银医前置设备采购要求.doc

银医前置设备采购要求 1、千兆防火墙 1套 指标项 规格要求 ★硬件要求 U标准机箱；标配10/100/1000MBase-T；含2个及以上高速USB2.0接口 系统要求 要求基于多核多平台并行安全操作系统（提供证明），并且采用双安全操作系统设计（提供截图）；软件采用模块化结构设计，可根据需要扩展IPSEC VPN、SSL VPN、防病毒、入侵防御、URL分类过滤等功能； ★性能要求 网络吞吐：Gbps；并发连接：20万；TCP新建连接：万/秒；新建连接：万/秒 功能要求 类别 招标要求 网络特性 ★支持路由模式、交换模式、混合模式、虚拟线模式，至少支持四对虚拟线配置；（要求截图证明） 支持静态路由、策略路由、RIPv1/2、OSPF、BGP等动态路由以及组播路由协议，策略路由要求支持基于入接口策略路由配置与全局策略路由配置，静态路由与策略路由要求支持等价多路径（ECMP）与加权多路径（WCMP）的路由均衡方式，并且能够根据预设探测条件实现动态的链路切换； 每个网络接口要求支持至少32个路由子接口配置，并且支持802.1Q封装； 支持ISL与802.1Q的trunk接口封装和解封，要求提供VLAN-VPN功能，并且支持802.1D与PVST生成树协议；（要求截图证明） 支持链路聚合功能，对每个聚合端口的物理接口数量无限制，提高聚合组的配置灵活性，并且要求支持至少10种以上的聚合负载算法； ★要求至少支持4路ADSL拨号接入，多ADSL链路可以实现等价多路径（ECMP）与加权多路径（WCMP）的路由均衡方式，能够针对每条ADSL链路单独设置保证带宽，并能够设置按需拨号；（要求截图证明） 支持端口镜像功能，要求能够基于IP、网络协议等条件对镜像流量进行过滤，并且支持入方向、出方向及双向流量镜像； 支持源地址转换、目的地址转换及双向地址转换策略，并且能够针对特定对象配置不转换策略； 网络安全 能够基于数据包的区域、地址、角色、VLAN、端口号、服务、域名等进行访问控制，并支持策略分组管理；需具备针对单条策略设置最大并发连接数、策略命中数统计与策略重复检查功能；（要求截图证明） 要求支持网络应用自学习功能并自动生成相关安全策略； 要求具有防止共享上网 ★免客户端方式实现跨越三层设备进行IP/MAC绑定功能； （要求截图证明） 系统管理 要求系统管理员能够通过“用户名＋口令＋图形认证码+USBKey”方式认证进行登录管理，支持管理员口令强度分级设置，要求分为高、中、低三级，并且口令长度限制可配置；（要求截图证明） 要求支持管理员分权管理，不同管理员分别管理不同的功能模块，能够自定义管理员权限模板，所有功能模块组合可由管理员自由组合配置；支持管理员分级管理，最多可达16级管理设置，不同级别的用户组可继承上级属性，也可自行设置属性； 支持国密局要求的管理员“三权分立”功能； ★要求支持本地多配置文件存储及配置回滚功能，并且可以有选择性的下载“运行配置”、“保存配置”、“备份配置”、配置文件加密下载以及按对象、策略等分类的部分配置文件下载/上传功能；要求具有配置文件自动定时上传到指定外部服务器功能；（要求截图证明） 高可用性 要求支持双系统引导、切换及系统还原功能； ★支持主备、负载均衡及连接保护多种设备高可用机制并支集群部署（集群设备数量≥8），要求能够在高可用对等体之间进行配置手动/自动同步、心跳接口物理备份及二级心跳接口功能；（要求截图证明） 支持服务器的负载均衡，提供轮询、加权轮询、最少连接、加权最少连接、源/目的地址HASH等多种负载均衡方式； 身份认证 认证客户端支持一次性口令认证（OTP）、本地认证、证书认证和免客户端方式认证；认证服务器支持本地认证服务器和第三方认证，如RADIUS、LDAP、TACACS、SECURID等； 支持多达4因素的组合捆绑认证（用户名口令、数字证书、短信、硬件特征码、指纹认证）；支持统一用户管理，防火墙、IPSEC VPN和SSL VPN使用同一套用户认证、管理系统； 支持用户口令复杂度设置、口令长度设置、密码过期时间设置、首次登陆口令修改、密码找回（短信、邮件等）等功能；支持单个账户多点登录地点数、账户有效期、登录地址范围控制等设置； 支持根据角色、独立用户、访问时间、URL、访问路径、访问文件、访问动作、外部组映射、证书用户、证书中字段属性等细粒度授权； 支持可信接入，对接入主机进行安全检查，包括安装的软件、进程、端口、服务、注册表、操作系统及补丁、文件、网卡等；支持接入前检查、接入后检查、定时检查等策略；支持可信接入的分级授权； 流量管理 采用基于访问控制策略的一体化带宽管理模式，能够针对用户、用户组、IP、MAC、时间、应用等进行带宽管理，并且支