兴业银行新年度信创防火墙框架协议采购项目供应商寻源公告

级别品类

IPv4下实配吞吐量

主要配置参数

高端防火墙

≥200G

1. 产品高度：盒式需1U或2U标准高度
2. 硬件：冗余电源模块并支持热插拔；冗余风扇模块
3.性能： IPv4条件下，实配吞吐量≥200Gbps，每秒**连接数≥90万，并发连接数≥6000万；IPv6条件下，实配吞吐量≥180Gbps；
4. 接口：10G光口网卡≥8个（并标配2个10G多模光模块），100G光口网卡≥2个（并标配2个100G多模光模块）
5.服务级别: 7*24原厂技术支持服务；本地备件库；5年维保

≥100G

1. 产品高度：盒式需1U或2U标准高度
2. 硬件：冗余电源模块并支持热插拔；冗余风扇模块；
3.性能： IPv4条件下，实配吞吐量≥100Gbps，每秒**连接数≥90万，并发连接数≥4000万；IPv6条件下，实配吞吐量≥90Gbps；
4. 接口：10G光口网卡≥8个（并标配2个10G多模光模块），100G光口网卡≥2个（并标配2个100G多模光模块）
5.服务级别: 7*24原厂技术支持服务；本地备件库；5年维保

中端防火墙

≥60G

1. 产品高度：盒式需1U或2U标准高度
2. 硬件：冗余电源模块并支持热插拔；冗余风扇模块
3.性能： IPv4条件下，实配吞吐量≥60Gbps，每秒**连接数≥60万，并发连接数≥2000万；IPv6条件下，实配吞吐量≥54Gbps；
4. 接口：10G光口网卡≥8个（并标配2个10G多模光模块），可以扩展100G光口网卡≥2个
5.服务级别: 7*24原厂技术支持服务；本地备件库；5年维保

≥40G

1. 产品高度：盒式需1U或2U标准高度
2. 硬件：冗余电源模块并支持热插拔；冗余风扇模块
3.性能： IPv4条件下，实配吞吐量≥40Gbps，每秒**连接数≥40万，并发连接数≥1600万；IPv6条件下，实配吞吐量≥32Gbps；
4. 接口：10G光口网卡≥8个（并标配2个10G多模光模块），可以扩展40G或者100G光口网卡≥2个
5.服务级别: 7*24原厂技术支持服务；本地备件库；5年维保

低端防火墙

≥20G

1. 产品高度：盒式需1U或2U标准高度
2. 硬件：冗余电源模块；冗余风扇模块
3.性能： IPv4条件下，实配吞吐量≥20Gbps，每秒**连接数≥20万，并发连接数≥720万
4. 接口：1G 自适应RJ45接口和1G光口合计≥8个，10G光口网卡≥4个
5.服务级别: 7*24原厂技术支持服务；3年维保

≥10G

1. 产品高度：盒式需1U或2U标准高度
2. 硬件：冗余电源模块；冗余风扇模块
3.性能： IPv4条件下，实配吞吐量≥10Gbps，每秒**连接数≥15万，并发连接数≥560万
4. 接口：1G 自适应RJ45接口和1G光口合计≥8个，10G光口网卡≥4个
5.服务级别: 7*24原厂技术支持服务；3年维保

≥6G

1. 产品高度：盒式需1U或2U标准高度
2. 硬件：冗余电源模块；冗余风扇模块
3.性能： IPv4条件下，实配吞吐量≥6Gbps，每秒**连接数≥6万，并发连接数≥320万
4. 接口：1G 自适应RJ45接口≥8个
5.服务级别: 7*24原厂技术支持服务；3年维保

模块等配件

100G LC多模光模块

中高端系列通用

100G LC单模光模块

中高端系列通用

40G LC多模光模块

中高端系列通用

10G LC多模光模块

全系列通用

10G LC单模光模块

全系列通用

1G LC多模光模块

中低端系列通用

光转电模块

全系列通用

技术指标

分类

技术参数

硬件要求

*信创要求

*需提供工信部权威****实验室、****实验室、****研究院、中****研究院赛西实验室、****中心（工业和信息化****促进中心）)测试****实验室测试报告，证明产品所用CPU品牌在海光、飞腾、龙芯、盛科、华为（包括华为、华为海思、海思、鲲鹏）范围内。

*交换等关键芯片和操作系统符合国产自主产品信息要求，须提供承诺函。

*所提供的产品必须具备独立知识产权，须提供产品《软件著作权登记证书》；非OME厂商（须提供承诺函）。

实现方式

应采用专用硬件+系统，非采用通用操作系统+防火墙软件的实现方式，提供承诺函。

生命周期

*硬件设备的生命周期≥7年（未来无需更换型号实现软件升级），提供承诺函。

硬件冗余

支持风扇、电源冗余，支持引擎（如有），支持风扇、电源、引擎（如有）热插拔。

架构要求

架构

1. 支持旁路和口字型部署，支持主备模式，支持非抢占设置。
2. 支持主备防火墙会话自动同步、配置自动同步。
3. 支持版本升级时业务无中断，版本升级过程可满足高可用性要求，支持升级过程中的跨版本HA同步需求，软件版本升级情况下支持连接状态和配置的自动同步。
4. 双机主备场景下支持发生故障时进行HA切换，如设备故障、ip-monitor探测不通、业务接口故障等。

*支持管理平台跨版本统一纳管。

技术要求

网络功能

支持802.1Q封装。

支持链路聚合技术，支持LACP链路捆绑配置、支持LACP快速模式；支持Ether Channel功能，可以将多个物理端口捆绑，增加网络带宽和端口的冗余性。

支持同时启用IPv4和IPv6协议。

支持IPv4静态路由、OSPF、BGP；支持IPv6静态路由、OSPFv3、BGP4+。

支持基于域名的访问控制策略。

支持面向状态的数据流策略匹配，实现数据流的允许和拒绝；对进入防火墙的数据包能够全流程跟踪。

流程控制方面：支持QOS带宽管理能力，能够基于接口、地址、服务、时间和优先级设置灵活带宽管理策略。

安全功能

支持禁用策略、启用策略，支持调整策略顺序。

支持策略开启日志和计数。

支持按时间段开通策略，支持基于不**全策略设定会话长连接老化时间。

策略对象定义支持地址组、服务组，地址支持反掩码格式。

支持源地址、目的地址NAT、双向NAT,支持基于策略的NAT，支持开启NAT日志。

支持按不同协议开启和关闭ALG功能，支持NAT场景下FTP动态端口开放。

支持物理防火墙虚拟出多台虚拟防火墙。

支持开启和关闭syn-check功能。

防攻击

支持SYN Flood、ICMP Flood、UDP Flood等攻击检测功能。

支持icmp-large、ip-sweep、land、ping-of-death、port-scan、tear-drop等常规攻击拦截。

支持攻击检测按阈值告警不丢弃。

可靠性

电源冗余配置，在单路电力输入失效或单个电源模块失效情况下，设备运行正常。

互联接口具备ip-monitor等探测机制，探测时间可配置。

高端防火墙要求：
*1. 带载条件下（CPU利用率达到70%）IPv4小包（64字节）吞吐能力≥招标需求吞吐量的50%。
*2. 带载条件下（CPU利用率达到70%）混合包（IPv4、IPv6按1：1），（86字节、256字节、512字节、1518字节按5：3：1：1）吞吐能力≥招标需求吞吐量的50%。
*3. 带载条件下（CPU利用率达到70%）IPv4小包（64字节）时延≤0.1ms。
*4. 带载条件下（CPU利用率达到70%），IPv4并发连接数≥招标需求并发连接数的90%。

其它功能

支持虚拟防火墙，其**(地址组、服务组、策略数量、NAT数量，吞吐率，并发、**等)，均能至少达到招标需求的30%。

支持IPv6双栈，支持IPv6 over IPv4 隧道，6RD隧道功能。开启IPv6双栈时，其**（地址组、服务组、策略数量、NAT数量，吞吐率，并发、**等），均至少达到招标需求的50%。

支持VPN，具备支持IPSec VPN、SSL VPN等功能的能力（含虚墙）。

支持国家商用密码算法（包括但不限于SM2、SM3、SM4），并能够在VPN、IPSec等协议中实现加密通信。

管理要求

管理功能

支持可编程API, 与****外部系统集成实现服务、配置自动化等。

支持命令行和图形化用户接口。

集中、分权
管理

1. 支持设备集中管理: 支持对所有分布式部署的节点进行集中管理，实现统一配置下发、数据同步。
2. 支持全局用户权限管理: 支持对用户权限进行全局设置，包括读写和只读权限。
3. 支持权管理: 支持创建多个账号，并为每个账号分配不同功能模块的只读或读写权限。

监控与日志

1. 支持监控节点状态与告警: 设备支持实时监控节点的连接状态，当节点连接异常时触发告警。
2. 具备开放设备MIB功能，支持SNMP采集设备的关键指标，如支持SNMPv1、SNMPv2c、SNMPv3、SSH2.0、NTP、Trap、AAA管理。
3. 支持开启及关闭traffic log ，如果策略含NAT记录转换前后IP地址的对应关系。
4. 支持安全攻击事件发送syslog。
5. 支持Syslog固定格式与多服务器输出: 支持Syslog的固定格式输出，并根据日志级别或类型将不同日志发送到不同的服务器。系统至少支持4个以上的Syslog服务器，便于日志的分类管理和集中存储。
6. 支持操作日志查看与Syslog输出: 支持查看指定时间段的操作日志，记录包括操作时间、操作用户名称、操作客户端的IP地址、操作内容。操作日志可通过Syslog输出到指定的日志服务器，便于集中管理和审计。
7. 支持NTP时间同步: 支持NTP（网络时间协议）时间同步功能。

查询及统计

1. 在开启策略log的情况下，支持查看当前策略的session状态、NAT信息、超时时间等。
2. 防火墙可基于源地址、目的地址、目的端口等条件，筛选或者清除符合条件的session。
3. 通过命令可对防火墙信息收集，用于故障分析。
4. 支持开启debug抓取数据包信息，并设置源地址、目的地址等过滤条件。

登录与退出

1. 支持加密登录方式：设备支持通过 HTTPS、SSH 等加密方式登录，确保数据传输的安全性，防止中间人攻击。
2. 支持 AAA 认证：支持 AAA（认证、授权）机制，兼容 Radius、TACACS+ 等协议，实现用户登录认证、权限管理。
3. 支持指定管理接口登录：允许用户通过指定的管理接口访问 Web 界面，确保管理操作的安全性和专属性。
4. 支持管理账号源地址访问控制：支持对管理账号的登录来源进行限制，包括 IPv4、IPv6 地址及网段，防止未经授权的访问。
5. 支持超时自动退出：支持用户会话超时自动退出功能，可自定义超时参数，防止因长时间空闲导致的安全风险。

备份与恢复

1.支持全量配置周期自动备份: 设备支持全量配置的周期性自动备份功能，支持通过 ftp、sftp 等协议将备份文件发送至指定的备份服务器。
2.支持全量配置备份恢复: 支持全量配置备份的恢复功能，允许用户批量导入或导出配置数据，确保配置数据的完整性和一致性。

*技术服务支持

提供承诺函做到如下5点：
1.提供工具支持将思科、juniper、山石网科、天融信等其它厂商配置翻译为本厂商的配置。
2.提供基线配置脚本工具，承诺提供开发巡检脚本。
3.提供自动化脚本生成工具，进行自动化配置变更。
4.对接****安全运维有关平台，实现IP地址自动封禁等功能。
5.可与****工具系统对接。

技术指标

分类

技术参数

硬件要求

*信创要求

*需提供工信部权威****实验室、****实验室、****研究院、中****研究院赛西实验室、****中心（工业和信息化****促进中心）)测试****实验室测试报告，证明产品所用CPU品牌在海光、飞腾、龙芯、盛科、华为（包括华为、华为海思、海思、鲲鹏）范围内。

*交换等关键芯片和操作系统符合国产自主产品信息要求。

*所提供的产品必须具备独立知识产权，须提供产品《软件著作权登记证书》；非OME厂商，须提供承诺函。

实现方式

*应采用专用硬件+系统，非采用通用操作系统+防火墙软件的实现方式，提供承诺函。

架构要求

架构

1. 支持旁路和口字型部署，支持主备模式，支持非抢占设置。
2. 支持主备防火墙会话自动同步、配置自动同步。
3. 支持版本升级时业务无中断。
4. 双机主备场景下支持发生故障时进行HA切换，如设备故障、ip-monitor探测不通、业务接口故障等。

技术要求

网络功能

支持802.1Q封装。

支持链路聚合技术，支持LACP快速模式；支持Ether Channel功能。

支持同时启用IPv4和IPv6协议。

支持IPv4静态路由、OSPF、BGP；支持IPv6静态路由、OSPFv3、BGP4+。

支持基于域名的访问控制策略。

支持面向状态的数据流策略匹配，实现数据流的允许和拒绝；对进入防火墙的数据包能够全流程跟踪。

流程控制方面：支持QOS带宽管理能力，能够基于接口、地址、服务、时间和优先级设置灵活带宽管理策略。

安全功能

支持禁用策略、启用策略，支持调整策略顺序。

支持策略开启日志和计数。

支持按时间段开通策略，支持基于不**全策略设定会话长连接老化时间。

策略对象定义支持地址组、服务组，地址支持反掩码格式。

支持源地址、目的地址NAT、双向NAT,支持基于策略的NAT，支持开启NAT日志。

支持按不同协议开启和关闭ALG功能，支持NAT场景下FTP动态端口开放。

支持物理防火墙虚拟出多台虚拟防火墙。

支持开启和关闭syn-check功能。

防攻击

支持SYN Flood、ICMP Flood、UDP Flood等攻击检测功能。

支持icmp-large、ip-sweep、land、ping-of-death、port-scan、tear-drop等常规攻击拦截。

支持攻击检测按阈值告警不丢弃。

可靠性

电源冗余配置，在单路电力输入失效或单个电源模块失效情况下，设备运行正常。

互联接口具备ip-monitor等探测机制，探测时间可配置。

其它功能

支持VPN，具备支持IPSec VPN、SSL VPN等功能的能力（含虚墙）。

支持国家商用密码算法（包括但不限于SM2、SM3、SM4），并能够在VPN、IPSec等协议中实现加密通信。

管理要求

管理功能

支持可编程API, 与****外部系统集成实现服务、配置自动化等。

支持命令行和图形化用户接口。

集中、分权
管理

1. 支持设备集中管理: 支持对所有分布式部署的节点进行集中管理，实现统一配置下发、数据同步。
2. 支持全局用户权限管理: 支持对用户权限进行全局设置，包括读写和只读权限。
3. 支持权管理: 支持创建多个账号，并为每个账号分配不同功能模块的只读或读写权限。

监控与日志

1. 支持监控节点状态与告警: 设备支持实时监控节点的连接状态，当节点连接异常时触发告警。
2. 具备开放设备MIB功能，支持SNMP采集设备的关键指标，如支持SNMPv1、SNMPv2c、SNMPv3、SSH2.0、NTP、Trap、AAA管理。
3. 支持开启及关闭traffic log ，如果策略含NAT记录转换前后IP地址的对应关系。
4. 支持安全攻击事件发送syslog。
5. 支持Syslog固定格式与多服务器输出: 支持Syslog的固定格式输出，并根据日志级别或类型将不同日志发送到不同的服务器。系统至少支持4个以上的Syslog服务器，便于日志的分类管理和集中存储。
6. 支持操作日志查看与Syslog输出: 支持查看指定时间段的操作日志，记录包括操作时间、操作用户名称、操作客户端的IP地址、操作内容。操作日志可通过Syslog输出到指定的日志服务器，便于集中管理和审计。

查询及统计

1. 在开启策略log的情况下，支持查看当前策略的session状态、NAT信息、超时时间等。
2. 防火墙可基于源地址、目的地址、目的端口等条件，筛选或者清除符合条件的session。
3. 通过命令可对防火墙信息收集，用于故障分析。
4. 支持开启debug抓取数据包信息，并设置源地址、目的地址等过滤条件。

登录与退出

1. 支持加密登录方式：设备支持通过 HTTPS、SSH 等加密方式登录，确保数据传输的安全性，防止中间人攻击。
2. 支持 AAA 认证：支持 AAA（认证、授权）机制，兼容 Radius、TACACS+ 等协议，实现用户登录认证、权限管理。
3. 支持指定管理接口登录：允许用户通过指定的管理接口访问 Web 界面，确保管理操作的安全性和专属性。
4. 支持管理账号源地址访问控制：支持对管理账号的登录来源进行限制，包括 IPv4、IPv6 地址及网段，防止未经授权的访问。
5. 支持超时自动退出：支持用户会话超时自动退出功能，可自定义超时参数，防止因长时间空闲导致的安全风险。

备份与恢复

1.支持全量配置周期自动备份: 设备支持全量配置的周期性自动备份功能，支持通过 scp、ftp、sftp 等协议将备份文件发送至指定的备份服务器。
2.支持全量配置备份恢复: 支持全量配置备份的恢复功能，允许用户批量导入或导出配置数据，确保配置数据的完整性和一致性。

*技术服务支持

提供承诺函做到如下4点：
1.提供工具支持将思科、juniper、山石网科、天融信等其它厂商配置翻译为本厂商的配置。
2.提供基线配置脚本工具，承诺提供开发巡检脚本。
3.提供自动化脚本生成工具，进行自动化配置变更。
4.对接****安全运维有关平台，实现IP地址自动封禁等功能。