美国留学

一、项目简介本项目预算48万元，采购2台负载均衡器、2台防火墙、1台上网行为管理（含流量控制）、1台数据库运维审计（堡垒主机）、1台WEB防火墙用于设备更新。代替。二、技术要求1、负载均衡设备：2台

技术指标

指标要求（注：带指标的指标为重要技术参数）

系统结构

硬件平台

采用专用X86多核架构、专业负载均衡设备、非插卡扩展负载设备；

知识产权

拥有自主知识产权的国产品牌。

硬件性能

硬件规格

提供液晶面板，方便管理，显示设备工作状态；配备6个千兆电口和4个千兆光口；配备冗余电源，2个接口扩展槽，可扩展10G接口。

性能要求

四层吞吐量35G，最大并发连接数800万，第四层新增连接30万/秒。

功能要求

部署方式

支持路由、旁路部署、三角传输。

高可用性

支持双活（AA）和主备（AS）工作模式；支持标准VRRP协议；支持浮动MAC，HA切换过程中MAC地址保持不变。

多合一功能集成

设备还支持以下功能：链路负载均衡、服务器负载均衡、全局负载、应用加速、智能DNS、单边加速、SSL VPN、IPSEC VPN、虚拟化等功能。这次提供的设备实际上必须配置有上述授权。

多链路负载均衡

支持10条以上链路的流量均衡；提供TCP丢包预测、快速重传和恢复机制，提高TCP协议的数据传输速度。当WAN链路上出现延迟和丢包时，情况可能会发生显着变化。 TCP传输效率提高了传输速率，无需在用户终端安装任何插件和软件，可以提高链路访问速度，节省带宽资源。支持智能DNS功能，实现链路智能入站访问，避免跨运营商访问。提供业务带宽保障：当链路拥塞时，支持为指定业务分配优先级，优先级高的业务优先处理，可以保证指定业务的带宽。当链路空闲时，所有业务都可以随意使用带宽，而链路拥塞时，可以保证指定业务使用的带宽。业务带宽保障：当链路拥塞时，支持为指定业务分配优先级。高优先级业务优先处理，可以保证指定业务的带宽。当链路空闲时，所有服务都可以任意使用带宽。在拥塞时，可以保证指定业务使用的带宽。这次提供的设备实际上必须配置有上述授权。

服务器负载均衡

支持跨服务、跨虚拟服务、跨服务池的会话保持。支持配置每台服务器的最大连接数限制和新增连接数限制，以及单个特定用户或用户组中的所有用户访问指定应用服务以及上下游的最大连接数限制和新增速率限制发布应用的带宽限制、单用户访问限制应用的上下行带宽，避免应用系统的服务器过载。

应用系统加速

支持一项虚拟服务，可以选择多个SSL证书。适用于多个域名共享虚拟服务且所有域名都需要SSL卸载的应用场景。

支持SPDY技术，通过对HTTP协议的增强，实现数据流复用、请求优先级和HTTP头压缩技术，最大限度地减少延迟，提高网络速度，优化用户的网络体验。在保证系统安全的同时，还可以达到业务加速的效果。

IPv6改造

支持IPV6/V4双栈同时工作。

网络特点

支持接口联动功能和静态路由BFD检测。支持SSL VPN远程访问功能。支持IPSEC VPN隧道模式，为双边场景提供安全保护。

可编程脚本语言

支持通过标准TCL语言对业务逻辑进行可编程控制，支持基于任意数据段内容的负载均衡以及通过编程按需重写HTTP头内容。

安全功能

支持七层防火墙功能：通过代理解析HTTP请求，可以根据浏览器类型、cookies、HTTP Header、头域中的目标URL进行访问控制；访问请求可以被丢弃、重置并重定向到其他页面。支持HTTP访问限速：通过代理解析HTTP请求，可以根据限速规则限制浏览器每秒对某个页面的访问。

页面发送的HTTP 请求数。如果超过这个数量，就会被重置或者重定向；可以有效防止使用脚本重复刷新固定页面。支持SQL/XSS注入变种/变形深度攻击行为检测，并提供报警、拦截等精准防御。

界面及运维管理

支持全中文管理界面和HTTPS登录。支持角色管理和多级授权管理。支持管理员ACS认证，支持主备ACS认证服务器。支持SNMP V1/V2/V3协议。

保修服务要求

厂家需提供4年原厂服务，包括设备硬件保修、软件版本和配置功能特征库的免费升级。

2. 防火墙：2台

技术指标

指标要求（注：带指标的指标为重要技术参数）

品牌要求

拥有自主知识产权的国产品牌

硬件性能

机架式一体化硬件设备，配备冗余电源；配备12个千兆电口、8个千兆光口、4个多模光模块； 1个管理配置口，2个USB口；吞吐量20Gbps，最大并发连接数400万，每秒新增连接数25万，IPS吞吐量8G，防病毒吞吐量4G；实际硬盘容量480G。

功能模块要求

本次提供的设备在基本功能的基础上必须配备IPS和防病毒模块，且授权时间与售后服务承诺一致。

操作模式

支持路由、透明、旁路、混合工作模式。

策略路由

支持静态路由、RIP、OSPF、OSPFv3、BGP、ISP路由；支持基于入接口、源/目的IP地址、源/目的端口、协议、用户、应用、路由算法、健康检查、权重等条件设置策略路由；支持不少于8种路由算法，包括但不限于最小抖动、最小延迟、最小丢包率、轮询、加权轮询等；支持IPv6策略路由。

双栈

支持IPv4/v6双协议栈。

链路聚合

支持手动和LACP链路聚合，可提供不少于2种基于源/目的mac、目的IP等条件的链路负载算法；

界面镜像

支持基于接口的流镜像； gre接口镜像数据发送到远程设备。

访问控制

支持基于策略的流量统计和会话统计；提供策略分析功能，支持策略命中分析、策略冗余分析、策略冲突检查、策略包含分析，并在WEB界面显示检测结果；支持策略加速技术，减少策略对设备的性能消耗；支持详细的访问控制策略日志，每个符合策略的会话都可以记录其会话建立和拆除日志；访问控制策略日志可以记录在本地或发送到Syslog服务器；提供策略查询功能，支持策略名称、源/目的区域、源/目的地址、服务、对象等条件的五元组快速查询和细粒度查询；支持IPv6安全控制策略设置，可针对IPv6目的/源地址、目的/源服务端口、地区、服务、时间等设置安全访问规则；

支持防火墙策略导出；可以根据当前会话一键生成防火墙策略。

IPv6安全防护

支持基于IPv6的入侵防御、病毒防御、DDOS、WEB防护等一系列安全防护功能；

入侵防御

支持独立的入侵防御规则特征库，特征总数超过7000个，可为常见漏洞提供安全防护；规则库支持根据攻击类型、风险等级等进行分类防护；可以捕获IPS事件，命中事件后，可以提取相关数据包；支持IPS事件基线配置，并可自动更新自定义配置的事件集；支持设置地址入侵防御白名单，支持攻击规则搜索和自定义。

病毒防护

支持HTTP/SMTP/POP3/FTP/IMAP等协议的病毒防御；病毒库规模超过1200万。

DDOS防御

支持ICMP、TCP、UDP等协议的DDOS防护；包括但不限于死亡PING、Land-Base、Tear drop、winnuke等；支持预定义和自定义策略模板。

IPSECVPN

支持IPSec VPN功能，支持IKEV1、IKEV2、国密加密类型，支持AES、DES、3DES、MD5、SHA-1、SM3等VPN加密和认证算法，支持对隧道内网络流量的监控和显示；本项目提供IPSec VPN用户授权100

SSL VPN

支持SSL VPN功能，使远程用户能够安全访问内网；本项目提供SSL VPN用户授权100

风险主机

根据攻击事件评估风险级别，智能判断内网受感染主机和风险主机，并显示在威胁展示页面。

日志服务

支持标准syslog协议；支持日志合并功能。同一类型的日志支持合并操作，减少日志流量开销；支持日志导出到多个SYSLOG服务器；支持流日志功能，将每个数据流生命周期中各个业务模块的操作结合起来，整合成完整的日志进行展示；支持从本地机器完整导出syslog日志。

威胁情报防护

威胁情报提供边界防御，分析恶意和可疑行为，区分高频随机攻击和高风险定向攻击，预测并阻断攻击威胁对业务的影响；威胁情报类型包括可疑行为（垃圾邮件、网络爬虫、挖矿、托管扫描）、攻击威胁（网银盗窃、爆破攻击、DDoS攻击、漏洞利用、Web漏洞攻击）、恶意网站（欺诈、赌博、网络钓鱼）、恶意软件（黑客工具、宏病毒、勒索软件、远程控制木马、网络蠕虫）、攻击组织（APT组织、僵尸网络C2、物联网攻击C2）、被感染主机（僵尸主机、物联网被感染主机）等；威胁情报支持离线特征库匹配。

数据管理

支持报表功能，可以收集防火墙流量信息、VPN隧道状况、应用使用情况、威胁统计、设备运行状态等并生成相应的报表。

保修服务要求

厂家需提供4年原厂服务，包括设备硬件保修、软件版本和配置功能特征库的免费升级。

3、上网行为管理：1个

技术指标

指标要求（注：带指标的指标为重要技术参数）

品牌要求

拥有自主知识产权的国产品牌。

硬件性能

标准机架式设备，吞吐量5Gb；并发会话数1,000,000；用户规模4500；千兆电口10个，千兆光口4个，实际存储硬盘1TB；支持BYPASS功能；配备冗余电源。

功能模块要求

本次提供的设备必须在基本功能的基础上配备防病毒功能模块，且授权时间与售后服务承诺一致。

部署适应性

支持路由模式、透明（桥接）模式、混合模式，支持镜像接口，无需重启设备即可切换部署模式。支持静态路由、策略路由、动态路由、ISP路由；策略路由支持七元组策略；动态路由支持RIP、OSPF等； ISP路由支持运营商地址定制。支持IPV6网络，可以对IPV6网络进行审计和流量控制。支持4G网络。当主线出现问题时，会自动切换到4G网络，保证网络正常运行。网络部署支持虚拟网线部署，支持VLAN标签过滤。支持链路质量实时监控。

行为控制

系统内置多种常见场景的应用标签，标签支持管理员自定义；用户管理和应用管理支持树形结构；支持HTTPS解密功能，支持页面和命令行配置解密策略，包括传入接口、源地址对象、目的地址对象、https对象、域名排除等。支持HTTPS网站、HTTPS

审核搜索记录、HTTPS邮箱等内容； HTTPS邮箱支持审核主题、内容、附件等；支持HTTPS域名库、预定义域名和自定义域名；支持基于P2P行为和迅雷行为的应用智能识别技术；支持抑制P2P下行流量，减缓P2P上行流量；支持信息推送功能；支持基于邮件收件人和发件人黑白名单的自定义控制方式；支持不少于7000个应用功能和不少于2000个移动应用；支持终端类型检测与控制，并显示终端趋势；支持系统运行过程中的应用统计，支持应用热图；支持私有路由或共享软件等共享网络的行为发现和管理，支持自定义配置终端数量和冻结时间；基于全局白名单功能，可针对IP和MAC地址；支持迅雷、PPStream、电驴等终端应用的禁止和限制。

互联网认证

支持WEB Portal认证功能，支持本地认证、Radius认证、LDAP认证、LDAP用户同步，支持与IMC、SAM等常见AAA服务器对接，支持配置强制重认证间隔，支持配置认证通过后重定向URL，要求本机本身支持短信验证功能；支持二维码认证，管理员扫描二维码即可授权终端上网；支持WEB认证绕过部署；

支持IC卡认证以及卡号和身份信息批量导入。

策略配置

提供智能策略分析功能，支持策略命中分析、策略冗余分析、策略冲突检查，并可在WEB界面显示检测结果；支持对所有安全策略的实时、定期分析；独立的控制策略和审计策略，精准匹配。

互联网代理

支持HTTP和SOCKS4/SOCKS5两种代理模式，支持配置代理端口，支持根据源地址和目的地址设置代理策略。

安全

具备防病毒功能，可查杀HTTP、FTP、POP3、SMTP、IMAP协议的病毒；支持对各种压缩文件进行病毒查杀。压缩默认支持5层，最大20层；提供WEB防护功能，可防护热链接、CSRF攻击、CC攻击防护、网页防篡改等攻击行为；支持三层网络环境下防止ARP欺骗；支持端口扫描功能，用于直观地了解网络上主机的安全问题；支持弱口令扫描功能，即时了解网络主机是否存在弱口令，内置弱口令库，可自定义字典库；提供威胁情报功能，支持搜索查询全网威胁情报，可用于攻击溯源、预测风险；支持威胁情报订阅，针对突发威胁及时提供防护建议；支持20多种威胁分类，包括CC、僵尸、勒索软件、网络钓鱼、垃圾邮件等；支持IPS功能，支持基于源、目的、规则集的入侵检测；支持WEB服务器防护，包括木马/后门、挖矿、病毒蠕虫、SQL注入、木马外展、间谍软件、工控攻击等。

其他

系统支持软件补丁升级和热补丁技术；

支持基于客户端的SSL VPN，提供不少于50个授权；对于设备系统健康检测功能，可以在一定时间内逐级深入，随时获取详细信息，并保留系统日志；支持自动发现网络中无线上网热点和移动终端的IP和终端类型；支持应用程序和用户流量统计。应用流量支持趋势图和饼图，可以查看应用及其流量排名前几的用户的流量趋势图；资产监控可以监控终端风险等级、操作系统、应用程序等。

保修服务要求

厂家需提供4年原厂服务，包括设备硬件保修、软件版本和配置功能特征库的免费升级。

4、数据库运维审计（堡垒机）：1名

技术指标

指标要求（注：带指标的指标为重要技术参数）

品牌要求

拥有自主知识产权的国产品牌。

硬件性能

独立的硬件设备；千兆电口6个，千兆光口2个，十兆接口2个，扩展槽1个；字符并发1000，图形并发300；配备冗余电源。

数据存储

配备内部存储2TB。

资源授权

授权管理资源数量500点。

IPV4/IPV6

支持在IPV4、IPV6、IPV4和IPV6网络环境中部署。

用户管理

支持用户客户端IP和MAC限制，同时支持黑白名单

一种工作模式。

资源自动发现

支持自动发现和添加资源，轻松快速添加资源。

RBAC授权

1、支持基于角色的授权访问控制RBAC（Role-Based Access Control），包括系统管理员根据不同角色进行管理工作，运维人员根据不同角色进行运维工作，从而满足最少的原则特权、责任分离和数据抽象原则。 2、运维角色支持时间、命令、审批策略，支持角色克隆，方便管理员快速管理运维权限。 3. 如果超出角色中时间策略中的时间范围，系统将阻塞运维会话。 4、支持用户、资源、角色的关联，形成访问策略。可添加、删除、修改、检查访问策略，实现操作维护权限的细粒度控制。

账户托管

支持资源制定不同的加密组并进行周期性和手动加密操作；加密类型支持：Linux类型；国产操作系统中标麒麟、银河麒麟；网络设备（华为、H3C、思科、中兴）； Windows类型；支持数据库协议自动加密更改，更改加密类型支持：Oracle、PostgreSQL、MySql、DB2、Informix、SYBASE、Mssql（2005、2008、2012）；支持WEB界面上传修改密码脚本，通过自定义脚本方式实现新增修改密码类型，满足多种密码修改需求；支持僵尸、幽灵、孤儿账户审计功能，并可导出异常账户审计报告，方便管理员统计异常账户情况；僵尸账户：一个周期内登录次数少于3次的用户账户

和资源账户；幽灵帐户：堡垒机中非托管但真实的资源帐户；孤立帐户：不存在授权关系的用户帐户和资源帐户。

数据库审计

实施数据库命令级审计。支持的数据库类型包括：Oracle（支持ORACLE RAC）、SQL Server、IBM DB2、Sybase、IBM Informix Dynamic Server、MySQL、PostgreSQL、Teradata、DM 和KingBase。不需要数据镜像。避免增加部署复杂性和网络负担；支持Oracle、Postgresql、Sybase、MySQL、SQLserver、MSSQL、DM8、DB2、informix、KingBase、Sybase、Teradata、Oracle数据库返回行号记录。

通过应用发布，支持对数据库操作进行命令级审计和图形化审计的双重审计效果。命令级审计方便再现真实完整操作命令，图形化审计方便直观查看真实操作行为，支持搜索操作语句关键词定位审计回放。

图形化协议审核

支持RDP窗口标题审计，支持通过窗口标题内容检索定位播放；支持RDP剪贴板和下游控制。

会话重播

WEB在线视频播放方式在服务器上再现维护人员的全部操作过程；离线回放在服务器上再现维护人员的所有操作过程（回放文件下载到本地回放）。

验证

1.支持以下身份认证方式：基本认证：本地账号+密码认证，支持内置USB-KEY认证、动态密码认证、

国密动态口令认证和手机令牌认证不需要额外的认证服务器； 2.可与其他外部认证协议集成：Windows AD、RADIUS、LDAP、SMS、北京CA、吉大正元等第三方认证； 3.支持用户使用手机号码或邮箱作为用户登录； 4、运维用户多次登录失败，登录账号或登录IP将被自动锁定，到期后自动解锁；限制用户同时只能从一个IP登录； 5、找回密码：当用户忘记登录密码时，可以通过邮件或短信的方式获取验证码，验证通过后重置登录密码。

单点登录SSO

支持的登录方式如下： 1、自动登录：自动填写账号和密码，运维人员无需知道服务器账号和密码； 2、半自动和手动登录：运维人员也可以选择自行输入资源账号和密码登录，也可以选择保存账号密码，下次不再输入账号密码。

本地化工具操作和维护

支持本地化终端调用本地工具进行运维，无需安装单独的客户端工具。

操作维护方法

1、WEB运维模式：支持运维人员使用IE（9-11版本）、Google Chrome、Firefox浏览器单点登录资源，无需安装Java控件。 2、C/S客户端模式：提供C/S运维客户端功能，供运维人员通过运维客户端登录，进行运维操作。整个运维过程不依赖任何Active或Java控件。

3、SSH/RDP直连菜单模式：为运维用户提供SSH/RDP CLI工具直连模式，通过认证后访问资源。支持SecureCRT、Mstsc工具。 4.支持HTML5运维和审计。常用的字符协议和图形协议资源可以通过浏览器进行操作和维护。无需安装任何控件，摆脱终端环境的限制。运维操作也可以在国产桌面版操作系统上进行。

自动发现运维工具

支持扫描本地运维工具并保存配置，简化运维人员的配置流程。

批量登录

支持多种工具批量登录设备。

权限切换

支持以普通管理模式登录网络设备或主机，并自动切换到特权模式。

Windows应用程序发布

1、应用发布防跳转：通过应用发布只能访问授权资源，无法通过应用工具创建非授权资源进行跳转连接； 2、支持网页防跳转功能。 http/https访问时，运维人员只能访问授权地址； 3、支持根据屏幕变化或鼠标键盘操作过滤空闲视频，减少审核播放文件大小，节省磁盘存储空间。

Linux应用程序发布

支持通过国内运维客户端登录；支持通过堡垒主机授权调用Linux运维工具连接资源进行运维操作；支持协议审计和命令控制（SSH/TELNET/MySQL/Oracle）；支持Linux运维工具的发布，实现视频审计（RDP/VNC/X11/HTTP(S)/国内数据库等）。

剪贴板控件

应用发布剪贴板控制，防止运维用户复制数据到

在本地，提高运维过程中数据安全的管控能力。

运维画面水印

支持通过应用发布开启运维屏水印。水印内容无法被运维本地篡改，震慑不规范的运维行为，提高运维过程中的数据安全性。

历史日志导入及查询

支持历史审计日志备份文件导入和历史审计日志查询。

国家秘密加密

支持国密HTTPS通信，可通过国密浏览器访问堡垒机；支持国密身份认证，可配置国密动态密码卡实现二因素认证；支持国密存储，对堡垒机加密的主从账号密码进行国密算法。

系统管理

支持通过WEB更新系统License、升级系统版本、重启系统、关机等。

保修服务要求

厂家需提供4年原厂服务，包括设备硬件保修、软件版本和配置功能特征库的免费升级。

5.WEB防火墙：1个

技术指标

指标要求（注：带指标的指标为重要技术参数）

品牌要求

拥有自主知识产权的国产品牌

硬件性能

专业WEB应用防火墙设备，非NGAF、NGFW、UTM设备；机架式一体化硬件设备，配备冗余电源；千兆电口4个，千兆光口4个，配备多模光模块4个；旁路2对，USB口2个，业务扩展槽1个；吞吐量20Gbps，HTTP并发连接数320万，WAF

吞吐量10Gbps，WEB应用吞吐量5G，每秒新增连接数30万。

网络部署

支持透明、代理模式、旁路部署、单臂部署、策略路由部署；支持智能部署，WAF设备可以自动检测Web网站的IP和端口。

功能模块要求

本次提供的设备必须在基本功能的基础上配置WEB应用保护和网页防篡改功能。

IPv6技术要求

支持纯IPv6网络环境，支持IPv4/v6 NAT地址转换，支持源目的地址转换、目的地址转换和双向地址转换，支持源IP或目的IP的连接数控制。

网络安全防御

可识别1100多种应用类型，应用识别规则总数超过3000条；设备具有独立的WEB应用保护识别库；具有Web恶意扫描防护的检测和防御能力；具有URL级访问控制，可以识别和拦截SQL注入攻击、Cookie注入攻击、命令注入攻击、跨站脚本（XSS）、应用层拒绝服务攻击、非法上传拦截，包括Web Shell攻击防护。内置防护规则库，可识别并拦截敏感信息泄露、恶意代码攻击、错误配置攻击、隐藏字段攻击、会话劫持攻击、参数篡改攻击、缓冲区溢出攻击、弱口令攻击；它可以控制网络爬虫并控制网络扫描行为；具备Web业务自学习能力，能够自行判断、标记业务特征，确认业务模型学习趋势。检测到的攻击日志可以高亮显示，有助于用户更直观地看到攻击脚本；

具有人机识别功能；支持协议识别解码能力，应支持：URL解码、XML解码、JSON解析、XML解析、Base64解码、Unicode解码、十六进制转换、斜杠转义、CHR解码、UTF-7解码，支持7以上解析能力多层混合编解码器，可以检测多层编码攻击；具备业务合规功能，可检测并拦截恶意业务探查、恶意撞库、恶意登录等行为；具有API保护，可支持API协议合规、API访问速率限制等功能；具有网站锁定功能，可锁定网站，锁定时间可按日期和周期设置；支持获取Web安全事件的原始攻击信息；具有源访问区域控制功能，可以按照国家、省份限制地址访问，防止区域攻击影响网站。

网页防篡改

支持关键URL的网页防篡改，不会对Web服务器和Web应用系统造成额外影响。

网络安全事件统计分析及报告

具有Web安全事件日志存储，支持主流服务器操作系统和主流数据库类型；具有Web安全事件报告功能，支持单条件报告输出和多维度统计报告输出；具有自定义报告功能，支持导出到WORD。 \EXCEL\PDF\HTML等常见文档处理格式。

网页扫描

具有并支持多种WEB应用漏洞的安全扫描和检测，如SQL注入、跨站脚本、目录遍历等；支持自定义WEB漏洞扫描任务，支持需要认证登录的Web系统漏洞扫描，支持自定义日、周、月等扫描

痕迹

周期设置；可导出 web 漏洞扫描报告。 实时监控 支持Web 界面实时监控，可查看 WAF 扩展卡、接口、USB 口、管理口、HA 口及业务口的运行状态，可查看业务接口上下行实时流量，可查看设备新建连接数、并发连接数、每秒事务数及 HTTP 应用层吞吐率等数据，可实时查看设备资源使用率情况。支持syslog、SNMP 协议、邮件等多种告警方式。 升级管理 支持手动执行产品升级；支持自动执行产品升级。 质保服务要求 要求厂家提供4 年原厂服务，包括设备硬件质保、软件版本及配置功能特征库免费升级。 · END ·声明 | 数说衡水是数说政通旗下专注于衡水区域内政企信息化项目案例展示、趋势分析、商机提醒、方案解决、项目落地的自媒体平台，扎根衡水、专注政务、偏重软件、构建生态，欢迎业内人士沟通交流。