VPN安全网关和万兆接入防火墙设备及配套许可采购要求


VPN安全网关万兆接入防火墙设备及配套许可采购要求

一、商务要求

  1. 投标产品必须为中国大陆原装行货,实行三包。为保证原厂正货,请在交货时提供防火墙及VPN网关的合法来源证明、参数相关证明资料;签订合同时提供原件,以确保产品的真实性,不能提供者将以欺骗行为向公共资源交易中心投诉。所有供货商品必须是未经拆封的原厂包装,采购方不接收外包装经过二次封装的商品,否则我单位有权拒绝收货。

  2. 技术参数中标▲”为必要参数;对技术参数和功能有任何负偏离的将导致废标。采购若发现中标人提供货物的技术参数与招标文件要求有偏离,采购有权中止合同,同时追究其责任,并向公共资源交易中心投诉。

  3. 中标商应充分评估现场工作环境,必须承诺按照采购方要求在交货期内完成与我单位内部系统的联网调试,保证设备能够正常使用,投标人提供的详细参数必须与供货产品型号完全一致或优于招标要求,直接复制招标文件参数内容作为投标文件者将视为参数不达标,我方不予选择。

  4. 交货期:中标后7天内完成安装并投入运行。

  5. 质量保证期:

中标人须承诺项目质量保证期为3年或以上(包含所有软硬件产品 )并负责质保期内的运维服务,自货物经采购方验收合格并签字确认,投入使用之日起计(若国家和/或生产厂家对本项目所涉及货物的质量保证期的规定高于本项目的要求,应按国家和/或生产厂家的规定执行;或中标人在投标文件中的承诺高于上述期限,按照中标人的承诺执行)。

  1. 售后服务要求:

提供7×24免费上门服务;终身7×24免费电话咨询、报修服务、现场包修和技术支持服务;接到采购人通知后2小时内做出响应,并在2小时内到达现场,24小时内(含上述2小时)对出现质量问题的货物进行免费维修或更换,否则按违约处理;若中标人在投标文件中承诺高于该要求,按照中标人承诺执行。

  1. 设备安装调试过程中造成的责任事故或提供的设备不能正常运行等因素影响采购方正常工作,由此带来的责任由投标人方全部承担。

  2. 投标人在投标时必须对以上要求全部明确做出承诺,否则将被视为自动弃权,我方不予选择。对无法满足承诺的投标商恶意投标或提供虚假材料者,必向公共资源交易中心投诉


二、设备采购清单

序号

产品名称

配置描述

单位

数量


一、服务器区防火墙

1

万兆接入防火墙

标准2U设备,冗余电源;提供6个千兆电口、4个万兆接口(配置4个xxx模块),4SFP槽位、2USB口、1RJ45串口;整机最大吞吐量≥22Gbps、最大并发连接数≥800万、每秒新建连接数≥25万;VPN IPSec隧道数≥10000条;含三年硬件质保及三年IPS特征库升级、三年病毒升级

1


二、省厅对接VPN

 1

VPN安全网关(国密办算法)

标准1U独立式硬件架构,标配国密办加密卡,支持国密办加密算法;配置810/100/1000MBASE-T端口,4SFP插槽,2个高速USB2.0接口;整机吞吐率5Gbps,并发连接数220万,IPSec加密吞吐率300MIPSec VPN隧道数7000条,SSL VPN加密吞吐率260M,含SSL VPN并发授权100个;三年硬件保修和技术支持服务。

1


、设备参数要求

3.1、防火墙

招标项

招标要求

基本要求

标准2U设备,冗余电源;提供6个千兆电口、4个万兆接口(配置4个xxx模块),4SFP槽位、6个扩展槽位、1RJ45 Console口、2USB接口,可接移动存储设备进行日志存储,要求可现场验证;

性能要求

系统吞吐量≥22Gbps,应用层吞吐量≥10Gbps;最大并发连接数≥800万,每秒新建连接数≥25万,SSL VPN用户数≥80IPSec VPN隧道数≥20000;提供权威机构出具的性能检测报告;

操作系统

支持多系统(≥3个)引导,并可在WEB界面上直接配置启动顺序,除恢复系统之外,还可在WEB界面上支持系统完整备份,可导入导出恢复配置,提供多个系统的配置截图。

系统采用多核多线程ASIC并行操作系统,提供系统软件著作权登记证书

网络适应性

支持透明、路由、混合三种工作模式,提供国家第三方权威机构颁发的基于桥的二层交换式防火墙包过滤技术证明文件

支持区域地址所属查询,能针对国外地址进行有效防护和管理,提供截图证明

支持基于文件类型的策略路由,可实现将预定义或者自定义的文件按照不同的分类进行智能选路,提供截图证明

支持基于WEB地址URL的策略路由,可实现将不同类型的网站流量智能分配到不同的链路

支持多出口环境下的复杂策略路由,策略路由条数200条以上

除本地有线链路接入外,必须可提供至少一种其他媒介的灾备链路接入方案支持,如3G广域网、VSAT卫星网、海事卫星网,提供截图证明

安全防护功能

支持一体化安全策略配置,可以通过一条策略实现用户认证、IPSAVURL过滤、协议控制、流量控制、并发、新建限制、垃圾邮件过滤、审计等功能,简化用户管理

支持漏洞扫描功能,支持后门、文件共享、系统补丁、IE漏洞等主动式扫描

支持与漏洞扫描设备联动,提供截图证明

支持DMVPN,在增加一个新的分支节点网关后,不需要在中心网关更改任何配置,且支持路由推送,实现spoke to spoke互通,不必建立额外隧道,提供截图证明

支持SSL VPN,动态分配虚拟IP,且虚拟IP与口令用户或证书用户进行绑定,提供国家第三方权威机构颁发的SSL协议的远程安全接入方法的技术证明文件

入侵防护扩展

内置IPS特征库,特征规则数量不少于3000条,特征库可按分组进行管理,并可自定义入侵攻击和应用软件的特征,提供入侵防御事件库分组界面截图和连续10条以上特征库数量截图证明,截图必须可明确显示特征库数量

支持基于策略的入侵检测与防护,可针对不同的源目IP地址、源MAC地址、服务、时间、安全域、用户等,采用不同的入侵防护策略

支持HTTP类攻击重定向功能,能够把HTTP协议的攻击类型重定向到指定蜜罐系统,便于对攻击进行审计与分析

采用业界领先的入侵检测技术,提供国家第三方权威机构颁发网络入侵特征配制方法的技术证明文件

防病毒扩展

支持IPv4IPv6双栈协议下的病毒扫描与防护

支持基于策略的病毒扫描与防护,可针对不同的源目IP地址、源MAC地址、服务、时间、安全域、用户等,采用不同的病毒防护策略

支持多接口可旁路的病毒文件传输监听检测方式,可并行监听并检测多个接口、多个网段内的病毒传输行为,用于高可靠性要求的旁路应用环境

支持隔离病毒源地址,防止病毒源主机访问内部网络,提高网络整体安全性

支持恶意地址主动屏蔽,以用于提前免疫包括病毒网站或者攻击源地址的攻击,提供国家第三方权威机构颁发的非法网站过滤方法的技术证明文件

支持快速扫描、全面扫描模式,其病毒特征数量不少于600万种,除基本型防病毒引擎外,可扩展支持增强型防病毒引擎,同时包含基本和增强型病毒库,提供国家第三方权威机构颁发的网关防病毒技术(包括病毒防范的方法)的证明文件

反垃圾邮件

支持邮件服务器地址黑名单、邮件地址、主题、正文、附件名、附件内容等进行关键字匹配过滤,提供国家第三方权威机构颁发的垃圾邮件过滤方法的技术证明文件

支持防邮件炸弹功能,即设置POP3SMTP的连接频率,提供截图证明

安全管理

支持至少3Syslog服务器,发送流量、系统或默认3类型日志到不同服务器,提供截图证明

支持界面选择系统语言(中文、英文),提供截图证明

可靠性

支持端口联动,支持上下行端口组的联动,可以实现单端口决定同组中的任意接口失效启动链路切换,提供截图证明

具备网络安全设备及其组成的实现高可用性方法的技术能力,提供国家第三方权威机构颁发的技术证明文件

支持集群模式部署,提供国家第三方权威机构颁发的在集群模式下实现网络安全设备高可用性方法的技术证明文件

自动同步、心跳接口多级(≥2级)物理备份

产品资质

具备《计算机信息系统安全专用产品销售许可证》(增强级)

产品具有中国信息安全测评中心颁发的《国家信息安全测评信息技术产品安全检测证书-EAL4+级》

产品具有电信设备进网许可证

厂商能力

具备中国电子信息行业联合会颁发的《信息系统集成及服务资质证书》(壹级)

具备国家保密局颁发的《涉及国家秘密的计算机信息系统集成资质证书》(甲级)

具备ISCCC信息系统安全集成服务资质(一级)

属于云安全联盟CSA成员,可及时获得病毒、木马、钓鱼网站、僵尸网络等样本信息,为用户提供更及时的安全防护,提供截图和链接以便验证真实性

3.2 VPN安全网关

指标项

招标参数要求

硬件参数

标准1U独立式硬件架构,标配国密办加密卡,支持国密办加密算法;配置4SFP插槽,810/100/1000M Base-TX

双机部署

与已采购的网御星云SJJ1541-1326H-GD组成双机热备

性能参数

系统吞吐量4G,并发连接数200万,IPSEC加密吞吐量90M;最大支持600个用户并发,支持7000IPSecVPN隧道;

操作系统

具备自主研发的VSP安全操作系统,提供该安全操作系统的软件著作权作为证明

支持多系统引导,可在WEB界面上直接配置启动顺序,至少支持三个操作系统,用户可自由选择当前启动系统,每个系统拥有独立的配置文件,并可导入导出配置文件(提供截图证明),具备多核多线程ASIC并行操作系统软件著作权登记证书,提供证书复印件

支持三权分立式的管理方式,包括系统管理员,安全管理员,审计管理员

IPSEC VPN

IPSEC VPN支持网关、单臂部署模式,IPSec VPN支持透明、路由、混合等网络环节的接入,提供截图证明;

可扩展支持国密版加密算法SM1/SM4/SM3/SM4

支持KMCGDOI模式组网,支持密钥管理中心统一管理下发密钥及策略,使用组播技术更新密钥,无需更改原路由策略,提供截图证明;

支持DMVPN动态组网功能,网络扩展时仅需要配置新增节点,不需更改原网络中心和分支节点,即可扩展VPN网络,提供截图证明;

SSL VPN

支持单点登录(B/S,C/S模式),至少支持3种单点登陆方式选择,单点登录支持证书主题属性选择,支持根据读取属性分配用户权限

支持国家商用密码算法SM1/SM4/SM3/SM4,提供截图证明;

支持符合SAML框架规范的单点登录功能,支持对象属性认证和资源权限调用,实现用户应用的密码不需进行传递,实现用户密码安全,提供截图证明;

支持虚拟IP分配,并支持SSL VPN模式下基于IP的流量分流,可根据用户虚拟IP指定路由路径

支持WEB应用免客户端、免控件,零客户端。只要WEB浏览器支持HTTPS协议就可访问,对终端的主机操作系统及浏览器版本没有要求;支持无客户端认证方式实现隧道安全连接。

用户认证

支持IPSecSSLPPTPL2TP VPN的统一用户账号和认证体系,实现用户名密码的一次性配置即可适用于全部VPN类型的接入,不需分别购买SSL VPNIPSEC 不同的VPN接入授权,提供截图证明;

支持用户组并发数限制,提供截图证明;

支持配置RadiusLDAP组映射属性,支持根据RADIUSCLASSNAS-IDUser-Name ,LDAPDN等或者自定义属性将远程用户信息映射到本地用户组

支持管理员分级管理,可以为管理员指定管理的资源、角色和用户组,并且可以指定创建下级管理员、用户组和角色的权限

短信认证,支持短信猫、网易云短信平台、移动短信网关CMPPv2.0/3.0协议及联通短信网关SGIPv1.2协议,电信SMGP V3.0短信网关协议,提供截图证明;

移动接入

支持移动端设备硬件特征的采集和接入审批功能

支持本地组与第三方属性映射实现快速授权,包括支持RadiusLDAP/AD、证书属性字段等直接映射到本地

支持针对移动APPVPN安全代码的自动封装,无需用户进行定制开发,实现App应用的安全加固,提供截图证明;

应用虚拟化

支持WindowsMAC操作系统下远程应用发布功能,全部应用数据存储在服务器端,退出后本地不保存任何数据

远程应用发布必须支持双主控和负载均衡策略,即当存在多台终端发布服务器时,可以根据预先配置策略将用户分配到不同的终端服务器,提供截图证明;

支持用户配置一键复制,提高部署效率,可以复制各种插件设置、cookie设置、权限设置等,提供截图证明;

独立的统计报表统计通过应用虚拟化使用者登录情况、应用使用频次情况、服务器性能占用情况

管理配置

支持远程SSHTELNET和串口命令行配置,支持基于WEB界面的CLI命令行功能

管理员界面及用户认证界面支持中英双语切换

高可用性

NAT、路由、透明模式下支持A-A,A-S模式,且切换时间小于3秒,并支持防火墙相关状态同步技术

支持主备切换,SSLVPN在线用户不掉线,无需重新认证

支持热备、负载均衡、接口探测及链路探测功能,提供国家第三方权威机构颁发的网络安全设备及其组成的实现高可用性方法的技术证明文件;

支持在热备和集群工作模式下多台设备的配置手动/自动实时同步;提供国家第三方权威机构颁发的集群模式下实现网络安全设备高可用性方法的技术证明文件;

产品联动

支持和同品牌堡垒机产品联动,实现在VPN界面直接输入堡垒机账号认证并单点登录到堡垒机运维界面,无需任何定制开发直接部署。(提供证明文件并进行现场测试)

产品资质

具备公安部颁发的《计算机信息系统安全专用产品销售许可证》(VPN行标三级),提供证书复印件和公安部检测报告复印件

具备国家版权局颁发的《计算机软件著作权登记证书》

具备国家密码管理局颁发的《商用密码产品型号证书》,要求证书注明同时支持GM/T0022-2014IPSec VPN技术规范》和GM/T0024-2014SSLVPN技术规范》,提供证书复印件

厂商能力

具备中国电子信息行业联合会颁发的《信息系统集成及服务资质证书》(壹级)

具备国家保密局颁发的《涉及国家秘密的计算机信息系统集成资质证书》(甲级)

具备ISCCC信息系统安全集成服务资质(一级)

属于云安全联盟CSA成员,可及时获得病毒、木马、钓鱼网站、僵尸网络等样本信息,为用户提供更及时的安全防护,提供截图和链接以便验证真实性



Document Metadata

Filed: October 29th, 2014