湖北日報傳媒集團安全資源池、防火墻及網絡安全設備采購信息公告

1

招標人

招 標 人：湖北日報傳媒集團招標采購部

地 址：湖北省武漢市武昌區東湖路181號楚天傳媒大廈B0132室

郵 編：430077

聯 系 人：胡先生

電 話：027-88568112

傳 真：027-88568111

2

項目名稱

湖北日報傳媒集團“后備數據中心安全資源池”采購

3

投標人報名時間

2021年10月22日至2021年10月28日17時00分止

4

投標人提出疑問的截止時間

2021年11月2日17時00分

5

招標人統一答疑時間

2021年11月3日17時00分前

6

投標截止時間

2021年11月9日下午17時00分

7

遞交投標文件地點(即開標地點)

武漢市武昌區東湖路181號楚天傳媒大廈B0132室

8

投標文件份數

貳份(一正一副，并提交投標文件電子檔，相關文件及資料不予退還)

9

投標有效期

60天

10

評標小組的組建

評標小組構成：不少于5人，且為奇數。

11

中標通知

在中標通知書發出前，招標人將電話聯系中標單位。

12

解釋權

構成本招標文件的各個組成文件應互為解釋，互為說明；如有不明確或不一致，構成合同文件組成內容的，以合同文件約定內容為準，且以專用合同條款約定的合同文件優先順序解釋；除招標文件中有特別規定外，僅適用于招標投標階段的規定，按招標公告（投標邀請書）、投標人須知、評標辦法、投標文件格式的先后順序解釋；同一組成文件中就同一事項的規定或約定不一致的，以編排順序在后者為準；按本款前述規定仍不能形成結論的，由招標人負責解釋。

硬件

硬件規格

★安全資源池整體交付（含軟硬件一體化，2臺24口萬兆H3C交換機等），服務器硬件單臺要求 CPU≥2 * 16核心（CPU不低于Intel Gold 6226R），支持超線程；內存≥256G內存；系統盤≥256G SSD*2；數據盤≥4 * 4T數據盤；接口：≥6個千兆電口，≥6個萬兆光口（所有接口含模塊）。提供5年硬件保修。本次提供4臺。其余設備根據整體交付方案提供

軟件

軟件許可

★提供5年版本升級，5年特征庫升級，5年全用戶許可。

云安全管理平臺

1

★支持提供虛擬化防火墻、虛擬化堡壘機、虛擬化日志審計、虛擬化數據庫審計、虛擬化網絡審計、虛擬化基線管理、虛擬化Web應用防火墻、虛擬化負載均衡、虛擬化終端威脅防御（EDR）、虛擬化VPN、虛擬化漏掃等安全產品的能力。本次共提供不少于40個安全組件的通用授權，可靈活轉換為下一代防火墻、IPS、WAF、網絡審計、負載均衡、VPN、數據庫審計和終端安全檢測與響應、脆弱性掃描等組件（提供產品功能截圖）

單個組件性能最低要求：

VPN軟件（含100SSL授權或 100ipsec授權)；數據庫安全審計系統軟件（100M)；應用交付軟件（200M)；下一代防火墻軟件（100M)；網絡入侵防御系統軟件（100M)；Web應用防護系統軟件（100M)；網絡審計軟件（100M)；終端檢測響應平臺軟件；端點安全軟件(含25個終端授權)；安全風險評估系統軟件(50資產）；堡壘機產品專用授權≥10資產

2

支持在系統界面上以滑尺方式動態分配安全組件的性能規格，同時支持已分配組件規格的動態變更和授權回收，回收后的授權可以分配給其他用戶和其他類型的安全組件使用。

（需提供產品界面截圖，并加蓋廠商公章）

3

★云安全資源池內所有虛擬化安全產品皆為云安全管理平臺安全廠商自研。（提供廠商承諾函）

4

★支持同時展示跟同品牌下一代防火墻、安全感知平臺、上網行為管理，云端SOC平臺，SAAS化管理平臺的聯動狀態

5

★支持多區域部署，用戶可通過為不同的區域配置不同的安全組件。

6

支持顯示平臺資源信息，如宿主機運行狀態、CPU利用率、內存利用率、磁盤利用率；

支持顯示申請的實例狀態、實時流速、網絡總流量、CPU溫度等信息，并用可視化圖表的方式展示CPU、內存、磁盤占用趨勢，網絡總流入流出速率趨勢。

7

★支持云內安全能力聯動；EDR監測到服務器病毒后可通知防火墻臨時下線此臺服務器、漏洞掃描結果可導入WAF生成安全策略、數據庫審計發現SQL/XSS注入攻擊時可通知防火墻阻斷針對攻擊源等

8

★支持安全運營中心，能夠統一監測和收集各安全組件的日志，從業務系統維度實現安全風險統一管理，并且能夠通過大屏進行投放，實現租戶安全集中可視化。（需提供產品界面截圖，并加蓋廠商公章））

9

★支持安全態勢大屏展示、以可視化的形式顯示攻擊類型排名、攻擊源Top5、被攻擊主機Top5、安全事件趨勢、安全事件排行、威脅終端排行等信息（需提供產品功能界面截圖）

10

支持新建、編輯、復制、刪除、啟用和停用告警策略；告警日志支持按時間和告警類型等維度篩選；告警類型至少包括：網絡攻擊告警、WEB攻擊告警、DDoS攻擊告警、防病毒告警、未知威脅事件告警等；支持自定義告警規則；支持查看告警策略詳情，詳情至少包括：策略名稱、過濾規則、報警級別、規則分組、報警內容等。

11

★支持系統運行診斷分析，診斷系統各平臺的服務狀態；支持網絡抓包診斷分析，可設置區域、物理主機、物理網口、租戶、IP、端口等條件進行抓包分析。（需提供產品功能界面截圖）

12

★含修改云安全管理平臺的系統名稱、公司名稱以及頁面logo等信息功能或服務

13

支持以月、周為單位定期生成租戶的PDF安全報表, 包括業務的風險情況，及運維人員的服務情況，提升租戶的服務感知。（提供界面截圖和安全報表示例并加蓋廠商公章）

下一代防火墻組件

1

★提供策略分析功能，支持策略命中分析、策略冗余分析、策略沖突檢查、策略包含分析，可在WEB界面顯示檢測結果；

2

★產品支持策略生命周期管理功能，支持對安全策略修改的時間、原因、3變更類型進行統一管理，便于策略的運維與管理。（需提供產品功能截圖證明并加蓋廠商公章）。

3

★內置異常行為檢測功能，通過統計智能學習算法，對特定地址對象建立監控策略，基于新建、并發、流量等數據與上一周期記錄值進行比較判定是否異常，如果存在異常則報警；

4

★支持基于TCP協議的檢測清洗，包括但不限于：TCP Flood、SYN Flood、FIN Flood、RST Flood、新建SESSION Flood、SESSION Flood等，同時SYN源認證技術，認證模式可設置為基本模式或者高級模式，以防止虛假源攻擊；

負載均衡組件

1

★支持多功能合一同時支持鏈路負載均衡、服務器負載均衡和全局負載均衡的功能,無需額外購買相應授權。此外設備集成TCP協議優化、WEB壓縮緩存、頁面加速、SSL卸載、網絡防火墻、Web應用防火墻、DNS防火墻、漏洞掃描、四七層DDos攻擊防護等功能；

2

利用讀寫分離技術實現數據庫負載且無需在服務器上安裝任何插件或軟件。通過對數據庫操作請求做內容解析，將其中的寫操作調度到指定服務器，減少服務器壓力，提高數據庫資源利用率，提升業務響應速度，支持主流數據庫審計；

3

★通過某種編程語言（如lua）實現自定義的流量編排，對IP、TCP、UDP、SSL、HTTP和HTTPS等類型的流量進行分發、修改和統計等操作。（提供設備操作界面截圖證明材料并加蓋原廠公章)

4

支持提供四七層抗DDoS攻擊功能。支持IP、ICMP、TCP、UDP、DNS、HTTP、HTTPS、NTP；

5

★提供漏洞掃描功能。設備內置漏洞特征庫，可針對應用服務器或者整個IP網段進行定向掃描分析，發現服務器操作系統漏洞并生成漏洞分析報告；

Web應用防火墻

組件

1

支持DDoS基線學習，可以自動學習用戶http正常流量閾值模型，并給出推薦閾值配置項；

2

★支持IP黑白名單，支持暴力登錄防護，支持對身份證、信用卡、手機電話號碼、座機電話號碼、郵箱地址等敏感信息做檢查，當檢查到此類數據后可通過配置特殊字符予以替換隱藏，防止信息泄露。

3

支持對HTTP/HTTPS Flood攻擊源的發包速度、源新建連接數、源并發連接數做源限速控制配置，且可以阻斷攻擊或者將攻擊IP加入黑名單；

4

支持多服務器的負載均衡，支持輪叫、加權輪叫、原地址散列、最小連接等多種負載均衡算法；

運維審計組件

1

★支持授權圖譜，展示單一資產的授權關系圖譜，資產組/用戶組/協議的授權關系圖譜

2

★圖形資源訪問時，支持鍵盤、剪切板、窗口標題、文件傳輸記錄，并且對圖形資源的審計回放時，可以從某個鍵盤、剪切板、窗口標題、文件傳輸記錄的指定位置開始回放

3

★持任意方式檢索會話，回放會話記錄，檢索方式包括時間、用戶名、IP、資產名、協議、關鍵字；

日志審計組件

1

★支持百億級數據交互式多條件查詢，百億級數據查詢響應時間小于10s；

2

數據存儲能力：壓縮加密存儲，壓縮比不低于10:1；日志存儲不低于10000條/M；

3

系統支持智能報表創建，每添加一個日志源，系統自動分析日志源類型進行相應報表創建，無需人工干預，報表和資產一一對應；

4

支持對日志流量非常大但是日志重要程度低的syslog類型日志源進行限制接收速率，降低對系統資源的占用，保障重要日志的收集，支持限制速率設置為1000條/秒、3000條/秒和5000條/秒等；

網絡審計組件

1

★支持實名審計，支持802.1x,PPPoE,AD等環境下終端IP地址和用戶實名信息或主機信息綁定顯示，可顯示在線用戶的PPPoE賬號和AD域用戶等信息。（提供截圖證明）

2

支持應用協議行為識別，最少分為12大類，可以把應用協議分組進行審計，用戶可以根據需求自行選擇審計內容；

3

支持對HTTP協議進行審計，審計內容包括：訪問域，URL引用頁、URL分類、http請求類型、http響應類型、請求文件、請求參數、訪問行為、發布內容、請求結果、瀏覽器、服務器、Cookie、返回長度、代理客戶端地址、代理上網服務、HTTP響應時間、源目的地址、MAC地址等；

4

支持對網絡入侵行為IPS規則的管理和偵聽，并對攻擊信息詳細審計（攻擊流行程度、風險等級、操作系統、攻擊類型等）；

5

★支持流量趨勢分析、IP分組流量統計，可以對傳輸協議、應用協議、應用協議組、源目的地址、源目的端口進行統計分析，可以多條件組合分析；

數據庫審計組件

1

★支持審計各類主流數據庫系統；

2

支持和網絡審計在同一平臺上運行；

3

支持中間件環境下的SQL語句關聯到HTTP操作，HTTP操作關聯到HTTP-ID，實現中間件環境下的審計追溯；

4

★數據庫審計模塊支持數據庫審計事件與WEB業務系統事件的關聯功能，可將審計到的數據庫事件，與web服務器、客戶端IP地址等信息關聯起來

基線管理組件

1

★大數據組件：支持Elasticsearch、ZooKeeper、Spark、HDFS、Kafka、HBase、Hive、Sqoop、Yarn-MR、Impala等諸多組件的基線管理

2

★內置權威基線檢查標準庫，支持檢查標準庫隨意切換

3

支持跳板機方式，在線掃描網絡不可直達的設備

4

★無資產掃描方式：系統提供密碼文件模版下載功能，在建立核查任務時提供導入功能，系統讀取設備信息后保存在內存中，在任務執行完畢后銷毀，系統自身不存儲用戶資產信息，保證用戶機密數據安全

終端威脅防御組件（EDR）

1

★客戶端安裝后至多占用50M硬盤資源，病毒庫3M大小，日常內存占用不到10M，有效節省PC/Server資源；

2

★控制中心支持全網/以分組、標簽為單位/指定某些客戶端定制操作，即時/定時實現客戶端三種病毒查殺模式、顯示通知、關機、重啟、升級等操作，并對以上操作配置詳情，客戶端執行情況跟蹤，實現控制中心對客戶端的操作監控。支持對客戶端上述操作的快速定制。

3

支持客戶端主動升級及平臺即時/定時推送升級；支持全網/以分組、標簽為單位/指定某些客戶端定制不同版本升級包，實現差異管理、灰度升級。

4

定制策略包括病毒防御（文件實時監控、惡意行為監控、U盤保護、下載保護、郵件監控）、系統防御（系統加固、軟件安裝攔截、瀏覽器保護）、網絡防御（黑客入侵攔截、對外攻擊檢測、惡意網站攔截、IP協議控制、IP黑名單）等。

5

★要求對流行病毒的檢測能力必須超過98%的檢出率，超過98%的清除率，小于0.1%的誤報率

漏洞掃描組件

1

支持CVSS分值計算，漏洞驗證功能。要求內置WEB漏洞掃描模板、系統漏洞掃描模板、工控漏洞掃描模板并且支持自定義掃描模板。

2

★支持windows、Linux等操作系統的漏洞掃描。

3

★支持主流數據庫漏洞掃描。

4

★支持web應用漏洞掃描。

5

★支持虛擬化平臺漏洞掃描。

VPN

組件

1

支持短信、動態令牌、硬件特征碼、圖形碼認證；支持多達4因素的組合捆綁認證（用戶名口令、數字證書、短信、硬件特征碼、指紋認證）

2

支持Web方式單點登錄，用戶登錄VPN后無需二次輸入用戶名口令即可登錄應用系統；

3

★支持Windows、iOS、Android、Linux、Mac客戶端接入方式；

4

SSL VPN支持國密、國際算法切換；

★資質

要求

1

具有國家信息安全測評中心頒發的《信息安全服務資質證書》安全工程類一級；

2

云安全管理平臺具備中華人民共和國公安部頒發的《計算機信息系統安全專用產品銷售許可證》

1

招標人

招 標 人：湖北日報傳媒集團招標采購部

地 址：湖北省武漢市武昌區東湖路181號楚天傳媒大廈B0132室

郵 編：430077

聯 系 人：胡先生

電 話：027-88568112

傳 真：027-88568111

2

項目名稱

湖北日報傳媒集團“主數據中心防火墻及互聯防火墻”采購、湖北日報傳媒集團“后備數據中心防火墻采購

3

投標人報名時間

2021年10月22日至2021年10月28日17時00分止

4

投標人提出疑問的截止時間

2021年11月2日17時00分

5

招標人統一答疑時間

2021年11月3日17時00分前

6

投標截止時間

2021年11月9日下午17時00分

7

遞交投標文件地點(即開標地點)

武漢市武昌區東湖路181號楚天傳媒大廈B0132室

8

投標文件份數

貳份(一正一副，并提交投標文件電子檔，相關文件及資料不予退還)

9

投標有效期

60天

10

評標小組的組建

評標小組構成：不少于5人，且為奇數。

11

中標通知

在中標通知書發出前，招標人將電話聯系中標單位。

12

解釋權

構成本招標文件的各個組成文件應互為解釋，互為說明；如有不明確或不一致，構成合同文件組成內容的，以合同文件約定內容為準，且以專用合同條款約定的合同文件優先順序解釋；除招標文件中有特別規定外，僅適用于招標投標階段的規定，按招標公告（投標邀請書）、投標人須知、評標辦法、投標文件格式的先后順序解釋；同一組成文件中就同一事項的規定或約定不一致的，以編排順序在后者為準；按本款前述規定仍不能形成結論的，由招標人負責解釋。

★本次配置10/100/1000自適應電口≥8個（含兩對bypass接口）, HA口≥2個，MGT口≥1個，SFP接口≥16個，萬兆SFP+接口≥10個(含原廠4個萬兆單模模塊及4個萬兆多模模塊)，2T SSD硬盤。

2

配置雙冗余交流電源，可熱拔插

性能

★防火墻吞吐量≥40Gbps（可擴展至80Gbps），最大并發連接數≥1200萬，每秒新建連接數≥50萬，ipsec吞吐量≥28Gbps，ipsec隧道數≥40000，SSL VPN用戶數≥10000,IPS吞吐量≥25Gbps

★所投產品技術指標需提供原廠蓋章的含具體性能指標的白皮書或彩頁，

網絡功能

支持導出NAT444靜態映射表，提供產品界面截圖有效

★IPSec VPN支持智能選路功能，保障業務的高可靠性，提供產品功能截圖證明

★支持NAT公網地址池中IP有效性檢測，避免因NAT地址無法使用導致業務中斷，提供產品界面截圖有效

★策略路由支持基于指定IP地址、指定應用協議、指定時間表生效；策略路由支持設置至少兩條鏈路基于權重的流量負載分擔，提供產品界面截圖有效

支持基于多出口的DNS代理功能，可根據配置實現對不同外網線路的DNS服務器地址管理，當一條鏈路出現故障時，流量自動切換到其他鏈路的同時將DNS服務器進行切換，避免出現跨運營商解析而導致訪問變慢或中斷，提供產品界面截圖有效

支持線路過載保護功能，當某條外網線路擁塞時，自動將其流量切換到其他鏈路；系統對各出口的流量帶寬進行實時監測，當自身接口的流量帶寬超過配置的閾值時，新建會話的流量將不再從這個接口轉發。當此接口的流量帶寬回落到正常值以下時，新建會話的流量再恢復從這個接口轉發，提供產品界面截圖有效

支持基于國家地理位置設置策略路由進行引流，支持基于國家地理位置設置安全策略

支持和第三方認證系統聯動（如深瀾、城市熱點、尚運等認證系統）

★支持對3000 種以上應用的識別和控制，包括200+移動應用，提供產品界面截圖有效

★SSL VPN支持支持用戶名/密碼+數字證書、數字證書等證書認證方式，支持匹配證書的CN、OU等主題名字檢查

虛擬化功能

支持擴展虛擬防火墻系統，支持同一個網口用于多個虛擬防火墻支持虛擬系統技術

支持每個虛擬防火墻可自定義CPU資源、會話數、策略數、安全域數、源NAT數、目的NAT數、IPSEC VPN隧道數、會話限制規則數、IPS功能、URL功能、關鍵字類別、威脅日志等，提供產品界面截圖有效

安全運維

提供手機APP，實施監控展現設備CPU利用率、內存利用率、并發連接數、流量等狀態，提供產品界面截圖

★提供防火墻威脅分析服務，包括攻擊級別展示、攻擊類型分析、攻擊者和受害者信息統計分析，提供產品界面截圖

IPS功能

具備不少于7000種IPS特征庫，4000種以上HTTP特征庫規則列表，提供產品界面截圖有效

支持CC攻擊檢測，支持訪問限速、代理限速、自定義請求閾值、爬蟲友好等方法，檢測到CC攻擊時支持JS Cookie、重定向、訪問確認、驗證碼四種認證方法，提供產品界面截圖有效

內置知識庫，詳細描述攻擊特征及解決方案，提供產品界面截圖有效

管理功能

支持不少于10個配置文件并存，并支持配置文件的中文備注

支持基于標準SYSLOG以及二進制的日志兩種格式；二進制日志支持分布式存儲到多臺日志服務器，分布的算法至少支持輪詢、源IP HASH方式

資質要求

計算機信息系統安全專用產品銷售許可證- (萬兆)防火墻（增強級-高性能），提供證書文件復印件并加蓋原廠公章有效

★所投產品具備《計算機軟件著作權登記證書》(提供復印件并加蓋原廠公章)

★所投產品具備公安部頒發的《計算機信息系統安全專用產品銷售許可證》(提供復印件并加蓋原廠公章)

★所投產品具備國家工業和信息化部頒發的《電信設備進網許可證》(提供復印件并加蓋原廠公章)

通過國家無線電監測中心檢測中心浪涌（沖擊）抗擾度（4KV）測試項目，并出具國家無線電監測中心檢測中心委托測試報告

NGFW(下一代防火墻)獲得過NSS Labs下一代防火墻最高評價推薦級,提供證明文件

防火墻產品連續五年進入Gartner企業防火墻四象限，提供證明材料

質保授權

★提供5年硬件及軟件升級服務，

★配置10/100/1000自適應電口≥8個

1

★1U機架式設備本次配置10/100/1000自適應電口≥8個, 1個RJ45串口，1個USB口

性能

★整機吞吐率(bps)≥3Gbps，IPSEC吞吐≥600Mbps，防病毒吞吐≥300Mbps，IPS吞吐≥500Mbps，最大并發連接數≥90萬，每秒新建連接數≥2.2萬，提供IPSec VPN隧道數≥2000條，標配提供100個SSL VPN并發用戶授權，SSL VPN并發用戶數支持擴展到500個；包含QOS流控功能、IPS功能、防病毒功能及許可

網絡功能

支持導出NAT444靜態映射表，提供產品界面截圖有效

★具備ssl、DNS代理功能，實現基于入接口、源地址、目的地址域名配置DNS代理規則，并實現“代理、阻斷、放行”動作。同一條規則中，需配置多個DNS服務器地址，提供產品界面截圖有效。

支持線路過載保護功能，當某條外網線路擁塞時，自動將其流量切換到其他鏈路；系統對各出口的流量帶寬進行實時監測，當自身接口的流量帶寬超過配置的閾值時，新建會話的流量將不再從這個接口轉發。當此接口的流量帶寬回落到正常值以下時，新建會話的流量再恢復從這個接口轉發，提供產品界面截圖有效

支持基于國家地理位置設置策略路由進行引流，支持基于國家地理位置設置安全策略

支持和第三方認證系統聯動（如深瀾、城市熱點、尚運等認證系統）

安全運維

提供手機APP（安卓和IOS版本），實施監控展現設備CPU利用率、內存利用率、并發連接數、流量等狀態，需在手機App上查看報表，提供產品界面截圖

流量管理

★支持流量控制，提供產品界面截圖有效

管理功能

要求提供不少于10個配置文件并存，并支持配置文件的中文備注

支持基于標準SYSLOG以及二進制的日志兩種格式；二進制日志支持分布式存儲到多臺日志服務器，分布的算法至少支持輪詢、源IP HASH方式

資質要求

計算機信息系統安全專用產品銷售許可證- (千兆)防火墻（增強級），提供證書文件復印件并加蓋原廠公章有效

通過國家無線電監測中心檢測中心浪涌（沖擊）抗擾度（4KV）測試項目，并出具國家無線電監測中心檢測中心委托測試報告

NGFW(下一代防火墻)獲得過NSS Labs下一代防火墻最高評價推薦級,提供證明文件

★所投產品具備《計算機軟件著作權登記證書》(提供復印件并加蓋原廠公章)

★所投產品具備公安部頒發的《計算機信息系統安全專用產品銷售許可證》(提供復印件并加蓋原廠公章)

★所投產品具備國家工業和信息化部頒發的《電信設備進網許可證》(提供復印件并加蓋原廠公章)

質保授權

★提供5年硬件保修、應用識別庫升級和軟件升級維護服務,實際開啟QOS流控及IPS、防病毒功能

性能

★本次配置10/100/1000自適應電口≥4個（含一對bypass接口）, HA口≥1個，MGT口≥1個，SFP接口≥4個（可擴展至20個接口），萬兆SFP+接口≥10個，(含原廠10個萬兆多模模塊)，滿足上述端口數量要求下，剩余擴展業務槽位≥2個

2

配置雙冗余交流電源，可熱拔插

★防火墻吞吐量≥20Gbps，最大并發連接數≥1000萬，每秒新建連接數≥30萬，ipsec吞吐量≥12Gbps，ipsec隧道數≥20000，SSL VPN用戶數≥10000,IPS吞吐量≥7Gbps

★所投產品技術指標需提供含具體性能指標的白皮書或彩頁

網絡功能

支持導出NAT444靜態映射表，提供產品界面截圖有效

★IPSec VPN支持智能選路功能，保障業務的高可靠性，提供產品功能截圖證明

★支持NAT公網地址池中IP有效性檢測，避免因NAT地址無法使用導致業務中斷，提供產品界面截圖有效

★策略路由支持基于指定IP地址、指定應用協議、指定時間表生效；策略路由支持設置至少兩條鏈路基于權重的流量負載分擔，提供產品界面截圖有效

支持基于多出口的DNS代理功能，可根據配置實現對不同外網線路的DNS服務器地址管理，當一條鏈路出現故障時，流量自動切換到其他鏈路的同時將DNS服務器進行切換，避免出現跨運營商解析而導致訪問變慢或中斷，提供產品界面截圖有效

支持線路過載保護功能，當某條外網線路擁塞時，自動將其流量切換到其他鏈路；系統對各出口的流量帶寬進行實時監測，當自身接口的流量帶寬超過配置的閾值時，新建會話的流量將不再從這個接口轉發。當此接口的流量帶寬回落到正常值以下時，新建會話的流量再恢復從這個接口轉發，提供產品界面截圖有效

支持基于國家地理位置設置策略路由進行引流，支持基于國家地理位置設置安全策略

支持和第三方認證系統聯動（如深瀾、城市熱點、尚運等認證系統）

★支持對3000 種以上應用的識別和控制，包括200+移動應用，提供產品界面截圖有效

★SSL VPN支持硬件USB-key的認證方式，支持用戶名/密碼+數字證書、數字證書等證書認證方式，支持匹配證書的CN、OU等主題名字檢查。

虛擬化功能

支持擴展虛擬防火墻系統，支持同一個網口用于多個虛擬防火墻支持虛擬系統技術

支持每個虛擬防火墻可自定義CPU資源、會話數、策略數、安全域數、源NAT數、目的NAT數、IPSEC VPN隧道數、會話限制規則數、IPS功能、URL功能、關鍵字類別、威脅日志等，提供產品界面截圖有效

安全運維

提供手機APP，實施監控展現設備CPU利用率、內存利用率、并發連接數、流量等狀態，提供產品界面截圖

★提供防火墻威脅分析服務，包括攻擊級別展示、攻擊類型分析、攻擊者和受害者信息統計分析，提供產品界面截圖

IPS功能

具備不少于7000種IPS特征庫，4000種以上HTTP特征庫規則列表，提供產品界面截圖有效

支持CC攻擊檢測，支持訪問限速、代理限速、自定義請求閾值、爬蟲友好等方法，檢測到CC攻擊時支持JS Cookie、重定向、訪問確認、驗證碼四種認證方法，提供產品界面截圖有效

內置知識庫，詳細描述攻擊特征及解決方案，提供產品界面截圖有效

管理功能

支持不少于10個配置文件并存，并支持配置文件的中文備注

支持基于標準SYSLOG以及二進制的日志兩種格式；二進制日志支持分布式存儲到多臺日志服務器，分布的算法至少支持輪詢、源IP HASH方式

資質要求

計算機信息系統安全專用產品銷售許可證- (萬兆)防火墻（增強級-高性能），提供證書文件復印件并加蓋原廠公章有效

★所投產品具備《計算機軟件著作權登記證書》(提供復印件并加蓋原廠公章)

★所投產品具備公安部頒發的《計算機信息系統安全專用產品銷售許可證》(提供復印件并加蓋原廠公章)

★所投產品具備國家工業和信息化部頒發的《電信設備進網許可證》(提供復印件并加蓋原廠公章)

通過國家無線電監測中心檢測中心浪涌（沖擊）抗擾度（4KV）測試項目，并出具國家無線電監測中心檢測中心委托測試報告

NGFW(下一代防火墻)獲得過NSS Labs下一代防火墻最高評價推薦級,提供證明文件

防火墻產品連續五年進入Gartner企業防火墻四象限，提供證明材料

質保授權

★提供5年硬件及軟件升級服務，

1

招標人

招 標 人：湖北日報傳媒集團招標采購部

地 址：湖北省武漢市武昌區東湖路181號楚天傳媒大廈B0132室

郵 編：430077

聯 系 人：胡先生

電 話：027-88568112

傳 真：027-88568111

2

項目名稱

“印務防火墻”采購

3

投標人報名時間

2021年10月22日至2021年10月28日17時00分止

4

投標人提出疑問的截止時間

2021年11月2日17時00分

5

招標人統一答疑時間

2021年11月3日17時00分前

6

投標截止時間

2021年11月9日下午17時00分

7

遞交投標文件地點(即開標地點)

武漢市武昌區東湖路181號楚天傳媒大廈B0132室

8

投標文件份數

貳份(一正一副，并提交投標文件電子檔，相關文件及資料不予退還)

9

投標有效期

60天

10

評標小組的組建

評標小組構成：不少于5人，且為奇數。

11

中標通知

在中標通知書發出前，招標人將電話聯系中標單位。

12

解釋權

構成本招標文件的各個組成文件應互為解釋，互為說明；如有不明確或不一致，構成合同文件組成內容的，以合同文件約定內容為準，且以專用合同條款約定的合同文件優先順序解釋；除招標文件中有特別規定外，僅適用于招標投標階段的規定，按招標公告（投標邀請書）、投標人須知、評標辦法、投標文件格式的先后順序解釋；同一組成文件中就同一事項的規定或約定不一致的，以編排順序在后者為準；按本款前述規定仍不能形成結論的，由招標人負責解釋。

接口與性能★

1U專用機架式,≥6個千兆電口，≥8個SFP插槽,冗余電源,防火墻吞吐≥5G，并發連接≥180萬，含IPSEC VPN模塊、含DDOS防護功能，五年硬件保修。開啟全部鏈路與端口許可。

1

網絡

特性★

支持路由、透明以及混合接入模式，滿足復雜應用環境的接入需求；

支持靜態路由以及RIPv1/2、OSPF、BGP等多種動態路由協議；

支持入站智能DNS功能及服務器負載均衡功能，為更合理的實現流量負載分擔，需提供不少于10種的負載均衡算法，如rr\\wrr\\lc\\wlc\\sh\\dh\\wsh\\sed\q\\lblc\\lblcr等負載均衡算法；

支持 DNS Doctoring功能，同一域名對應不同的內網服務器真實IP地址，實現內網資源服務器的負載均衡；

至少支持8路ADSL撥號接入，可對各ADSL鏈路之間通過WCMP與ECMP方式進行路由均衡；支持ISP路由，至少內置8個不同運營商的地址庫，并可進行升級；提供截圖證明

狀態

檢測

支持多元組的訪問控制規則，至少支持基于源MAC、源端口、目的端口、時間、域名、URL等多個元素進行訪問控制；

支持對單條訪問控制策略進行最大并發連接數和長連接的限制；

支持WEB界面顯示每條策略的命中數，能夠在WEB界面顯示每條策略所引用資源（地址、區域、時間、服務、域名等）的對象信息；

具有智能訪問控制策略功能，通過對會話連接的監控和學習，快速生成訪問控制策略；

支持在WEB界面上開啟策略沖突檢測功能，在出現策略沖突時，能夠在WEB界面進行警告；

IP/MAC綁定

具有IP/MAC綁定功能，保證IP地址唯一性；支持手動綁定和自動探測兩種方式進行IP/MAC綁定；同時，支持免客戶端的跨路由設備IP/MAC綁定；支持IP/MAC綁定關系導入導出；

為防止用戶私接無線路由器、隨身WIFI等設備產生安全隱患，防火墻需支持防共享接入功能，能夠有效識別、報警并阻斷局域網網絡共享行為；提供截圖證明

策略

路由★

策略路由要求支持基于入接口策略路由配置與全局策略路由配置，同時策略路由支持ECMP與WCMP的鏈路負載均衡，并且能夠根據預設探測條件實現動態的鏈路切換；

流量

管理★

支持基于訪問控制策略的一體化帶寬管理模式，并且支持基于IP/用戶自由競爭策略、獨享策略、訪問控制獨享策略等多種帶寬策略類型；

能夠實現基于用戶、用戶組到指定域名的訪問進行流量控制；

支持基于DSCP優先級、COS優先級重標識；

抗拒絕攻擊

服務

支持防ARP欺騙與防路由欺騙功能；支持檢測并阻止攻擊者對受保護網絡的探測行為，如 Portscan，Ipsweep和Tcp_sscan等；支持拒絕服務攻擊防御，如SYN Cookie，Winnuke，Land，Smurf等；并且通過智能策略聯動機制對攻擊行為進行動態阻斷；

支持基于接口、應用層協議等流量異常檢測功能，能夠根據流量閥值、連接數閥值、協議比例異常閥值等條件觸發報警規則，并在管理頁面上亮起報警燈；

應用內容訪問控制

支持HTTP、FTP、Telnet、SMTP、POP3、IMAP等協議進行Banner替換；

支持對通過RSH\\Telnet傳輸的命令進行關鍵字過濾，對通過設備的DNS查詢請求進行域名過濾；支持FTP行為過濾，包括FTP上傳、文件下載、文件刪除、目錄刪除、創建目錄、重命名、列表等；

郵件安全支持SMTP、POP3、IMAP等郵件協議的標題、正文、郵件附件類型進行過濾，并且對不符合規則的郵件轉發到指定郵箱進行審查；支持基于本地IP黑白名單、RBL黑名單、灰名單方式的反垃圾郵件功能；

信息泄露防護

支持對文件名與至少50種文件類型過濾，包括可執行文件.ms-executable，office文件.ms-office-2003-wps、.ms-office-2007，文本文件.pdf、.rtf，壓縮文件.7z、.rar、.zip，音頻文件.mp3、.wma，視頻文件.3gp、.avi、.mp4，鏡像文件.gho等等類型的文件；

支持通過關鍵字實現對流出防火墻的http、ftp、smtp、pop3、imap、telnet、rsh、dns等協議數據進行過濾，如網頁內容、外發郵件主題及正文等；

用戶管控★

內網認證客戶端支持一次性口令認證（OTP）、本地認證、證書認證和免客戶端方式認證，同時支持RADIUS、LDAP、TACACS、SECURID等第三方外部認證設置；

支持本地CA和第三方CA，支持作為CA認證中心為其他人簽發證書，也可采用第三方CA為其他人簽發證書；支持證書廢棄、證書鏈管理，內置CA支持SM2算法；支持標準CRL列表，支持CRL 手工更新，同時支持 CRL 自動下載，通過HTTP協議定時自動下載更新 CRL文件；支持證書請求的生成，由第三方CA進行簽名；支持通過OCSP/LDAP等協議在線認證證書；

入侵

防御

（IPS模塊）★

能夠檢測并抵御的攻擊至少包括11大類，如 IIS webdav、 OpenSSL等拒絕服務類， BSD telnetd、 Sendmail 8.12等溢出攻擊類， Pcanywhere12.0、 Windows SMB等網絡訪問類，漏洞掃描、端口掃描、IP掃描等掃描類， Gatecrasher、 Hack a tack等木馬類， Microsoft Sharepoint2007 Path等HTTP攻擊類， Nagios Remote Plug-In Executor等RPC攻擊類， Sasser.b、 Blaster等蠕蟲類， Microsoft Outlook Web Access等WEBCGI攻擊類， Microsoft Windows、 NetBIOS等系統漏洞類，及 Manage Engine Multiple Products File Collector等其他攻擊類型；

規則庫數量大于4000條，符合CVE標準規范，每條規則都注有中文名稱，點擊規則編號可顯示出對應的詳細規則描述，如CVE ID、風險等級、應用類型、漏洞描述、解決辦法等；

具備WEB攻擊防護能力，支持SQL注入攻擊防護、XSS攻擊防護，對常見的Web服務器環境Web入侵的腳本攻擊工具（webshell）的攔截，包含ASPX、ASP、PHP、JSP等；

為適應不同網絡及應用環境，引擎檢測模式可選擇智能檢測或深度檢測，數據處理模式可選擇應用優先或安全優先，并能夠在丟棄報文時發送TCP reset命令；

本次提供5年IPS特征庫升級服務

IPSEC VPN

（IPSEC VPN模塊）★

支持DES/3DES/AES等標準加密算法，支持MD5/SHA1標準HASH算法，支持DH GROUP1/2/5，RSA 1024/2048非對稱算法；

符合國密局制定的《IPSEC VPN技術規范》，支持國家商用密碼算法；

支持GRE over IPsec、L2TP over IPsec隧道類型、支持多機多線路隧道自動檢測、智能選路與冗余；

支持預共享密鑰、數字證書認證、XAuth擴展認證、標準的X.509證書方式建立隧道；

支持基于時間的移動用戶訪問控制策略、支持兩網分離；

系統

安全

支持本地多配置文件存儲及配置回滾功能，并且可以有選擇性的下載“運行配置”、“保存配置”、“備份配置”、配置文件加密下載以及按對象、策略等分類的部分配置文件下載/上傳功能；要求具有配置文件自動定時上傳到指定外部服務器功能；

支持U盤存儲日志；可將多條日志合并成一條日志傳送到日志服務器中，可選擇對日志傳輸是否加密，且可設定大于或等于8位的加密密鑰，保障日志傳輸的安全性；

產品

資質★

國家信息安全產品自主原創證明；

防火墻密碼檢測證書；

國家信息安全漏洞庫兼容性資質；

1

招標人

招 標 人：湖北日報傳媒集團招標采購部

地 址：湖北省武漢市武昌區東湖路181號楚天傳媒大廈B0132室

郵 編：430077

聯 系 人：胡先生

電 話：027-88568112

傳 真：027-88568111

2

項目名稱

湖北日報傳媒集團“VPN安全設備”采購

3

投標人報名時間

2021年10月22日至2021年10月28日17時00分止

4

投標人提出疑問的截止時間

2021年11月2日17時00分

5

招標人統一答疑時間

2021年11月3日17時00分前

6

投標截止時間

2021年11月9日下午17時00分

7

遞交投標文件地點(即開標地點)

武漢市武昌區東湖路181號楚天傳媒大廈B0132室

8

投標文件份數

貳份(一正一副，并提交投標文件電子檔，相關文件及資料不予退還)

9

投標有效期

60天

10

評標小組的組建

評標小組構成：不少于5人，且為奇數。

11

中標通知

在中標通知書發出前，招標人將電話聯系中標單位。

12

解釋權

構成本招標文件的各個組成文件應互為解釋，互為說明；如有不明確或不一致，構成合同文件組成內容的，以合同文件約定內容為準，且以專用合同條款約定的合同文件優先順序解釋；除招標文件中有特別規定外，僅適用于招標投標階段的規定，按招標公告（投標邀請書）、投標人須知、評標辦法、投標文件格式的先后順序解釋；同一組成文件中就同一事項的規定或約定不一致的，以編排順序在后者為準；按本款前述規定仍不能形成結論的，由招標人負責解釋。

1

接口要求

具備≥4個千兆以太網端口。

2

2

硬件配置

≥16G內存，≥120G存儲介質。

3

性能要求

SSL吞吐量≥850M，最大并發用戶數≥3000，SSL每秒新建會話數≥800。

（設備自帶1000用戶并發許可，最大支持3000用戶并發），提供設備型號及參數的證明材料。

第一部分 SSL VPN功能

1

★用戶管理

支持管理員手動創建用戶，支持從文件（CSV文件）批量導入用戶，支持從第三方認證服務器（如RADIUS或LDAP等）導入用戶

支持用戶屬性設置，支持對單個用戶進行啟用或停用操作

支持用戶分組，支持分組屬性的設置

支持對用戶或組進行角色分配，支持對角色屬性的設置

支持在線用戶狀態查看，支持在線用戶的強制下線

2

用戶認證

★支持用戶名口令認證，支持口令復雜度設置，支持認證失敗次數限制

★支持RADIUS、LDAP等外部認證服務器認證；

★支持基于RADIUS擴展的多步認證，與外部認證服務器認證對接

支持http擴展的多步認證，與外部認證服務器認證對接

★支持”手機動態口令 + 靜態口令”的多因素認證

★支持“短信動態口令+ 靜態口令”的多因素認證

★支持三方認證，包括企業級微信、微信等

3

用戶授權

★支持對角色進行授權，一個角色中的所有用戶擁有相同的權限；

★支持基于IP、端口、URL、訪問路徑、訪問文件、訪問動作等的細粒度授權；

★支持本地授權；

★支持基于RADIUS、LDAP等外部服務器的組映射授權。

★能夠對3層到7層的訪問方式進行控制

能夠基于證書字段進行授權

4

應用訪問

★支持Web代理，用戶通過瀏覽器對內網頁面發起請求，VPN設備接收到請求后轉發給內網服務器，并將服務器的響應以網頁形式回傳給用戶；

★支持端口轉發，通過在客戶端上獲取指定目的IP地址和端口的TCP報文，實現對內網指定資源的訪問；

支持網絡擴展，VPN設備通過為遠程用戶分配私網IP地址，使遠程用戶如同企業內網用戶一樣，可以方便、快捷的訪問內網資源。

★WEB代理支持自定義內容改寫，可以適配移動政企的各種OA應用，

★支持單點登錄，包括POST，前端自動填寫等方式

5

★資源管理

支持資源或應用的手動添加、編輯、刪除操作，支持資源或應用的屬性設置，支持資源或應用信息的導入導出；

支持資源或應用的分組管理；

支持查看用戶可訪問的資源或應用；

支持基于域名的資源發布

6

虛擬網關

支持虛擬網關功能，支持不同管理員配置管理不同虛擬網關，實現CPU和內存等資源的合理分配；

虛擬網關應支持定制不同的登錄界面、定制可以訪問的資源或應用、定制不同的認證方式、定制不同的公告信息等，實現不同部門差異化登錄或不同權限用戶的隔離訪問；

支持獨占型虛擬網關，每個虛擬網關獨占IP地址和域名，用戶可以通過域名或者IP地址訪虛擬網關；

支持共享型虛擬網關，所有虛擬網關共享同一個IP地址，用戶通過訪問不同域名或路徑訪問共享型虛擬網關。

7

★終端接入

支持IOS系統終端設備、Android系統終端設備，常見Windows系統主機、常見Linux系統主機及Mac系統主機以WEB方式接入VPN設備，包括常見瀏覽器（如IE、Firefox、Chrome、Microsoft Edge和Safari等）的最新版本；

支持IOS、Android系統終端設備以客戶端軟件方式接入VPN設備，包括最新版本的IOS、Android系統；

支持常見Windows、Linux系統及Mac系統主機以客戶端軟件方式接入VPN設備；

支持遠程應用發布功能，解決存在瀏覽器兼容性問題的業務系統接入訪問。

8

SDK集成

提供IOS、Android系統客戶端的SDK集成開發功能，將VPN功能開發內嵌至應用App中，客戶端登陸應用App后即可自動完成VPN隧道的建立。

9

端點安全

支持客戶端接入主機安全檢測，當主機符合指定安全策略時才允許接入VPN設備，如

主機必須運行殺毒軟件、啟用防火墻及升級重要補丁等；

支持接入客戶端痕跡清除，能夠清除cookie、緩存、歷史記錄等各種訪問痕跡；

支持虛擬專線功能，可配置用戶在接入SSL VPN的同時，斷開與Internet其他連接，防止跳板攻擊發生。

10

其它

★支持會話保持功能，以客戶端方式接入VPN設備，當接入網絡變換或斷開重連時，VPN會話自動恢復，無需重新認證；

★支持單點登錄，用戶只需登錄一次，即可訪問內網的多個應用或資源。

★支持詳細的審計功能，提供詳細的用戶訪問信息日志。包括日期、時間、從哪個源IP地址嘗試登陸、哪個用戶名、登陸成功后具體進行了哪些訪問操作等

提供統計、報表分析工具，實現圖形化顯示

第二部分 部署要求

1

部署方式

支持旁路連接方式和串連連接方式，且沒有NAT、proxy/防火墻限制

第三部分 IPv6功能

1

協議棧要求

支持IPv6的接入，例如支持IPv6的瀏覽器訪問IPv4的web資源，支持IPv6的客戶端訪問IPv4 VPN資源、TCP資源、遠程應用資源；

具備IPv4/IPv6雙協議棧工作模式，滿足IPv6環境部署要。

2

訪問要求

支持ipv6的資源訪問，包括IPV6的web資源和網絡資源

第四部分 管理功能

1

管理方式

★支持本地串口管理、遠程SSH管理、Telnet管理、C/S方式管理或WEBUI管理。

★支持Console和SNMP協議的管理。

2

狀態監控

★支持CPU負荷、內存占用、鏈路狀態、網絡吞吐量、并發用戶數、并發會話數等狀態信息的查看。

3

網絡管理

★支持IP、網關、DNS等基本網絡配置功能；

★支持DHCP協議自動獲取IP；

★支持路由配置功能，包括靜態路由及動態路由配置；

4

流量管理

支持流量統計，可以基于接口、地址、服務、用戶、應用或資源等進行流量統計；

5

證書管理

★支持證書請求的生成，由第三方CA進行簽名；

★支持證書導入，支持CRL列表導入。

6

日志管理

★支持記錄流量日志、操作日志、系統日志等日志信息，可以以Syslog等常見日志格式輸出；

第五部分 可靠性與可用性

1

雙機熱備功能

★VPN設備應支持雙機熱備部署，允許兩臺或兩臺以上的VPN組成雙機熱備，保證工作的連續性，實現冗余保護

★雙機熱備的設備之間通過VPN接口或者其他接口進行心跳響應和同步通信；

VPN間的切換或使用應不依賴于第三方的網絡設備；

★VPN間工作切換時必須保持會話的連續。

支持主-主HA：兩臺VPN同時承載流量的轉發，設備之間除了相互監測對方的情況外，流經任意一臺VPN的流量會話信息都應采取適當的措施同步到另一臺VPN上，以始終保持兩臺VPN的會話一致。當一臺VPN出現故障時，由另一臺VPN承載全部的流量，在工作切換時，應保持會話的連續；

支持主-從HA：兩臺VPN其中一臺作為主設備承載所有流量的轉發，另一臺作為從設備實時監聽、收集與同步主設備上的狀態信息，當主設備宕機或者進程故障時，通過設定好的機制實現上下鏈路流量傳輸從主設備向從設備的轉換，此時從設備成為主設備執行工作，在切換時需要保持會話的連續。

支持賬號密碼強度策略設置以及密碼強度自動核查機制，同時具備圖形驗證碼、限制登錄IP、超時重新認證、賬號鎖定等用戶安全功能；

支持最大登錄失敗重試次數設置，登錄失敗超過重試次數后處理方法包括但不限于：鎖定時間、鎖定賬號、鎖定IP等；

第六部分 資質及服務要求

1

資質規范

★ISO體系標準，投標產品必須通過ISO9001國際質量認證體系認證、ISO20000服務管理體系認證、ISO27001信息安全管理體系認證

★所投產品具備《計算機軟件著作權登記證書》

★所投產品具備《計算機信息系統安全專用產品銷售許可證》

所投產品具備《商用密碼產品型號證書》

2

售后服務

★提供5年原廠帶備件售后服務，生產廠商在本地有售后服務人員及機構（需提供相關證明），并在本地設有產品備件庫。

提供全國400熱線電話技術支持。

★廠家能夠提供快速本地化現場技術支持（24小時內到達用戶現場），提供7*24小時技術服務支持。

1

招標人

招 標 人：湖北日報傳媒集團招標采購部

地 址：湖北省武漢市武昌區東湖路181號楚天傳媒大廈B0132室

郵 編：430077

聯 系 人：胡先生

電 話：027-88568112

傳 真：027-88568111

2

項目名稱

湖北日報傳媒集團“WAF安全設備”采購

3

投標人報名時間

2021年10月22日至2021年10月28日17時00分止

4

投標人提出問題的截止時間

2021年11月2日17時00分

5

投標人提出疑問的截止時間

2021年11月2日17時00分

6

招標人統一答疑時間

2021年11月3日17時00分前

7

遞交投標文件地點(即開標地點)

武漢市武昌區東湖路181號楚天傳媒大廈B0132室

8

投標文件份數

貳份(一正一副，并提交投標文件電子檔，相關文件及資料不予退還)

9

投標有效期

60天

10

評標小組的組建

評標小組構成：不少于5人，且為奇數。

11

中標通知

在中標通知書發出前，招標人將電話聯系中標單位。

12

解釋權

構成本招標文件的各個組成文件應互為解釋，互為說明；如有不明確或不一致，構成合同文件組成內容的，以合同文件約定內容為準，且以專用合同條款約定的合同文件優先順序解釋；除招標文件中有特別規定外，僅適用于招標投標階段的規定，按招標公告（投標邀請書）、投標人須知、評標辦法、投標文件格式的先后順序解釋；同一組成文件中就同一事項的規定或約定不一致的，以編排順序在后者為準；按本款前述規定仍不能形成結論的，由招標人負責解釋。

軟硬件要求★

2U機架式,≥6個千兆電口，≥6個千兆光口,冗余電源,2個擴展槽位,應用層吞吐≥2G，網絡層吞吐≥6G，并發連接≥120萬，所有接口含模塊，5年原廠保修。

2

采用專用硬件架構與安全操作系統，基于操作系統內核的完全檢測技術；產品為專業性 Web 應用安全防護系統硬件設備，而非下一代防火墻\\UTM 類設備集成的 WEB 防護功能模塊。

含5年應用特征庫升級許可；開通SQL注入、XSS、CSRF等WEB攻擊防護功能、URL訪問控制功能、防盜鏈功能、WEB漏洞掃描功能、DDoS攻擊防護功能、網頁防篡改功能、服務器負載均衡功能、報表分析及告警功能；

部署

方式

無IP純透明模式串聯部署、負載均衡模式部署、反向代理模式部署、旁路監測模式部署

支持基于域名和IP多種方式提供網站防護。

網絡適應性

支持虛擬線接入，無論任何網絡環境可強制數據從一個接口轉發到另一個接口

支持鏈路聚合(Channel)部署，提高鏈路帶寬。

支持提取客戶端真實IP頭；自動嘗試匹配X-Forwarded-For, X-Real-IP, Cdn-Src-Ip 用以獲取真實客戶端IP。

支持HTTP/HTTPS站點防護，在代理模式下支持HTTPS流量解析，支持SSL卸載功能。

訪問

控制

支持網絡層訪問控制，支持基于源IP 地址、目的IP 地址、源端口、目的端口、協議類型及目的區域、地理區域等條件的訪問控制。

支持IP黑白名單配置。

支持應用層訪問控制功能，針對 HTTP請求字段進行過濾，包括HTTP協議版本，請求方法，Cookie信息等。

★WEB

攻擊防護

支持多種爬蟲攻擊防護：包括但不限于內置爬蟲對象庫，自定義爬蟲對象，導入或者下載后端服務器robots.txt 等方式提供爬蟲攻擊防護。

應能識別和阻斷SQL注入攻擊,Cookie 注入攻擊，命令注入攻擊；

應能識別和阻斷跨站腳本(XSS)攻擊

應能識別和阻斷跨站請求偽造(CSRF)攻擊，支持HTTP token防護和referer匹配防護等多種防護方式。

具備WebShell攻擊，文件包含漏洞利用、目錄遍歷等攻擊的防護功能

支持對網站登錄頁面提供暴力破解防護功能。

具備盜鏈防護功能，防止服務器資源被濫用。

支持Cookie安全防護，通過對cookie進行加密簽名，保障cookie信息安全可信。

支持惡意掃描防護：通過人機識別方式，進行惡意掃描智能檢測；支持掃描防護閾值設置和掃描IP的阻斷周期設置。

支持多種爬蟲攻擊防護：包括但不限于內置爬蟲對象庫，自定義爬蟲對象，導入或者下載后端服務器robots.txt 等方式提供爬蟲攻擊防護。

支持敏感信息防泄漏功能，可自定義對身份證、信用卡、手機電話號碼、座機電話號碼、郵箱地址等敏感信息做檢查，當檢查到此類數據后可通過配置特殊字符*予以替換隱藏。

支持多重編碼檢查功能，可對多重的編碼均進行安全防御檢查，有效防止攻擊繞過WAF。

支持對文件的上傳下載進行控制，包括上傳及下載最大文件大小、文件擴展名、MIME類型等進行控制；支持對上傳文件內容進行病毒檢測的功能。

支持API接口防護：XML基礎校驗，XML schema校驗，WSDL校驗。

自學習

支持自學習建模功能，可以通過學習正常URL參數的長度、參數類型、請求方法等數據特點創建白名單模型，如果參數違反白名單模型則認為是非法流量直接阻斷，開啟自學習建模功能后可生成自學習網站參數的自學習結果報告。

DDoS攻擊防護

★支持基線學習，可以自動學習用戶http正常流量閾值模型，并給出推薦閾值配置項。

對DDoS流量支持檢測清洗和強制防御兩種模式，檢測清洗根據是否到達閾值對流量進行清洗，強制清洗對所有流量直接進行流量清洗判斷。

支持HTTP/HTTPS的DDoS攻擊威脅檢查，支持對慢速攻擊，CC攻擊進行防護。

支持DDoS攻擊動態黑名單功能，檢測到DDoS攻擊將其攻擊源自動加入黑名單。

兩種網頁篡改防護方式

自帶網關型網頁防篡改，無需在服務器中安裝任何插件，即可對網站文件內容進行篡改防護，當檢測到篡改后可以實時恢復篡改內容。

自帶緩存型網頁篡改防護；WAF通過將緩存的網站頁面返回給客戶端，從而保證客戶端無法看到被非法篡改的頁面，來做到網頁篡改防護。

★WEB

漏洞掃

描

WAF內置WEB漏掃功能，支持深度和快速兩種掃描方式對WEB應用漏洞進行掃描檢測，支持自定義每日、每周、每月等掃描周期設置，并能夠以pdf,html,txt,xml等格式導出web漏洞掃描報告

支持虛擬補丁功能，支持導入WAF內置掃描器及appscan、w3af等第三方掃描器的掃描結果生成WAF的防護規則，對此類網站漏洞直接防護。

應用

交付

支持WEB緩存,URL重寫，HTTP壓縮等應用交付功能。

業務數據分析

Web界面直觀查看WAF擴展卡、接口狀態、接口流量、管理口、HA口及業務口的運行狀態。

可以查看通過WAF的所有IPV4及IPV6客戶端和服務器IP地址及端口連接數及狀態。

支持對防護的WEB服務器進行健康檢查，可以實時監測服務器的活躍狀態，并且可定期備份健康記錄。

日志報表數據分析

日志支持以syslog和welf兩種格式向遠端日志服務器發送日志，日志傳輸可加密，且管理員可以配置加密密碼。

針對攻擊日志，可對任意一條編輯其行為動作，包括阻斷記錄日志、阻斷不記錄日志、繼續、警告、臨時或永久跳轉到某一重定向頁面等動作。

支持日志敏感信息脫敏，記錄日志時將敏感數據替換為某個特定字符。

集中

管理

支持集中管理功能，管理中心支持節點信息監控，節點管理，節點策略配置等功能，方便客戶日常運維。

配置易用性

支持設置向導模式部署，按照設置向導配置，方便安全運維人員快速上線WAF設備。

支持服務器探測功能，WAF接入后，可自動發現網站服務器的IP及域名信息。

資質

要求

中國信息安全認證中心頒發的《IT產品信息安全認證證書》（千兆）

國家保密科技測評中心頒發的《涉密信息系統產品檢測證書》(專業WAF類)

廠商

資質

具備中國電子工業標準化技術協會頒發的信息技術服務運行維護標準符合性證書（運行維護）（三級）

1

招標人

招 標 人：湖北日報傳媒集團招標采購部

地 址：湖北省武漢市武昌區東湖路181號楚天傳媒大廈B0132室

郵 編：430077

聯 系 人：胡先生

電 話：027-88568112

傳 真：027-88568111

2

項目名稱

湖北日報傳媒集團“IPS安全設備”采購

3

投標人報名時間

2021年10月22日至2021年10月28日17時00分止

4

投標人提出疑問的截止時間

2021年11月2日17時00分

5

招標人統一答疑時間

2021年11月3日17時00分前

6

投標截止時間

2021年11月9日下午17時00分

7

遞交投標文件地點(即開標地點)

武漢市武昌區東湖路181號楚天傳媒大廈B0132室

8

投標文件份數

貳份(一正一副，并提交投標文件電子檔，相關文件及資料不予退還)

9

投標有效期

60天

10

評標小組的組建

評標小組構成：不少于5人，且為奇數。

11

中標通知

在中標通知書發出前，招標人將電話聯系中標單位。

12

解釋權

構成本招標文件的各個組成文件應互為解釋，互為說明；如有不明確或不一致，構成合同文件組成內容的，以合同文件約定內容為準，且以專用合同條款約定的合同文件優先順序解釋；除招標文件中有特別規定外，僅適用于招標投標階段的規定，按招標公告（投標邀請書）、投標人須知、評標辦法、投標文件格式的先后順序解釋；同一組成文件中就同一事項的規定或約定不一致的，以編排順序在后者為準；按本款前述規定仍不能形成結論的，由招標人負責解釋。

安全操作系統

設備采用自主知識產權的專用安全操作系統（需提供軟著證書文件）

1

軟硬件要求★

網絡層吞吐量：≥18GbpsIPS雙向吞吐率：≥10Gbps，最大并發連接數：≥300萬 。1個管理口，，4個SFP插槽，萬兆光口SFP+≥8（含多模模塊）； 1個CONSOLE；≥500GB硬盤； 標配冗余電源；

5年攻擊檢測與應用識別規則庫升級許可；5年URL過濾庫升級許可；5年原廠保修。

流量采集

支持流量采集功能，支持在設備界面對服務器地址、端口、以及采樣百分比進行設置。（需提供界面截圖）

支持流量采集策略設置，對流量采集的方向、時間、源IP地址、目的IP地址、源端口、目的端口進行設置。（需提供界面截圖）

★入侵防御引擎

系統應具備：融合模式匹配、協議分析、異常檢測、會話關聯分析，逃逸等多種技術，準確識別入侵攻擊行為，為用戶提供2~7層深度入侵防御。

系統應具備：融合模式匹配、協議分析、異常檢測、會話關聯分析，逃逸等多種技術，準確識別入侵攻擊行為，為用戶提供2~7層深度入侵防御。

要求支持丟棄報文、記錄日志、禁止連接、TCP reset結束TCP會話等多種響應動作

攻擊取證

要求支持攻擊報文取證功能，檢測到攻擊事件后將原始報文完整記錄下來，作為電子證據。

★攻擊特征庫

應涵蓋廣泛的攻擊特征庫、能夠針對5900+種以上攻擊的攻擊行為、異常事件，以及網絡資源濫用流量，進行檢測和防御。

★攻擊檢測類型

要求能夠檢測包括溢出攻擊類、RPC攻擊類、WEBCGI攻擊類、拒絕服務類、木馬類、蠕蟲類、掃描類、網絡訪問類、HTTP攻擊類、系統漏洞類等在內的超過5900+種攻擊事件。

自定義規則

支持自定義規則，并且自定義規則庫可以導入導出。

病毒檢測引擎

系統應具備獨立的病毒檢測引擎。

同時支持文件型和網絡型病毒查殺。

★病毒特征庫

支持440萬以上病毒檢測規則。

★URL特征庫

支持URL地址分類庫，超過1000萬種。（需提供界面截圖）

流量異

常檢測及報警

支持對設備接口流量的閥值進行設置及報警。支持對網絡內的TCP、UDP、其他流量協議占比進行設置及報警。（需提供界面截圖）

支持對協議組的流量閥值和連接數進行設置及報警，協議組類型包括P2P類、即時通訊類、標準協議類、移動應用類、http應用類、工控互聯網類等。

（需提供界面截圖）

DDOS防御

★系統應支持獨立的DDOS檢測、阻斷及防御基線自學習的能力。

系統支持防御包括land、Smurf、Pingofdeath、winnuke、tcp_sscan、ip_option、teardrop、targa3、ipspoof、Synflood、Icmpflood、Udpflood、Portscan、ipsweep等在內的DOS/DDOS攻擊。

系統支持DNS異常包及DNS Flood攻擊防御。

系統支持DHCP異常包及DHCP Flood攻擊防御。

系統支持ARP異常包及ARP Flood攻擊防御。

系統支持CC攻擊防御。

系統支持主機并發連接數和半連接數的限制。

系統支持DDOS 機器人自學習功能，學習時間可設置。

防火墻功能

★系統應支持設置訪問控制規則，實現對三到七層的訪問控制。

支持連接數控制，并且可以選擇源目的區域及源目的地址、協議類型進行控制。

系統應支持源、目的地址轉換以及雙向地址轉換。

系統應支持界面配置IP/MAC地址綁定，支持設置協議與非常用端口的綁定策略。

★日志管理

系統應支持多種形式的日志存儲,本地存儲、發送至日志服務器、本地日志服務器雙存儲。

系統支持攻擊檢測日志中可以直觀的展示攻擊事件中的攻擊特征編碼。

應用統計

支持對應用協議的連接數和流量的報警信息進行展示

支持在應用排名中，展示該應用的主機的IP地址所對應的的主機所屬國家，以及連接數、上行流量、下行流量，并且可以對其進行排序。

接口流量統計

支持查看任意接口接受和發送報文字節大小分布圖

支持查看近24小時、一周、一個月內歷史系統性能件事情況、連接數變化情況及新建會話速率情況

監控

★應支持系統資源監視。

應支持web頁面的實時顯示攻擊事件。

應支持設備機箱溫度監視以及報警，可以自定義溫度閥值。

支持攻擊統計展示，包括檢測報文總數、發現攻擊報文總數、以及攻擊總數與檢測總數百分比。

★支持實時基于主機、區域的攻擊與被攻擊的統計顯示，在監控信息中直觀顯示IP地址所處國家。并支持自定義地址薄導入功能。

應支持基于web類型分類的統計監控。

產品資質

★產品必須具備中華人民共和國公安部頒發的《計算機信息系統安全產品銷售許可證》

★產品具有中國信息安全測評中心頒發的《國家信息安全測評信息技術產品檢測證書》（EAL3+級）

廠商資質

具備中國電子工業標準化技術協會頒發的信息技術服務運行維護標準符合性證書（運行維護）（二級）

★具備中國網絡安全審查技術與認證中心頒發的信息安全軟件開發服務資質（一級）