上网行为管理设备招标参数.doc-附2.docVIP

附2 重庆市巴南区第二人民医院 上网行为管理设备招标参数 性能要求 流量管理吞吐量 ≥300Mbps 最大并发会话数目 ≥500,000 最大新建连接数 网络接口 共6×10/100/1000M自适应以太网接口 独立管理口 1(设备必须具备独立的（具备标识的）网络管理接口。所有业务接口均被用满后，仍然可以存在独立的管理口可以访问设备) 独立HA网口 1 USB接口数 2 RS232串口 支持 外型 标准1U机架式 BYPASS 设备必须提供物理硬件bypass按钮，便于设备巡检、设备故障时管理员无需关机，断电即可恢复网络通畅 功能要求 指标项 指标要求 设备部署 网关模式 设备可部署在网络中提供路由转发和NAT功能，可连接ADSL线路和专线,并可对外发流量进行制定比例的流量负载均衡,继而进行行为分析、审计和控制 镜像模式 设备可连接一条或多条镜像线路，获取网络信息，进行行为分析和审计 网桥模式 设备可直路串联在1条或多条原有网络线路上，进行行为分析、审计和控制。不改变网络拓扑，路由表项 多路桥接 支持多路网桥功能，实现8进8出，即8路桥接 ★协议处理 支持GRE、L2TP、QINQ、WLTP、CAACWS、LWAPP、CAPWAP协议下的网络环境 系统管理 WEB方式管理 可通过谷歌、火狐浏览器访问设备的日志中心，查看数据 命令行管理 必须支持采用公开SSH2客户端远程访问设备，配置命令行 必须支持采用PC自带超级终端通过设备串口管理设备，配置命令行 集中管理 多个设备可以被集中管理平台统一下发策略，回收策略 日志中心 加密访问 日志中心采用企业级Oracle数据库，访问、日志中心数据必须采用https加密方式访问，避免传输过程被窃取 策略模板 支持内置的常用模板策略，方便管理员快速生成策略; 支持策略的复制 三权分立 设备具备三权分立功能，减少超管权限，帮助超管免责 超管无论如何配置都无权看审计日志 审计员必须经过超管授权，审核员确认才能看日志 审核员仅能审核审计员权限是否合法，不能看日志 分级管理/权限管理 多名管理员、审计员，根据授权配置局部策略，查看局部日志 IPSec VPN 支持标准IPSec协议的VPN功能，能够实现隧道建立于配置、隧道状态监视、证书管理等内容 用户管理 组织架构建立 可通过手工方式、LDAP导入、数据库导入（SQL Server、MySQL、ORACLE）、文件导入、IP扫描等方式建立组织架构 web认证 支持本地、短信、LDAP、Radius、邮件认证方式的WEB认证 短信认证 白名单 只允许一个或多个特定手机号的用户进行短信认证 ★认证策略 可以基于IP、MAC、终端类型等多因素进行用户认证、识别 用户识别 支持对Kerberos、LDAP、AD、POP3、SMTP、Radius、PORTAL、锐捷SAM、H3C CAMS、PPPOE、城市热点等各种数据库格式的单点登录（AD识别采用非监听方式，非客户端脚本方式） 特权用户 支持key免审计、key免管控、key免认证三者的组合 认证安全 认证密码支持全局统一设定与随机获取的方式； 支持强制用户修改初始密码； 支持认证账号黑名单； 支持自定义登录失败的提示信息； 终端类型认证 根据不同的终端类型（PC、移动）选择不同的用户认证或者用户识别方式 自动录入 对于认证或者识别到的新用户自动录入到指定的组织位置 用户自动分类（属性组） 可以为用户添加多属性，并根据用户的属性（如职位、部门、电话、邮件等）自动进行用户分类，根据分类的结果做审计、控制策略 多认证页面 可以建立多个认证页面，供不同的Web认证策略引用，并可以支持用户完全自定义 多认证成功跳转页面 可以建立多个认证跳转成功页面，供不同的Web认证策略引用，并可以支持用户完全自定义 ★共享接入（防私接） 可识别私接主机个数，并可制定策略以私接主机个数为阀值进行封堵。同时可建立白名单; 可生成日志 识别用户设备类型、位置 可识别用户上网设备类型作为“工具”对象，并可作为策略条件; 可将IP或IP段作为“位置”对象，并可作为策略条件 网页管理 URL库大小 ≥2990万条URL数据，≥150种网页分类 搜索关键字 根据关键字管理搜索引擎访问；每个精确关键字对象要求可至少录入500个关键字 搜索策略 一条策略实现搜索关键字的阻断、记录、告警，方便维护 网址管理 根据URL库及URL关键字进行网址访问管理，实现阻断、记录、告警，方便维护 网址策略 可以基于特定网址的一天访问总次数或者总流量进行控制 网页正文关键字 根据网页正文内容进行正文关键字管理