网络接口

标配6个10/100/1000MBASE-T端口，8个SFP光纤接口

硬件参数

标准2U机箱，并含2个高速USB2.0接口,支持

性    能

整机吞吐率：≥ 10Gbps

最大并发连接数：≥ 320万

每秒新建连接数：≥ 8万

IPSec加密吞吐率：≥ 800M

IPSec VPN隧道数：≥ 9000条

SSL VPN并发用户数：≥ 1万

SSL VPN每秒新建用户：≥ 2500

SSL VPN加密吞吐：≥ 800M

操作系统

要求具备自主研发的安全操作系统，并提供该安全操作系统的软件著作权及彩页作为证明

要求支持多系统引导，并可在WEB界面上直接配置启动顺序，至少三个操作系统，WEB界面操作双系统和备份系统，用户可自由选择当前启动系统

支持多个系统配置文件，可导入导出恢复配置

支持三权分立式的管理方式，包括系统管理员，安全管理员，审计管理员

IPSEC VPN功能

支持标准IPSEC协议，能够与CISCO、JUNIPER等知名厂商的VPN设备互联互通

IPSEC VPN支持网关、单臂部署模式

IPSec VPN支持透明、路由、混合等网络环节的接入，具有极强适应性

支持KMC与GDOI模式组网，支持密钥管理中心统一管理下发密钥及策略，只需使用基础的IP路由结构，无影响原路由部署

支持DMVPN动态组网功能，网络扩展时仅需修改新增节点配置，即可扩展VPN网络

支持DMVPN路由优先级设置

支持多出口VPN，且支持双向NAT穿越（一边SNAT,对端DNAT），可配置本地和对端ID

支持隧道接力，并可通过隧道接力实现分级的树状VPN结构部署

支持IPSEC VPN隧道热备份

支持隧道入口流量管控，可以通过地址、端口、协议等维度管控进入隧道的流量

支持预共享密钥(明文及密文均支持)、证书等认证方式

支持AES128/256、DES、3DES、GCM、CCM等多种加密算法;"1"系列支持SM1~SM4国家密码算法

支持AH和ESP封装模式以及MD5、SHA1、SHA2_256/384/512等通用摘要算法

支持DH1、DH2、DH5、DH14等DH组；RSA1024等非对称加密算法

支持IPSec手动密钥协商

支持可视化VPN配置，支持VPN状态监控，包括资源状态、在线用户等

支持GRE OVER IPSEC，支持PPTP 、L2TP等VPN连接

GRE接口支持域名

IPSec VPN支持DDNS应用场景，支持使用域名进行隧道定义及协商

SSL VPN

支持虚拟门户，可以为多个不同区域用户个性化定制多个登录界面，实现不同区域用户可通过不同门户登陆系统

支持VPN用户口令的防暴力破解

“1”系列支持国密办加密算法SM1/SM4/SM3/SM4

支持单点登录（B/S,C/S模式），至少支持3种单点登陆方式选择

单点登录支持证书主题属性选择，支持根据读取属性分配用户权限

支持符合SAML框架规范的单点登录功能;支持对象属性认证和资源权限调用，实现用户应用的密码不需进行传递，实现用户密码安全

单点登录支持证书属性代填；支持应用的用户及密码智能代填，可不需要预设置用户及密码代填列表。

支持三层隧道模式，可使用SSL VPN实现三层隧道的加密传输

支持虚拟IP与口令用户或证书用户进行绑定

支持虚拟IP分配，并支持SSL VPN模式下基于IP的流量分流，可根据用户虚拟IP指定路由路径

支持WEB应用免客户端、免控件，零客户端。只要WEB浏览器支持HTTPS协议就可访问，对终端的主机操作系统及浏览器版本没有要求；支持无客户端认证方式实现隧道安全连接。

支持B/S和C/S资源发布；支持资源负载及其权值配置；支持NC资源配置发布；支持WEB及TCP资源映射

支持共享/别名虚拟门户配置，可基于别名门户配置接口、端口、协议、算法等实现多门户访问

支持个性门户（PORTAL）定制化处理，可替换图片、文本等对资源进行自定义说明

可以为PORTAL界面发布的资源（B/S,C/S模式），支持多种的认证方式、多种显示属性的设定，不同的加密强度选择

支持WEB资源自定义替换规则，满足复杂WEB资源的安全访问

支持B/S业务子资源的快捷访问设置，支持常用资源的便捷访问

支持TCP/UDP应用资源配置域名

支持FTP应用WEB化，支持使用标准WEB浏览器访问FTP应用

支持隧道内客户网段、端口控制；支持通过单条策略配置全网段地址流量进入隧道

支持动态端口访问，如FTP等

用户认证

支持全IPSEC、SSL 、VPDN的统一用户认证，实现用户列表一次性配置即可适用于全部VPN类型的接

支持用户组及用户的分级树，支持用户组及用户的上下级继承关系配置

支持用户组并发数限制

支持从账号集中管理，实现主从账号的关联绑定，并为单点登录提供代填凭证

支持用户与手机号码、PC硬件特征码、IP、MAC等硬件信息的绑定

支持本地认证、口令认证、动态令牌、短信认证等多种认证方式，灵活的多认证因子的同时使用

支持口令安全策略，包括首次登陆修改密码，口令组成策略，防暴力破解（包含锁定与解锁策略）等策略。

支持设备注册与审批功能，可通过配置实现系统自动审批或管理员手动审批，实现资产审查与管控。

支持CRL及OCSP证书验证方式；支持CRL基于LDAP协议的增量更新

本地证书签发，支持密钥长度配置包括1024/2048/4096以及签名算法选择

支持RADIUS、LDAP、WINDOWS AD域等方式，支持基于RADIUS动态令牌的双因子认证；

支持内部动态令牌认证，无需购置第三方令牌服务器。

短信认证，支持短信猫、移动短信网关CMPPv2.0/3.0协议及联通短信网关SGIPv1.2协议。

可通过WEB界面操作对RADIUS服务器连通性测试

支持LDAP用户信息直接导入本地，不需经过文档格式转换后的二次导入；导入过程可以支持用户组选择，支持与本地用户列表的重复性判断配置

支持认证服务器组设置，允许同时使用多种认证服务器对用户身份进行认证，对认证服务器的优先顺序进行灵活指定

支持HTTP匿名登陆，同时支持口令、证书等方式

支持PKCS12/X.509格式证书，支持证书导入、属性编辑

授权管理

支持基于角色及用户组的权限管理

支持基于角色的资源授权，包含BS、CS、NC以及资源映射等资源。

支持基于角色及用户组的策略控制，包括归属于该角色的用户认证策略、准入策略、客户端策略等

支持本地组与第三方属性映射实现快速授权，包括支持Radius、LDAP/AD、证书属性字段等直接映射到本地

安全策略

支持口令配置安全策略，含用户修改口令、口令构成策略等；

支持口令认证安全策略，含配置启用软键盘、附加码等；安全认证防护策略，含防暴力破解、短信防恶意发送等

支持用户准入策略，包括：操作系统、浏览器、系统进程、系统服务、网络端口、硬盘文件、注册表项等；接入IP限制；认证因素组合策略以及终端审批等认证中验证策略。

支持角色准入策略，包括：操作系统、浏览器、系统进程、系统服务、网络端口、硬盘文件、注册表项等；接入IP限制；认证因素组合策略以及终端审批策略等认证后验证策略。

支持用户登录后安全策略，包括：禁止访问外网及超时限制等会话策略

支持登录后定期检测安全策略，动态验证保障用户环境安全。

支持用户安全登出策略配置，包括：退出清除缓存、cookie、表单、历史记录等登出策略；

客户端

支持IPSEC、SSL VPN统一客户端，实现多种仅需安装一种托盘程序；并且支持接入方式智能识别，无需客户进行任何选择操作

设备支持客户端接入策略设置，可针对操作系统、浏览器、进程、服务、端口、文件、注册表进行登录前检查

支持配置启用客户端后可否访问外网等策略

支持客户端零配置，能够根据不同用户身份定向推送用户配置，实际用户不需任何配置操作

客户端支持MICROSOFT WINDOWS XP、WIN7、WIN8、WIN10等及Linux操作系统

支持浏览器自动启动客户端，包含IE、Firefox、Chrome等

支持客户端信息定制，包含LOGO及相关厂商信息，可和虚拟门户关联。

移动接入

支持提供IOS、ANDROID系统的移动终端接入APP应用

支持移动APP远程应用发布功能，VPN网关提供资源联动，实现通过VPN网关策略为APP用户分配访问资源的权限, 能够适应IOS及ANDROID系统

远程应用发布APP访问支持数据不落地传输，保证远程访问的文件安全

移动终端自有应用加密保护APP，可提供SDK软件开发工具包

可提供APP软件为多个手机自用应用同时提供加密防护，VPN网关提供资源及权限管理

支持IOS/Android手机自带VPN功能接入VPN设备，无需安装任何客户端

访问控制

基于源/目的IP地址、MAC地址、域名、端口或协议、服务、网口、时间、用户的访问控制

实现IP/MAC地址绑定，且支持IP/MAC地址对的自动探测和唯一性检查

各种工作模式下均支持H.323（H.323 GK）、SIP、FTP、MMS、RTSP、XDMCP等多种动态协议

支持会话的超时设置、删除、查询等操作、支持连接排名，可实时按端口统计流量

可支持多出口路由情况下的默认路由备份

网络特性

支持DHCP CLIENT、DHCP RELAY、DHCP SERVER

支持PPPOE接入，并具备自动断线重连技术

支持静态路由，VLAN间路由，单臂路由等，支持基于源/目的地址、接口、METRIC、服务的策略路由

支持OSPF动态路由配置

支持基本带宽管理，支持基于接口的带宽上限及下限管理。

支持多出口路由负载均衡，能够通过多个IP地址判断路由有效性

内置ISP地址列表，可轻松完成基于ISP的策略路由;支持联通、电信等ISP服务商地址列表，列表可导出及导入，可通过WEB界面选择不同的ISP服务商实现快速切换

支持路由优先级，路由权值等多种路由选择算法

支持双向NAT、动态地址转换和静态地址转换，并支持多对多的地址转换模式

支持802.1Q和ISL VLAN封装协议，支持两种封装的互换，支持VLAN TRUNK

管理配置

支持远程SSH、TELNET和串口命令行配置

支持数字证书和电子钥匙两种管理员认证方式，支持管理员权限分级

支持SNMP协议，与当前通用的网络管理平台兼容；可提供mib库

支持基于WEB界面的CLI命令行功能

可进行配置文件的备份、下载、恢复和上传，可导出可读的配置文件并进行打印存档

支持设备内置存储、设备外置存储、支持日志信息对外部存储设备的导入，支持日志已满的邮件报警

支持对CPU、内存、磁盘、接口状态、网络实时流量、用户在线状态、路由表等信息的监控

支持中文日志，提高日志可读性

高可用性

支持多重冗余协议(MRP)，实现链路备份、端口冗余

支持基于802.3AD标准的多端口聚合，实现零成本扩展带宽

支持热备和负载均衡，支持接口探测及链路探测功能，在检测到异常后能自动将本地集群切换为故障状态，保障通讯数据不被转发至异常网络线路中

在NAT、路由、透明模式下支持A-A,A-S模式，且切换时间小于3秒，并支持防火墙相关状态同步技术

可在热备和集群工作模式下支持多台设备的配置手动、自动实时同步

支持热备和负载均衡的实时状态监控

产品资质

具备公安部颁发的《计算机信息系统安全专用产品销售许可证》（VPN行标三级），要求出具公安部检测报告

具备国家版权局颁发的《计算机软件著作权登记证书》

具备国家密码管理局颁发的《商用密码产品生产定点单位证书》

具备国家密码管理局颁发的《商用密码产品销售许可证》

具备国家密码管理局颁发的《商用密码产品型号证书》

权威组织认证

要求加入微软安全响应中心（MICROSOFT SECURITY RESPONSE CENTER）发起的MAPP（MICROSOFT ACTIVE PROTECTION PROGRAM）计划，作为该计划成员，可在微软发布每月安全公告之前获得微软产品的详细漏洞信息，为用户提供更及时的安全防护。

设备制造厂商应具备自己发现主流操作系统或应用系统新漏洞的能力，并提供两个以上2010年以后发现的新漏洞及国内外相关权威机构(如：国家漏洞库和CVE)的证明。

厂商资质

具备信息产业部颁发的《计算机信息系统集成资质证书》（壹级）

具备中国信息安全产品测评中心颁发的《国家信息安全认证信息安全服务资质证书》（安全工程类二级）

具备国家保密局颁发的《涉及国家秘密的计算机信息系统集成资质证书》（甲级）

投标人必须具有原厂商对该项目的支持授权