项目

技术要求

吞吐量

≥1.2Gb

并发会话数

≥1,000,000

用户规模

≥4500人

设备接口

6个千兆电口

硬盘

≥250GB

BYPASS

支持

电源

单电源

尺寸

标准1U架构

项目

具体功能要求

部署方式

网关模式、网桥模式、多主模式：必须支持两台及两台以上设备同时做主机的部署模式；

网关管理

管理界面

支持SSL加密WEB方式、SSH命令行方式管理设备；

用户管理

本地认证

支持触发式WEB认证，静态用户名密码认证等；

双因素认证

必须支持以USB-Key方式实现双因素身份认证；

二维码认证

支持二维码认证，管理员扫描访客的二维码后对其网络访问授权（提供产品界面截图）

终端管理

系统识别

支持识别终端操作系统版本、系统补丁安装情况；

自定义识别

支持终端调用管理员指定脚本/程序以满足个性化检查要求；

终端准入

支持win 7 64位操作系统，支持在旁路模式部署下准入生效；

支持禁止不满足终端检查要求的用户访问互联网；

应用管理

应用识别规则库

1. 支持根据标签选择应用，标签分类至少包含安全风险、高带宽消耗、

发送电子邮件、降低工作效率、外发文件泄密风险、主流论坛和微博发帖6大类；

1. 支持给每个应用自定义标签；
2. 支持根据标签选择一类应用做控制；
3. 支持对每一种应用的定义和解释，帮助客户快速定位应用的分类；
4. 支持给每一种应用列上图标，易于客户了解应用的特征。

网页管理

静态URL库

设备内置海量预分类的URL地址库，支持根据URL类别实现URL过滤；

URL智能识别

必须支持未知网页的自动识别与分类（提供产品界面截图）；

必须支持根据用户输入的关键字、url、自动分类未知网页；

SSL加密网页

识别并过滤SSL加密的钓鱼网站、金融购物网站、非法网站等（必须提供自主知识产权证明，加盖厂商公章）；

邮件管理

邮件地址过滤

支持根据源地址和目的地址过滤外发邮件；

SSL邮件管理

必须能基于关键字、发件人地址等识别和过滤使用邮件客户端外发SSL加密邮件的行为；

加密Webmail管理

必须能够基于关键字识别和过滤使用SSL加密的Webmail邮箱外发邮件的行为，比如gmail；

加密SMTP邮件过滤

支持对加密HTTPS、SMTP-SSL、SMTP-TLS、SMTP、Gmail、闪电邮客户端的邮件进行关键字过滤；（提供实际测试效果图）

流量控制

带宽管理

必须支持在不同线路上，根据不同的应用、用户、用户组来保证或者限制流量；

支持根据百分比或数值设置通道带宽，并支持设置各通道的优先级；

动态流控

支持在设置流量策略后，根据整体线路或者某流量通道内的空闲情况，自动启用和停止使用流量控制策略，以提升带宽的高使用率；

空闲值可自定义（提供产品界面截图）

P2P智能流控

支持通过抑制P2P的上传流量，降低P2P的下载流量

上网安全管理

上网安全桌面

支持在默认桌面上虚拟出一个新的桌面，在虚拟桌面中上网，在推出安全桌面后，一切还原到干净的默认桌面，防止PC和内网中毒；支持通过设置安全桌面访问默认桌面目录文件访问权限，防止被动泄密；（提供产品界面截图）

恶意网址过滤

内置恶意网址库，支持对用户访问的URL进行恶意网址匹配和过滤；

移动终端管理(非法Wi-Fi热点管控)

设备必须支持能自动发现网络中通过无线上网的热点和移动终端的IP和终端类型；支持管理员配置热点信任列表；支持发现信任列表外非法接入的热点和终端，并阻止该热点/终端上网；支持将非法热点接入网络的行为通过邮件告警通知管理员，并在数据中心支持行为记录和查询；支持以图表方式显示移动终端接入趋势；（提供产品界面截图）

网页快照

支持网页内容审计后的网页快照功能；

上网日志管理

数据中心

设备必须支持内置数据中心和独立数据中心（提供产品界面截图）；

项目

指标

具体功能要求

接口

接口

4个千兆电口

串口

1个

技术

规范

安装空间

1U

电源

单电源

性能

参数

SSLVPN加密速度

100Mbps

SSLVPN并发用户数

300

IPSecVPN加密速度

25 Mbps

IPSecVPN隧道数

1000

最大并发会话数目

600,000

项目

功能指标要求

部署方式

支持网关模式、单臂模式部署两种方式；

基本特性

专业VPN设备，采用标准SSL、TLS 协议，同时支持IPSec VPN、SSLVPN两种VPN，非插卡或防火墙带VPN模块设备。

支持对基于HTTP、HTTPS、FileShare、DNS、H.323、SMTP、POP3、Telnet、SSH等的所有B/S、C/S应用系统，支持基于TCP、UDP、ICMP等IP层以上的协议的应用，例如即时通讯、视频、语音、Ping等服务；产品可扩展支持中国国家标准的商用密码算法（简称“国密”），包括：SM1，SM2、SM3、SM4。（提供商用密码生产、销售、型号三证）；

支持PC终端使用包括Windows8、Windows7、Windows Vista、Windows xp、Mac OS、Linux等主流操作系统来登录SSLVPN系统，并完整支持该操作系统下的各种IP层以上的B/S和C/S应用；支持Windows、IOS、Android、塞班、黑莓等操作系统的智能手机、PDA、平板电脑（PAD）等移动终端的SSL VPN接入，或通过PPTP、L2TP VPN方式接入；

易用性

可支持虚拟门户功能，在一台设备上配置不同的访问域名、IP地址，以及不同的使用界面，实现一台设备为多个不同用户群体服务的的使用效果；

支持断线重连自动技术，防止用户误操作关闭浏览器导致VPN隧道断开；防止用户在无线网络环境下网络正常切换时VPN隧道断开。

终端安全

产品必须支持防中间人攻击，产品可在用户登录SSLVPN时智能判断存在中间人攻击行为，断开被攻击的连接，并可提示异常现象。（可提供证明材料）

支持VPN专线功能，可配置用户在接入SSL VPN的同时，断开与Internet其他连接

权限、服务器安全

产品应具有用户/用户组细粒度的权限分配功能：可以针对被访问资源的IP地址、端口、提供的服务、URL地址等进行权限控制；针对同一B/S资源，可对不同用户做到细致到URL级别的授权。

产品应具有角色授权机制，支持在用户组的基础上，根据角色的不同，组合关联不同的资源权限。

支持主从认证账号绑定，必须实现SSL VPN账号与应用系统账号的唯一绑定，VPN资源中的系统只能以指定账号登陆，加强身份认证，防止登录SSL VPN后冒名登录应用系统

身份认证

产品必须支持Local DB 、USB KEY、短信认证、硬件特征码、动态令牌、数字证书认证、LDAP、RADIUS、等认证方式；可针对用户/用户组设置认证方式的与、或组合，可进行用户名/密码、LDAP、USB KEY、硬件特征码、短信认证或动态令牌的五因素捆绑认证；支持设置对控制台管理员密码复杂度的要求，提升设备的安全性；

网络优化

支持HTP快速传输协议，大幅优化无线环境（CDMA、GPRS、WIFI、3G）、高丢包、高延等恶劣网络环境下传输速度及效率；支持根据网络境自动选择并切换至最优的传输协议（提供配置界面截图）

支持针对不同的web页面进行数据优化，支持动态压缩技术，基于数据流进行压缩，减少不必要的数据传输。（提供界面配置截图）

针对B/S资源支持WebCache技术，动态缓存页面元素，提高Web页面响应速度。支持流缓存技术，实现网关与网关、网关与移动客户端之间进行多磁盘、双向、基于分片数据包的字节流缓存加速，削减冗余数据，降低带宽压力的同时提高访问速度；支持共享流缓存功能，实现多分支网关在总部共享流缓存数据，提高流缓存效果（提供界面配置截图）

支持非对称式部署的传输协议优化技术（单边加速），不用在用户终端上安装任何插件和软件，即可提升用户访问应用服务的速度。(提供配置界面截图及第三方评测报告)

产品必须支持经过集成的，基于Android IOS平台的第三方软件开发包（SDK），并实现基于Android IOS平台第三方应用软件（APP）代码量不超过20行。（要求提供代码Demo和企业证明）

支持针对移动APP的VPN安全代码的自动封装，实现App应用的安全加固（提供界面截图证明）

移动智能终端支持

产品必须支持远程应用发布功能，可以无需二次开发，即把Windows应用发布到移动智能终端中，也可以支持无需开发，将C/S资源Web化。

产品必须有较好的易用性体验

包括图像清晰，支持图像质量可调，包括可以调整图像显示质量，图像颜色质量，可根据当前系统分辨率自动调整图像分辨率；

产品应该支持企业级“云盘”（又名“网盘”、“文件共享”）功能，即可以通过手机、PC、IPAD的客户端，将数据、文件同步到云端或和分享到终端。

远程应用发布数据传输过程中使用SSLVPN协议加密，加密算法支持中国家标准的商用密码算法（简称国密），保证了数据传输的合法性和安全性；

支持改写WindowsRDP协议，经改写的协议必须独立于OS运行环境，避免跨平台兼容性，针对图像数据，服务端必须支持有损压缩算法；服务端必须能够支持过滤动态内容（gif/flash/video）以减少传输流量，且根据客户需要配置。（必须提供配置界面截图）