指标项

参数要求

性能指标

交换容量≥160Gbps 

包转发率≥120Mpps 

整机业务载板插槽≥2个；业务载板子插槽≥4个

整机支持≥96个千兆以太路由接口

要求支持路由与转发硬件分离，设备内置NAT、IPSec、L2TP、GRE等业务分布式功能特性

支持MPLS，MPLS VPN、IPSEC VPN、GRE VPN

支持基于IPFIX国际标准网络流量报文统计功能，可以针对不同的流信息进行独立的数据统计

支持静态路由、等价路由、策略路由；支持RIPv1/v2、BGPv4、BGP4+等路由协议

设备内置状态防火墙、URL过滤、高性能ACL等多种安全特性。

支持高性能的NAT功能，在启用策略路由、NAT，并且启用超过1000条ACL的情况下，业务端口仍然能够达到线速转发性能，吞吐率100%，NAT新建连接数不少于20万/秒，最大并发连接数不低于200万

支持双引擎热备功能，主备引擎切换时，不影响单业务卡内的数据转发，单卡内数据转发不丢包，跨业务卡数据转发切换丢包时间<5ms

支持在启用QoS、ACL、OSPF、BFD等功能应用场景下，可实现800路分支机构的汇聚能力，满足双向数据转发不丢包，且路由器的CPU利用率低于10%

支持高精度的层次化QoS队列调度策略，实际误差应不超过0.1%

类别

功能和性能

指标要求

基本参数

硬件架构

硬件要求采用专用架构平台，采用多核的处理芯片

物理端口数

至少8个万兆SFP+接口，16个千兆电口，16个千兆光口

每秒新建连接数

≥250000

最大并发连接

≥12000000

吞吐量

≥80G

AV吞吐量

≥11G

IPS吞吐量

≥13G

安全特性

安全功能

支持状态检测包过滤、应用层检测，能够有效的进行边界隔离，支持对常见的应用层协议进行监控

支持透明模式和路由模式进行部署，支持虚拟防火墙功能

支持反垃圾邮件功能，支持用户信誉库功能

在传统三层防火墙功能基础上具备IPS、Web过滤防护、杀毒、VPN，行为控制、数据防泄漏、广域网加速等功能模块。其中要求应用识别库超过3000个，要求IPS特征库超过7000个，病毒特征库超过200万个

支持Web Cache以及对常见协议CIFS/FTP/MAPI/HTTP/HTTPS/TCP等加速的WAN链路加速功能

支持URL过滤，对用户web行为进行过滤，保护用户免受攻击；要求能够自定义URL， 脚本过滤能够阻断Java Applet, Cookies, Active X。支持单臂模式的URL检测。WEB分类库类别≥78个

产品资质

产品资质

《计算机信息系统安全专用产品销售许可证》

《国家信息安全认证产品型号证书》

支持下一代互联网IPV6技术，具有《IPV6 Ready Logo Certified Phase-2》证书

产品指标项

技术参数要求

硬件特性 

标准的2U机箱规格；

全模块化产品；

支持扩展插槽≥3个；

支持扩展千兆光口数≥24个；

支持扩展千兆电口数≥24个；

整机支持最大千兆接口数≥24个；

支持冗余电源，保留测试权利；

USB 2.0接口≥2个；

性能参数

最大吞吐量≥12Gbps；

最大并发连接数≥700万；

每秒新建连接数≥130000；

部署方式

支持串接、旁路、混合模式部署

工作模式

支持IPS模式，IPS监视模式，IDS监视模式，混合模式，Forward模式 

检测识别

支持基于协议异常、会话状态和七层应用行为等的攻击识别功能；

支持对VLAN、MPLS、ARP、TCP、UDP、RPC、WCCP、GRE、IPV6、QinQ等多种协议的分析功能；

支持自定义检测方向，进行针对性检测功能；

攻击防护

支持对病毒、蠕虫、木马、间谍软件、广告软件、可疑代码、端口扫描、非法连接、SQL注入、XSS跨站脚本等多种攻击的防护；可防范三至七层DoS/DDoS攻击；可防范IP Spoofing攻击

IPv4和IPv6安全及流控要求

支持IPv4和IPv6的双栈，支持IPv6下的各种隧道，支持基于 IPV6 的探测碎片攻击和协议确认技术，设备管理、安全策略、报表和告警均支持IPv4和IPv6 

具备基于IPV6的安全防御功能，可防御包括DDos、缓冲区溢出（Buffer Overflow）、Web Attacks等多种IPv6环境下的网络攻击

具备基于 IPv6的应用带宽和流量控制功能,可以在IPv6的环境下对相关网络应用带宽和流量进行管控 

IM等软件管理

支持对IM软件包括登录、发信息、传文件、语音、视频各种动作分别控制

支持对网络视频、P2P下载、炒股软件、网络游戏等进行限制

非法代理软件管理

支持对VNN、SoftEther、Hamachi、TinyVPN、PacketiX、HTTP-Tunnel、Tor等流行的虚拟隧道的以及自由门、无界、花园等非法代理类软件的管控

攻击特征库升级方式

内置攻击特征库≥3000种，全面兼容CVE标准；

可自定义入侵攻击和应用软件的特征

攻击特征库可支持手动和在线更新；

Web访问过滤功能

支持基于URL、内容等制定黑白名单来对Web访问进行过滤；

带宽限流功能

支持针对VLAN、IP地址、应用等进行网络传输带宽和网络传输总量限流；

设备可靠性

支持双机热备功能；

支持软件Bypass功能；

支持硬件Bypass功能；

一个接口故障，设备会将对应另一接口关闭；主备线路时，通过相连的HA接口传输各Session状态

设备自身安全性

设备自身采用加密通讯形式

设备自身具有抗端口扫描功能

设备自身具有限制访问IP、禁止ping等防护功能

管理界面

支持中文图形管理界面，支持集中管理和分级管理；

数据镜像功能

自身提供镜像物理接口，可将流经设备数据镜像到其他设备上进行分析 

设备报表

内置多样化的报表模版，支持自定义生成报表；支持自动定时生成报表，可利用邮件或FTP等形式定时外传报表，支持HTML、PDF、CSV等文件格式；

告警方式

支持控制台报警、邮件报警等

产品资质

中华人民共和国公安部监制《计算机信息系统安全专用产品销售许可证》

中华人民共和国公安部监制《公安部信息安全产品检测中心测试报告》要求报告内容中检验的产品类型为web过滤防护

中华人民共和国国家版权局的《计算机软件著作权登记证》

全球下一代互联网测试中心天地互连信息技术有限公司的《ipv6 ready认证证书》

国家保密局涉密信息系统安全保密测评中心的《涉密信息系统产品检测证书 

工业和信息化部电信传输研究所测试报告。

指标项

技术参数要求

硬件特征

产品规格：2U机架式； 

千兆电口≥6个；

独立管理接口1个；2个USB接口；

1+1冗余电源； 

≥2T企业级硬盘； 内存≥8G；

模块化扩展插槽≥4个； 

支持万兆光接口扩展≥8个； 

支持千兆电口数最大扩展不少于38个； 

支持千兆光口数最大扩展不少于32个

性能参数

自带设备管理数200个，最大可扩展至500个

图形并发≥200，字符并发≥500

系统架构要求

业务数据采取轻型目录存储，支持多节点数据实时同步

支持双网卡冗余（双网卡虚拟单Ip）

支持active-stanby方式的HA部署

支持集群部署。

基础功能

提供统一安全认证和运维审计系统自身状态的监控功能，包括：cpu工作情况，内存使用情况，磁盘使用情况，网卡使用情况，统一安全认证和运维审计系统自身数据库工作情况，统一安全认证和运维审计系统自身WEB服务工作情况，统一安全认证和运维审计系统自身其他关键组件工作情况等。

支持管理配置的批量功能，包括：批量自然人管理，批量资源管理，批量资源从帐号管理，批量授权管理，批量应用发布管理等，提供产品功能截图

支持消息管理，可通过系统统一给各管理员和运维人员发布消息。

支持工作计划管理，可自维护方式制定运维工作计划，并到期提醒，提供产品功能截图

主账号管理

支持主帐号的分组管理，分组可以树形方式展现，不限制分组层级数量

支持主帐号的证书认证，可以灵活配置主帐号的认证方式。统一安全认证和运维审计系统上定义主帐号时可以为主帐号生成证书，方便证书认证模式的部署和实施。也可以和其他认证方式结合，做组合认证，提高访问的安全性。

主帐号支持从AD域内抽取，可方便主帐号的建立。

资源管理

支持资源的分组管理，分组可以树形方式展现，不限制分组层级数量，提供产品功能截图

资源类型支持Windows主机、域控主机、域内主机、Unix主机、各种网络设备、安全设备、网元、数据库、WEB中间件等，提供产品功能截图

资源管理协议支持SSH、TELNET、FTP、SFTP、VNC、XWINDOW、WINDOWS文件共享等协议。其中，SSH协议代理支持SecureCRT软件的Session Clone及Send To All等复杂的功能

支持针对windows类型设备，统一安全认证和运维审计系统选择启用或者关闭某台设备的磁盘映射功能

对于数据库、web、专用C/S客户端程序支持以应用发布的方式进行授权和审计。

从帐号管理

能够对各种资源上的帐号进行推、拉、同步。推帐号即从统一安全认证和运维审计系统平台向资源上添加帐号；拉帐号即从资源上自动收集所有设备帐号到统一安全认证和运维审计系统上；同步帐号完成推拉两个动作，从而保持统一安全认证和运维审计系统和资源上从帐号的同步。

能够对资源上的帐号进行管理，可以添加、修改、删除资源上的从帐号，提供产品功能截图

授权管理

可以将资源和资源的从帐号授权给主帐号。授权给主帐号的资源可以新增和删除。授权时可以按照树形组显示资源，方便资源的选择，提供产品功能截图

对RDP资源进行授权时，支持剪贴板及本地磁盘的使用授权。

统一安全认证和运维审计系统内部管理功能权限支持角色定义，角色可以针对目录树的节点定义，角色包含的权限可以自定义。自定义内容包括：分组管理权，自然人管理权，资源管理权，授权管理权，角色定义管理权，计划管理权，审计管理权等等。

计划管理

支持资源帐号同步计划，可以设置执行时间，也可以设置单次执行或周期执行。可以根据目录树选择计划包含的资源。

支持资源帐号口令修改计划，可以设置执行时间，也可以设置单次执行或周期执行。可以根据目录树选择计划包含的资源。

审计及报表

对字符命令方式的访问可以审计到所有交互内容，可以还原操作过程的命令输入和结果输出，并且可以展现各命令的执行时间和允许执行情况。

对图形方式的资源访问，可以以录像形式审计到操作过程，支持操作过程的录像回放，提供产品功能截图

支持实时审计和阻断。操作人员对于资源的访问，审计员可以实时查看。发现高危操作时，支持实时切断当前会话。

单点登陆

主帐号WEB方式登录统一安全认证和运维审计系统后，可以展现所有已经授权给自己的资源，包括字符型和图形的授权资源。

主帐号登录统一安全认证和运维审计系统后，访问授权资源时不必再输入从帐号和密码。

统一安全认证和运维审计系统内含Radius服务器，可以作为网络设备的3A认证服务器，便于网络设备的帐号、认证、授权管理。网络设备使用统一安全认证和运维审计系统的Radius作为3A认证服务器，可以设置密码策略来控制设备的密码强度，也可以设置密码变更计划，使网络设备的帐号管理符合SOX法案关于密码定期变更的要求。

对SSH、TELNET、FTP、RDP、XWINDOW等协议不仅仅支持web式的单点登录功能，支持使用原有客户端软件，单点登录目标设备时，支持一次性会话号的登录方式确保会话安全

支持对en，su的密码自动代填功能，可方便进行单点登录。

集成VPN功能，方便远程的接入和管理。

VNC连接时，如果被连系统超时锁屏，统一安全认证和运维审计系统建立的远程VNC连接可以传送组合键进行解锁。

在FTP，SFTP及WINDOWS共享方式做文件传输时，支持自有图形化文件传输工具，能够像标准FTP工具一样实现文件拖拽传输，且支持输入关键字快速定位文件和在线编辑功能。

资质要求

★中华人民共和国国家保密局颁发的有效的《涉密信息系统产品检测证书》复印件；

★中华人民共和国信息安全认证中心颁发的有效的《国家信息安全产品认证证书(ISCCC)》

★提供中华人民共和国公安部颁发的有效的《计算机信息系统安全专用产品销售许可证》复印件，