防火墙

台

1

硬件架构

硬件平台为安全产品专用模块化结构，全分布式架构，性能板卡与接口板卡独立设计，遇到性能瓶颈可直接增加性能板卡而不必修改配置文件，采用多核多CPU处理架构

具备独立的、物理分离的主控引擎、业务引擎和接口单元，电源、风扇等部件支持全冗余配置，以上均支持热插拔。本次配置电源和风扇满配

接口

实配不少于2块接口业务卡，确保某一接口业务板卡故障情况下整机业务不中断。整机实配可用业务端口≥16个万兆光口。

设备支持后续40G接口板卡升级

性能

本次设备吞吐量≥160Gbps，最大可扩展到680Gbps

必须满足实际链路流量≥20Gbps,最大可扩展到单台设备满足40G实际链路流量，并提供现网案例截图加盖公章证明

设备实配并发连接数≥6000万，最大可扩展到2.4亿

设备实配每秒新建连接数≥70万个/秒，最大可扩展到480万个/秒

业务板卡配置必须满足不少于单向20G运营商链路下的NAT性能，同时支持4个及以上运营商出口

路由特性

支持静态、动态（RIP、OSPF、BGP）路由协议,支持策略路由，并内置 ISP 服务商路由

策略路由支持的匹配条件：源IP/目的IP，服务类型，应用类型，用户(组)，入接口，DSCP优先级。

NAT和日志审计

支持双向NAT,多对一、一对多、多对多和一对一等多种方式的地址转换

日志基于标准 SYSLOG 及二进制的格式

支持源NAT自动探测并排除NAT-IP地址池中无效地址（防封杀）

支持源NAT地址池使用率超限告警

提供完整的NAT溯源方案，支持和校方使用的计费软件联动

策略管理

支持策略的模糊查询，策略组，策略规则标签，方便策略的管理及运维。

支持将基于端口的安全策略转换为基于应用的安全策略，对安全策略进行命中分析，冗余分析。

VPN功能

支持IPSec、L2TP、GRE VPN，能够对相应VPN隧道报文进行监控统计

支持IPSEC VPN的协商方式为IKEV1 和IKEV2

支持IPSEC双机热备，实现会话同步，设备切换VPN业务不中断

IPV6功能

支持IPV6策略配置，包含web和cli，支持IPV6 SNMP管理、IPV6路由配置、IPV6 DNS配置

支持IPV6 6TO4隧道配置、IPV6 4to6隧道配置

支持NAT-PT配置、NAT64和DNS64配置

支持根据安全域、接口、地址、用户/用户组、服务/服务组、应用/应用组、TOS、Vlan等信息划分管道

多出口智能选路

支持根据目的地址智能优选运营商链路，支持主备接口配置以及按比例分配的负载分担方式

负载均衡

支持并配置负载均衡功能，包括链路智能选路负载均衡、服务器负载均衡等功能，负载均衡算法包括但不限于简单轮询、加权轮询、最小连接、加权最小连接等

流量控制

支持基于应用层协议设置流控策略，包括设置最大带宽、保证带宽、协议流量优先级等。

支持基于用户，IP的带宽保证。

支持每IP，每用户的最大连接数限制，防护服务器。

支持流量整形。

支持基于地理位置的流量和威胁分析

可靠性

支持BFD链路检测，支持BFD与VRRP联动实现双机快速切换，支持BFD与OSPF联动实现双机快速切换

支持跨数据中心集群，满足数据中心双活，多活场景

须与学校现有出口防火墙进行HA冗余配置，可同步现网出口防火墙的配置策略和会话信息

管理功能

所有操作和配置均提供命令行和web配置模式

web支持英文和中文配置模式

支持不少于8个配置文件并存，并支持配置文件备注以便配置回退，提供功能截图有效

支持详细日志记录，包括配置管理日志、事件日志、网络连接日志，攻击防护日志、流量日志等

提供手机APP，实施监控展现设备CPU利用率、内存利用率、并发连接数、流量等状态，提供产品界面截图

售后支持

支持应用特征库定期自动在线升级，不需用户手动升级，提供至少3年应用特征库免费升级服务

提供生产厂商对产品的三年保修证明（原件）及技术支持服务

产品资质

具有公安部颁发的《计算机信息系统安全专用产品销售许可证》（万兆），提供证书复印件

防火墙产品连续八年进入Gartner企业防火墙四象限，提供证明材料

NGFW(下一代防火墙)达获得过NSS Labs下一代防火墙最高评价推荐级,提供证明文件

防雷击，必须通过国家无线电监测中心检测中心浪涌（冲击）抗扰度测试项目，并出具国家无线电监测中心检测中心委托测试报告

所投产品技术指标需提供厂商盖章的含具体参数的白皮书或彩页