呼吸中心信息安全改造及多院區(qū)安全互聯(lián)項(xiàng)目

呼吸中心信息安全改造及多院區(qū)安全互聯(lián)項(xiàng)目一、呼吸中心信息安全改造及多院區(qū)安全互聯(lián)項(xiàng)目1.1系統(tǒng)需求根據(jù)信息安全等級保護(hù)2.0要求，通過部署核心交換機(jī)系統(tǒng)，對市呼吸研究中心各功能區(qū)進(jìn)行劃分，建成了數(shù)據(jù)中心區(qū)、運(yùn)管區(qū)、應(yīng)用區(qū)、安全區(qū)、外聯(lián)區(qū)、互聯(lián)網(wǎng)接入?yún)^(qū)等功能區(qū)。為確保每個(gè)功能區(qū)的安全，每個(gè)功能區(qū)增加防火墻，實(shí)現(xiàn)功能區(qū)的訪問控制、入侵防范等安全策略，從而保證整體網(wǎng)絡(luò)及信息安全。提供防火墻設(shè)備的安裝、調(diào)試等服務(wù)，深入調(diào)研，根據(jù)醫(yī)院信息安全建設(shè)情況，制訂信息安全策略并實(shí)施，確保達(dá)到醫(yī)院信息安全等級保護(hù)要求及信息安全等級保護(hù)2.0相關(guān)標(biāo)準(zhǔn)要求。1.2軟硬件系統(tǒng)清單序號系統(tǒng)或設(shè)備名稱數(shù)量單位1數(shù)據(jù)中心防火墻2臺2專線外聯(lián)防火墻2臺3各個(gè)院區(qū)互聯(lián)防火墻2臺1.3技術(shù)參數(shù)需求1.3.1數(shù)據(jù)中心防火墻（1）硬件設(shè)備參數(shù)不低于：序號指標(biāo)項(xiàng)指標(biāo)要求1性能要求支持HA主備部署；最大吞吐量≥60Gbps，安全模塊全開啟吞吐量≥4G，每秒新建連接數(shù)≥45萬，并發(fā)連接數(shù)≥1200萬。2規(guī)格要求2U機(jī)箱，冗余電源，標(biāo)準(zhǔn)配置板載16個(gè)10/100/1000M自適應(yīng)電口、6個(gè)SFP插槽（配6個(gè)千兆多模光口SFP模塊）和8個(gè)SFP+插槽（配8個(gè)萬兆多模光口模塊）,1個(gè)Console口，一個(gè)HA口，一個(gè)管理口，另外含有4個(gè)擴(kuò)展插槽（網(wǎng)絡(luò)接口的拓展插槽，支持?jǐn)U展千兆光口等），支持液晶屏。3維保服務(wù)提供三年硬件維保及軟件升級服務(wù)。4授權(quán)要求提供3年應(yīng)用識別庫升級服務(wù)，3年病毒防護(hù)特征庫升級服務(wù)，3年入侵防御特征庫升級服務(wù),3年URL分類特征庫，3年威脅情報(bào)庫升級服務(wù)。支持IPSecVPN、（默認(rèn)含32個(gè)并發(fā)隧道數(shù)，最大8000個(gè)）、SSLVPN（默認(rèn)含32個(gè)并發(fā)用戶數(shù)，最大500個(gè)）。5部署模式支持多種工作模式（包括透明模式、路由模式、混合模式）、滿足復(fù)雜網(wǎng)絡(luò)環(huán)境的要求（防火墻冗余、防火墻旁路）、具備支持流量標(biāo)記、流量整形、帶寬復(fù)用的能力。6路由協(xié)議支持高級ISP路由，數(shù)量最少支持3個(gè)及以上、支持靜態(tài)路由協(xié)議、支持RIP、OSPF等動態(tài)路由協(xié)議、支持策略路由、支持多條等價(jià)路由，提供目的路由和源地址路由功能以及目的路由負(fù)載均衡。7所投產(chǎn)品支持基于策略的路由負(fù)載，支持根據(jù)應(yīng)用和服務(wù)進(jìn)行智能選路，支持源地址目的地址哈希、源地址哈希、輪詢、時(shí)延負(fù)載、備份、隨機(jī)、流量均衡、源地址輪詢、目的地址哈希、最優(yōu)鏈路帶寬負(fù)載、最優(yōu)鏈路帶寬備份、跳數(shù)負(fù)載等不少于12種路由負(fù)載均衡方式，支持基于IPv4或IPv6的TCP、HTTP、DNS、ICMP等方式的鏈路探測，同時(shí)TCP與HTTP可使用自定義目標(biāo)端口進(jìn)行測試。8地址轉(zhuǎn)換所投產(chǎn)品支持全面的NAT轉(zhuǎn)換配置，包括一對一、一對多、多對一的源、目的地址轉(zhuǎn)換，并至少支持FULL_CONE模式和SYMMETRIC模式。9所投產(chǎn)品支持在源地址轉(zhuǎn)換過程中，對SNAT（源地址轉(zhuǎn)換）使用的地址池利用率進(jìn)行監(jiān)控，并在地址池利用率超過閾值時(shí)，通過SNMPTrap、郵件、聲音、短信等方式告警。10IPv6支持所投產(chǎn)品支持IPv6下靜態(tài)路由及策略路由、動態(tài)路由，動態(tài)路由應(yīng)包括RIPng、OSPFv3、BGP4+。11訪問控制所投產(chǎn)品支持基于源安全域、目的安全域、源用戶、源地址、源地區(qū)、目的地址、目的地區(qū)、服務(wù)、應(yīng)用、隧道、時(shí)間、VLAN等多種方式進(jìn)行訪問控制，并支持地理區(qū)域?qū)ο蟮膶?dǎo)入以及重復(fù)策略的檢查。12應(yīng)用識別與控制產(chǎn)品具備自定義應(yīng)用協(xié)議，提供除五元組之外的應(yīng)用技術(shù)、應(yīng)用屬性、風(fēng)險(xiǎn)級別、類型、子類、協(xié)議、匹配內(nèi)容、應(yīng)用層長度等多項(xiàng)設(shè)置。13所投產(chǎn)品支持應(yīng)用識別，應(yīng)用特征庫包含的應(yīng)用數(shù)量（包括非應(yīng)用協(xié)議的規(guī)則總數(shù)）不小于2800種，可深度識別每種應(yīng)用的屬性，為每種應(yīng)用提供預(yù)定義的風(fēng)險(xiǎn)系數(shù)，并將應(yīng)用基于類型、使用場景、數(shù)據(jù)傳輸、風(fēng)險(xiǎn)等級等特征分類。14流量管理所投產(chǎn)品支持多調(diào)度類相互嵌套最大5級的帶寬管理設(shè)置。支持設(shè)置每IP最大或最小帶寬，支持對每IP進(jìn)行帶寬配額管理，可通過優(yōu)先級實(shí)現(xiàn)多應(yīng)用的差分服務(wù)，并支持對剩余帶寬進(jìn)行基于優(yōu)先級的動態(tài)分配。15入侵防御IPS所投產(chǎn)品支持在設(shè)備漏洞防護(hù)特征庫直接查閱攻擊的名稱、CVEID、CNNVDID、CWEID、嚴(yán)重性、影響的平臺、類型、描述、解決方案建議等詳細(xì)信息。16網(wǎng)絡(luò)攻擊防護(hù)所投產(chǎn)品支持基于不同安全區(qū)域防御DNSFlood、HTTPFlood攻擊，并支持警告、阻斷、首包丟棄、TC反彈技術(shù)、NS重定向、自動重定向、手工確認(rèn)等多種防護(hù)措施。17支持病毒過濾，支持對HTTP、FTP、SMB、SMTP、POP3、IMAP協(xié)議進(jìn)行病毒檢測和查殺，支持最大6層的壓縮文件查殺。18所投產(chǎn)品支持基于安全區(qū)域的異常包攻擊防御，異常包攻擊類型至少包括PingofDeath、Teardrop、IP選項(xiàng)、TCP異常、Smurf、Fraggle、Land、Winnuke、DNS異常、IP分片等，并可在設(shè)備頁面顯示每種攻擊類型的丟包統(tǒng)計(jì)結(jié)果。19本地病毒庫規(guī)模大于3000萬。20VPN功能所投產(chǎn)品支持IPSecVPN功能，支持基于主模式（MainMode）、積極模式（AggressiveMode）、國密三種協(xié)商模式建立的網(wǎng)關(guān)-網(wǎng)關(guān)加密隧道；支持本地CA并可為參與IPSecVPN隧道建立的設(shè)備頒發(fā)用于身份認(rèn)證的證書。21所投產(chǎn)品支持L2TP、支持L2TPoverIPSec、支持PPTP，并支持本地認(rèn)證以及LDAP、Radius、證書、ActiveDirectory、TACACS+、POP3等第三方用戶認(rèn)證系統(tǒng)。支持客戶端地址分配。22IPSecVPN支持DES、3DES、AES、AES192、AES256等標(biāo)準(zhǔn)加密算法，支持MD5、SHA1、SHA2-256、SHA2-384、SHA2-512等標(biāo)準(zhǔn)HASH算法。23具備專線備份功能，可在專線策略路由異常情況下，主動切換至IPSecVPN線路，保證網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)倪B續(xù)性。24網(wǎng)絡(luò)異常感知所投產(chǎn)品支持基于主機(jī)視圖，統(tǒng)計(jì)網(wǎng)絡(luò)中確認(rèn)被入侵、攻破的主機(jī)數(shù)量，至少可查看被入侵（攻破）的時(shí)間、威脅類別、情報(bào)來源、威脅簡介以及被入侵（攻破）的主機(jī)IP、用戶名、資產(chǎn)等信息，并對威脅情報(bào)發(fā)現(xiàn)的惡意主機(jī)執(zhí)行自動阻斷。25策略與處置支持在單條安全策略中同時(shí)啟用入侵防御、防病毒、URL過濾、文件過濾、Web應(yīng)用防護(hù)等安全功能。26所投產(chǎn)品支持接收針對突發(fā)重大安全事件“應(yīng)急響應(yīng)消息”，并至少在界面顯示安全事件名稱、類型、當(dāng)前防護(hù)狀態(tài)、處置狀態(tài)以及相應(yīng)的操作等信息，并可根據(jù)設(shè)備安全配置的變化動態(tài)顯示應(yīng)急響應(yīng)的處理結(jié)果。27所投產(chǎn)品必須支持針對“應(yīng)急響應(yīng)消息”的手動或自動處置，處置方法至少包括基于漏洞的處置和基于威脅情報(bào)的處置。28運(yùn)維管理產(chǎn)品內(nèi)置安全報(bào)表模板，可定義報(bào)表內(nèi)容，包括網(wǎng)絡(luò)整體安全狀況、服務(wù)器安全風(fēng)險(xiǎn)分析、終端主機(jī)安全分析等。29所投產(chǎn)品支持web頁面，內(nèi)置抓包工具，并可通過表達(dá)式方便靈活的指定抓包過濾條件。30云端協(xié)同所投產(chǎn)品支持與云端聯(lián)動，至少實(shí)現(xiàn)應(yīng)用云識別。31支持云端統(tǒng)一下發(fā)設(shè)備配置及安全風(fēng)險(xiǎn)的處置動作。32聯(lián)動處置承諾所提供的防火墻系統(tǒng)支持與市場上主流的態(tài)勢感知系統(tǒng)進(jìn)行對接，實(shí)現(xiàn)態(tài)勢感知下發(fā)阻斷命令在防火墻中進(jìn)行攔截。33系統(tǒng)管理所投產(chǎn)品必須支持將告警信息以SNMPTrap、郵件、聲音、短信等形式通知管理員，告警信息的范圍至少包括配置變更、病毒事件、攻擊事件、異常事件、失陷主機(jī)告警、并發(fā)數(shù)告警、CPU利用率、內(nèi)存利用率、硬盤利用率、接口帶寬利用率、NAT端口池利用率等。（2）配套特權(quán)賬號管理功能指標(biāo)不低于：序號指標(biāo)項(xiàng)指標(biāo)要求1設(shè)備規(guī)格標(biāo)準(zhǔn)2U機(jī)架式設(shè)備；冗余雙電源；配置不低于：12TB硬盤、4口千兆電口（配光模塊）、2個(gè)USB接口、1個(gè)MGT接口、1個(gè)HA接口、3擴(kuò)展槽（網(wǎng)絡(luò)接口的拓展插槽，支持千兆光口或電口）。2支持基本賬號管理功能，包括但不限于賬號生命周期管理、賬號威脅分析、角色權(quán)限管理、訪問控制、策略管理、審計(jì)、工單系統(tǒng)、賬號發(fā)現(xiàn)、賬號改密、賬號驗(yàn)證、會話過程的賬號自動代填、訪問控制及操作審計(jì)等；提供不少于200個(gè)賬號授權(quán)；3部署方式支持物理旁路，邏輯串聯(lián)模式部署，支持HA雙機(jī)熱備，支持跨地域、跨數(shù)據(jù)中心部署；4安全設(shè)置支持通過郵件的方式重置密碼，支持設(shè)置禁用重置密碼方式、驗(yàn)證嘗試次數(shù)、禁用時(shí)長、重置計(jì)數(shù)時(shí)長、圖形驗(yàn)證碼和郵件驗(yàn)證碼過期時(shí)間（精確到秒）；5訪問控制支持密碼分段授權(quán)，即單一用戶只能查看密碼全文的一部分；6密碼備份支持密碼外發(fā)分段備份策略，解密密碼由不同的管理員進(jìn)行設(shè)置和維護(hù)；7用戶管理支持AD域用戶的認(rèn)證模式和同步模式；8支持設(shè)置多個(gè)安全碼管理員和安全碼，賬號備份和導(dǎo)出文件均需通過安全碼解密；9賬號發(fā)現(xiàn)支持對發(fā)現(xiàn)的賬號進(jìn)行歷史任務(wù)比對，展示新增的賬號并顯示其納管狀態(tài)、風(fēng)險(xiǎn)狀態(tài)、上次登錄時(shí)間、上次改密時(shí)間、權(quán)限變更、部門和處理狀態(tài)等信息；10安全審計(jì)支持操作系統(tǒng)審計(jì)，內(nèi)容包括但不限于：登錄/退出系統(tǒng)、對系統(tǒng)進(jìn)行的操作、系統(tǒng)用戶密碼變更記錄、用戶權(quán)限分配、賬號活動記錄等；11賬號密碼存儲支持?jǐn)?shù)據(jù)權(quán)限設(shè)置：開啟后可以管理部門及其所有下級部門的資產(chǎn)賬號，關(guān)閉后則只能管理本級部門下的資產(chǎn)賬號；12特權(quán)會話管理資源管理支持通過windows應(yīng)用發(fā)布的方式實(shí)現(xiàn)對MySQL、SQLServer、Oracle、IE、Firefox、Chrome、VNCClient、SecBrowser、VSphereClient、Radmin、dbisql、ToadforDB2、PgSQL、MongoDB、Hive、AquaDataStudioforKT等應(yīng)用程序/協(xié)議的擴(kuò)展；13支持通過Linux應(yīng)用發(fā)布的方式實(shí)現(xiàn)對火狐瀏覽器、Chrome瀏覽器、達(dá)夢數(shù)據(jù)庫、人大金倉數(shù)據(jù)庫等的擴(kuò)展支持；14策略管理支持對核心設(shè)備配置雙人授權(quán)，需管理員現(xiàn)場審批才能訪問資源；15支持直接拖動改變訪問控制策略、命令控制策略和數(shù)據(jù)庫控制策略的優(yōu)先級順序；16運(yùn)維審計(jì)支持識別圖形操作中的操作系統(tǒng)文字、應(yīng)用軟件文字、瀏覽器文字等文本信息，支持設(shè)置識別精細(xì)度和識別間隔時(shí)間；17支持對協(xié)同用戶的操作審計(jì)，所有操作關(guān)聯(lián)到實(shí)際的操作人員；1.3.2專線外聯(lián)防火墻參數(shù)性能不低于：序號指標(biāo)項(xiàng)指標(biāo)要求1性能要求最大吞吐量≥20Gbps，安全模塊全開啟吞吐量≥2G，每秒新建連接數(shù)≥15萬，并發(fā)連接數(shù)≥1000萬。2規(guī)格要求2U機(jī)箱，冗余電源，標(biāo)準(zhǔn)配置板載16個(gè)10/100/1000M自適應(yīng)電口、12個(gè)千兆光口和6個(gè)萬兆光口（配光模塊），1個(gè)Console口，另外含有2個(gè)擴(kuò)展插槽（網(wǎng)絡(luò)接口的拓展插槽，支持?jǐn)U展千兆光口等），支持液晶屏。3維保服務(wù)提供三年硬件維保及軟件升級服務(wù)。4授權(quán)要求提供3年應(yīng)用識別庫升級服務(wù)，3年病毒防護(hù)特征庫升級服務(wù)，3年入侵防御特征庫升級服務(wù),3年URL分類特征庫，3年威脅情報(bào)庫升級服務(wù)。支持IPSecVPN（默認(rèn)含25個(gè)并發(fā)隧道數(shù)，最大3000個(gè)）、SSLVPN（默認(rèn)含25個(gè)并發(fā)用戶數(shù)，最大500個(gè)）。5部署模式支持多種工作模式（包括透明模式、路由模式、混合模式）、滿足復(fù)雜網(wǎng)絡(luò)環(huán)境的要求（防火墻冗余、防火墻旁路）、具備支持流量標(biāo)記、流量整形、帶寬復(fù)用的能力。6路由協(xié)議支持高級ISP路由，數(shù)量最少支持3個(gè)及以上、支持靜態(tài)路由協(xié)議、支持RIP、OSPF等動態(tài)路由協(xié)議、支持策略路由、支持多條等價(jià)路由，提供目的路由和源地址路由功能以及目的路由負(fù)載均衡。7所投產(chǎn)品支持基于策略的路由負(fù)載，支持根據(jù)應(yīng)用和服務(wù)進(jìn)行智能選路，支持源地址目的地址哈希、源地址哈希、輪詢、時(shí)延負(fù)載、備份、隨機(jī)、流量均衡、源地址輪詢、目的地址哈希、最優(yōu)鏈路帶寬負(fù)載、最優(yōu)鏈路帶寬備份、跳數(shù)負(fù)載等不少于12種路由負(fù)載均衡方式，支持基于IPv4或IPv6的TCP、HTTP、DNS、ICMP等方式的鏈路探測，同時(shí)TCP與HTTP可使用自定義目標(biāo)端口進(jìn)行測試。8地址轉(zhuǎn)換所投產(chǎn)品支持全面的NAT轉(zhuǎn)換配置，包括一對一、一對多、多對一的源、目的地址轉(zhuǎn)換，并至少支持FULL_CONE模式和SYMMETRIC模式。9所投產(chǎn)品支持在源地址轉(zhuǎn)換過程中，對SNAT（源地址轉(zhuǎn)換）使用的地址池利用率進(jìn)行監(jiān)控，并在地址池利用率超過閾值時(shí)，通過SNMPTrap、郵件、聲音、短信等方式告警。10IPv6支持所投產(chǎn)品支持IPv6下靜態(tài)路由及策略路由、動態(tài)路由，動態(tài)路由應(yīng)包括RIPng、OSPFv3、BGP4+。11訪問控制所投產(chǎn)品必須支持基于源安全域、目的安全域、源用戶、源地址、源地區(qū)、目的地址、目的地區(qū)、服務(wù)、應(yīng)用、隧道、時(shí)間、VLAN等多種方式進(jìn)行訪問控制，并支持地理區(qū)域?qū)ο蟮膶?dǎo)入以及重復(fù)策略的檢查。12應(yīng)用識別與控制產(chǎn)品具備自定義應(yīng)用協(xié)議，提供除五元組之外的應(yīng)用技術(shù)、應(yīng)用屬性、風(fēng)險(xiǎn)級別、類型、子類、協(xié)議、匹配內(nèi)容、應(yīng)用層長度等多項(xiàng)設(shè)置。13所投產(chǎn)品支持應(yīng)用識別，應(yīng)用特征庫包含的應(yīng)用數(shù)量（包括非應(yīng)用協(xié)議的規(guī)則總數(shù)）大于2800種，可深度識別每種應(yīng)用的屬性，為每種應(yīng)用提供預(yù)定義的風(fēng)險(xiǎn)系數(shù)，并將應(yīng)用基于類型、使用場景、數(shù)據(jù)傳輸、風(fēng)險(xiǎn)等級等特征分類。14流量管理所投產(chǎn)品支持多調(diào)度類相互嵌套最大5級的帶寬管理設(shè)置。支持設(shè)置每IP最大或最小帶寬，支持對每IP進(jìn)行帶寬配額管理，可通過優(yōu)先級實(shí)現(xiàn)多應(yīng)用的差分服務(wù)，并支持對剩余帶寬進(jìn)行基于優(yōu)先級的動態(tài)分配。15入侵防御IPS所投產(chǎn)品支持在設(shè)備漏洞防護(hù)特征庫直接查閱攻擊的名稱、CVEID、CNNVDID、CWEID、嚴(yán)重性、影響的平臺、類型、描述、解決方案建議等詳細(xì)信息。16網(wǎng)絡(luò)攻擊防護(hù)所投產(chǎn)品支持基于不同安全區(qū)域防御DNSFlood、HTTPFlood攻擊，并支持警告、阻斷、首包丟棄、TC反彈技術(shù)、NS重定向、自動重定向、手工確認(rèn)等多種防護(hù)措施。17支持IPS，AV，UR病毒過濾，支持對HTTP、FTP、SMB、SMTP、POP3、IMAP協(xié)議進(jìn)行病毒檢測和查殺，支持最大6層的壓縮文件查殺。18所投產(chǎn)品支持基于安全區(qū)域的異常包攻擊防御，異常包攻擊類型至少包括PingofDeath、Teardrop、IP選項(xiàng)、TCP異常、Smurf、Fraggle、Land、Winnuke、DNS異常、IP分片等，并可在設(shè)備頁面顯示每種攻擊類型的丟包統(tǒng)計(jì)結(jié)果。19本地病毒庫規(guī)模大于3000萬。20VPN功能所投產(chǎn)品支持IPSecVPN功能，支持基于主模式（MainMode）、積極模式（AggressiveMode）、國密三種協(xié)商模式建立的網(wǎng)關(guān)-網(wǎng)關(guān)加密隧道；支持本地CA，并可為參與IPSecVPN隧道建立的設(shè)備頒發(fā)用于身份認(rèn)證的證書。21所投產(chǎn)品支持L2TP、支持L2TPoverIPSec、支持PPTP，并支持本地認(rèn)證以及LDAP、Radius、證書、ActiveDirectory、TACACS+、POP3等第三方用戶認(rèn)證系統(tǒng)。支持客戶端地址分配。22IPSecVPN支持DES、3DES、AES、AES192、AES256等標(biāo)準(zhǔn)加密算法，支持MD5、SHA1、SHA2-256、SHA2-384、SHA2-512等標(biāo)準(zhǔn)HASH算法。23具備專線備份功能，可在專線策略路由異常情況下，主動切換至IPSecVPN線路，保證網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)倪B續(xù)性。24網(wǎng)絡(luò)異常感知所投產(chǎn)品必須支持基于主機(jī)視圖，統(tǒng)計(jì)網(wǎng)絡(luò)中確認(rèn)被入侵、攻破的主機(jī)數(shù)量，至少可查看被入侵、攻破的時(shí)間、威脅類別、情報(bào)來源、威脅簡介、被入侵、攻破的主機(jī)IP、用戶名、資產(chǎn)等信息，并對威脅情報(bào)發(fā)現(xiàn)的惡意主機(jī)執(zhí)行自動阻斷。25策略與處置支持在單條安全策略中可同時(shí)啟用入侵防御、防病毒、URL過濾、文件過濾、Web應(yīng)用防護(hù)等安全功能。26所投產(chǎn)品支持接收針對突發(fā)重大安全事件的“應(yīng)急響應(yīng)消息”，并至少在界面顯示安全事件名稱、類型、當(dāng)前防護(hù)狀態(tài)、處置狀態(tài)以及相應(yīng)的操作等信息，并可根據(jù)設(shè)備安全配置的變化動態(tài)顯示應(yīng)急響應(yīng)的處理結(jié)果。27所投產(chǎn)品支持針對“應(yīng)急響應(yīng)消息”的手動或自動處置，處置方法至少包括基于漏洞的處置和基于威脅情報(bào)的處置。28運(yùn)維管理產(chǎn)品內(nèi)置安全報(bào)表模板，可定義報(bào)表內(nèi)容，包括網(wǎng)絡(luò)整體安全狀況、服務(wù)器安全風(fēng)險(xiǎn)分析、終端主機(jī)安全分析等。29所投產(chǎn)品必須web頁面，必須內(nèi)置抓包工具，并可通過表達(dá)式方便靈活的指定抓包過濾條件。30云端協(xié)同所投產(chǎn)品必須支持與云端聯(lián)動，至少實(shí)現(xiàn)應(yīng)用云識別。31支持云端統(tǒng)一下發(fā)設(shè)備配置及安全風(fēng)險(xiǎn)的處置動作。32聯(lián)動處置承諾所提供的防火墻系統(tǒng)支持與市場上主流的態(tài)勢感知系統(tǒng)進(jìn)行對接，實(shí)現(xiàn)態(tài)勢感知下發(fā)阻斷命令在防火墻中進(jìn)行攔截。33系統(tǒng)管理所投產(chǎn)品支持將告警信息以SNMPTrap、郵件、聲音、短信等形式通知管理員，告警信息的范圍至少包括配置變更、病毒事件、攻擊事件、異常事件、失陷主機(jī)告警、并發(fā)數(shù)告警、CPU利用率、內(nèi)存利用率、硬盤利用率、接口帶寬利用率、NAT端口池利用率等。1.3.3各個(gè)院區(qū)互聯(lián)防火墻參數(shù)性能不低于：序號指標(biāo)項(xiàng)指標(biāo)要求性能要求最大吞吐量≥18Gbps，每秒新建連接數(shù)≥26萬，并發(fā)連接數(shù)≥350萬，安全模塊全開啟吞吐量≥4G。規(guī)格要求2U機(jī)箱，冗余電源，標(biāo)準(zhǔn)配置6個(gè)10/100/1000M自適應(yīng)電口，8個(gè)SFP插槽（配4個(gè)千兆多模光口模塊，4個(gè)備份光口模塊），4個(gè)SFP+插槽（配4個(gè)萬兆多模光口模塊），另有1個(gè)接口板卡擴(kuò)展插槽（網(wǎng)絡(luò)接口的拓展插槽，支持?jǐn)U展千兆光口等），1個(gè)Console口，支持液晶屏。維保服務(wù)提供三年硬件維保及軟件升級服務(wù)。授權(quán)要求提供3年應(yīng)用識別庫升級服務(wù)，3年病毒防護(hù)特征庫升級服務(wù)，3年入侵防御特征庫升級服務(wù),3年URL分類特征庫，3年威脅情報(bào)庫升級服務(wù)。支持IPSecVPN（默認(rèn)含25個(gè)并發(fā)隧道數(shù)，最大3000個(gè)）、SSLVPN（默認(rèn)含25個(gè)并發(fā)用戶數(shù)，最大500個(gè)）。部署模式支持多種工作模式（包括透明模式、路由模式、混合模式）、滿足復(fù)雜網(wǎng)絡(luò)環(huán)境的要求（防火墻冗余、防火墻旁路）、具備支持流量標(biāo)記、流量整形、帶寬復(fù)用的能力。路由協(xié)議支持高級ISP路由，數(shù)量最少支持3個(gè)及以上、支持靜態(tài)路由協(xié)議、支持RIP、OSPF等動態(tài)路由協(xié)議、支持策略路由、支持多條等價(jià)路由，提供目的路由和源地址路由功能以及目的路由負(fù)載均衡。所投產(chǎn)品必須支持基于策略的路由負(fù)載，支持根據(jù)應(yīng)用和服務(wù)進(jìn)行智能選路，支持源地址目的地址哈希、源地址哈希、輪詢、時(shí)延負(fù)載、備份、隨機(jī)、流量均衡、源地址輪詢、目的地址哈希、最優(yōu)鏈路帶寬負(fù)載、最優(yōu)鏈路帶寬備份、跳數(shù)負(fù)載等不少于12種路由負(fù)載均衡方式，支持基于IPv4或IPv6的TCP、HTTP、DNS、ICMP等方式的鏈路探測，同時(shí)TCP與HTTP可使用自定義目標(biāo)端口進(jìn)行測試。地址轉(zhuǎn)換所投產(chǎn)品必須支持全面的NAT轉(zhuǎn)換配置，包括一對一、一對多、多對一的源、目的地址轉(zhuǎn)換，并至少支持FULL_CONE模式和SYMMETRIC模式。所投產(chǎn)品支持在源地址轉(zhuǎn)換過程中，對SNAT（源地址轉(zhuǎn)換）使用的地址池利用率進(jìn)行監(jiān)控，并在地址池利用率超過閾值時(shí)，通過SNMPTrap、郵件、聲音、短信等方式告警。IPv6支持所投產(chǎn)品必須支持IPv6下靜態(tài)路由及策略路由、動態(tài)路由，動態(tài)路由應(yīng)包括RIPng、OSPFv3、BGP4+。訪問控制所投產(chǎn)品必須支持基于源安全域、目的安全域、源用戶、源地址、源地區(qū)、目的地址、目的地區(qū)、服務(wù)、應(yīng)用、隧道、時(shí)間、VLAN等多種方式進(jìn)行訪問控制，并支持地理區(qū)域?qū)ο蟮膶?dǎo)入以及重復(fù)策略的檢查。應(yīng)用識別與控制產(chǎn)品具備自定義應(yīng)用協(xié)議，提供除五元組之外的應(yīng)用技術(shù)、應(yīng)用屬性、風(fēng)險(xiǎn)級別、類型、子類、協(xié)議、匹配內(nèi)容、應(yīng)用層長度等多項(xiàng)設(shè)置。所投產(chǎn)品必須支持應(yīng)用識別，應(yīng)用特征庫包含的應(yīng)用數(shù)量（包括非應(yīng)用協(xié)議的規(guī)則總數(shù)）大于2800種，可深度識別每種應(yīng)用的屬性，為每種應(yīng)用提供預(yù)定義的風(fēng)險(xiǎn)系數(shù)，并將應(yīng)用基于類型、使用場景、數(shù)據(jù)傳輸、風(fēng)險(xiǎn)等級等特征分類。流量管理所投產(chǎn)品必須支持多調(diào)度類相互嵌套最大5級的帶寬管理設(shè)置。支持設(shè)置每IP最大或最小帶寬，支持對每IP進(jìn)行帶寬配額管理，可通過優(yōu)先級實(shí)現(xiàn)多應(yīng)用的差分服務(wù)，并支持對剩余帶寬進(jìn)行基于優(yōu)先級的動態(tài)分配。入侵防御IPS所投產(chǎn)品必須支持在設(shè)備漏洞防護(hù)特征庫直接查閱攻擊的名稱、CVEID、CNNVDID、CWEID、嚴(yán)重性、影響的平臺、類型、描述、解決方案建議等詳細(xì)信息。網(wǎng)絡(luò)攻擊防護(hù)所投產(chǎn)品必須支持基于不同安全區(qū)域防御DNSFlood、HTTPFlood攻擊，并支持警告、阻斷、首包丟棄、TC反彈技術(shù)、NS重定向、自動重定向、手工確認(rèn)等多種防護(hù)措施。支持AV病毒過濾，支持對HTTP、FTP、SMB、SMTP、POP3、IMAP協(xié)議進(jìn)行病毒檢測和查殺，支持最大6層的壓縮文件查殺。所投產(chǎn)品支持基于安全區(qū)域的異常包攻擊防御，異常包攻擊類型至少包括PingofDeath、Teardrop、IP選項(xiàng)、TCP異常、Smurf、Fraggle、Land、Winnuke、DNS異常、IP分片等，并可在設(shè)備頁面顯示每種攻擊類型的丟包統(tǒng)計(jì)結(jié)果。本地病毒庫規(guī)模大于3000萬。VPN功能所投產(chǎn)品支持IPSecVPN功能，支持基于主模式（MainMode）、積極模式（A