分项

货物名称

技术参数、性能及配置要求

数量

单位

1

网银DMZ区防火墙

硬件性能要求：

★1、1U标准机架设备，配备至少6个千兆电口、4个SFP接口和2个万兆SFP+接口，具有至少两个通用业务扩展插槽，最多可扩展到22个千兆电口或者20个千兆光口，双电源。

★2、吞吐量≥10Gbps，IPsec VPN吞吐率≥4Gbps（AES256+SHA-1），最大并发会话数 ≥400万，每秒新建会话数（HTTP）≥10 万，IPSEC VPN隧道数≥10000。

★3、硬件平台采用先进的多核网络专用架构。硬件平台采用多核处理器，使用64位MIPS多核处理器，核数≥4，要求提供对应功能的截图并盖章。系统采用模块化结构设计，可根据需要扩展IPSEC VPN、SSL VPN、攻击防护软件、入侵防御、URL分类过滤等功能。

功能要求：

1、必须支持将任意接口数据完全镜像到设备自身的其他接口,用于抓包分析，要求提供对应功能的截图并盖章。

2、必须支持接口二级IP功能，且可配置的二级接口IP不少于6个。

3、必须支持透明、路由、混合、旁路四种工作模式。

4、必须支持在旁路模式下对流量进行统计、扫描、记录和会话重置。

5、必须支持服务器负载均衡，要求提供对应功能的截图并盖章。

6、必须支持智能DNS功能，使外网访问内部服务器的流量可以在多条链路上实现智能分担。要求提供对应功能的截图并盖章。

★7、必须支持智能链路负载均衡技术，支持≥10链路。可动态探测链路响应速度并选择最优链路进行转发，要求提供对应功能的截图并盖章。

8、必须支持基于源、基于源和目的、基于会话等多种负载均衡模式。

9、必须支持HTTP GET、DNS请求和TCP端口的方式探测被监控链路或被监控服务器的健康状态。

10、必须支持GRE和GRE over IPSec，IPSec VPN、SSL VPN、L2TP VPN。

★11、提供与防火墙配合使用的ARP防护软件，软件端点数10000个。

12、OSPF、BGP和RIPv1/v2（动态路由协议非透传）支持策略路由、支持ISP路由并内置多运营商路由表。

13、必须支持IPv4和IPv6的静态路由。

14、必须支持基于会话的原路回包功能，可设置优先于路由策略而通过会话表中的入接口进行回包。

15、必须支持基于动态端口应用协议的策略路由。

16、必须支持基于角色、用户、用户组的策略路由。

17、支持A-S模式，A-A模式。

18、透明、路由模式下支持将多条链路带宽进行捆绑。

19、要求必须支持NAT full cone模式。要求提供对应功能的截图并盖章。

20、要求必须支持多对多的NAT，且公网地址池可选择逐一使用和同时使用两种模式。

★21、为解决公网IP地址资源问题，要求必须支持NAT的端口扩展技术，突破传统单个公网地址64512个端口的瓶颈，而可以达到更大值。要求提供对应功能的截图并盖章。

22、要求必须支持基于标准SYSLOG及二进制的日志格式，且需具备高性能硬件日志服务器设备供选择。

23、必须支持抵御所列所有攻击类型，包括：DNS Query Flood、SYN Flood、UDP Flood、ICMP Flood、Ping of Death、Smurf、Winnuke。

24、必须支持会话控制功能，要求能够基于源、目的、应用协议三种条件做会话数限制，要求提供对应功能的截图并盖章。

25、必须支持会话控制功能，要求能够限制会话新建速率。

26、必须支持DNS透明代理，要求提供对应功能的截图并盖章。

27、必须支持DNS代理黑白名单功能，用户可通过该功能过滤域名查询请求，保护DNS服务，要求提供对应功能的截图并盖章。

28、必须支持对防火墙策略命中次数进行统计，要求提供对应功能的截图并盖章。

29、认证用户提供有效期功能，并在登录成功页面上提示剩余时间，要求提供对应功能的截图并盖章。

30、支持本地用户通过Web认证后，通过认证登录成功页面修改自己的用户密码，要求提供对应功能的截图并盖章。

31、可按照应用分类进行流量监控并提供实时的图形化监控报表。

32、支持对FTP登陆账号名及上传、下载文件名进行记录或控制。

33、对用户访问含有某关键字的网页（包括HTTPS加密网页）进行行为控制、行为审计，要求提供对应功能的截图并盖章。

34、对用户在某网站（包括HTTPS加密网站）发布信息或发布含有某关键字信息进行行为控制、行为审计，要求提供对应功能的截图并盖章。

35、支持加权算法，包括定义关键字的权重和出现次数等条件做控制。

36、支持硬件USB-key的认证方式。

37、支持基于手机短信的登录认证方式。

38、必须支持2个系统软件并存，并支持系统软件回滚，防止配置不当或系统故障造成的网络中断，充分保证系统的稳定性。要求提供对应功能的截图并盖章。

39、必须支持基于已认证用户身份的访问URL日志记录，要求提供对应功能的截图并盖章。

40、支持对QQ上下线的行为进行记录，要求提供对应功能的截图并盖章。

41、支持监控设备系统资源的实时状况，必须包括CPU、内存、接口带宽、日志容量、策略数、会话数等对象，要求提供对应功能的截图并盖章。

42、必须支持不少于10个配置文件并存，并支持配置文件备注，要求提供对应功能的截图并盖章。

43、中、英文操作界面。

44、必须支持在NAT的动态端口资源利用率达到一定值时,设备能够主动发送告警信息通知设备管理人员。

★45、产品具备公安部颁发的《计算机信息系统安全专用产品销售许可证》 ：万兆。

★46、产品具备ISO9001管理体系认证证书。

★47、产品具备中国信息安全认证中心颁发的《中国国家信息安全产品认证证书》（三级）：万兆。

★48、产品要求通过全球下一代互联网测试中心的“IPv6 Ready”认证，提供IPv6认证官网查询网页链接截图。

★49、产品具备国家保密科技测评中心颁发的《涉密信息系统产品检测证书》：万兆。

★50、产品必须通过国家无线电监测中心检测中心浪涌（冲击）抗扰度（4KV）测试项目，并出具国家无线电监测中心检测中心委托测试报告。

★51、所投厂商要求加入微软安全响应中心（Microsoft Security Response Center）发起的MAPP（Microsoft Active Protection Program）计划，作为该计划成员，可在微软发布每月安全公告之前获得微软产品的详细漏洞信息，为用户提供更及时的安全防护。提供微软网站查询网页链接截图。

★52、需要成熟且具有一定影响力的产品，固要求投标品牌在2013年（含）以后，连续2年入围Gartner企业级防火墙魔力象限。

★售后服务要求：提供产品现场安装、配置、调试，提供原厂3年7×24小时免费现场产品咨询与维护服务（原厂出具售后服务承诺函并加盖鲜章，扫描、复印无效）。

2

套

2

网银区内网区防火墙

硬件性能要求：

★1、2U机架式结构，接口不少于6个10/100/1000BASE-T接口、4个SFP插槽和2个万兆光口（单台配置2个万兆多模光口SFPplus模块），最大配置为34个接口，具备2个可插拨的扩展槽，标配模块化双冗余电源。

★2、防火墙吞吐率不小于20Gbps，最大并发连接数不小于350W。

★3、要求基于多核多平台并行安全操作系统（提供资质证明），并且采用双安全操作系统设计（提供截图证明，加盖原厂鲜章）；系统采用模块化结构设计，可根据需要扩展IPSEC VPN、SSL VPN、防病毒、入侵防御、URL分类过滤等功能。

功能要求：

★1、要求基于多核多平台并行安全操作系统（提供资质证明），并且采用双安全操作系统设计（提供截图证明，加盖原厂鲜章）；系统采用模块化结构设计，可根据需要扩展IPSEC VPN、SSL VPN、防病毒、入侵防御、URL分类过滤等功能。

★2、核心防火墙可实现防火墙芯片硬件加速（提供第三方证明文件）。

★3、能够对加密数据的算法进行解析，可实现对称密码算法、非对称密码算法、散列算法等算法的检测和解析，系统可实现基础密码检测功能：密码算法的正确性和一致性检测、密钥管理检测、随机数质量检测、素性检测，并通过防火墙密码检测机构严格检测认证（提供第三方证明文件）。

★4、防火墙系统可自实现检测防火墙规则是否冲突，并有效防止防火墙系统内部规则冲突造成网络不稳定（提供第三方证明文件）。

5、支持链路聚合功能，对每个聚合端口的物理接口数量无限制，提高聚合组的配置灵活性，并且要求支持至少10种以上的聚合负载算法（要求截图）；

★6、需具备针对单条访问策略的最大并发连接数限制、策略命中数统计与策略重复检查功能，支持网络应用自学习功能并自动生成相关安全策略（要求截图）。

7、采用基于访问控制策略的一体化带宽管理模式，能够针对用户、用户组、IP、MAC、时间、应用等进行带宽管理，要求支持基于COS、DSCP方式的数据标识。

8、支持主备、负载均衡及连接保护多种设备高可用机制并支持集群部署。

★9、防火墙系统支持IPV6，并且能够在IPv6网络中发现活跃IP地址，采用网络协议IP地址扫描方法，获取并记录以该IPv6地址为中心预定范围内的其他活跃的IPv6地址，并采用路由发现方法获取到达记录的IPv6地址所经过的中间设备的IPv6地址。（提供第三方证明文件）。

★10、防火墙在链路高数据量情况下，可以实现防火墙网络地址转换动态负载均衡（提供第三方证明文件）。

11、支持服务器负载均衡功能，并至少提供10种以上服务器负载均衡算法。

12、可在发生系统故障时，实现系统自动修复（提供第三方证明文件加盖原厂公章）。

★13、防火墙内置内容加速系统，系统利用内容加速卡实现内容检测（提供第三方证明文件加盖原厂公章）。

★14、支持端口镜像功能，要求能够基于IP、网络协议等条件对镜像流量进行过滤，并且支持入方向、出方向及双向流量镜像。

15、产品具有《计算机信息系统安全专用产品销售许可证》防火墙三级。

16、产品为国内自主研发生产，具有国家级《信息安全产品自主原创证明》。

17、产品具有《涉密信息系统产品检测证书》。

18、产品满足GB/T 20281-2006《信息安全技术 防火墙技术要求和测试评价方法》第三级要求（出具证明）。

19、产品具有中国信息安全测评中心颁发的《国家信息安全测评信息技术产品安全测评证书》，且达到级别EAL3+。

20、产品具有国家密码管理局商用密码检测中心颁发的《防火墙产品密码检测证书》。

21、所投产品生产厂商具备中国通信企业协会颁发的《通信网络安全服务能力评定证书》风险评估类一级。

22、所投产品生产厂商具备《国家级网络安全应急服务支撑单位证书》。

23、所投产品生产厂商具备《国家信息安全测评信息安全服务资质证书》安全开发类一级。

24、所投产品生产厂商具备ISCCC信息安全服务资质认证证书（信息系统安全集成资质一级）。

25、所投产品生产厂商为中国国家信息安全漏洞库一级技术支撑单位的证书。

售后服务要求：

★1、提供产品现场安装、配置、调试，提供原厂3年7×24小时免费现场产品咨询与维护服务（原厂出具售后服务承诺函并加盖鲜章，扫描、复印无效）。

★2、必须由产品原厂商本地工程师进行项目实施和后续维护，实施及维护人员必须具备国家测评中心-注册信息安全专家（CISP）且不少于5名（提供广西地区社保证明或第三方代缴社保证明机构文件加盖原厂商公章，原件备查）。

2

套

3

测试区防火墙

硬件性能要求：

★1、1U标准机架设备，配置不少于6个千兆电口和4个SFP接口，具有至少两个通用业务扩展插槽，最多可扩展到22个千兆电口或者20个千兆光口，双电源。

★2、吞吐量≥8Gbps，IPsec VPN吞吐率≥3Gbps（AES256+SHA-1），最大并发会话数 ≥100万，每秒新建会话数（HTTP）≥8万，IPSEC VPN隧道数≥6000。

★3、硬件平台采用先进的多核网络专用架构。硬件平台采用多核处理器，使用64位MIPS多核处理器，核数≥4，要求提供对应功能的截图并盖章。系统采用模块化结构设计，可根据需要扩展IPSEC VPN、SSL VPN、攻击防护软件、入侵防御、URL分类过滤等功能。

功能要求：

1、必须支持将任意接口数据完全镜像到设备自身的其他接口，用于抓包分析，要求提供对应功能的截图并盖章。

2、必须支持接口二级IP功能，且可配置的二级接口IP不少于6个。

3、必须支持透明、路由、混合、旁路四种工作模式。

4、必须支持在旁路模式下对流量进行统计、扫描、记录和会话重置。

5、必须支持服务器负载均衡，要求提供对应功能的截图并盖章。

6、必须支持智能DNS功能，使外网访问内部服务器的流量可以在多条链路上实现智能分担。要求提供对应功能的截图并盖章。

★7、必须支持智能链路负载均衡技术。可动态探测链路响应速度并选择最优链路进行转发，要求提供对应功能的截图并盖章。

8、必须支持基于源、基于源和目的、基于会话等多种负载均衡模式。

9、必须支持HTTP GET、DNS请求和TCP端口的方式探测被监控链路或被监控服务器的健康状态。

10、必须支持GRE和GRE over IPSec，IPSec VPN、SSL VPN、L2TP VPN。

★11、提供与防火墙配合使用的ARP防护软件，软件端点数10000个。

12、OSPF、BGP和RIPv1/v2（动态路由协议非透传）支持策略路由、支持ISP路由并内置多运营商路由表。

13、必须支持IPv4和IPv6的静态路由。

14、必须支持基于会话的原路回包功能，可设置优先于路由策略而通过会话表中的入接口进行回包。

15、必须支持基于动态端口应用协议的策略路由。

16、必须支持基于角色、用户、用户组的策略路由。

17、支持A-S模式，A-A模式。

18、透明、路由模式下支持将多条链路带宽进行捆绑。

19、要求必须支持NAT full cone模式。要求提供对应功能的截图并盖章。

20、要求必须支持多对多的NAT，且公网地址池可选择逐一使用和同时使用两种模式。

★21、为解决公网IP地址资源问题，要求必须支持NAT的端口扩展技术，突破传统单个公网地址64512个端口的瓶颈，而可以达到更大值。要求提供对应功能的截图并盖章。

22、要求必须支持基于标准SYSLOG及二进制的日志格式，且需具备高性能硬件日志服务器设备供选择。

23、必须支持抵御所列所有攻击类型，包括：DNS Query Flood、SYN Flood、UDP Flood、ICMP Flood、Ping of Death、Smurf、Winnuke。

24、必须支持会话控制功能，要求能够基于源、目的、应用协议三种条件做会话数限制，要求提供对应功能的截图并盖章。

25、必须支持会话控制功能，要求能够限制会话新建速率。

26、必须支持DNS透明代理，要求提供对应功能的截图并盖章。

27、必须支持DNS代理黑白名单功能，用户可通过该功能过滤域名查询请求，保护DNS服务，要求提供对应功能的截图并盖章。

28、必须支持对防火墙策略命中次数进行统计，要求提供对应功能的截图并盖章。

29、认证用户提供有效期功能，并在登录成功页面上提示剩余时间，要求提供对应功能的截图并盖章。

30、支持本地用户通过Web认证后，通过认证登录成功页面修改自己的用户密码，要求提供对应功能的截图并盖章。

31、可按照应用分类进行流量监控并提供实时的图形化监控报表。

32、支持对FTP登陆账号名及上传、下载文件名进行记录或控制。

33、对用户访问含有某关键字的网页（包括HTTPS加密网页）进行行为控制、行为审计，要求提供对应功能的截图并盖章。

34、对用户在某网站（包括HTTPS加密网站）发布信息或发布含有某关键字信息进行行为控制、行为审计，要求提供对应功能的截图并盖章。

35、支持加权算法，包括定义关键字的权重和出现次数等条件做控制。

36、支持硬件USB-key的认证方式。

37、支持基于手机短信的登录认证方式。

38、必须支持2个系统软件并存，并支持系统软件回滚，防止配置不当或系统故障造成的网络中断，充分保证系统的稳定性。要求提供对应功能的截图并盖章。

39、必须支持基于已认证用户身份的访问URL日志记录，要求提供对应功能的截图并盖章。

40、支持对QQ上下线的行为进行记录，要求提供对应功能的截图并盖章。

41、支持监控设备系统资源的实时状况，必须包括CPU、内存、接口带宽、日志容量、策略数、会话数等对象，要求提供对应功能的截图并盖章。

42、必须支持不少于10个配置文件并存，并支持配置文件备注，要求提供对应功能的截图并盖章。

43、中、英文操作界面。

44、必须支持在NAT的动态端口资源利用率达到一定值时,设备能够主动发送告警信息通知设备管理人员。

★45、产品具备公安部颁发的《计算机信息系统安全专用产品销售许可证》 ：千兆。

★46、产品具备ISO9001管理体系认证证书。

★47、产品具备中国信息安全认证中心颁发的《中国国家信息安全产品认证证书》（三级）：千兆。

★48、产品要求通过全球下一代互联网测试中心的“IPv6 Ready”认证，提供IPv6认证官网查询网页链接截图。

★49、产品具备国家保密科技测评中心颁发的《涉密信息系统产品检测证书》：千兆。

★50、产品必须通过国家无线电监测中心检测中心浪涌（冲击）抗扰度（4KV）测试项目，并出具国家无线电监测中心检测中心委托测试报告。

★51、所投厂商要求加入微软安全响应中心（Microsoft Security Response Center）发起的MAPP（Microsoft Active Protection Program）计划，作为该计划成员，可在微软发布每月安全公告之前获得微软产品的详细漏洞信息，为用户提供更及时的安全防护。提供微软网站查询网页链接截图。

★52、需要成熟且具有一定影响力的产品，固要求投标品牌在2013年（含）以后，连续2年入围Gartner企业级防火墙魔力象限。

★提供产品现场安装、配置、调试，提供原厂3年7×24小时免费现场产品咨询与维护服务（原厂出具售后服务承诺函并加盖公章，扫描、复印无效）。

2

套

4

Web应用防护系统设备

基本要求：

1. 、产品获得中华人民共和国公安部的《计算机信息系统安全专用产品销售许可证（Web过滤防护）》、中华人民共和国国家版权局的《计算机软件著作权登记证》，提供有效证书的复印件并加盖原厂公章。
2. 、产品获得国家保密局涉密信息系统安全保密测评中心的《涉密信息系统产品检测证书》、中国人民解放军信息安全测评认证中心的《军用信息安全产品认证证书》，提供有效证书的复印件并加盖原厂公章。
3.  
4.  
5. 、产品近两年入选国际知名第三方咨询机构Gartner魔力象限，并获得产品自身安全性认证Veracode证书，请提供相关证明材料并加盖原厂公章。
6.  
7. 、产品生产厂商须获得由中国信息安全认证中心颁发的《信息安全服务资质认证证书----一级应急处理服务资质》证书，提供有效证书的复印件并加盖原厂公章。
8.  
9.  

10、产品生产厂商须与微软建立MAPP（Microsoft Active ProtectionsProgram）合作伙伴关系，可以在微软每月发布安全更新之前获得漏洞信息，保证产品规则库的及时性、有效性，请提供相关证明。

•  
• 、产品国内市场占有率近两年内应保持前三名，并提供第三方权威咨询机构的相关市场报告证明。（须提供知名第三方机构（如IDC、Frost&Sullivan）出具的市场占有率排名有效证明材料）。
•  
• 、产品生产厂商获得ISO9001质量体系认证和ISO27001信息安全管理体系认证，必须提供产品生产厂商加盖公章的证明文件原件。
• 、产品应提供三年原厂商售后维护服务，含软硬件维护和系统软件、规则库升级服务，请详细说明售后服务的内容。

性能指标：

1. 、产品应采用2U标准19"机架式硬件平台，至少有6个100/1000M以太网工作口，4个1000M SFP光纤接口；一个扩展插槽；产品至少提供3路web应用防护能力；1个专用以太网管理口，1个专用管理串口，硬盘不少于1TB。
2.  

安全功能：

1. 、产品具有WEB安全防护功能，可提供HTTP协议校验、Web服务器/插件防护、爬虫防护、Web通用防护、非法上传及非法下载防护。（请提供产品界面截图，并加盖原厂商公章）
2. 、产品提供WEB应用安全防护功能，包括：防御SQL注入、XSS跨站脚本、LDAP注入、SSI指令、Xpath注入、命令行注入、路径穿越防护、远程文件包含防护及跨站请求伪造（CSRF）攻击。（请提供产品界面截图，并加盖原厂商公章）
3. 、产品提供Cookie安全机制，防止Cookie中敏感信息泄露及Cookie篡改，要求防护算法支持Cookie加密和Cookie签名。（请提供产品界面截图，并加盖原厂商公章）
4.  
5. 、支持信息泄露防护功能，提供服务器信息伪装/过滤，避免出错信息暴露网站敏感信息，为攻击者利用、提升攻击成功概率。（请提供产品界面截图，并加盖原厂商公章）
6. 、产品应支持Web服务器及插件防护，可以对Web服务器、开发语言的基础防护，包括了Apache、IIS、Tomcat、Nginx等Web服务器类型，PHP、Java、ASP等开发语言的深入防护。（请提供产品界面截图，并加盖原厂商公章）
7. 、产品支持对HTTP协议的异常元素、异常参数、异常编码和解码的灵活控制与处理。（请提供产品界面截图，并加盖原厂商公章）
8.  
9. 、产品支持爬虫防护，实现对100种以上的爬虫特征进行识别和阻断，防止页面因爬虫而引起信息泄露等问题。
10. 产品支持HTTPACL，对多种HTTP方法执行访问控制，包括：GET、POST、HEAD、PUT、DELETE、COPY、LOCK、UNLOCK、PROPPATCH、CONNECT、SEARCH等。（请提供产品界面截图，并加盖原厂商公章）
11.  
12.  
13.  
14.  
15. 、产品支持Webshell防护，保护服务器的敏感信息被恶意获取，保护服务器免遭恶意的上传、新建、编辑、删除及查询等。（请提供产品界面截图，并加盖原厂商公章）
16.  
17.  
18. 、产品支持HTTPS站点防护，通过SSL证书管理及HTTPS会话分析，能够对SSL（HTTPS）加密会话进行分析和攻击防护。（请提供产品界面截图，并加盖原厂商公章）
19. 、产品提供网络层安全控制功能，包括：ARP欺骗防护功能；提供基于五元组（源IP地址、目的IP地址、源端口、目的源口、协议类型）及接口的ACL访问控制功能。（请提供产品界面截图，并加盖原厂商公章）
20.  
21. 、产品提供高可用性（HA），支持主用/主用、主用/备用两种部署方式，出现设备宕机、端口失效等故障时，完成主机和备机的即时切换，确保关键应用的持续正常运转。（请提供产品界面截图，并加盖原厂公章）
22. 、要求产品支持Web安全日志、网络访问控制日志、Ddos防护日志、Web防篡改日志、ARP防护日志及Web访问日志进行查询，同时支持安全报表、流量报表及PCI-DSS合规报表的生成。（请提供产品界面截图，并加盖原厂公章）
23. 、产品支持串联、旁路监听及反向代理等部署模式，可根据业务需求灵活快速部署在各种网络环境中；支持VLAN 802.1Q。

管理能力：

•  
•  
•  
• 、要求安全管理软件提供基于时间、告警级别、事件类型、方法、动作、服务器IP及端口、客户端IP及端口、URI、域名或者策略ID等条件对日志进行查询。（请提供产品界面截图，并加盖原厂商公章）

5、支持日志缓存，网络引擎即使无法进行网络通信也能将检测到的攻击行为保存在本地，等网络恢复正常后再自动同步到控制台或日志数据库中，不会因网络断开而丢失日志信息。

2

台

5

动态密码平台系统设备

★3、接口标准：提供C/C++、JAVA等类型的标准API接口。

★4、动态密码系统安全模块：包括认证模块、管理模块和生成模块。认证模块提供动态令牌的认证功能，实现客户身份鉴别与交易授权管理；管理模块提供动态令牌的生命周期管理功能；生成模块提供密钥生成功能。

•  
•  
•  
• 、支持多种认证安全策略：支持不同的窗口认证策略，认证策略需保证动态密码的安全性和可用性。
• 提供多种不同服务：认证服务，Radius服务，生产服务，管理服务，演示服务（需提供界面截图并加盖厂商公章）

10、支持动态密码的时钟同步功能：可支持多种同步方式，支持柜面同步、网上银行自助同步、电话银行自助同步、手机银行自助同步等方式。不同方式的同步窗口大小可设置。

11. 、支持动态令牌的管理功能：提供不同渠道令牌各种状态的查询、设置功能。
12. 系统管理员权限划分：管理员设置角色，不同角色所有的权限不同，包含有以下角色：系统管理员，终端管理员，数据管理员，审计管理员。（需提供界面截图并加盖厂商公章）
13. 支持多渠道接入认证：支持个人网银、WAP 银行、电话银行等渠道。支持各渠道接入系统完成动态密码认证，支持为各渠道设置不同的认证策略。认证策略包括于认证窗口、密码是否缓存、认证错误次数上限等。
14.  
15. 、认证模块功能：支持自助同步和柜面同步等多种形式，支持灵活配置和参数化。
16. 、管理模块功能：提供令牌的生命周期管理功能，包括令牌的绑定、激活、同步、解锁、冻结、解冻、挂失、解挂、作废等功能。提供参数管理功能，管理认证窗口、同步窗口等。管理可支持区分不同渠道的认证策略的参数配置。（需提供界面截图并加盖厂商公章）
17. 、生成模块功能：提供密钥管理功能，包括预置密钥和序列号批量生成、密钥的变形等功能。支持使用硬件随机数发生器 。提供与生产厂商进行密钥数据传递的加解密工具和系统；支持USBKEY 等硬件方式存储交互密钥。
18. 、具备数据加密功能和审计功能：核心数据进行加密存储。提供完善的审计日志功能，完善的统计报表功能，通过页面导出PDF或者EXCEL报表。
19.  
20. 、系统管理功能要求：支持WEB管理界面，管理界面功能支持设定系统时间、系统重启、系统网络参数设置、管理员管理、系统日志功能。
21.  
22.  

★23、售后服务：原厂3年免费人工服务、部件更换，7×24小时响应。

2

台

6

数字签名验签设备

1. 、端口数量：标配提供4个千兆电口。
2. 、设备硬件：1U机架式，双电源，CPU配置不低于四核CPU 2.6GHz，标配内存不小于4GB。
3. 性能要求：密钥签名TPS 4000,验签TPS 10000。
4. 、设备提供API接口包含：C语言、JAVA语言。
5. 、设备冗余：支持多种高可用性模式，支持心跳线双机主备机切换功能，能够及时发现设备故障，双机切换时间小于20秒，支持负载均衡部署，避免单点故障，性能平滑扩展, 而且接口自身可实现签名服务器的负载均衡，可以满足客户7×24不间断工作的需求。
6. 算法支持：支持RSA国际算法，并且同时支持国产密码算法，并且在国家商用密码管理办公室网站中的《支持SM2/3/4密码算法的商用密码产品名录》中查到对应资质（提供截图）。
7. 、支持配置NTP服务：设备具备配置NTP服务，通过标准时间源，校准设备时间。
8. 、签名功能要求：设备必须同时具备Attached 签名验签功能，Dettached签名验签功能，RAW签名验签功能和数字信封功能
9. 、支持PDF签名、验签功能，符合ISO 3200-1:2008规范。
10. 支持智能化公钥证书自动同步，支持多台（3台以上）设备之间机构证书同步（提供功能截图证明）。
11. 、支持弱算法过滤，且可灵活配置（提供截图功能）。
12. 支持生成条形码符号。包括三九条码（Code39）、一二八条码（Code 128）、交叉二五条码（Inter 2 of 5）、库德巴条码（codabar）、四一七条码（PDF417）和快速响应条码（QRCode）。
13. 、支持多种证书状态查询服务：CRL证书查询方式；OCSP证书状态查询方式。
14. 、支持时间戳服务：提供进行加盖时间标记的时间戳函数，保证业务时效性，为日后验证提供有效的时间依据。
15. 、提供事后的不可否认性验证：在业务操作完成后，经过一段时间后对签名数据包进行验证。
16. 、设备提供测试和演示签名验签服务。
17. 、获取证书信息功能：支持对证书进行解析和记录。可以获得的证书信息有：获取证书的完整信息，获取签名证书的签发者，获取签名证书的主题，获取签名证书的序列号，获取签名证书的有效期。
18. 、支持CRL作废列表下载功能：独立的CRL文件下载服务，保证应用系统运行的连续性和安全级别。
19. 、支持多证书链和CRL：同时支持多个证书的信任链和不同CA的CRL获取机制。
20. 、系统管理功能要求：支持WEB管理界面，管理界面功能支持设定系统时间、系统重启、系统网络参数设置、管理员管理、系统日志功能。
21. 、系统监控功能要求：支持监控服务器内存、CPU、网络和硬盘等系统重要参数。
22. 具有金融机构列表功能，存在多张公钥。
23. 同时具备网银、二代支付、CIPS、农信银服务配置项。（提供截图）
24. 、支持系统备份和恢复：支持静态口令加密备份包 ，支持直接上传备份包恢复系统配置。
25. 设备配置共享：投标产品可直接导入使用生产环境设备的策略配置，实现快速上线，应用系统无需任何改动。
26. 支持多个签名证书和信任域：支持多证书体系。
27. 资质要求：提供商用密码产品型号证书，提供产品获得省部级以上（含）奖项证书，提供公安部信息系统安全产品监督检测中心的《检测报告》，提供计算机软件著作权登记证书，提供厂商的ISO9001质量管理体系认证证书,厂商的商用密码产品销售许可证，厂商的商用密码产品生产定点单位证书。

★28、售后服务：原厂3年免费人工服务、部件更换，7×24小时响应。

2

台

7

SSL安全网关

1. 、系统架构：必须使用专用系统，不得使用基于Linux或Windows的操作平台，且承诺无公开安全漏洞，非插卡式负载均衡设备。
2. 端口数量：标配提供8个千兆电口, 可扩容4个千兆光口，可扩容2个10G光纤。
3.  
4.  
5.  
6.  
7. 设备冗余：支持VRRP协议，支持多种高可用性模式：A/A模式，A/S模式，最多可以支持32台设备的集群；支持FFO心跳线双机failover切换功能，能够及时发现设备故障，双机切换时间小于20ms,而且基于CPU、内存占用率、SSL加速卡状态进行条件筛选进行主备机切换或设备重启。（提供截图）
8. 、冗余设备配置自动同步功能：冗余设备在其中一台设备的配置修改后，可自动同步到另一台设备，减少管理复杂度。
9. 、产品功能要求：设备必须同时具备丰富的负载均衡功能，通过单台设备即可同时完成服务器负载均衡、链路负载均衡以及全局负载均衡、SSL加速功能。
10. 服务器负载均衡：负载均衡策略需支持最小连接数、轮询、SNMP、最快响应、哈希、PI、 Rewrite Cookie、Qos等负载均衡算法；负载均衡所提供服务器负载均衡算法不少于20种。
11. 、可编程控制负载均衡及流量处理：管理界面提供基于XML_RPC方式为用户提供自定义的方法进行业务监控、自动恢复、重启、监控检测，可通过自编程方式实现灵活的外置管理手段。支持负载均衡、健康检查、进程重启、监控检测等功能的可编程控制。
12. 服务器健康检查：支持http、tcp、icmp、tcps、dns、srcipt-tcp、script-udp、radius-auth、radius-acct、sip-tcp、sip-udp、rtsp-tcp、https 等健康检查的类型，支持多种主动式服务器健康检查方法。
13. 、智能健康恢复功能：可在检测到服务器出现故障时，自动登录服务器重启其服务进程，恢复服务器的工作状态。
14. 、服务器过载保护：可根据每台服务器处理性能不同，分别设置每台服务器的连接上限，一旦达到连接上限，应用交付控制器则将请求分配到其它服务器，实现每台服务器的过载保护。
15. 、IPV6支持：设备需支持IPV6网络，可直接在负载均衡设备上配置IPV6端口地址，网关地址，后台服务器地址、虚拟服务地址，支持IPV6 to IPV4,IPV6 to IPV6,IPV4 to IPV6 模式下的负载均衡。
16. SSL卸载和加速：提供独立的SSL加速模块，采用SSL硬件加速卡。系统标配SSL性能32,000 TPS，SSL加密吞吐量：4Gbps。
17. 、证书字段透传：支持URL/HEADER/COOKIE方式透传证书任意字段，自定义字段及整张证书。
18. 、证书快速解析：支持证书快速解析功能 FAST CRL，提高SSL处理能力。
19. 、SSL连接复用：支持SSL的连接复用功能SSL SESSION REUSE。
20. 、VLAN功能: 支持802.1q标准封装协议。单台设备支持≥250个VLAN。
21. 、客户端IP透传：支持客户端IP透传，通过HEADER，URL,COOKIE方式透传用户客户端IP。
22. 、全局CRL共享：多个SSL业务可以共享一个CA中心发布的CRL列表。
23. 、CRL下载方式：支持以HTTP、FTP、LDAP方式下载CRL列表。
24. 、SSL 业务负载均衡：支持SSL业务的负载均衡组发布，前端SSL服务IP可以对应多台服务器。
25. 、连接复用：将一个用户的多个请求或者多个用户的请求合成一个连接发送到服务器，减小应用服务器的压力，提升用户响应速度。
26. 、智能压缩：使用工业标准的GZIP和Deflate压缩算法来压缩HTTP流量，降低带宽消耗、缩短最终用户在慢速/低带宽连接条件下的下载时间，至少配置500Mbps处理能力。
27. 、内存Cache：利用内存来缓存用户频繁访问的web静态内容，从而减小应用服务器的压力，提升用户响应速度。
28. 负载均衡应用模式：支持透明模式、反向代理模式、三角传输模式。
29. 、动态路由支持：支持动态路由协议包括RIPv1 （路由信息协议版本1）、 RIPv2 （路由信息协议版本2）以及OSPFv1（开放最短路径优先版本1）。
30. 、智能地址翻译：支持灵活的，可定制的地址翻译技术。
31. 、DOS/DDOS防护：支持大流量的DOS/DDOS和SYN Flood攻击防护。
32. 、设备管理：系统支持中文、英文配置管理页面，方便用户进行维护管理。支持以命令行方式CLI及图形页面方式GUI进行设备维护及管理。
33. 、支持WAF功能。
34. 、智能负载及告警：支持动态的增加或者减少地址池里的服务器上线、下线功能，可以自动强制服务器上线或者下线。应用负载均衡设备上可以通过写脚本的方式自动重启发现有问题的服务器，并通过EMAIL或者短信的方式发送报警。
35. 、IPv6及Ipv4转换：在Ipv4和Ipv6网络之间提供完整的IP转换和负载均衡能力可以支持用户建立Ipv4和Ipv6混合主机资源。
36. 、统计图表和日志：无需额外安装客户端软件，就可以在设备的管理界面上看到自带的实时流量及系统开销统计图表，同时自带日志报警和输出功能,支持生成PDF格式报表。
37. 、实时抓包工具：应用交付控制器无需利用端口镜向功能，即可远程登录应用交付控制器，运行其自身提供的类似tcpdump的实时抓包工具，可以对通过自身设备的数据包进行抓包分析抓包结果可以导出为文件格式，并可以用通用的分析工具，如sniffer,wireshark等工具打开。
38. 、服务器平滑关机/平滑启动功能：在对服务器进行维护时，可通过启用平滑关机功能和平滑起动功能将新建请求分配到其它服务器，减少因维护设备造成部分用户访问失败。
39. 、在线软件升级：在对处于Active状态的设备进行软件升级安装时，无需主备设备切换，不中断业务。如果升级失败，也不影响业务。
40. 设备配置共享：投标产品可直接导入使用生产环境设备的策略配置，实现快速上线，应用系统无需任何改动。
41. 资质要求：提供计算机信息系统安全专用产品公安部销售许可证，提供商用密码产品型号证书，提供计算机软件著作权登记证书，提供厂商的ISO9001质量管理体系认证证书，厂商的商用密码产品销售许可证，厂商的商用密码产品生产定点单位证书。

★42、售后服务：原厂3年免费人工服务、部件更换，7×24小时响应。

2

台

8

互联网出口设备

商务要求：

★1、要求投标产品在最新Gartner ADC应用交付魔力象限中排名位于第一象限，需提供Gartner官方链接或报告。

★2、广西城商行有成功部署的案例，需提供证明文件。

设备硬件及性能要求：

★1、万兆SFP+光口不少于2个，千兆电口不少于8个。

★2、吞吐量≥10Gbps，最大并发连接数10M，四层Http处理能力>=1M request/second。

★3、配置热插拔冗余电源。

4、4核CPU，支持多核CPU并行处理技术，而非每个核处理不同功能模块。

5、完善的第四/七层交换功能，支持可定制的基于应用层的健康检查方式，支持基于HTTP Cookie Insert模式的会话保持方式。

6、后期在不更换硬件的情况下，可通过软件License扩展设备拥有更高的处理能力。

设备功能要求 – 链路、全局负载均衡及DNS功能需求：

★1、要求设备必须具备多链路负载均衡和多数据中心全局负载均衡功能，可实现应用在多数据中心间的负载均衡。

★2、支持出向Internet链路负载均衡，具有动态就近性探测，识别网络每一跳的延迟， 综合选出最佳链路资源（需提供官方文档说明）。

★3、支持EDNS功能，基于DNS请求中的客户端地址进行站点或者链路的选择。

4、同时支持IPv6和IPv4解析，支持IPv6到IPv4的地址转换。

5、支持IP Anycast集成。

★6、支持DNSSEC签名、验证功能防止DNS劫持。

★7、可以抵御大流量的DNS DDoS攻击。

8、阻止到恶意软件网站域名的解析，阻止黑名单地址返回给客户端，保护客户端免收恶意软件侵害。

9、支持DNS缓存功能，加速DNS请求的响应。

10、支持外部IP地址库导入。

11、内置全球地址IP地址库，可以识别访问者IP地址的所在国家，省份，运营商等信息。基于这些信息可提供更精准的访问分配策略及访问日志。

设备功能要求 – 防火墙及DDOS防护功能需求：

★1、已获得ICSA认证的防火墙，请提供链接或截屏。

2、支持全代理模式的防火墙。

3、支持全局防火墙策略，实现对接口的地址防护。

4、支持针对特定应用的防火墙策略。

5、支持透明防火墙策略，能够实现日志记录的同时不影响业务流量。

6、支持SIP安全防护，防范SIP DDoS攻击。

7、支持DNS DDoS防护。

8、支持HTTP、SMTP协议校验和安全。

★9、预置100多种DDoS防护策略， 并支持基于硬件的DDoS防护。

10、可扩展支持智能IP防护，实现白名单和黑名单防护，支持自定义智能IP。

★11、支持防火墙NAT日志。

12、支持详细DDoS日志，包括源地址、数据包数量、丢弃数量等等。

★13、支持可视化的DDoS报表。

设备功能要求 – Web应用加速功能需求：

★1、控制浏览器同时对应用发起更多连接，增强并行数据传输量。

★2、支持控制浏览器下载真正动态且唯一的数据，避免下载重复数据；控制浏览器缓存行为使浏览器高速缓存看似动态实则静态数据的不变数据，包括查询参数、etag、会话ID等。

3、支持对JavaScript和CSS文件的简化，可移除JavaScript和CSS文件中的空白行和注释，减少传输的数据量；支持JavaScript和CSS级联，可将多个JavaScript或CSS文件合并成一个文件进行传输，减少传输过程发起的Round Trip连接和数据量。

4、可对页面中的元素如JavaScript和CSS等元素进行重排序，以提升页面显示的时间和效果。

5、支持客户端在用户点击页面链接前对链接中的域名发起DNS解析。

6、提供完整的应用优化视图和报告，包含缓存流量统计，缓存条目统计，压缩流量统计，图片优化统计，浏览器缓存控制统计等报表，以CSV、Excel、XML等格式存至本地。

★7、内置SSL加速芯片，要求设备具备至少4000TPS SSL（2K Key）或20000TPS SSL(1K Key)处理能力。

★8、使用工业标准的GZIP和Deflate压缩算法来压缩HTTP流量。要求设备至少具备3.5Gbps压缩处理能力。

9、利用内存来缓存用户频繁访问的web静态内容，从而减小应用服务器的压力，提升用户响应速度。

设备功能要求 – Web应用安全防护功能需求：

★1、支持对各种应用层DDOS攻击防护，可以与客户端交互进行验证，防御基于脚本或者机器人的攻击请求。

★2、支持OWASP TOP 10的攻击防护，并且可以对进出设备的双向流量都提供防护功能，例如，可以对服务器回应的信息进行修改，修改后台服务器的开发环境信息，以欺骗黑客。

★3、提供http协议安全防护，可检测跨站脚本（XSS）和SQL注入等安全威胁，提供http请求、http响应和XML的安全防护，支持指定特征的数据保护，防止敏感信息泄漏。

★4、支持ftp和smtp协议的安全检查。

5、管理界面提供基于某种编程语言（如TCL语言）自定义的流量控制方法，可通过自编程方式实现灵活的流量处理手段，实现对零日攻击的有效防护。

6、可与防病毒网关设备结合，对用户上传的各种文件进行病毒过滤。

7、可以记录应用层的每一个用户的访问状态，是否有非法请求访问等，并可以根据非法请求的信息对用户账户进行锁定。

8、通过ICSA认证的Web应用防火墙设备。

★9、支持HP等安全工具的漏洞扫描报告直接导入，并自动生成安全策略防护。

10、实现和Arcsight，Splunk等主流SIEM厂商的整合。

11、内置的地址库可以识别访问者IP地址的所在国家，省份，运营商等信息。基于这些信息可提供更精准的访问分配策略及访问日志。

设备通用功能需求：

★1、管理界面提供基于某种编程语言（如TCL语言）自定义的流量控制方法，可通过自编程方式实现灵活的流量处理手段。支持负载均衡、NAT、路由转发、会话保持等功能的可编程控制。如支持，请详细描述提供的可编程语言、操作界面及在中国相同行业已使用的案例详细说明。

★2、支持工业标准的SOAP API接口，实现与第三方管理软件的无缝集成。

3、标配IPV6功能，在IPv4和IPv6网络之间提供完整的IP转换和负载均衡能力可以支持用户迁移以及建立IPv4和IPv6混合主机资源。

★4、支持Active-Active及Active-Standby冗余方式；提供专用的硬件串口级心跳线和网络级冗余判断方式；提供连接会话的镜像功能，实现无缝故障切换。

5、无需利用端口镜向功能，即可运行系统自身提供的类似tcpdump的实时抓包工具，可以对通过自身设备的数据包进行抓包分析，或生产一个抓包文件。

6、支持四个以上的多重引导，便于软件版本升级。

7、要求支持在线升级功能，并支持基于Web的升级方式。

设备售后服务要求：

•  
• 。

4

台

9

应用负载均衡

商务要求：

设备硬件及性能要求：

•  
•  
• 、2核CPU，支持多核CPU并行处理技术，内存≥16GB。
•  

系统要求：

• 1、支持Active-Active及Active-standby冗余方式；提供专用的硬件心跳线和网络级冗余判断方式，可实现毫秒级主备切换；提供连接会话的镜像功能，实现无缝故障切换。
•  
•  
• 、支持四个以上的多重引导，便于软件版本升级。
• 、支持在线升级功能，并支持基于Web的升级方式。
• 、支持多台设备集群方式，同一集群中的设备支持不同平台，包括硬件平台和虚拟化平台。

应用交付要求：

1. 、将一个用户的多个请求或者 多个用户的请求合成一个连接发送到服务器，减小应用服务器的压力，提升用户响应速度。
2. 、使用工业标准的GZIP和Deflate压缩算法来压缩HTTP流量，缺省提供最大压缩处理能力。
3. 、利用内存来缓存用户频繁访问的web动态和静态内容，从而减小应用服务器的压力，提升用户响应速度。
4. 、支持HTTP2.0网关，在不改变web服务器的情况下提供HTTP2.0代理，提升终端用户使用体验和业务安全性。
5.  
6.  
7. 、支持基于消息的负载均衡方式。对于某些应用服务，尤其是外联业务中的长连接服务，可以将连接拆包，识别每个消息后，基于消息分发请求。从而解决前置应用一对一连接的的单点问题。
8. 、支持出向Internet链路负载均衡，具有动态就近性探测，识别网络每一跳的延迟， 综合选出最佳链路资源（需提供官方文档说明）。

管理要求：

1. 、提供免费的在线自助巡检系统，可以随时对设备的运行状态、日志记录、异常报警、设备配置、性能图表、软件版本等进行检测和分析，生成状态诊断和分析报告。
2. 、内置了对主流应用如Weblogic，IIS，SAP、Oracle Application Server、SharePoint、VMware View的配置模板，并可导入定制的应用模板。
3. 、在设备上可以根据访问业务的客户的源IP来提供客户的具体地域信息。
4. 、无需利用端口镜向功能，系统自身提供的类似tcpdump的实时抓包工具，可以对通过自身设备的数据包进行抓包分析，可产生三个以上抓包文件。

设备售后服务要求：

•  
• ×8小时的400免费技术支持热线等服务。

2

台

商务要求

★1、供货时中标人须提供本分标所投货物生产厂家原厂供货证明函原件并加盖生产厂家公章（否则不予验收，招标单位有权取消其中标人资格）。

2、本分标★指标项为必须满足项。若采购方在任何时候发现有虚假应标的，有权拒绝付款，停止签订或停止执行合同的权利。

★3、本分标需要提供两个CISP认证考试名额（包含考试和培训），即中国信息安全测评中心认证的注册信息安全专业人员（CISP），英文为Certified Information Security Professional。

★4、投标人必须提供由原厂商针对本分标所有货物出具的加盖原厂公章的货物技术指标响应确认函原件。

★5、项目结算方式：投标方需认同我行以银行承兑汇票或信用证的结算方式付款。

★6、出厂日期：本分标所有货物出厂日期不能早于2016年9月30日。

采购预算

本分标采购预算金额为（人民币）：4596000.00元，投标报价超出采购预算投标无效。

交付使用期

及地点

1、交付使用期：自合同签订之日起1个月内。

2、交货地点：广西桂林市采购人指定地点。

付款方式

1、在签订合同之日起7个工作日内，甲方向乙方支付合同总金额的30%，货到并经甲方核对品牌、数量、参数等无误之日起7个工作日内，甲方向乙方支付合同总金额的30%，货物经甲方验收合格并签署验收报告后7个工作日内，甲方向乙方支付合同总金额的30%，所有货物正式投产并正常使用三个月后，甲方向乙方支付合同总金额的10%。

2、每次付款前，乙方需根据合同不同阶段的付款时间向甲方要求开具符合国家规定的该款项等额发票并交付甲方，并通过书面或口头等方式向甲方进行付款提示。乙方应提前5天向甲方通过付款通知书或其他方式进行提醒和告知。

3、甲方会采用汇款和银行承兑汇票两种结算方式。如采用汇款方式，甲方会将合同款项汇至本合同指定的乙方账户，如果乙方需要变更账户，应在提交付款申请时一并提供书面的账户变更函；如采用银行承兑汇票结算方式，以甲方另行通知为准。

分项

货物名称

技术参数、性能及配置要求

数量

单位

1

48光口万兆接入交换机

单台配置要求：

★1、48个10GSFP+接口，每个端口支持1G/10G。

★2、实配冗余电源和风扇，电源数≥2，风扇数≥2，前进风后出风散热。

技术参数要求：

1、交换容量≥960Gbps，包转发速率≥720Mpps 。

★2、交换机支持每四个相邻10G SFP+端口可通过线缆合并成1个40G QSFP+使用，如果不支持该功能，则必须在48个SFP+接口之外，额外配置12个QSFP+ 40G接口，提供原厂商对该项功能支持的书面承诺并加盖原厂公章。

★3、实配许可支持跨机箱的链路的端口捆绑功能，跨机箱的捆绑协议须兼容标准的IEEE 802.3ad，要求跨机箱的配对设备有各自独立的控制平面，不能用堆叠等多虚一技术实现。提供官网链接及截图证明，并加盖原厂公章。

★4、实配支持MAC地址表容量≥64K个；实配支持路由表表容量≥24K个。

5、实配支持交换机缓存≥18M。

★6、支持RIP 、OSPF、BGP、VRRP、PBR。

7、实配高级Buffer监控功能，可支持硬件去实时监控每个端口的每个队列的使用情况，有效监控突发流量和应用流量模型，请提供官方链接或白皮书。

★8、实配所有端口必须提供Netflow/Sflow功能，将数据流推送到银行内的安全设备和流量分析设备进行数据威胁分析。

9、交换机硬件实配集成开源抓包工具（如WireShark），可在线进行报文分析。

★10、满足未来SDN的需求，本次交换机必须实配支持OpenFlow和Openstack Network Plugin，提供官方文档截图和链接证明，并加盖原厂公章。

4

台

2

48电口千兆接入交换机

单台配置要求：

★1、48个 10/100/100M RJ-45端口，4个10G SFP+端口。

★2、实配冗余电源和风扇，电源数≥2，风扇数≥2，前进风后出风散热。

技术参数要求：

1、交换容量≥176Gbps，包转发速率≥132Mpps 。

★2、实配许可支持跨机箱的链路的端口捆绑功能，跨机箱的捆绑协议须兼容标准的IEEE 802.3ad，要求跨机箱的配对设备有各自独立的控制平面，不能用堆叠等多虚一技术实现。提供官网链接及截图证明，并加盖原厂公章。

★3、实配支持MAC地址表容量≥128K个；实配整机buffer≥9MB。

★4、支持RIP 、OSPF、BGP、VRRP、PBR。

★5、实配高级Buffer监控功能，可支持硬件去实时监控每个端口的每个队列的使用情况，有效监控突发流量和应用流量模型，请提供官方链接或白皮书。

6、实配所有端口必须提供Netflow/Sflow功能，将数据流推送到银行内的安全设备和流量分析设备进行数据威胁分析。

7、交换机硬件实配集成开源抓包工具（如WireShark），可在线进行报文分析。

★8、满足未来SDN的需求，本次交换机必须实配支持OpenFlow和Openstack Network Plugin，提供官方文档截图和链接证明，并加盖原厂公章。

4

台

3

48口

光纤交换机

单台配置要求：

★1、配置48 个16GFC自适应端口，实际激活48个，并配置48个8G FC多模模块，且提供本产品型号支持每端口16G FC速率的官方证明，并加盖原厂公章。

★2、实配冗余电源和风扇，电源数≥2，风扇数≥2。

技术参数要求：

1、实配支持ISL级连。

★2、实配支持8条 ISL捆绑，128Gb捆绑带宽，且各ISL负载均衡，长度不限制。

3、实配支持自动故障隔离，支持不中断安全代码软件升级。

4、实配license可支持远程FC级联。

5. 、实配支持端口安全功能（port security）只有合法的设备才能连接到SAN。

6、提供实时网络拓扑图形化管理；支持SNMPv3、Telnet、GUI界面，支持SSH安全访问管理。

2

台

4

数据中心核心交换机

单台配置要求：

★1、实际配置192端口1G/10G自适应FCOE光口，且每端口均为3层全线速转发路由端口，提供所配线卡型号支持FCOE及对应的官网链接和参数截图证明，并加盖原厂公章。

★2、实际配置2块转发主控引擎。

★3、支持不少于6个交换网板，实际配置3个，提供设备交换网板面板截图，并准确标注交换网板槽位数量，加盖原厂公章。

★4、实配冗余电源，电源数不小于4个，实配风扇框数不少于3个，前进风后出风散热。

★5、实配OSPF、ISIS、BGP等三层路由许可。

★6、实配支持一虚多功能许可，能虚拟出不少于8个虚拟交换机。

★7、实配支持跨三层数据中心互联技术。

★8、实配际配置的机箱、板卡必须硬件实际支持VXLAN（Bridging和Routing），提供本次实配板卡型号（非机箱）支持上述功能的原厂官方网站链接及截图。

技术参数要求：

★1、实配整机交换能力≥42Tbps，包转发率≥14000mpps。

★2、槽位数不少于10个。

★3、支持多级交换架构，能够配置独立的交换网板与独立的主控板，交换网板与主控板硬件槽位分离，采用信元交换技术，实现无阻塞转发。严格正交架构设计，业务板横插、交换网板竖插。

★4、支持端口扩展器，配置相应软件许可(即支持线路卡的远程独立安装)通过光纤连接，可将该扩展器作为核心交换机的远程物理板卡使用，从而实现单层网络架构管理。

★5、本次配置的所有物理端口可以直接配置为三层路由端口，配置IP地址。

★6、支持跨机箱的链路的端口捆绑功能，跨机箱的捆绑协议须兼容标准的IEEE 802.3ad，要求跨机箱的配对设备有各自独立的控制平面，不能用堆叠等多虚一技术实现。提供官网链接及截图证明，并加盖原厂公章。

★7、实配netflow/Netstream功能，通过Netflow/Netstream检测网络病毒，实际配置分布式Netflow/NetStream（符合RFC 3954），每张实配线卡支持Net flow/Net Stream表项≥512K硬件转发，支持Aggregated / Flex-Net flow，支持采样（Sampling），支持L2 net flow。

★8、为满足可靠性，要求设备工信部入网时间满足3年。提供工信部入网证并加盖原厂公章。

2

台

5

数据中心汇聚交换机

单台配置要求：

★1、实际配置≥48个线速1/10Gbps SFP+以太网光口，≥6个40Gbps QSFP＋以太网光口。

★2、实配电源数不小于2个，风扇框不少于2个，前进风后出风散热。

★3、实配的硬件实际支持VXLAN（Bridging和Routing）,提供实配设备型号支持上述功能的原厂官方网站链接及截图。

技术参数要求：

★1、实配整机交换能力≥1.44Tbps。

★2、支持静态路由，RIP V2，OSPF V2，ISIS，BGP，PBR，路由表≥32K。

★3、交换机提供完整的SAN Switch功能，所有实配端口均可同时支持Fiber Channel over Ethernet（FCoE）端口。

★4、支持跨机箱的链路的端口捆绑，跨机箱的捆绑协议须兼容标准的IEEE 802.3ad，要求跨机箱的配对设备有各自独立的控制平面，不能用堆叠等多虚一技术实现。提供官网链接及截图证明，并加盖原厂公章。

★5、支持端口扩展器，配置相应软件许可(即支持线路卡的远程独立安装)通过光纤连接，可将该扩展器作为核心交换机的远程物理板卡使用，从而实现单层网络架构管理。

6、支持PIM sparse mode (PIM-SM)，PIM Source Specific Multicast（SSM），PIM Bi-Direction，MSDP。

★7、实配Netflow/Netstream功能，通过Netflow/Netstream检测网络病毒，实配Netflow/NetStream（符合RFC 3954）硬件统计板卡或芯片，采样比≤1/64k。

8

台

6

数据中心接入交换机

单台配置要求：

★1、实际配置≥48个线速1000M以太网电口，≥4个10Gbps SFP＋以太网光口。

★2、实配电源数不小于2个，风扇不少2个，前进风后出风散热。

★3、二层组播平均转发延迟≤20us；三层组播平均转发延迟≤30us。

技术参数要求：

★1、支持基于多万兆链路的机框扩展，可以扩展多台交换机框作为交换系统的接入交换机使用，统一界面管理。

1. 支持PIM sparse mode (PIM-SM)，PIM Source Specific

Multicast（SSM），PIM Bi-Direction，MSDP。

★3、实配支持BGPv4、IS-IS、OSPF、RIPv2.0。

4、支持二层多路径L2MP 能取代Spanning Tree 生成树协议。

★5、支持跨机箱的链路的端口捆绑，跨机箱的捆绑协议须兼容标准的IEEE 802.3ad，要求跨机箱的配对设备有各自独立的控制平面，不能用堆叠等多虚一技术实现。提供官网链接及截图证明，并加盖原厂公章。

★6、支持端口扩展器，配置相应软件许可(即支持线路卡的远程独立安装)通过光纤连接，可将该扩展器作为核心交换机的远程物理板卡使用，从而实现单层网络架构管理。

8

台

7

48光口万兆接入交换机

单台配置要求：

★1、48个10GSFP+接口，每个端口支持1G/10G。

★2、实配冗余电源和风扇，电源数≥2，风扇数≥2，前进风后出风散热。

技术参数要求：

1、交换容量≥960Gbps，包转发速率≥720Mpps 。

★2、交换机支持每四个相邻10G SFP+端口可通过线缆合并成1个40G QSFP+使用，如果不支持该功能，则必须在48个SFP+接口之外，额外配置12个QSFP+ 40G接口，提供原厂商对该项功能支持的书面承诺并加盖原厂公章。

★3、实配许可支持跨机箱的链路的端口捆绑功能，跨机箱的捆绑协议须兼容标准的IEEE 802.3ad，要求跨机箱的配对设备有各自独立的控制平面，不能用堆叠等多虚一技术实现。提供官网链接及截图证明，并加盖原厂公章。

★4、实配支持MAC地址表容量≥64K个；实配支持路由表表容量≥24K个。

5、实配支持交换机缓存≥18M。

★6、支持RIP 、OSPF、BGP、VRRP、PBR。

7、实配高级Buffer监控功能，可支持硬件去实时监控每个端口的每个队列的使用情况，有效监控突发流量和应用流量模型，请提供官方链接或白皮书。

★8、实配所有端口必须提供Netflow/Sflow功能，将数据流推送到银行内的安全设备和流量分析设备进行数据威胁分析。

9、交换机硬件实配集成开源抓包工具（如WireShark），可在线进行报文分析。

★10、满足未来SDN的需求，本次交换机必须实配支持OpenFlow和Openstack Network Plugin，提供官方文档截图和链接证明，并加盖原厂公章。

12

台

8

48电口千兆接入交换机

单台配置要求：

★1、48个 10/100/100M RJ-45端口，4个10G SFP+端口。

★2、实配冗余电源和风扇，电源数≥2，风扇数≥2，前进风后出风散热。

技术参数要求：

1、交换容量≥176Gbps，包转发速率≥132Mpps 。

★2、实配许可支持跨机箱的链路的端口捆绑功能，跨机箱的捆绑协议须兼容标准的IEEE 802.3ad，要求跨机箱的配对设备有各自独立的控制平面，不能用堆叠等多虚一技术实现。提供官网链接及截图证明，并加盖原厂公章。

★3、实配支持MAC地址表容量≥128K个；实配整机buffer≥9MB。

★4、支持RIP 、OSPF、BGP、VRRP、PBR。

★5、实配高级Buffer监控功能，可支持硬件去实时监控每个端口的每个队列的使用情况，有效监控突发流量和应用流量模型，请提供官方链接或白皮书。

6、实配所有端口必须提供Netflow/Sflow功能，将数据流推送到银行内的安全设备和流量分析设备进行数据威胁分析。

7、交换机硬件实配集成开源抓包工具（如WireShark），可在线进行报文分析。

★8、满足未来SDN的需求，本次交换机必须实配支持OpenFlow和Openstack Network Plugin，提供官方文档截图和链接证明，并加盖原厂公章。

2

台

9

下一代防火墙

基本配置要求：

★1、采用当今先进的体系架构，要求投标防火墙在去年国际市场占有率排在前三位，并提供相应的证明材料。

★2、防火墙吞吐量不小于10Gbps。

3、VLAN数量≥1024个。

★4、实配不少于8个千兆RJ45电口，10个万兆SFP+光口，1个扩展接口板块，1个带外管理接口，实配冗余电源。

★5、满足银行业务会话需求，实配最大并发会话不小于200万，以及最大每秒新建不小于12万。

★6、为满足银行各个业务区域接入需求，必须支持虚拟防火墙技术，且虚拟防火墙数量不小于200个，并实配10个虚拟防火墙许可。

7、考虑威胁防御智能化和兼容性，防火墙能本次准入系统配合，对发生的攻击和异常流量采用实时联动方式，通过银行准入系统控制防火墙对数据中心内的主机、服务器进行快速安全隔离。

技术要求：

★1、防火墙千兆接口最大可以扩展至48个，万兆接口可以扩展到14个。

2、防火墙必须同时支持SSL VPN和IPSEC VPN，同时支持WebVPN，Remote-to-Site和Site-to-Site IPSec VPN。

3、SSL VPN支持各类终端用户类型，包括Windows(Vista，XP， 2000，7/8/10)/Linux/MacOS/等PC， 支持Apple，Android，Windows Mobile等智能终端。

4、支持第三方原生IKEv2客户端，如Window7/8/10， Android， APPLE iOS等。

5、支持内置的防僵尸、木马程序功能，能够发现内网中感染僵尸、木马程序的主机，并生成报告。

★6、支持虚拟防火墙技术，每个虚拟防火墙要求可以分配独立的系统资源、独立的管理员、安全策略和状态表等；虚拟防火墙下，要求支持动态路由OSPF、BGP等路由协议，支持虚拟防火墙上的VPN功能。

7、支持基于身份的访问控制，支持与AD域控制器的结合，域用户无需客户端、无需输入帐号即可以自动在防火墙上获得相应的权限。

8、支持防止DoS&DDoS攻击。

9、支持HTTP/FTP/SMTP/RPC/SIP/SCCP/MGCP/RTSP等高层应用的深度检测，以及TCP/UDP等协议内容的检测，可以通过配置阻断特定网络病毒攻击，阻断特定网络和应用操作。

10、提供针对用户、移动设备、客户端应用、虚拟机、通信、漏洞、威胁等完整的情景感知功能。

11、支持IPv4/IPv6 双栈、支持NAT64，NAT66，DNS64,OSPFv3

12、支持基于身份的访问控制，支持与AD域控制器的结合，域用户无需客户端、无需输入帐号即可以自动在防火墙上获得相应的权限。

13、易于安装和管理。提供命令行和图形化用户接口（GUI），要求单个平台可以集中管理多台防火墙。

14、支持基于Netflow的流量分析技术。

15、支持数据包模拟功能，能够模拟数据包在防火墙中的传输状态，快速排错。

2

台

10

准入系统

1、策略服务器支持标准的RADIUS身份认证、授权与记帐(AAA)功能。

2、支持Web认证、MAC地址认证、802.1X认证方式和便捷访问控制。

3、策略服务器能够支持与多种用户数据库源的集成，包括本地数据库、外部LDAP数据库、MS-AD，Radius服务器，令牌服务器，数字证书服务器等。

4、支持多种认证协议如PAP、MS－CHAP、EAP-MD5、EAP-TLS、EAP-PEAP、等。

5、支持与网络交换机、无线控制器和远程VPN接入平台的结合，实现全网统一的身份认证和统一的策略执行。

6、支持更广泛的第三方网络访问控制设备。

★7、策略服务器能够支持基于规则的策略配置方式，能够基于用户的身份/组/设备类型/终端安全状态/接入方式/接入位置/接入时间等进行策略的配置（以上条件缺一不可），根据以上的条件，可以配置不同的访问权限。

★8、策略服务器能够验证连接至网络的所有类型用户的终端状态评估,以确保客户符合企业的状态策略，如安装了最新的操作系统补丁以及运行采用最新定义文件的杀毒软件包。评估规则逻辑至少应当能够检查如下终端状态信息：文件变量（版本、日期等）、注册表检查（项、值等）、应用和状态以及杀毒/反间谍软件状态，无论是简单还是复杂的复合条件。此外，策略服务器还应当能够支持自动修复客户端以及定期重新评估。

9、策略服务器能够支持基于动态VLAN的访问授权访问控制技术，针对不同的授权条件为不同角色分配不同的VLAN。

10、策略服务器能够支持基于动态ACL下发的授权访问控制技术，针对不同的授权条件为不同的角色下发不同的访问控制列表（ACL）到交换机端口。

11、策略服务器在提供用户认证接入认证时，能够与微软AD域用户登录实现Single-Sign-ON(一次登录)。

12、策略服务器能够满足多种用户终端类型的安全管理需要，包括内部员工，公司主机，员工自带设备（BYOD），访客等。

13、策略服务器能够实现访客帐号生命周期管理功能，授权企业员工可以自行创建访客帐号，并且指定该访客帐号生效起止时间；支持访客账号审批创建流程，管理员可以通过流程批复方式完成访客账号生命周期管理。

14、对于访客的登录界面，要求可以定制，并且支持中文。

★15、支持设备的自注册功能，能够对个人终端进行自动的注册和证书颁发。

★16、支持多域AD外部身份数据库，可实现与多台AD不同域域控服务器集成，实现对不同域内用户的灵活接入认证策略。

17、支持便捷访问控制方式，在无需用户输入账号密码的情况下，实现基于用户身份的授权访问控制，即使不启用802.1x认证时，也能够实现基于用户账号的安全准入控制。

18、策略服务器能够支持与多种用户数据库源的集成，包括本地数据库、外部LDAP数据库、MS-AD，Radius服务器，令牌服务器，数字证书服务器等。

19、支持完整的访客API，支持访客账号创建，修改，查询，批复，删除等API，可实现与企业OA系统整合。

20、支持访客账号密码分发通过邮件及短消息完成，支持邮件系统接口，支持短消息网关接口。

21、支持通过GUI或API接口对在线设备进行策略变更、安全隔离等动作（如重认证，断开连接等），以满足企业安全平台时间处理联动要求。

22、支持完整的在线用户、终端状态创建、修改、查询、删除API，可灵活快捷获取在线的用户、终端的相关信息。

23、支持企业网络用户、终端安全信息共享，通过专业的API接口可实现用户、终端安全信息共享、采集等，实现企业全网的安全信息分享，安全策略联动等。

24、策略服务器应支持基于WEB图形界面的集中配置和管理。

25、策略服务器应支持基于WEB图形界面的集中监控、报告与故障排除功能。

26、策略服务器应支持分步式部署，不同的功能集可部署于一台服务器上(ALL IN ONE)，以可将不同的功能分别部署于不同的服务器，以提高系统的扩展性。

27、策略服务器可提供专用的硬件安装方式，也可提供基于虚拟机的安装方式介质。

28、支持分布式部署，可以通过统一的管理平台，统一管理多台策略服务器，最大可支持42节点集群。

29、支持冗余部署。

30、系统实际配置要求支持500并发用户数许可。

31、支持物理硬件或虚拟化部署。

32、虚拟化要求：

⑴虚拟设备在VMware ESX/ ESXi的5.×和6.×的支持；

⑵虚拟设备需要符合FIPS 140-2 一级标准。

2

台

11

48光口万兆接入交换机

单台配置要求：

★1、48个10GSFP+接口，每个端口支持1G/10G。

★2、实配冗余电源和风扇，电源数≥2，风扇数≥2，前进风后出风散热。

技术参数要求：

1、交换容量≥960Gbps，包转发速率≥720Mpps 。

★2、交换机支持每四个相邻10G SFP+端口可通过线缆合并成1个40G QSFP+使用，如果不支持该功能，则必须在48个SFP+接口之外，额外配置12个QSFP+ 40G接口，提供原厂商对该项功能支持的书面承诺并加盖原厂公章。

★3、实配许可支持跨机箱的链路的端口捆绑功能，跨机箱的捆绑协议须兼容标准的IEEE 802.3ad，要求跨机箱的配对设备有各自独立的控制平面，不能用堆叠等多虚一技术实现。提供官网链接及截图证明，并加盖原厂公章。

★4、实配支持MAC地址表容量≥64K个；实配支持路由表表容量≥24K个。

5、实配支持交换机缓存≥18M。

★6、支持RIP 、OSPF、BGP、VRRP、PBR。

7、实配高级Buffer监控功能，可支持硬件去实时监控每个端口的每个队列的使用情况，有效监控突发流量和应用流量模型，请提供官方链接或白皮书。

★8、实配所有端口必须提供Netflow/Sflow功能，将数据流推送到银行内的安全设备和流量分析设备进行数据威胁分析。

9、交换机硬件实配集成开源抓包工具（如WireShark），可在线进行报文分析。

★10、满足未来SDN的需求，本次交换机必须实配支持OpenFlow和Openstack Network Plugin，提供官方文档截图和链接证明，并加盖原厂公章。

6

台

12

48电口千兆接入交换机

• 单台配置要求：

★1、48个 10/100/100M RJ-45端口，4个10G SFP+端口。

★2、实配冗余电源和风扇，电源数≥2，风扇数≥2，前进风后出风散热。

技术参数要求：

1、交换容量≥176Gbps，包转发速率≥132Mpps 。

★2、实配许可支持跨机箱的链路的端口捆绑功能，跨机箱的捆绑协议须兼容标准的IEEE 802.3ad，要求跨机箱的配对设备有各自独立的控制平面，不能用堆叠等多虚一技术实现。提供官网链接及截图证明，并加盖原厂公章。

★3、实配支持MAC地址表容量≥128K个；实配整机buffer≥9MB。

★4、支持RIP 、OSPF、BGP、VRRP、PBR。

★5、实配高级Buffer监控功能，可支持硬件去实时监控每个端口的每个队列的使用情况，有效监控突发流量和应用流量模型，请提供官方链接或白皮书。

6、实配所有端口必须提供Netflow/Sflow功能，将数据流推送到银行内的安全设备和流量分析设备进行数据威胁分析。

7、交换机硬件实配集成开源抓包工具（如WireShark），可在线进行报文分析。

★8、满足未来SDN的需求，本次交换机必须实配支持OpenFlow和Openstack Network Plugin，提供官方文档截图和链接证明，并加盖原厂公章。

8

台

13

网银区防火墙

★1、采用当今先进的体系架构，要求投标防火墙在去年国际市场占有率排在前三位，并提供相应的证明材料。

★2、防火墙吞吐量不小于4Gbps，必须提供厂家官网链接资料或权威第三方测试报告证明，非官网公开资料或权威第三方测试报告证明，不采信。

• 3、防火墙千兆接口可以扩展到14个。
• 4、实配不少于8个GE电口、4个GE光口，实配冗余电源
• 5、实配最大并发会话不小于100万，以及最大每秒新建不小于5万。
• 6、为满足银行各个功能区域接入需求，必须支持虚拟防火墙技术，可以提供多网络接口（≥4）的透明接入。
• 7、支持Active/Passive 方式和Active/Active 方式的双机热备，必须在透明、路由模式下均支持双机热备。
• 8、系统每秒包转发>=1100Kpps(64 bytes)。
• 、支持基于身份的访问控制，支持与AD域控制器的结合，域用户无需客户端、无需输入帐号即可以自动在防火墙上获得相应的权限。
• 10、防火墙必须同时支持SSL VPN和IPSEC VPN，同时支持WebVPN，Remote-to-Site和Site-to-Site IPSec VPN，VPN的吞吐量大于400Mbps。
• 11、支持IPSec并发VPN隧道数≥2500，支持SSLVPN的并发用户数≥2500。
• 12、SSL VPN支持各类终端用户类型，包括Windows(Vista， XP，2000)/Linux/MacOS/等PC， 支持Iphone，Ipad，Android、Windows Mobile等智能终端。
• 13、支持防止DoS&DDoS攻击。支持与外部IDS设备的联动功能。
• 、支持HTTP/FTP/SMTP/RPC/SIP/SCCP/MGCP/RTSP等高层应用的深度检测，以及TCP/UDP等协议内容的检测，可以通过配置阻断特定网络病毒攻击，阻断特定网络和应用操作。
• 、支持IPv4/IPv6 双栈、支持NAT64，NAT66，DNS64，OSPFv3。
• 16、要求可以扩展支持下一代防火墙功能，包括基于用户身份、设备类型、具体应用类型、URL等的访问控制。支持基于web信誉度的过滤，保证web安全访问。
• 17、支持内置的防僵尸、木马程序功能，能够发现内网中感染僵尸、木马程序的主机，并生成报告。
• 、易于安装和管理。提供命令行和图形化用户接口（GUI），要求单个平台可以集中管理多台防火墙。
• 19、支持Sniffer功能，方便故障定位与排除；支持数据包模拟功能，能够模拟数据包在防火墙中的传输状态，快速排错。
• 20、支持数据包模拟功能，能够模拟数据包在防火墙中的传输状态，快速排错。

★21、虚拟防火墙下，要求支持动态路由OSPF，BGP，支持VPN功能。

2

台

14

48光口万兆接入交换机

单台配置要求：

★1、48个10GSFP+接口，每个端口支持1G/10G。

★2、实配冗余电源和风扇，电源数≥2，风扇数≥2，前进风后出风散热。

技术参数要求：

1、交换容量≥960Gbps，包转发速率≥720Mpps 。

★2、交换机支持每四个相邻10G SFP+端口可通过线缆合并成1个40G QSFP+使用，如果不支持该功能，则必须在48个SFP+接口之外，额外配置12个QSFP+ 40G接口，提供原厂商对该项功能支持的书面承诺并加盖原厂公章。

★3、实配许可支持跨机箱的链路的端口捆绑功能，跨机箱的捆绑协议须兼容标准的IEEE 802.3ad，要求跨机箱的配对设备有各自独立的控制平面，不能用堆叠等多虚一技术实现。提供官网链接及截图证明，并加盖原厂公章。

★4、实配支持MAC地址表容量≥64K个；实配支持路由表表容量≥24K个。

5、实配支持交换机缓存≥18M。

★6、支持RIP 、OSPF、BGP、VRRP、PBR。

7、实配高级Buffer监控功能，可支持硬件去实时监控每个端口的每个队列的使用情况，有效监控突发流量和应用流量模型，请提供官方链接或白皮书。

★8、实配所有端口必须提供Netflow/Sflow功能，将数据流推送到银行内的安全设备和流量分析设备进行数据威胁分析

9、交换机硬件实配集成开源抓包工具（如WireShark），可在线进行报文分析。

★10、满足未来SDN的需求，本次交换机必须实配支持OpenFlow和Openstack Network Plugin，提供官方文档截图和链接证明，并加盖原厂公章。

2

台

15

48电口千兆接入交换机

单台配置要求：

★1、48个 10/100/100M RJ-45端口，4个10G SFP+端口。

★2、实配冗余电源和风扇，电源数≥2，风扇数≥2，前进风后出风散热。

技术参数要求：

1、交换容量≥176Gbps，包转发速率≥132Mpps 。

★2、实配许可支持跨机箱的链路的端口捆绑功能，跨机箱的捆绑协议须兼容标准的IEEE 802.3ad，要求跨机箱的配对设备有各自独立的控制平面，不能用堆叠等多虚一技术实现。提供官网链接及截图证明，并加盖原厂公章。

★3、实配支持MAC地址表容量≥128K个；实配整机buffer≥9MB。

★4、支持RIP 、OSPF、BGP、VRRP、PBR。

★5、实配高级Buffer监控功能，可支持硬件去实时监控每个端口的每个队列的使用情况，有效监控突发流量和应用流量模型，请提供官方链接或白皮书。

6、实配所有端口必须提供Netflow/Sflow功能，将数据流推送到银行内的安全设备和流量分析设备进行数据威胁分析。

7、交换机硬件实配集成开源抓包工具（如WireShark），可在线进行报文分析。

★8、满足未来SDN的需求，本次交换机必须实配支持OpenFlow和Openstack Network Plugin，提供官方文档截图和链接证明，并加盖原厂公章。

2

台

16

48光口万兆接入交换机

单台配置要求：

★1、48个10GSFP+接口，每个端口支持1G/10G。

★2、实配冗余电源和风扇，电源数≥2，风扇数≥2，前进风后出风散热。

技术参数要求：

1、交换容量≥960Gbps，包转发速率≥720Mpps 。

★2、交换机支持每四个相邻10G SFP+端口可通过线缆合并成1个40G QSFP+使用，如果不支持该功能，则必须在48个SFP+接口之外，额外配置12个QSFP+ 40G接口，提供原厂商对该项功能支持的书面承诺并加盖原厂公章。

★3、实配许可支持跨机箱的链路的端口捆绑功能，跨机箱的捆绑协议须兼容标准的IEEE 802.3ad，要求跨机箱的配对设备有各自独立的控制平面，不能用堆叠等多虚一技术实现。提供官网链接及截图证明，并加盖原厂公章。

★4、实配支持MAC地址表容量≥64K个；实配支持路由表表容量≥24K个。

5、实配支持交换机缓存≥18M。

★6、支持RIP 、OSPF、BGP、VRRP、PBR。

7、实配高级Buffer监控功能，可支持硬件去实时监控每个端口的每个队列的使用情况，有效监控突发流量和应用流量模型，请提供官方链接或白皮书。

★8、实配所有端口必须提供Netflow/Sflow功能，将数据流推送到银行内的安全设备和流量分析设备进行数据威胁分析。

9、交换机硬件实配集成开源抓包工具（如WireShark），可在线进行报文分析。

★10、满足未来SDN的需求，本次交换机必须实配支持OpenFlow和Openstack Network Plugin，提供官方文档截图和链接证明，并加盖原厂公章。

4

台

17

48电口千兆接入交换机

单台配置要求：

★1、48个 10/100/100M RJ-45端口，4个10G SFP+端口。

★2、实配冗余电源和风扇，电源数≥2，风扇数≥2，前进风后出风散热。

技术参数要求：

1、交换容量≥176Gbps，包转发速率≥132Mpps 。

★2、实配许可支持跨机箱的链路的端口捆绑功能，跨机箱的捆绑协议须兼容标准的IEEE 802.3ad，要求跨机箱的配对设备有各自独立的控制平面，不能用堆叠等多虚一技术实现。提供官网链接及截图证明，并加盖原厂公章。

★3、实配支持MAC地址表容量≥128K个；实配整机buffer≥9MB。

★4、支持RIP 、OSPF、BGP、VRRP、PBR。

★5、实配高级Buffer监控功能，可支持硬件去实时监控每个端口的每个队列的使用情况，有效监控突发流量和应用流量模型，请提供官方链接或白皮书。

6、实配所有端口必须提供Netflow/Sflow功能，将数据流推送到银行内的安全设备和流量分析设备进行数据威胁分析。

7、交换机硬件实配集成开源抓包工具（如WireShark），可在线进行报文分析。

★8、满足未来SDN的需求，本次交换机必须实配支持OpenFlow和Openstack Network Plugin，提供官方文档截图和链接证明，并加盖原厂公章。

2

台

18

40KM万兆单模模块

40KM LC单模1550nm SFP+单模模块。

10

个

19

万兆多模模块

万兆多模850nm SFP+单模模块。

450

个

20

千兆多模模块

千兆多模850nm SFP+多模模块。

100

个

21

千兆光转电模块

千兆光转电口模块。

30

个

商务要求

★1、供货时中标人须提供本分标所投货物生产厂家原厂供货证明函原件并加盖生产厂家公章（否则不予验收，招标单位有权取消其中标人资格）。

2、本分标★指标项为必须满足项。若采购方在任何时候发现有虚假应标的，有权拒绝付款，停止签订或停止执行合同的权利。

★3、本分标需要提供两个数据中心方向的原厂专家级认证考试名额（包含考试和培训），即数据中心核心交换机厂商的专家级认证考试。

★4、投标人必须提供由原厂商针对本分标所有货物出具的加盖原厂公章的货物技术指标响应确认函原件。

★5、项目结算方式：投标方需认同我行以银行承兑汇票或信用证的结算方式付款。

★6、出厂日期：本分标所有货物出厂日期不能早于2016年9月30日。

★7、本分标中的交换机和防火墙要求同一品牌。

采购预算

本分标采购预算金额为（人民币）：8607200.00元，投标报价超出采购预算投标无效。

交付使用期

及地点

1、交付使用期：自合同签订之日起1个月内。

2、交货地点：广西桂林市采购人指定地点。

付款方式

1、在签订合同之日起7个工作日内，甲方向乙方支付合同总金额的30%，货到并经甲方核对品牌、数量、参数等无误之日起7个工作日内，甲方向乙方支付合同总金额的30%，货物经甲方验收合格并签署验收报告后7个工作日内，甲方向乙方支付合同总金额的30%，所有货物正式投产并正常使用三个月后，甲方向乙方支付合同总金额的10%。

2、每次付款前，乙方需根据合同不同阶段的付款时间向甲方要求开具符合国家规定的该款项等额发票并交付甲方，并通过书面或口头等方式向甲方进行付款提示。乙方应提前5天向甲方通过付款通知书或其他方式进行提醒和告知。

3、甲方会采用汇款和银行承兑汇票两种结算方式。如采用汇款方式，甲方会将合同款项汇至本合同指定的乙方账户，如果乙方需要变更账户，应在提交付款申请时一并提供书面的账户变更函；如采用银行承兑汇票结算方式，以甲方另行通知为准。