电子健康卡前置机

基本参数

设备类型

网关型

设备类别

机架式/桌面式

设备结构

2U

处理器参数

CPU

2U

内存参数

内存

(略)G

网络参数

WAN 接入方式

STATIC-IP,PPPOE,DHCP,PPTP

WAN 接入控制

网站阻止和访问控制, DMZ, UPnP, QoS

InternetFirewallRouting

InternetFirewallRouting

支持协议

TCP/IP,NAT,DHCP,HTTP,NTP,HTTPS

局域网

2 层交换及 STP 消除网络环路

(略)x(略)/(略)+2xGbit Ethernet Ports; STP; QOS

网络安全

SPI 防火墙,防 DoS攻击

VPN 穿透

IPSec,PPTP,L2TP 穿透

存储参数

存储磁盘阵列

RAID 0, RAID 0/1, RAID 5 0.5T

其他参数

操作系统

Windows sever (略)及以上

Java 环境

Jdk 1.6 X(略)及以上

数据库环境

Mysql

软件更新方式

远程更新

管理方式

Web 方式

数据共享

Windows Network Sharing, NFS

设备数量

2台

安全设备

基本参数

SPI 防火墙

1台

防 DoS攻击

1台

VPN服务器

1台

序号

产品名称

技术参数

数量

备注

1

前置机服务器

• ★国际知名厂商；要求最近三年IDC全球x(略)服务器市场销售量及金额排名前3位，提供IDC证明；
• ≤2U机架式，标配原厂导轨；
• 配置≥2颗Intel Xeon SP Gold系列CPU (略)
• 内存配置≥(略)GB DDR4内存，可扩展≥(略)个内存插槽，官方支持最大容量3T，Advanced ECC先进内存保护技术及联机备用模式,可配置LRDIMM和UDIMM内存；
• 支持2.5"热插拔 SAS/SATA/SSD/NVMe硬盘，≥2块(略)GB (略)Krpm SAS硬盘，热插拔；
• 最多支持提供≥8个标准PCIE3.0插槽可用
• 配置4个千兆电，2个万兆光，≥2块(略)Gb HBA光纤通道卡；
• ≥2个(略)W铂金版热插拔冗余电源；
• 配置≥1Gb独立的远程管理控制端口，配置虚拟KVM功能, 可实现与操作系统无关的远程对服务器的完全控制，包括远程的开机、关机、重启、更新Firmware、虚拟软驱、虚拟光驱、虚拟文件夹等操作，提供服务器健康日记、服务器控制台录屏/回放功能，能够提供电源监控，可支持动态功率封顶；
• #可存放系统日志，内嵌操作系统导航安装环境，实现无物理光盘介质部署操作系统。
• ★支持联合管理功能，无需软件即可实现多台服务器统一管理功能，如监控硬件健康状况，固件升级等；
• #采用可信硅根技术，提供基于芯片级别的安全技术，管理芯片原厂商设计和生产，管理芯片功能代码在芯片生产阶段一次性写入

1台

2

存储

1、★最大配置(略)块SFF或者(略)块LFF，最大容量1.3PB实配6*1.2T

2、≥8GB/控制器，存储系统掉电无需电池进行保护。

3、★支持控制器SSD缓存扩展，扩展容量≥(略)GB/控制器

4、4*(略)GB端口

5、支持RAID6数据保护

6、最大(略)个LUN，配置LUN动态扩容许可

7、★单一LUN最大支持容量(略)TB

8、支持SSD，SAS和SAS MDL磁盘，

9、支持RAID 1,  5, 6, (略)

(略)、支持SSD，SAS在同一磁盘笼磁盘混插

(略)、允许数据卷跨越同时最多(略)块硬盘，无需进行Raid后空间再绑定

(略)、配制磁盘快照功能，最少配制(略)个快照和卷克隆，可扩至(略)个

(略)、支持数据异步复制

(略)、提供数据自动分级存储。单个LUN中的数据，按照实际的I/O压力自动在SSD、SAS和SATA硬盘之间进行自动迁移，无需中断业务。自动分级存储功能支持I/O每个卷可在三个不同类型的硬盘之间进行自动迁移。可以进行手动或自动迁移。

(略)、提供卷的精简配置管理功能，即实际主机映射的存储空间超出存储实际拥有的磁盘空间。要求精简配置支持空间在线回收。

(略)、要求支持断电时将控制器缓存数据写入硬件存储设备中，可永久保护，在保护过程中不需要电池保护方式

1台

3

VPN

• 标准机架式设备，至少提供(略)个(略)/(略)/(略)MBASE-T端口和4个SFP光纤接口，整机吞吐率≥5Gbps， 最大并发连接数≥(略)万; 每秒新建连接数≥(略)万，IPSEC VPN隧道数≥(略)条；IPSEC加密吞吐率≥(略)Mbps；SSL VPN并发用户数≥(略)，本次要求配置(略)点SSL VPN和IPSEC VPN并发用户数授权，提供三年硬件维保服务，请提供制造商针对本项目的授权书及售后服务承诺；
• 支持多系统引导，可在WEB界面上直接配置启动顺序，至少支持三个操作系统，用户可自由选择当前启动系统，每个系统拥有独立的配置文件，并可导入导出配置文件；
• IPSEC VPN支持网关、单臂部署模式，IPSec VPN支持透明、路由、混合等网络环节的接入；
• 支持IPSec VPN隧道热备份
• ★支持KMC与GDOI模式组网，支持密钥管理中心统一管理下发密钥及策略，使用组播技术更新密钥，无需更改原路由策略，请提供具备此项功能的界面截图，并加盖制造商公章；
• 支持DMVPN动态组网功能，网络扩展时仅需要配置新增节点，不需更改原网络中心和分支节点，即可扩展VPN网络；
• 支持单点登录（B/S,C/S模式），至少支持3种单点登陆方式选择，单点登录支持证书主题属性选择，支持根据读取属性分配用户权限；
• ★支持符合SAML框架规范的单点登录功能（提供截图证明）;支持对象属性认证和资源权限调用，实现用户应用的密码不需进行传递，实现用户密码安全，请提供具备此项功能的界面截图，并加盖制造商公章；
• 支持IPSec、SSL 、PPTP、L2TP VPN的统一用户账号和认证体系，实现用户名密码的一次性配置即可适用于全部VPN类型的接入，不需分别购买SSL VPN和IPSEC 不同的VPN接入授权；
• 支持用户组及用户的分级树，支持用户组及用户上下级认证策略、关联角色、认证方式的继承关系配置；
• 支持用户组并发数限制；
• 支持用户与手机号码、PC硬件特征码、手机硬件特征码、IP、MAC等硬件信息的绑定，支持PC和移动设备的接入审批流程；
• 可通过WEB界面操作对RADIUS服务器进行用户组映射和连通性测试；
• 支持LDAP用户信息直接导入本地，不需经过文档格式转换后的二次导入；导入过程可以支持用户组选择，支持与本地用户列表的重复性判断配置；
• 支持HTTP匿名登陆，同时支持口令、证书等方式；
• 支持配置Radius、LDAP组映射属性，支持根据RADIUS的CLASS、NAS-ID、User-Name ,LDAP的DN等或者自定义属性将远程用户信息映射到本地用户组；
• 支持管理员分级管理，可以为管理员指定管理的资源、角色和用户组，并且可以指定创建下级管理员、用户组和角色的权限；
• 支持VPDN、IPSec、SSL VPN统一客户端，仅需安装一种托盘程序；并且支持接入方式智能识别，无需客户进行任何选择操作；
• 支持Windows/MAC独立客户端（非插件方式），开机自动运行，记忆用户名密码，自动登录功能；
• 设备支持客户端接入策略设置，可针对操作系统、操作系统补丁、浏览器、进程、服务、端口、文件、注册表进行登录前和使用时定期检查；
• VPN客户端支持 Windows XP、Server (略)、Windows7、8、(略)、CentOS、Redhat、Ubuntu、SUSE等操作系统；
• 支持移动端设备硬件特征的采集和接入审批功能；
• 支持针对移动APP的VPN安全代码的自动封装，无需用户进行定制开发，实现App应用的安全加固；
• 同时Windows和MAC操作系统下支持远程应用发布功能，全部应用数据存储在服务器端，退出后本地不保存任何数据；
• 可以无需二次开发，即把Windows应用发布到移动智能终端中，也可以支持无需开发，将C/S资源Web化；
• ★远程应用发布必须支持双主控和负载均衡策略，即当存在多台终端发布服务器时，可以根据预先配置策略将用户分配到不同的终端服务器，请提供具备此项功能的界面截图，并加盖制造商公章；
• ★支持用户配置一键复制，提高部署效率，可以复制各种插件设置、cookie设置、权限设置等，请提供具备此项功能的界面截图，并加盖制造商公章；
• 独立的统计报表统计通过应用虚拟化使用者登录情况、应用使用频次情况、服务器性能占用情况；
• 支持远程SSH、TELNET和串口命令行配置,支持基于WEB界面的CLI命令行功能；
• 支持主备切换，SSLVPN在线用户不掉线，无需重新认证；
• ★VPN产品需要与现有网络的堡垒机产品联动，支持在VPN界面直接输入堡垒机账号认证，并单点登录到堡垒机运维界面，无需任何定制开发直接部署，请提供具备此项功能的界面截图，并加盖制造商公章；
• ★如产品满足所有技术参数，请出具制造商承诺函加盖公章，承诺该产品满足所有技术参数，无偏离；
• 产品生产厂商具备国家信息安全测评信息安全服务资质证书（安全工程类三级及以上）；
• 产品生产厂商为云安全联盟理事单位或成员单位；
• 产品生产厂商为微软MAPP合作伙伴；
• 产品生厂商具备国家级应急支撑单位资质，提供复印件加盖公章；
• 产品生厂商具备专业的攻防技术研究团队，具备独立的漏洞研究能力及积累，自主发现的CVE漏洞数量不少于(略)个，请提供CVE漏洞列表，并加盖制造商公章；
• 产品生产厂商具备国家信息安全漏洞库CNNVD技术支撑单位一级，提供复印件加盖公章；

1台

4

防火墙

• 标准2U机架式设备，采用专用多核硬件平台，至少配备(略)个千兆电口和(略)个SFP接口，双电源，内置存储容量不少于(略)GB SSD硬盘，防火墙吞吐量≥8Gbps，最大并发连接数≥(略)万，三年硬件维保服务，请提供制造商针对本项目的授权书及售后服务承诺；
• 支持基于硬件Hypervisor技术的底层虚拟化，各个虚拟防火墙之间完全隔离，可运行不同的防火墙版本，拥有完全独立的CPU、内存、接口等资源；
• 每个虚拟防火墙均提供完整的安全功能，包括防火墙、入侵防御、防病毒、上网行为管理和流控、VPN、IPv4/IPv6双栈等；
• 支持基于接口/安全域、地址、用户、服务、应用和时间的防火墙访问控制策略；
• 支持基于接口/安全域、地址、用户、服务、应用和时间的会话控制策略，包括总连接数控制、每秒总新建连接数控制、每IP总连接数控制、每IP新建连接数控制；
• ★具备APT防御功能，可对exe、rtf、pdf、xls（x）、ppt（x）、doc（x）、pps（x）、swf、rar、zip等常见的格式进行动态沙箱分析，可对rtf、pdf、xls（x）、ppt（x）、doc（x）、pps（x）做PE内嵌检测，并且能指出文件偏移位置，需提供界面截图，并加盖制造商公章；
• 支持策略预编译技术，在大量防火墙访问控制策略情况下整机性能不受影响；
• 支持并开通网络入侵检测及防御功能，入侵防御事件库事件数量不少于(略)条；
• 可基于IP地址、网段、用户、时间、VLAN、协议类型等条件设定入侵防御模块的检测事件及响应方式；
• 具备协议自动识别功能；支持自定义事件功能；
• 提供SQL注入攻击、XSS攻击的检测和防御功能，对Web服务系统提供保护，要求相关技术具备自主研发专利，可在国家版权局网站查询，提供查询结果网页截图及专利号；
• 支持对文件感染型病毒、蠕虫病毒、脚本病毒、宏病毒、木马、恶意软件等过滤，病毒库数量不少于(略)万；
• 支持并开通基于DPI和DFI技术的应用特征识别及行为控制，应用识别的种类不少于(略)种；
• 支持并开通基于URL分类库的WEB访问管理，URL分类库规模不少于(略)万条；
• 支持并开通基于线路和多层通道嵌套的带宽管理和流量控制功能；
• 支持静态路由、动态路由（RIP、OSPF、BGP4）；
• 支持基于入接口、源地址、目标地址、服务端口、应用类型的策略路由；
• 支持并开通链路负载均衡，提供轮询、加权轮询、哈希等多种负载均衡算法；
• 支持通过ICMP、TCP、DNS和HTTP协议实现对链路可用性的多重健康检查；
• ★支持基于威胁情报云的动态防护功能，防火墙支持将用户对互联网的访问信息发送至威胁情报云进行实时情报查询及防护，请提供防火墙配置界面及威胁情报云端界面截图，并加盖制造商公章；
• 支持DNS透明代理功能，可将指定范围内的DNS请求自动重定向至管理员指定的DNS服务器，且支持多台DNS服务器的负载均衡；
• 支持标准DNS服务器功能，支持多种DNS 记录 ，包括A ，NS，CNMAE，TXT，MX，PTR记录。
• 支持基于WEB和命令行的设备管理模式，WEB界面和命令行模式下均可实现对设备所有功能的管理配置
• 支持整机威胁统计和展示，包括基于地理位置的威胁地图展示、基于威胁级别和威胁类型的统计分析、基于威胁事件源/目的主机的TOP(略)统计展示、基于具体威胁事件/威胁类型的TOP(略)统计展示等，统计展示的时间周期包括1小时/1天/7天/(略)天；
• 支持基于流量的TOP(略)用户和TOP(略)应用的流量曲线图，流量曲线图的统计周期包括小时、天、7天和(略)天；
• 支持基于并发会话数量的TOP(略)用户和TOP(略)应用的并发数量曲线图，并发数量曲线图的统计周期包括小时、天、7天和(略)天；
• ★为了构建动态安全防护体系，本次采购的防火墙要求支持与IDS设备联动，可接收IDS产品发送的动态访问控制策略，同时支持与终端管理系统联动，可接收终端管理系统的主机状态列表，将不合规终端的访问重定向至终端管理指定页面，提供以上相关界面截图，并加盖厂商公章；
• ★支持扩展集中策略分析模块，通过集中策略分析模块支持集中对所有防火墙安全策略进行冗余分析，可分析出哪些安全策略是不必要的冗余配置，支持集中对所有防火墙安全策略进行收敛分析，也称宽松策略分析。能够支持查看任何一条宽松策略的流量详细信息，提供以上相关界面截图，并加盖厂商公章；
• ★如产品满足所有技术参数，请出具制造商承诺函加盖公章，承诺该产品满足所有技术参数，无偏离。
• 产品生产厂商具备国家信息安全测评信息安全服务资质证书（安全工程类三级及以上）；
• 产品生产厂商为云安全联盟理事单位或成员单位；
• 产品生产厂商为微软MAPP合作伙伴；
• 产品生厂商具备国家级应急支撑单位资质，提供复印件加盖公章；
• 产品生厂商具备专业的攻防技术研究团队，具备独立的漏洞研究能力及积累，自主发现的CVE漏洞数量不少于(略)个，请提供CVE漏洞列表，并加盖制造商公章；
• 产品生产厂商具备国家信息安全漏洞库CNNVD技术支撑单位一级，提供复印件加盖公章；

1台

5

抗DDOS设备

• 2U机架式软硬一体设备，专用硬件平台和自主知识产权的安全操作系统，整机抗攻击能力≥2Gbps，2个GE带外管理口，至少提供4个千兆电口、4个SFP业务口和3个扩展槽，双电源，提供三年硬件维保，提供制造商针对本项目的授权书及售后服务承诺；
• 防御流量型flood攻击 ：(略)
• UDP Flood防护提供2层防护：(略)
• ACK Flood攻击可通过TCP阈值设置及ACK限速手段进行防护，开启时不影响客户在线业务。
• 防御HTTP get /post Flood 攻击、CC攻击应用层攻击，可自定义web防护端口，提供如JavaScript、mouse click等至少4种验证方式。可以限制源IP连接数、新建连接数和get/post连接速率等，防护CC攻击的参数多样，配置灵活，请提供功能界面截图，并加盖制造商公章；
• 防御DNS query/reply Flood攻击， 提供TCP、CNAME和Passive 3种验证机制，多维度限 制查询及请求速率。
• HTTPS攻击专项防护模块，对HTTPS协议数据包进行解密进行防护，有redirect、JavaScript和flash 三种验证方式，有效防御HTTPS类型的DDoS攻击，请提供功能界面截图，并加盖制造商公章；
• 支持自动防护，系统开启自动防护后，无需撰写任何规则对所有服务器进行DDoS防护，也可针对特定服务器撰写特定防护规则；
• 支持自定义包大小限制，自定义数据包大小、特征字符出现的频率限制，可选择数据匹配或正则匹配，对匹配的数据包进行丢弃、放行；
• 防御策略可选择至少4种不同的模式，满足不同客户的需求；
• 支持动态黑名单抓包功能；
• 支持基于源目IP、源目端口、协议的五元组抓包功能；支持对输入滤前/滤后、输出滤前/滤后、输入拦截、输出拦截、双向滤前、双向滤后、双向拦截等条件抓取指定数据包，指定抓包数量和抓包比例；
• 产品能够对抓取的数据包进行在线分析和下载；
• ★支持GEOIP功能，针对特定国家或区域的IP批量执行拦截、放行，有效阻止境外IP发起的攻击，请提供功能界面截图，并加盖制造商公章；
• 支持UDP限速，通过源IP、源IP+源端口、目的IP、目的IP+目的端口、目的IP+源端口等方式进行UDP限速。
• 支持对服务器各协议的流量限制；
• 串行部署时可进行双向会话管控，即能够设置从外到内的连接阈值，也能够设置从内到外的连接阈值。
• ★通过CC防御模块动态加入黑名单的客户端再次访问web服务器时有提示信息，请提供功能界面截图，并加盖制造商公章；
• 支持流量超过设定阈值后web页面提示告警。
• 支持牵引屏蔽，当攻击流量过大时，能与上层交换机或路由器联动，直接屏蔽攻击流量。
• 提供网络诊断工具，支持ping、traceroute、TCP诊断。故障信息可一键收集；
• ★支持账号绑定QQ，通过QQ号登录web页面管理；支持自定义添加账号，自定义功能按钮权限。支持Radius认证，请提供功能界面截图，并加盖制造商公章；
• 支持多台设备集群部署；支持集群间数据状态同步、配置同步，支持集群无限扩容。
• ★如产品满足所有技术参数，请出具制造商承诺函加盖公章，承诺该产品满足所有技术参数，无偏离。
• 产品生产厂商具备国家信息安全测评信息安全服务资质证书（安全工程类三级及以上）；
• 产品生产厂商为云安全联盟理事单位或成员单位；
• 产品生产厂商为微软MAPP合作伙伴；
• 产品生厂商具备国家级应急支撑单位资质，提供复印件加盖公章；
• 产品生厂商具备专业的攻防技术研究团队，具备独立的漏洞研究能力及积累，自主发现的CVE漏洞数量不少于(略)个，请提供CVE漏洞列表，并加盖制造商公章；
• 产品生产厂商具备国家信息安全漏洞库CNNVD技术支撑单位一级，提供复印件加盖公章；

1台