求(为必满足项)序号 指标项 功能描述专有硬件平台 硬件采用 MIPS多核处理架构管理接口 1个 Console接口,1 个 USB接口,1 个 MGT接口,1 个专用HA接口接口数量本次提供 4个 10/100/1000M自适应电口,12 个 SFP千兆接口(含模块)电源
2、 热插拔双冗余电源,功率450W4个扩展插槽,最大可扩展到 40千兆接口或 16个万兆接口支持扩展 bypass接口,最大可扩展 16个 bypass接口扩展性要求支持扩展 POE接口,最大可扩展 8个 POE接口设备硬件要求热插拔风扇 支持可热插拔风扇,更换风扇不影响设备正常运行吞吐量 40Gbps性能要求(提供产品彩页并加盖原 防病毒吞吐量 10Gbps2IPS吞吐量 18Gbps,本次招标要求提供 IPS服务。IPSec VPN吞吐量 25Gbps并发会话数 1500万最大 IPSec VPN隧道数本次提供 20000条 IPSEC VPN隧道每秒新建 TCP连接数60万厂公章)SSL
3、VPN用户数本次提供 8个 SSLVPN并发用户,支持扩展到 10000个并发用户支持端口镜像支持将任意接口数据完全镜像到设备自身的其他接口用于抓包分析(要求提供配置界面截图,并加盖原厂公章有效)接入模式 支持透明、路由、混合、旁路、直连(虚拟线)五种工作模式支持动态地址转换和静态地址转换,支持多对一、一对多和一对一等多种方式的地址转换支持 NAT full cone模式支持 NAT扩展技术,突破传统单个公网 IP地址 64512个端口的瓶颈达到更大值(要求提供界面截图,并加盖原厂公章有效)网络适应性NAT功能支持 NAT地址可用性探测,支持 NAT公网地址池中 IP有效性检测,避免因 NAT
4、地址无法使用导致业务中断(要求提供界面截图,并加盖原厂公章有效)3NAT支持 Sticky模式,每一个源 IP产生的所有会话将被 NAT到同一个固定的 IP地址BFD功能支持 BFD 功能,支持 BFD与静态路由 /OSPF/BGP进行联动。快速检测到与相邻设备间的通信故障,减小设备故障对业务的影响。通过与动态路由协议联动,缩短收敛时间,提升可靠性(要求提供界面截图,并加盖原厂公章有效)支持静态路由、等价路由、策略路由,以及BGP、RIPv1/v2、OSPF、ISIS 等动态 IPv4路由协议(非透传)路由协议策略路由支持基于指定 IP地址、指定应用协议、指定时间表生效(要求提供界面截图,并加
5、盖原厂公章有效)支持 A/P模式、A/A 模式,支持非对称路由场景高可用性(HA )支持基于接口、HTTP、PING 、ARP、DNS 、TCP 等监测对象实现 HA切换(要求提供界面截图,并加盖原厂公章有效)802.1X认证支持端口和 MAC等接入模式,802.1X 认证服务器支持本地服务器和 Radius服务器Web认证 Web认证支持 HTTP认证和 HTTPS认证,支持通过用户名/密码、短信方式进行用户上网权限的分配和认证DDNS功能 支持 DDNS功能,支持至少三种服务商域名ALG应用ALG支持 DNS、H.323、SIP、FTP、TFTP、RSH 、RTSP、 SQL Net、HT
6、TP、MS-RPC、PPTP/GRE 、SUN-RPC 等应用4支持基于 ISP的路由功能,支持内置 ISP地址列表和自定义地址列表功能,实现电信资源从电信线路访问、联通资源从联通线路访问(要求提供界面截图,并加盖原厂公章有效)支持基于多出口的 DNS代理功能,可根据配置实现对不同外网线路的 DNS服务器地址管理,当一条链路出现故障时,流量自动切换到其他链路的同时将 DNS服务器进行切换,避免出现跨运营商解析而导致访问变慢或中断。支持基于 Ping、Http 、ARP、DNS、TCP 端口等监控类型实现线路切换(要求提供界面截图,并加盖原厂公章有效)支持 ECMP(五元组、源地址、源地址和目的
7、地址等算法)等价权值负载均衡,针对不同链路的带宽,给予不同的权值,从而实现多链路的负载均衡(要求提供界面截图,并加盖原厂公章有效)支持 SmartDNS功能;注:SMARTDNS 功能实现当外部用户访问内部服务器时,联通用户解析到的域名 IP为联通地址,电信用户解析到的域名 IP为电信地址(要求提供界面截图,并加盖原厂公章有效)负载均衡 链路负载均衡支持线路过载保护功能,当某条外网线路拥塞时,自动将其流量切换到其他链路;系统对各出口的流量带宽进行实时监测,当自身接口的流量带宽超过配置的阈值时,新建会话的流量将不再从5这个接口转发。当此接口的流量带宽回落到正常值以下时,新建会话的流量再恢复从这个
8、接口转发(要求提供界面截图,并加盖原厂公章有效)支持基于接口时延的动态切换能力:系统从多出接口向外部某一个或多个目的地址探测时延。当自身接口的时延超过配置的阈值时,新建会话的流量就不再从这个接口转发,而是走其它接口。当此接口的时延回落到正常值以下后,新建会话的流量再允许从这个接口转发(要求提供界面截图,并加盖原厂公章有效)支持就近探测算法(根据 SYN报文探测的响应时间和 PING报文探测的响应时间等方法自动生成静态路由表,并将探测的响应时间生成日志)选择最优路径(要求提供界面截图,并加盖原厂公章有效)支持基于应用协议的路由功能,根据应用类型进行路由选择。例如将 P2P下载、P2P 视频应用协
9、议的流量引流至一条或多条指定互联网线路通信,并支持在多个链路上实现负载分担和链路质量监控(要求提供界面截图,并加盖原厂公章有效)支持基于 IP/掩码、地址范围设置地址簿,并支持排除地址设置防火墙 地址簿设置web管理界面可显示地址簿、服务簿、应用协议簿、时间表成员的关联项,显示在哪些策略、源 NAT、目的 NAT、会话限制、策略路由、QOS 流控中被使用,便于管理和维护(要求提供界6面截图,并加盖原厂公章有效)抗 DDoS攻击支持抵御所列所有攻击类型,包括:DNS Query Flood、SYN Flood、UDP Flood、ICMP Flood、Ping of Death、Smurf、Wi
10、nNuke ,动作支持记录、阻断两种模式。支持对不同安全域设定不同阈值和处理模式(要求提供界面截图,并加盖原厂公章有效)策略管理支持防火墙策略命中数统计功能,便于管理员维护防火墙策略(要求提供界面截图,并加盖原厂公章有效)支持本地数据库,并可通过 LDAP、Radius 和 Windows Active Directory域联动支持本地用户通过 Web认证后,通过认证登录成功页面修改自己的用户密码同一用户登录时支持设定只允许一人登录或多人同时登录用户认证支持和第三方认证系统联动(例如深澜、城市热点等认证系统)网页重定向支持基于策略方式的网页重定向功能。当用户使用 HTTP访问网页时,页面会先跳
11、转到指定页面,页面须支持自定义上网行为管理 应用协议智能识别支持对 2200+ 种应用的识别和控制,包括 200+移动应用,能够及时更新,更新频率至少 2次/月;支持主流电子邮箱、P2P下载、P2P 流媒体、Web 视频、网络游戏、社交网络、即时通讯、炒股软件、网管软件、地下浏览等应用流量进行识别和控制7及带宽管理(要求提供界面截图,并加盖原厂公章有效)支持应用过滤器便于配置和维护,至少支持 6个维度进行过滤,包括:名称、类别、子类、应用技术、风险界别、特性(要求提供界面截图并加盖原厂公章有效)支持两层八级管道嵌套(要求提供界面截图,并加盖原厂公章有效)对多层级管道进行最大带宽限制、最小带宽保
12、证、每 IP或每用户的最大带宽限制和最小带宽保证;根据安全域、接口、地址、用户/用户组、服务/ 服务组、应用/ 应用组、TOS、Vlan 等信息划分管道;可根据业务的优先级进行流量的差分服务,对消耗大量带宽资源的应用进行限制,保障用户网络中关键业务的顺畅进行智能流量管理(提供智能流量管理白皮书官方网站截图)支持带宽平均分配功能,可根据在线用户数动态均分现有带宽资源(要求提供界面截图,并加盖原厂公章有效)会话控制支持基于源地址、目的地址、生效时间、应用协议(http、 https、mysql、ms-sql、sqlnet、sip、P2P 下载、视频、网络游戏等)限制新建连接、并发连接(要求提供界面
13、截图,并加盖原厂公章有效)支持使用通配符定义 URL类型URL过滤支持 60种以上域名分类库,控制不良网站访问,支持查询 URL8归属的 URL分类库(要求提供界面截图,并加盖原厂公章有效)支持基于 URL地址的关键字对域名进行访问控制(要求提供界面截图,并加盖原厂公章有效)支持自定义 URL阻止访问的告警页面(要求提供界面截图,并加盖原厂公章有效)网页关键字过滤 支持网页关键字过滤,至少支持完全匹配和正则匹配两种模式系统回滚支持 2个系统软件并存,并可在 WEB界面上直接配置启动顺序,防止配置不当或系统故障造成的网络中断,充分保证系统的稳定性(要求提供界面截图,并加盖原厂公章有效)管理员密码
14、策略支持自定义管理员密码最小长度、密码复杂度设置(要求提供界面截图,并加盖原厂公章有效)集中管理支持专用硬件集中管理平台实现对多台设备的集中管理和监控,并收集运行日志三权分立至少内置三种管理角色,包括系统管理员、系统操作员、系统审计员(要求提供界面截图,并加盖原厂公章有效)系统告警 支持发送邮件、发送短信、发送 Trap等告警方式支持系统日志、威胁日志、会话日志、NAT 日志、URL 日志等日志类型统计管理日志威胁日志查询:提供不聚合、威胁名称、源 IP、目的 IP等方式9进行日志查询;以及支持过滤器精细化查询功能,查询条件包括:查询时间,威胁类型、级别、攻击主机、危害主机、检测引擎、源接口、
15、目的接口、处理动作支持基于标准 SYSLOG以及二进制的日志两种格式;二进制日志支持分布式存储到多台日志服务器,分布的算法至少支持轮询、源 IP HASH方式(要求提供界面截图,并加盖原厂公章有效)IM上下线日志支持对 QQ上下线的行为进行记录(要求提供界面截图,并加盖原厂公章有效)配置文件保存 支持不少于 10个配置文件并存,并支持配置文件的中文备注(要求提供界面截图,并加盖原厂公章有效)流量包统计支持按 64字节、 128字节、256 字节、512 字节等数据包流量统计(要求提供界面截图,并加盖原厂公章有效)管理界面 支持简体中文和英文操作界面支持在 WEB界面上显示设备的硬件状态:包括
16、CPU利用率、内存利用率、存储空间利用率、会话利用率、CPU 温度、机箱温度、风扇运行状况支持在 WEB界面上显示设备的整机流量、接口流量、并发连接数监控和统计支持基于 IP地址总流量、上行流量、下行流量、并发连接数、最近 1小时、最近一天、最近一月类型的统计10支持基于应用的流量、并发连接数、最近 1小时、最近一天、最近一月类型的统计公安部销售许可证 具备公安部颁发的计算机信息系统安全专用产品销售许可证 (三级):万兆管理体系认证证书 具备 ISO14001管理体系认证证书信息安全产品认证证书中国信息安全认证中心颁发的中国国家信息安全产品认证证书(三级):万兆信息技术产品安全测评证书具备中国
17、信息安全测评中心颁发的信息技术产品安全测评证书(EAL3):万兆电信入网许可证 具备工信部颁发的电信设备进网许可证IPv6 Ready测试中心认证全球下一代互联网测试中心的“IPv6 Phase-2”认证,提供证书文件复印件并加盖原厂公章有效资质NSSlabs 两年内曾在 Nsslabs下一代防火墙测试中获得 “推荐级”三、 其他要求1、 需提供技术偏离表格,并严格按照指标要求进行偏离情况回答;2、 上线进度安排,提供上线计划安排,以不影响或者影响学校网络最小的情况下进行上线实施; 3、 技术支持与售后服务保障承诺,要求原厂质保期 3 年(提供原厂书面承诺函并加盖公章);4、 同类项目实施案例情况介绍;5、 报价中需提供原厂万兆接口板卡及万兆模块的报价(四个万兆接口),以备校方升级参考(不包含在本次招标总价中)。
