第二章招标项目内容、数量、规格和技术要求核心数据和核心设备的安全是数据中心管理的重中之重。

05年以来我市劳动保障数据中心网络安全防护管理不断加强，陆续配置了防火墙、防毒墙、网闸等安全设备，建立了数据级异地容灾系统，较好地保障了劳动保障网络信息系统的稳定安全运行。

但因经费等原因，数据中心在核心设备和核心数据安全防护方面还相对较弱，按照劳动保障网络信息系统安全等级保护的要求和数据中心网络安全管理实际需要，为进一步完善劳动保障网络信息系统安全防护体系，提出本次网络安全设备采购需求。

一、网络安全设备采购需求（一）网络安全设备采购清单：分类设备名称基本目的基本参数要求数量备注网络安全防御千兆防火墙防护核心数据安全，提高整个网络可靠性2U机架式结构；最大配置不少于24个接口，现配8个千兆SFP（含4个原厂SFP光模块）和8个10/100/1000BASE－TX电接口，2个10/100/1000BASE－TX管理口。

要求接口支持STP协议。

网络吞吐量不少于5G，最大并发连接数不少于200万，每秒最大新建连接数不少于5万，现配置双电源。

2台原厂三年质保IPS入侵防御系统抵御网络攻击，防护网络系统安全1U机架式结构，最大配置不少于24个接口，现配4个SFP口（含4个原厂SFP光模块）和4个10/100/1000BASE－TX接口，支持4路Bypass功能，2个10/100/1000BASE－TX管理口，吞吐量不少于6G，具有3000条以上的攻击事件，三年特征库升级服务1台原厂三年质保网络交换设备24口二层交换机根据网络整合需要添置，与核心交换机H3C 9508对接H3C S5100-24P-SI 24个10/100/1000Base-T以太网端口和4个复用的1000Base-X SFP千兆以太网端口（Combo）4台原厂三年质保48口二层交换机根据网络整合需要添置，与核心交换机H3C 9508对接H3C S5100-48P-SI 48个10/100/1000Base-T以太网端口和4个复用的1000Base-X SFP千兆以太网端口（Combo）3台原厂三年质保SFP光纤单模模块用于H3C光纤连接用，10KMH3C 光纤单模模块，有效距离10KM 4个原厂三年质保数字认证系统数字认证系统用于浙江省社会保险网上申报系统统一软件安全认证网关支持多种签名数据，支持原文包含模式及原文分享模式的PKCS＃7签名的验证。

并发用户数>200，最大吞吐量>50Mbit/s。

支持B/S结构和C/S结构。

支持符合X509标准的各种数字证书的签名验证。

支持国内多种数字证书的签名验证，如：ZJCA、CFCZ、SHECA颁发的证书。

多种开发接口支持，如：C/C++、、JAVA、VB、DELPHI、POWERBUILDER等。

验证结果除了包括是否正确值外，还需要包括：签名用户的证书、原文、签名值(1024bit)等。

1台原厂三年质保行为审计设备网络访问行为审计系统对用户上网行为进行审计2U机架式结构；包括2个可插拨的扩展槽, 可在用户现场升级端口无需返厂，配置2个10/100/1000BASE－TX数据采集口，2个10/100/1000BASE－TX管理口，最少400G存储空间，支持双电源。

1台原厂三年质保安全管理软件安全设备与策略管理系统实现劳动保障网络系统内所有安全设备的分级部署和集中监控管理系统要求能实现整网安全设备的网络拓扑管理、设备策略管理、用户管理、CA管理、日志管理，具有设备监控报警、设备升级管理、查询及统计分析功能。

要求界面美观、简洁易操作，支持基于角色的权限划分和管理。

1套原厂三年质保（二）采购主要设备技术参数要求1、千兆防火墙指标项技术指标要求系统架构★采用专用硬件架构与专用安全操作系统，基于操作系统内核的会话检测技术，专用的安全操作系统具有自主知识产权，硬件设备可以机架安装。

★采用双安全操作系统，防止配置不当或防火墙系统故障造成的网络中断，充分保证了系统的稳定性。

★软件采用模块化结构设计，可以扩展IPSEC VPN，SSL VPN，AV等功能。

性能指标★2U机架式结构；最大不少于24个接口,包括3个可插拨的扩展槽, 可在用户现场升级端口无需返厂，现配8个千兆SFP（含4个原厂SFP光模块）和8个10/100/1000BASE－TX 电接口，2个10/100/1000BASE－TX管理口。

接口支持STP协议。

配双电源。

★网络吞吐量不少于5G最大并发连接数不少于200万每秒最大新建连接数不少于5万FW功能参数工作模式支持透明、路由、透明及路由混合模式支持单对单、单对多、多对多的地址转换功能支持路由、透明模式下的虚拟系统功能，支持NAT模式下的虚拟系统功能支持每个虚拟系统具备独立的管理权限、安全策略，且虚拟系统间互不干扰可对DMZ区服务器实现保护，如替换服务器（FTP、SMTP、POP3、telnet,HTTP）的BANNER 信息支持对HTTP、SMTP、POP3、FTP等协议的深度内容过滤；支持对移动代码如Java applet、Active-X、VBScript、Java script的过滤动态端口支持协议：H.323、SIP、FTP、RTSP、SQL*NET、MMS、RPC、TFTP，并对其实现安全控制支持服务器负载均衡功能，在没有专业均衡设备的条件下，通过防火墙实现多台服务器的性能叠加支持多链路备份功能，以实现链路层高可用性支持H.323/SIP的高可用性支持策略路由，可基于源地址选择路由支持动态路由协议RIP/OSPF/BGP等★具有MPLS网络数据的安全控制支持使用一次性口令认证（OTP）、本地认证、双因子认证（SecureID）以及数字证书（CA）等常用的安全认证方、支持RADIUS、TACACS/TACACS+、LDAP、域认证等安全认证方式；IPS功能具有对HTTP、SMTP、POP3、FTP等协议的深度内容过滤，具有URL、关键字过滤支持对移动代码如Java applet、Java script等的过滤具有MSN、QQ、阿里旺旺、google talk等Instant Messenger通信，并可以对于这些应用进行登陆限制,支持根据登陆等帐号进行登陆限制可限制BT，eMule，讯雷等多种P2P应用，可以统计P2P流量和连接数，可以控制P2P流量的带宽可以识别并阻断以下攻击行为：land 、Smurf、Pingofdeath、ip_option、teardrop、targa3、ipspoof、Portscan等VPN功能（IPSEC ）支持与防火墙、SSL VPN统一的认证体系，支持本地认证、双因子认证（SecureID）以及数字证书（CA）等常用的安全认证方、支持LDAP、域认证等安全认证方式；支持多路VPN隧道间备份、负载均衡；支持链路叠加、支持手工及智能选路；可扩展支持3000以上隧道数；VPN功能（SSL）支持角色分组的可信接入；支持PDA的安全接入；支持B/S ,C/S应用系统的安全转发；可扩展支持1500以上并发用户数；★具有Cleaned VPN功能，能对隧道内数据进行病毒查杀和内容过滤。

★AV功能可过滤HTTP，FTP，POP3，SMTP，IMAP协议的病毒，并支持35万种以上的病毒非法报文攻击过滤：land 、Smurf、Pingofdeath、winnuke 、tcp_sscan、ip_option、ipspoof；统计型报文攻击：Synflood、Icmpflood、Portscan、ipsweep；SYN代理：对来自定义区域的Syn Flood攻击行为进行阻断过滤；可通过设置端口和阀值阻断CC攻击；具有病毒库的在线自动更新，三年特征库升级服务。

★产品资质要求（投标时提供，加盖原厂公章）1. 中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》2. 中国国家保密局测评中心颁发的《涉密信息系统产品检测证书》3. 中国信息安全评测中心颁发的《信息技术产品安全评测证书级别：EAL3》4. 国家版权局颁发的防火墙系统计算机软件著作权登记证书★产品原厂服务要求（投标时提供，加盖原厂公章）1.原厂商具备信息安全服务二级资质，提供资质证书证明材料2. 3年原厂商质保服务，投标时出具原厂商3年售后服务承诺函2、入侵保护系统指标技术指标项指标要求设备要求★专用的硬件和软件保障产品采用多核处理器的硬件平台架构，专用的安全操作系统具有自主知识产权。

★端口数量和扩展能力1U机架式结构：最大配置不少于24个接口，可在用户现场升级端口无需返厂，包括4个SFP口（含4个原厂SFP光模块）和6个10/100/1000BASE－TX接口（其中2个可作为HA口和管理口），4个接口具有Bypass★系统吞吐量不少于6G★攻击规则库具有3000条以上的攻击事件，三年特征库升级服务工作模式网络接入透明，路由，IDS监听，混合防火墙访问控制基于状态检测的动态包过滤基于源/目的IP地址、端口、协议、时间的访问控制支持报文合法性检查，支持IP/MAC绑定NAT支持双向NAT，支持动态地址转换和静态地址转换支持协议包括H.323、SIP、FTP、RTSP、SQL*NET、MMS、RPC、TFTP、PPTP等拒绝服务（DOS/DDOS）能对当前主流的拒绝服务做检测和阻断，例如：WinNUKE攻击、UDP Flooding、SYN Flooding等HTTP 能对当前主流的HTTP类攻击做检测和阻断，例如：HTTP Apache 批处理文件漏洞、Apache2.0.39及以前版本存在目录遍历漏洞、Cart32 管理员口令泄露漏洞等自定义攻击可以根据用户需求自行设置攻击规则，能对其他有害攻击行为做检测和阻断应用监控P2P应用支持识别BT、迅雷、Napster、Popo、Kazaa等P2P类应用IM 支持识别QQ、MSN、ICQ、UC以及Google Talk等IM类应用游戏支持识别魔兽世界、征途、劲舞团、跑跑卡丁车、梦幻西游以及QQ游戏等网络游戏异常流量能对设备的异常流量进行分析、阻断入侵防御★引擎具有路由、交换、直连、IDS监听四种模式支持基于源、目的、规则集、动作的入侵检测规则支持策略改变引擎自动重起DDOS防御非法报文攻击：land、Smurf、Pingofdeath、winnuke、targa3、ipspoof统计型报文攻击：Synflood、Udpflood、Portscan、ipsweep支持主机连接数和半连接数的限制动作支持阻断drop，检测到策略中设置的数据后，丢弃报文支持报警Alert，检测到策略中设置的数据后，进行报警支持TCP Reset，向攻击者发TCP Reset包支持防火墙联动，与防火墙联动，仅限IDS模式运行报表Webui支持实时显示按发生次数累计的攻击事件排名支持Top10攻击者、Top10被攻击者、Top10事件统计报表支持按时间统计的IPS流量报表支持选定时间、网络攻击分类的统计报表支持报表输出，输出格式可以为PDF、DOC、HTML格式木马(Trojan)具备丰富的木马特征库，能识别包括灰鸽子、PCShare、Gh0st、上兴、Byshell、Npch、Downloader等多种热点木马及其变种，以及识别多种网页挂马攻击规则库维护支持自定义规则库导入、导出，支持系统规则库手动、自动升级系统规则预置系统规则集包含认证类、木马类、拒绝服务类、即时通讯类、p2p类、溢出攻击类、扫描类、系统漏洞类、蠕虫类、HTTP攻击类、RPC攻击类、高风险类、中风险类、低风险类和所有事件等自定义规则支持自定义规则，支持自定义规则集网络适应性路由支持静态路由支持基于源/目的地址、接口、Metric的策略路由支持Vlan路由，能够在不同的VLAN虚接口间实现路由功能ARP 支持ARP代理、ARP学习，可设置静态ARP高可用性★双机热备支持双机热备（Active-Active模式）支持连接、配置同步★Bypass 提供专业的硬件ByPass功能，保证网络通畅★负载均衡具有轮询、加权轮叫、最少连接、加权最少链接等多种服务器负载均衡方式★备份系统采用双安全操作系统，防止配置不当或防火墙系统故障造成的网络中断，充分保证了系统的稳定性。