达州市献血领导小组办公室 关于采购防火墙VPN的公告 为工作的需要,现需采购防火墙VPN。请有诚意具备相应资质和条件的公司(单位)在2018年3月15日9:30前,带上相关资料进行比选,地点在达州市中心血站五楼会议室。 |
达州市献血办
2018年3月12日
虚拟专网防火墙
功能 |
指标 |
具体功能要求 |
硬件要求 |
网络接口 |
具备2个千兆WAN电口及2个千兆LAN口,1个千兆DMZ电口。标准1U设备,千兆光口>=4个;IPSec VPN隧道加密速度>=100Mbps, SSL VPN并发用户数>=300。 |
电源 |
单电源 |
|
性能要求 |
网络互联性能 |
30Mbps |
防火墙吞吐量(双向) |
150Mbps |
|
功能模块要求 |
多功能集成一体化 |
集成流控、防火墙、网络互联、多网口交换机、WIFI、3G模块 |
模块要求 |
外置3G模块 |
外置3G:支持CDMA2000(电信) WCDMA(联通) |
部署模式 |
网关模式 |
*设备必须支持网关模式,能提供代理上网、防火墙等功能 |
单臂模式 |
||
安全性 |
支持WEB认证 PORTAL 推送 |
支持用户名密码认证 IP+MAC绑定认证 支持自定义广告,实现首次URL重定向 |
防火墙功能 |
*支持状态检测防火墙功能;能防御包括Synflood,Icmpflood,碎片攻击等多种攻击;能够进行包过滤或ACL控制;支持对内网ARP欺骗的防御;防范来自外网、内网的DOS攻击;支持NAT和DHCP等功能 |
|
硬件特征识别 |
*除用户名/密码认证方式外,还支持基于网关硬件特征的高安全身份验证技术(提供设备界面截图证明,加盖厂商公章) |
|
权限控制 |
*按用户、组分配不同的访问权限和应用资源;支持双向的内网权限分配策略,权限粒度细致到源IP、源端口、目的IP、目的端口级别 |
|
易用性 |
第三方对接 |
专业的网络互联,支持与第三方设备对接(如Cisco、华为等设备) |
支持全动态IP接入 |
*不依赖于第三方的基于动态IP寻址的组网技术(非DDNS方式) |
|
网络适应性 |
支持各种NAT网络环境下的互联组网 |
|
组播包支持 |
*支持视频、语音等基于组播的应用及路由协议 |
|
连接隧道间流控 |
*保证每个接入分支都能合理的利用带宽资源,从而顺畅的访问总部内网应用 |
|
连接隧道内NAT |
*使具有相同内网地址的分支机构都能同时接入总部,最大保护用户网络结构的完整性 |
|
连接隧道内NAT查询 |
支持基于用户名、原IP子网、代理子网、网段类型、子网掩码的隧道内NAT的状态查询 |
|
记录帐户的最后登陆时间和使用时间 |
*可以记录帐户最后登陆时间和这个帐户最后使用时间 |
|
多线路自动备份切换 |
*总部与分支有多条线路,可在线路间一一进行连接隧道建立,并可根据需要自行设置主隧道组及备份隧道组,对主隧道组内可在多条隧道间实现带宽叠加、按包或会话进行流量平均分配;主隧道组线路全部无效时可自动切换到备份隧道组上,保证业务不中断;以上隧道分配策略可在每一分支根据需要设置不同的策略;单臂部署下同样支持多线路策略。可支持虚拟门户功能,在一台设备上配置不同的访问域名、IP地址,以及不同的使用界面,实现一台设备为多个不同用户群体服务的的使用效果。 |
|
配置管理 |
基于WEB的图形化配置管理界面;支持配置的导入、导出和备份 |
|
分级管理员 |
设备管理员支持分级分权限设置 |
|
管理员限制IP |
可支持管理员限制登录IP,保证接入安全性 |
|
加速优化 |
跨运营商加速模块 |
支持针对跨运营商访问业务实现链路加速优化,消除丢包和延迟业务体验慢情况 |
用户管理 |
支持局域网划分vlan |
支持划分虚拟局域网,实现不同业务和部门逻辑隔离 |
客户端零配置接入 |
*对于移动端支持基于零配置USB DKEY技术,通过KEY接入可以免除手动启动、配置客户端程序的繁琐 |
|
虚拟IP池功能 |
为接入用户分配内网指定的IP地址 |
|
强身份认证 |
*支持用户名/密码、USB-Key、硬件特征码、IP/MAC等多种动态身份认证方式; *支持用户的批量导入和导出 *支持用户分组授权 |
|
禁止修改密码 |
支持在线禁止修改密码 |
|
在线用户管理 |
通过控制台界面可实时查看登录用户的用户名、IP、权限、最后操作时间,并支持冻结非法用户 |
|
在线状态查询 |
支持可在线查看每条线路连接状态,流量,连接总数,剩余授权总数。可详细查看基于用户、类型、实时流量、InternetIP、内网IP、接入时间、传输类型的详细情况 |
|
流量管理 |
应用识别规则库 |
*具有20多个大类、超过850条应用识别规则,并支持应用协议识别库实时更新 |
手工添加应用识别 |
可手工添加基于“深度内容检测”技术的新应用协议识别规则,实现个性化识别和封堵,提供无限扩展能力 |
|
智能P2P的识别 |
*支持弱特征识别等相关技术,识别非常见的、新出现的P2P软件、原有P2P软件的新版本 |
|
访问控制策略 |
可分组、分时段、分服务控制网络使用,支持设定用户网络访问时间限额及网速限额 |
|
应用协议控制 |
*基于应用协议识别库,非简单的IP+端口方式,可对网游、IM、炒股、在线流媒体、P2P工具等应用进行封堵 |
|
自定义上网时间段 |
以半小时为单位,支持任意的时间段设置;支持每天多个时间段设置;支持每周七天每天各不相同的时间 段设置,为客户提供最灵活的时间段控制能力 |
|
P2P流控 |
允许指定用户使用P2P行为,但对其占用的带宽资源进行管理和控制 |
|
业 界 最 灵 活 的 流 控 |
可根据用户的网络应用行为、访问的网站类型、不同用户/用户组、区别的时间段进行流量管理 策略 |
|
WAN->LAN流控 |
将出口中指定的带宽资源划分,并将指定的带宽资源分配给指定对外提供访问的服务器,实现对外发布 应用的保障 |
|
带宽通道状态查看 |
支持实时查看各带宽通道的使用情况、状态、流量等,实时显示当前流量前十名的应用、用户 |
|
互联组网 |
在线用户管理 |
通过控制台界面可实时查看登录用户的用户名、IP、权限、最后操作时间,并支持冻结非法用户 |
VPN授权数 |
10个 |
|
互联网络的监控 |
*能够提供图形化的实时监控状态,并且能够清楚的区分网络设备的运行状态; 既可整体监控又可局部监控;查看整网互联的拓补,详细显示分支网络设备的连接状态;可保存和打印监控拓扑图;在监视界面可以远程重启设备; |
|
互联网络管理
|
*有专业统一的平台进行全网互联的策略编辑、部署和维护;支持离线配置;新策略支持即时下发和定时下发两种模式;可在线禁用、中断用户联接;策略数据库支持定时自动备份 |
|
网络状态实时监控 |
支持查看即时显示设备状态,包括CPU、内存、磁盘占用,以及内外网接口流量;支持查看设备异常信息;查看设备版本信息,细显示设备的版本信息及同步情况 |
|
升级管理 |
*支持所有组网端点的自动升级功能;支持分批升级功能,以防止同时升级带来的带宽拥塞;能提供所有的客户端版本详细的升级报告 |
|
日志系统 |
*详细的日志报表,包括网点流量统计、网点版本明细、用户、管理员登录统计、告警日志、错误日志、系统调试日志 |
|
时间管理 |
所有策略可以按时间进行生效与否进行管理 |
|
SNMP |
支持SNMP协议 |
|
Syslog |
支持Syslog导出、实现上网行为记录的转储功能 |
|
集中管理 |
*必须支持单独的硬件设备来进行全网分支管理 |
|
集中管理平台管理员 |
管理员可按照分级权限、多用户同时管理;支持三种不同类型的管理员:普通管理员、区域管理员、系统管理员 |
|
厂商资质 |
产品及企业资质 |
*设备生产厂商创立并正常运行必须10年以上 |
*提供原厂商售后服务体系ISO9001认证证书 |
||
*设备生产厂家研发体系具有CMMI5认证证书 |
||
*设备生产厂商具有国家高新技术企业证书 |
||
产品售后服务 |
要求原厂商在四川区域设有直属办事处等服务机构,以便于为客户提供完善、及时的售后服务。 |
|
必须提供7×24小时800电话支持;本地化应急服务紧急攻击事件2小时内响应,最大限度减少损失; |