江北区教师进修学院网络设备采购要求.doc

江北区教师进修学院网络设备采购要求品牌要求：华为、网康、阿姆瑞特，数量：1台，限价：23万技术参数要求：指 标 项技 术 要 求基本参数产品资质要求(1) 产品需通过中国公安部相关机构的检测，具备计算机安全产品销售许可证。(2) 产品应拥有自主知识版权以及相应著作权证书。(3) 在大型教育城域网，中国大型的央企，大型集团企业有成功案例。产品形态应为软硬件一体化专用设备。产品部署(1) 产品可通过透明桥接、网关、旁路三种方式接入网络。(2) 所有功能通过网关实现，不可依赖客户端软件。(3) 支持通过集中管理平台对分布部署的设备进行统一策略制定与管理。管理方式(1) 设备可提供基于HTTPS协议的图形化管理界面，用户可以使用各种浏览器进行设备的访问控制。设备管理界面的访问不允许安装任何插件。(2) 支持命令行方式对设备进行管理与配置。设备必须支持本地串行接口管理，用户可以使用超级终端连接设备进行基本配置。(3) 更改IP地址,路由,DNS等,配置可直接生效,无需重启。网页过滤能力网页库覆盖度(1) 依靠厂家自主研发的URL预分类数据库进行国内网站的识别过滤，类别要超过40大类，且支持二级子类。(2) URL库数量超过1200万条，覆盖国内网站。网页库精确度对于Baidu/Google的中文搜索结果，URL识别精确度要求超过95%。网页库时效性(1) 要求厂家URL分类库实时更新，确保时效性；URL库要求一周内完全更新一遍。(2) 支持未识别分类URL的自动回传再分类功能。网页过滤(1) 支持基于预分类的URL类别进行过滤控制。(2) 支持用户自定义网站类别过滤。(3) 支持URL类别的二级子类控制。(4) 支持对以IP方式访问网站进行过滤控制。(5) 支持基于URL关键字进行过滤控制。(6) 支持基于文件类型进行过滤控制。(7) 支持基于网页文件大小进行过滤控制。(8) 对于违反策略的网页访问，支持弹出警示页面，警示页面内容支持自定义。(9) 支持网站黑、白名单设置。应用封堵控制完整协议库(1) 需提供能够覆盖主流互联网应用的协议库。(2) 应用协议库要求精准识别、多级分类，并以树状结构分层管理，便于策略设置。P2P下载能够识别控制国内主流的P2P下载软件，如：迅雷，BT，电驴等，要求对于加密的下载协议也能识别控制。IM即时通信能够对国内主流的IM应用进行封堵控制，如：QQ，MSN，Yahoo通，网易泡泡，飞信等。对于每一种应用的子协议，如聊天、文件传输、视频，能够进行独立控制。网络电视能够识别控制国内主流的网络电视应用，如：PPLive，土豆网，酷6，6间房等。网络游戏能够控制国内主要网络游戏，如：联众游戏，魔兽世界，梦幻西游等。炒股软件能够识别控制国内主要的股票软件，如：大智慧，同花顺，钱龙等。内容审计网页审计(1) 记录访问网页的用户、时间、URL地址、访问内容的分类、允许/阻断、匹配的控制策略等信息；(2) 可查询被阻断的web访问纪录。可根据预设的web过滤策略，实现对违禁访问网页行为的查询。(3) 可以记录网页内容信息。邮件审计与过滤(1) 可基于时间对象和用户对象、发信人、收信人、邮件主题、邮件正文、邮件附件特征条件审计SMTP邮件内容。(2) 审计内容包括：发件人、收发人、时间、主题、正文、附件等信息。(3) 支持还原查看邮件的正文与附件内容。(4) 可根据发件人、收件人、标题关键字、正文关键字、附件名称类型等信息阻断邮件发送。(5) 可识别审计非标准端口的SMTP邮件传输行为和传输内容。即时通信审计(1) 可基于时间对象和用户对象审计明文传输的IM聊天内容，上线，下线行为。(2) 可审计密文传输的用户账号，上线，下线信息。(3) 可审计MSN传输的文件名称与内容，支持文件还原查看。(4) 可审计MSN的音视频行为。(5) 可基于MSN账号，传输文件名称、类型、大小、传输方向审计MSN文件传输内容；(6) 可基于MSN账号，传输文件名称、类型、大小、传输方向过滤MSN文件传输行为；(7) 可以审计QQ聊天双方的账号、昵称、聊天内容及语音聊天行为。(8) 可以审计QQ群组聊天内容。(9) 可以审计QQ文件传输行为及文件名称、大小。(10) 可以审计QQ语音及视频行为。论坛发帖审计(1) 支持对发帖网址和发帖正文关键字查找，记录内容包括：用户、时间、论坛地址、正文，附件。(2) 对于违背策略的发帖关键字进行阻断并通过邮件报警。(3) 可不记录垃圾信息，自动过滤非论坛发帖的垃圾POST记录，增强论坛发帖审计结果中记录的可读性。(4) 可自定义设置不需优化的发帖网址。(5) 可自定义设置不需审计的发帖网址。网络应用审计(1) 可审计每种网络应用的用户、时间、流量等信息。(2) 可针对每个网络应用进行任意日期范围、任意时段、任意用户的查询。(3) 可查询被策略阻塞的应用记录，包含匹配的策略名称。(4) 可根据上网行为管理设备设置的管理策略，实现对违规行为的查询。(5) 可记录基于IP、端口、协议五元组的网络会话连接的详细信息。HTTP文件传输审计(1) 可以记录用户通过HTTP协议上传或下载文件的行为；(2) 可以记录指定下载源地、指定类型、指定大小的文件内容；(3) 可以限制禁止从某地址通过HTTP或HTTP多线程协议下载文件；(4) 可以禁止通过HTTP或HTTP多线程协议上传或下载某指定类型的文件。Telnet行为审计支持对用户通过telnet方式访问网络设备时执行的命令进行监控，完整记录telnet的时间、IP、端口、命令和结果等信息。搜索引擎关键字审计(1) 能够审计用户通过搜索引擎输入的所有关键字，也可以只审计指定的敏感关键字。(2) 对于违反策略的关键字搜索，能够阻塞。(3) 提供专门的检索工具，对用户的搜索历史进行查询。(4) 按照搜索类别/ 用户进行统计。流量审计(1) 可根据用户、时间、应用统计网络流量，并可查询任意日期、任意时段、任意用户的流量信息。(2) 可针对用户、时间、应用进行网络流量排名比较以及进行趋势分析。流量控制带宽通道管理(1) 支持基于带宽通道的流量控制，可设定多个不同的带宽通道，每个带宽通道提供保障速率和突发速率。(2) 支持带宽通道优先级的定义，保障核心业务拥有带宽保障。(3) 支持空闲带宽借用，实现带宽资源统计复用。带宽策略设置(1) 可设置基于人/部门的带宽管理策略。(2) 可设置基于应用的带宽管理策略，避免非业务应用对主流应用的影响。(3) 可设置人/部门某一种或多种应用的组合带宽策略。(4) 可设置部门成员的平均带宽策略，避免个体成员独占部门带宽。(5) 可根据时间段设置带宽管理策略。策略管理策略设置(1) 可根据不同用户设定策略，对同一组内的不同用户设置不同策略。(2) 支持对某些用户免监控。(3) 可按照不同时间段设定策略，时间定义可基于星期、天、小时、分钟，并支持一天内2个时间段的划分。 (4) 可针对不同网络应用设定不同的策略。(5) 支持策略优先级设置。(6) 支持IP黑名单，动态或者静态的将某个IP地址放入黑名单阻塞。(7) 支持网页重定向设置，使员工在一天内第一次上网时先访问指定的公告站点。策略查询(1) 可生成策略的完整描述报告。(2) 可查看某策略所适用的用户和部门。(3) 可查看某用户所执行的全部策略。(4) 对于应用控制策略和网页过滤策略，可记录用户匹配阻塞策略的行为信息，并可基于策略名称和应用类型进行查询分析。用户管理用户识别(1) 可基于IP进行用户的身份识别。(2) 可基于MAC地址进行身份识别。(3) 支持二层和三层网络环境下的IP/MAC绑定，且无需客户端实现该功能；(4) 支持无客户端的AD域用户识别。(5) 可识别BASIC、NTLM方式的代理服务器的用户。(6) 支持第三方用户信息识别。用户认证(1) 支持微软AD域的联动认证。(2) 支持LADP服务器的联动认证。(3) 支持AD域和LDAP的混合认证。(4) 支持Radius服务器的联动认证。(5) 支持POP3认证。(6) 支持ESMTP认证。(7) 支持互联网准入认证。(8) 支持网关设备本地Web登录认证方式。用户管理(1) 可手工添加用户，必须支持txt、csv格式文件导入全局用户列表，也可以只导入某个部门的用户列表，导入的用户信息应包含用户的组织结构。(2) 支持AD域用户导入，支持第三方用户信息的自动添加。(3) 支持导入AD域权限组，可对各权限组设置互联网行为管控和审计策略。(4) 可按用户行政组织结构建立多级树型的用户组织关系。(5) 支持对WEB认证、LDAP认证、RADIUS认证、邮件账号认证、IP识别用户的强制下线。(6) 对当前流量较大的活跃用户的IP加入“屏蔽IP”列表中，并可选择将该IP暂时屏蔽还是永久屏蔽。按照IP段自动分组支持按IP段自动分组，新入网未定义用户可以按照IP网段自动在所属分组内建立用户信息，自动适用该网段的策略。网络实时监控设备运行监控应提供全面的设备运行状态信息，包括设备负载、设备持续运行时间长度、URL库和应用协议库更新状态、最近网络攻击以及系统报警信息等，使管理员对设备运行监控状况一目了然。用户网络行为监控(1) 可实时监控用户访问网站、收发邮件（包括Web邮件）、在线聊天、论坛发帖的地址和内容，并支持正文与附件内容的还原查看。(2) 可实时监控用户的网站访问与网络应用的详细流水信息。(3) 支持选定特定用户，实时监控该用户的上网轨迹。流量监控(1) 可监控当前网络流量以及过去24小时网络流量。(2) 可实时查看基于实时流量的TOP N用户排名，并可针对具体用户进行管理查询，获得该用户在使用哪些应用。(3) 可实时监控基于流量的TOP N网络应用排名，并可针对具体应用进行关联查询，获得哪些用户在使用这些应用。日志管理与行为分析日志导出备份(1) 支持日志定期导出备份到存储服务器中。(2) 支持日志通过USB手工导出，日志内容可导入Excel文件中浏览。支持日志中心(1) 应支持独立日志中心，实现审计日志的海量存储与离线查询，保障日志数据的完整性与安全性。(2) 支持用户日志的全文检索，可通过关键字检索指定日期范围、指定应用类型的用户日志记录用户上网行为查询统计与报表分析(1) 应提供丰富的查询条件，查询用户的上网行为细节数据。支持按用户、部门、IP、策略名称、时间、应用进行查询，支持组合条件查询方式；支持自定义查询条件模板，按模板进行查询。(2) 支持用户上网历史综合查询，可以将一个人，一个部门的网页，应用，邮件，即时通讯，网站发帖的监控纪录在一个页面中显示，便于全面的了解一个人员的行为情况。(3) 支持统计功能，支持按用户、部门、IP、时间、应用（网页、邮件、IM、发帖）等条件进行流量统计与行为统计，提供TOP N统计方式，支持组合条件统计方式。报警管理与安全防护异常流量防护(1) 当由于病毒、蠕虫等原因，内网发生异常网络流量时，设备可告警，并可以根据告警日志发现导致异常流量的人员和网络行为。(2) 可纪录异常流量的报文组成，以及异常行为的报文发送频率，确保管理人员能够快速的定位异常人员，以及他的行为操作。(3) 对于异常行为流量可以进行全部阻断，或者阻断超出标准值的流量。(4) 可以针对不同的内网主机分别设置流量防护安全阀值。安全防护(1) 产品必须提供可阻断除内网有效网段外的其他网段的安全开关。只要打开开关即可阻断非法网段。此方法不允许通过繁琐的ACL方式分条实现，以提高策略的配置效率。(2) 支持ARP防护功能，必须能够在防护日志中查找到攻击源头的MAC地址。稳定性要求硬件直通保护(1) 支持设备断电时直通保护，保持网络畅通。(2) 发生网络异常大流量严重影响设备性能时，自动启用软件旁路直通保护机制，达到临时“泄洪”效果，网络流量恢复正常时，系统自动复位。(3) 可提供在软件系统异