序号

设备名称

配置参数

价格（万元）

1

路由器

硬件参数：非OEM设备，采用国产化CPU芯片和操作系统，交换容量≥200Tbps，转发性能≥50000Mpps，配置双引擎，交换网板满配，双电源，风扇冗余，万兆光口≥8个，千兆光口≥8个，SFP+多模光模块≥8个，SFP单模光模块≥8个，端口至少平均分配到2块板卡。

功能参数：支持IPv4/IPv6双协议栈，支持SRv6，支持基于硬件的BFD检测技术，支持BFD for SRv6，支持iFIT随流检测技术，支持广域网流量的智能调优，支持网络资源、隧道路径、业务路径、及业务SLA 的可视可管，能够和SDN软件控制器协同，实现对业务流量带宽和路径的按需部署和在线调整，支持SNMP协议，能够对CPU、内存、电源、风扇、温度等软硬件状态进行监控，所有功能配置相应license授权。

维保服务：5年原厂维保。

2

接入交换机

硬件参数：非OEM设备，采用国产CPU芯片、交换芯片、操作系统，CPU芯片、交换芯片提供第三方权威机构带CNAS标识的检测报告，配置双电源，交换容量≥4.8Tbps，转发性能≥2000Mpps，上行QSPF+接口及QSPF+多模光模块≥6，QSPF+接口要求为标准LC类型，下行SPF+光口数量≥48个，兼容10G/1G，SFP+多模光模块≥48个，所有业务端口支持线速转发。

功能参数：支持IPv4/IPv6双协议栈，支持M-LAG，支持多虚一，支持传统路由协议，支持通过大二层技术实现跨数据中心互联互通，支持radius或tacacs等第三方外部认证。支持VxLAN二三层网关，支持通过VxLAN实现跨数据中心互联，支持VxLAN集中式、分布式网关，支持数据中心内部VxLAN多活网关，支持通过VxLAN实现ARP广播抑制，支持SNMP协议，能够对CPU、内存、电源、风扇、温度、主控板、业务板卡等软硬件状态进行监控，所有功能配置相应license授权，5年原厂维保。

维保服务：5年原厂维保。

3

IPS

硬件参数：非OEM设备，采用国产化CPU芯片和操作系统，配置双电源，千兆光口（2组Bypass口）≥4个，SFP光模块≥4个，万兆光口（2组Bypass口）≥4个，SFP+光模块≥4个，硬盘不≥1T，网络层吞吐量≥25Gbps，IPS吐量≥20Gbps，最大并发连接数（TCP）≥400万，每秒新建TCP连接数≥21万，时延≤40 µs。

功能参数：

1、系统需提供至少10种以上内置规则模板，帮助用户快速上线。如DMZ区服务器、内网客户端、Web服务器、Windows服务器、UNIX服务器防护、工控系统、国产化、攻防演练高频高危等规则模板，并可根据内置规则模板直接派生模板；

2、支持Telnet、SSH、SMB、FTP、RDP、POP3、SMTP、IMAP、HTTP、数据库、XSS扫描、SQL注入、DHCP 限制、VNC、HUAXIA基金软件等协议的暴力猜测防护，支持检测阈值自定义；

3、支持国密加密证书和国密签名证书导入，并对国密加密流量进行解密检测。

4、支持基于攻击告警和攻击频率、探测行为、静态扫描地址进行扫描和探测识别；

5、系统须提供厂商内置的恶意IP黑名单库，不少于4万条；

6、支持站点白名单全局配置，支持设置白名单是否启用，支持设置无害站点白名单是否启用；

7、通过X-Forwarded-For、X-Real-IP、Cdn-Src-IP来识别通过HTTP代理或负载均衡方式连接到Web服务的客户端最原始的IP地址，并可自定义X-Forwarded-For、X-Real-IP、Cdn-Src-IP三个字段的识别优先级顺序；

8、持敏感数据保护功能，能够识别、阻断、告警超过阈值的敏感数据信息，其中敏感数据包括身份证号、银行卡、电话号码等，且支持自定义敏感数据；

9、支持对入侵告警日志中的攻击特征进行高亮展示。支持告警信息通过邮件形式发送到指导收件人邮箱，支持邮件发送间隔和发送内容中日志类型、威胁级别的自定义。

维保服务：5年原厂维保。

4

DDOS

硬件参数：非OEM设备，采用国产化CPU芯片和操作系统，配置双电源，设备整机吞吐量≧20Gbps，攻击清洗能力不低于1G，≧256G SSD含2*USB接口，1*RJ45串口，≧2*千兆以太网口，3个网卡扩展插槽， ≧2个万兆SFPP插槽，内置2个万兆多模光模块，1路Bypass。

功能参数：

1、支持对欺骗与非欺骗的SYN Flood、ACK Flood、ICMP Flood、ICMP Fragment、UDP Flood、UDP Fragment、FIN/RST Flood、TCP Misuse、TCP Connection Flood、TCP Fragment、HTTP Flood、HTTP Slow Attack、HTTPS Flood、SIP Flood、DNS Query Flood、DNS Reply Flood、DNS Amplification、SSDP Amplification、NTP Amplification、Chargen Amplification、SNMP Amplification 、Jenkins Amplification、WSDD Amplification、COAP Amplification、Memcache Amplification、 ARMS Amplification 、CLDAP Amplification、MS SQL Amplification及混合类型攻击进行检测、告警并防护；

2、支持对不同类型的url请求合法性进行验证，实行不同的防护策略，可防御CC及变种的能力

3、支持高级模版匹配的功能，过滤策略可定义内容至少包含：目标IP/掩码、目标端口、源IP/掩码、源端口、协议类型、接口范围、包长范围、TOS、TTL/HopLimit、UDP校验、ICMP类型、ICMPv6类型、TCP选项、TCP标志位、偏移量、深度、payload字符，并支持对每条策略添加描述；

4、支持提供过滤功能，支持白名单、群组黑名单、全局黑名单、群组ACL、全局AC L、正则表达（同时支持TCP和UDP协议）、GeoIP功能、HTTP关键字检查、DNS关键字检查

5、支持基于UDP的payload长度和规律提供检查和防护 

6、支持UDP防护支持多种检查和限速方式，包括最小包长、最大包长、源IP+源端口限速、源IP限速、目的IP+目的端口限速、目的IP+源端口限速、目的IP限速；

7、支持对CDN、云清洗等使用代理源IP的流量进行防护，并对代理前真实源IP进行告警记录和黑名单过滤；

8、支持自动抓包提取数据报文payload指纹信息，统计报文协议、指纹内容、指纹长度、偏移量、深度以及指纹的命中率等信息，并根据指纹信息生成防护策略；

9、支持二层回注、三层回注、GRE回注、PBR回注、MPLS LSP回注、MPLS VPN回注等多种回注方式。

维保服务：5年原厂维保。

5

防火墙

硬件参数：非OEM设备，采用国产化CPU芯片和操作系统，具备独立的管理接口，配置双电源，整机吞吐率≥20Gbps，最大并发连接≥1000万，每秒新建连接数≥30万，SFP接口和SFP模块多模模块各4个，SFP+接口及SFP+模块≥8个，预留扩展槽位≥1个。

功能参数：支持IPv4/IPv6双协议栈，支持CLI、HTTPS、RestAPI管理，支持传统的访问控制，支持灵活的源地址NAT、目地址NAT和双向策略NAT，支持A/A、A/S等双机高可用性部署，支持双机可同时网管、配置完全同步，支持路由、网桥等多种模式部署，支持端口联动，支持SNMP协议，能够对CPU、内存、HA状态、电源、风扇、温度等软硬件状态进行监控，所有功能配置相应license授权。

维保服务：5年原厂维保。

6

NTP服务器

硬件参数：非OEM设备，采用国产化CPU芯片和操作系统，配置双电源，内置高稳定原子钟守时模块，24小时保持精度优于100ns，≥4个千兆网口，≥2个SFP+光口，支持单独的带外管理接口。

功能参数：支持IPv4/IPv6双协议栈，支持IPv4/IPv6双协议栈，支持RFC标准NTP协议，仅支持单北斗授时方式，支持API标准访问接口，支持HA部署，能够对状态和配置信息进行自动同步，NTP处理能力≥40000次/秒，MTBF≥9万小时，闰秒友好设计，可以保持时间系统稳定度过闰秒调整，支持SNMP协议，能够对CPU、内存、HA状态、电源、风扇、温度等软硬件状态进行监控，所有功能配置相应license授权。

维保服务：5年原厂维保。

7

防病毒网关

硬件参数：非OEM设备，采用国产化CPU芯片和操作系统，配置双电源，≥4个千兆光口，≥4个万兆光口，千兆多模光模块≥4个，万兆多模光模块≥4个，硬盘≥1T，整机吞吐量≥20Gbps，防病毒吞吐量≥5Gbps，最大并发会话数≥300万，每秒新建会话数≥10万。

功能参数：

1、能够对HTTP、FTP、POP3、 SMTP、IMAP等常用协议进行病毒检测与过滤；
2、具有针对国内及全球病毒监测网络，具备新病毒及时发现、处置能力及专业技术资源，保障对新病毒的有效拦截及具备先进的病毒分析技术实力；
3、支持双库双引擎，可选择使用不同的病毒库，支持快速查杀和深度查杀防病毒引擎，并可按需切换；
4、能够实时检测日益泛滥的蠕虫攻击，并对其进行实时阻断，从而有效防止内部网络因遭受蠕虫攻击而陷于瘫痪；

5、能够防御病毒、木马、蠕虫、间谍软件等恶意软件，且支持对压缩数据、加壳病毒的检测与处理；

6、能通过国内有自主的分布式病毒库升级服务器，保障防毒墙设备病毒库升级的可持续性，可支持在线自动、手动方式升级；

7、支持自定义URL白名单，对访问网址不进行病毒过滤，支持自定义IP地址(范围)白名单，对特定的IP地址不进行病毒过滤；

8、设备应具有硬件光电BYPASS功能，在断电时能自动实现直通功能，恢复通讯时间不能超过10秒；

9、能够支持本地用户及LDAP用户（MS Active Directory及Open LDAP）管理 ，支持网页认证及透明认证方式 ，支持不同用户分组利用策略分类管理；

10、能够支持多种登录方式，包括Web、SSH、CLI等 ，支持SNMP协议管理，支持多台设备配置同一下发，IOC共享、威胁统一处置能力；

11、要求所有设备配置统一的管理台，支持多台设备统一更新、状态统一查询；并能提供完整的病毒日志、访问日志和系统日志等记录，并可根据日志数据生成图形化统计报表；

12、应具有Syslog远程日志服务器、NTP、SNMP等功能；

13、能够与我行应用系统进行联动，将病毒拦截信息反馈至用户或应用系统；

14、产品应具备IPv6 ready认证，全面支持IPv6协议。

维保服务：5年原厂维保。

8

SSL卸载

硬件参数：

非OEM设备，采用国产化CPU芯片和操作系统，配置双电源，4层吞吐量≥30Gbps，四层最大并发连接数≥1800万，四层每秒新建连接数（CPS）≥60万，七层最大并发连接数≥300万，七层每秒新建请求数（RPS）≥100万，单向新建（ECC-SM2-SM4-SM3）≥20000，单向并发（ECC-SM2-SM4-SM3）≥60万，单向吞吐（ECC-SM2-SM4-SM3）≥3Gbps，≥4个千兆电口，≥4个千兆光口，≥4个万兆光口，内存≥16G，硬盘≥256G。

功能参数：

1、支持串接部署方式和旁路部署方式，支持三角传输模式；

2、链路负载均衡支持轮询、带宽比例、加权最小流量、动态就近性和加权源IP哈希等算法；

3、支持基于五元组条件（源IP地址，源端口，目的IP地址，目的端口，传输层协议号）来进行出站访问的流量调度分发；

4、支持多种链路检测方法，能够通过PING和HTTP等方式监控链路的连通性，当某一条链路故障时，可将访问流量切换到其它链路，保障用户业务的持久通畅；

5、支持优先级算法下最少可用节点保障，保证优先级高节点的可用性；

6、支持源IP、Cookie（插入/被动/改写）、HTTP-Passive（应答被动、请求被动）、Radius、SSL Session ID、SIP（CALL-ID）和源IP+源端口等多种会话保持机制，支持跨虚拟服务的会话保持；

7、支持TCP连接复用功能，利用HTTP连接池机制，将来自客户端的多个请求合并成一个连接发送到服务器，减少服务器端的工作负荷，并提升业务效率；

8、支持设置允许递归的访问控制列表信息，避免递归查询带来的性能消耗，同时防止递归放大攻击；

9、设备支持制作RSA2048算法的CSR证书请求和导入；

10、管理页面可查看证书算法、证书有效期开始和结束的时间等所有证书信息；

11、支持双机热备部署方式，可自动同步配置并提供连接会话的镜像功能，实现无缝故障切换；

12、支持基于链路流量进行有效性判断，能够在预设时间内进行主动探测。

维保服务：5年原厂维保。

9

负载均衡

硬件参数：非OEM设备，采用国产化CPU芯片和操作系统，整机吞吐率≥20Gbps，配置双电源，其中万兆接口及万兆模块≥4，千兆光口及千兆光模块≥4，SSD硬盘≥480GB，内存≥16G，具备独立的管理接口，并发连接数≥13M，4层新建连接≥350K CPS，7层新建连接≥500K RPS。

功能参数：

1、支持优先级算法下最少可用节点保障，优先级高的节点故障时会自动进行选举，保证优先级高节点的可用性；

2、提供针对L4/L7内容交换的服务器负载均衡功能，可在单一设备上支持多个应用和服务器集群，可以根据多种算法和策略分配用户的请求；

3、支持可编程语言，对IP、TCP、UDP、SSL、HTTP和HTTPS等类型的流量进行分发、修改和统计等操作；

4、支持高可用集群N+M部署方式，可自动同步配置并提供连接会话的镜像功能，实现无缝故障切换；

5、支持IPv4/IPv6双协议栈；

6、支持http、tcp、icmp、udp、FTP等协议的健康检查，支持自定脚本等方式的健康检查，支持数据库服务的健康检查，支持基于模仿用户实际访问的复杂检查方法；

7、支持手动健康检查模拟器，可以在不新增虚拟服务等配置情况下，在真实服务上线前对真实服务进行健康检查，生成详细测试结果，进行业务分析；

8、支持配置每台的服务器最大连接限制和新建连接限制，以及单个特定用户或者一个用户组中所有用户访问指定应用服务的并发连接总数限制，避免应用系统的服务器过载；

9、在将虚拟服务关闭时，虚拟服务不可以被ping通，以适应主备数据中心业务使用同一个IP场景下的业务切换正常。

所有功能配置相应license授权。

维保服务：5年原厂维保。

10

WAF

硬件参数：

非OEM设备，采用国产化CPU芯片和操作系统，配置双电源，网络层吞吐量≥40 Gbps，HTTP应用层吞吐量（WAF）≥1.5Gbps，HTTP新建连接数≥19万，HTTP并发连接数≥950万，≥16个千兆电口（4对Bypass口），≥6个万兆光口，≥2个扩展插槽，可扩展支持≥8个万兆光口，内存≥16G，硬盘≥256G。

功能参数：

1、产品支持路由模式、透明模式、虚拟网线模式、旁路镜像模式等多种部署方式。

2、产品支持虚拟Web应用防火墙功能，支持虚拟Web应用防火墙的创建和删除，具备独立的接口、会话管理、应用控制策略、NAT等资源。

3、产品支持基于网络区域、网络对象、MAC地址、服务、应用、域名等维度进行访问控制策略设置。

4、产品支持对SMTP、HTTP、FTP、SMB、POP3、HTTPS、IMAP等协议进行病毒防御。

5、产品支持异常数据包攻击防御，防护类型包括IP数据块分片传输防护、Teardrop攻击防护、Smurf攻击防护、Land攻击防护、WinNuke攻击防护等攻击类型。

6、产品支持虚拟防火墙功能，支持虚拟防火墙的创建和删除，具备独立的接口、会话管理、应用控制策略、NAT等资源。

7、产品支持安全策略有效性分析功能，分析内容至少包括策略冗余分析、策略匹配分析、风险端口风险等内容，提供安全策略优化建议。

8、产品支持多条件的安全日志组合查询，查询条件包括但不限于日志类型、日志级别、生成时间。

9、产品支持安全策略有效性分析功能，分析内容至少包括策略冗余分析、策略匹配分析、风险端口风险等内容，提供安全策略优化建议。

10、产品支持杀毒白名单设置，可以例外排除特定MD5和URL的病毒文件，针对特定文件不进行查杀。

11、产品支持基于文件传输方式、文件类型等维度的管控策略配置。

12、支持被动监测和主动扫描两种资产识别方式，可梳理离线资产、高危端口开放、冗余端口等安全风险；同时通过可视化的拓扑关系图，直观地展示资产和资产之间的访问关系、访问细节协议端口等信息

维保服务：5年原厂维保。

11

安全网闸

硬件参数：非OEM设备，采用国产化CPU芯片和操作系统，配置冗余电源，≥8个千兆电口，≥8个千兆光口，≥2个万兆光口，≥1个扩展插槽，硬盘≥2T，UDP吞吐量≥2Gbps，最大并发连接数（HTTP）≥50万，UDP延时＜1ms。

功能参数：

1、配置文件交换、FTP访问、数据库传输、邮件传输、安全浏览、安全通道、消息模块、视频传输模块和工控模块，以保证用户实际业务使用；

2、采用“2+1”系统架构，即由两个主机系统和一个隔离交换模块组成；隔离交换模块基于专用芯片实现，保证数据在搬移的时间内，内、外网隔离卡与内、外网系统为断开状态；

3、文件同步客户端支持Windows、Linux等主流操作系统，均具备图形化管理界面，支持NFS、SMBFS、FTP、SFTP等文件系统，FTP文件交换支持SSL加密；

4、支持单任务文件统计及查询，可展示任务号、文件数、文件大小、文件名称、发送时间等信息，并根据结果进行查询；

5、支持实现对多种（如MySql、SqlServer、Oracle、DB2、Sybase）等主流数据库系统的安全访问，支持Oracle数据库RAC集群同步、支持数据容错处理，当数据同步失败时，用户可以查询、恢复、删除未能正常传输的数据；

6、实现安全的FTP访问，支持对访问用户、访问协议命令、上传下载文件类型等访问过滤控制；

7、支持同种数据库间（同构）和不同种数据库间（异构）的同步，支持字段值按条件进行数据同步，支持数据容错处理，当数据同步失败时，用户可以查询、恢复、删除未能正常传输的数据；

8、支持OPC工业控制模块、支持DCS/SCADA网络与管理网络之间的OPC应用数据的传输，支持ITEM检测过滤功能，支持ITEM项级及ITEM内容检测，对于非法ITEM操作进行有效过滤；

9、支持多个视频厂商(海康、大华、科达、中兴、迪威、宇视、贝尔、东方网力等协议，支持协议扩展，新厂商的协议接入可在WEB界面标配即可；

10、支持双引擎病毒模块，可根据用户需求选择需要的病毒引擎、支持抗攻击功能，能够识别和防御抗地址欺骗攻击、抗源路由攻击、抗Smurf攻击、抗LAND攻击、抗Winnuke攻击、抗Queso扫描、抗SYN/FIN扫描、抗Null扫描、抗圣诞树攻击、抗死亡之PING扫描、抗fraggle攻击、抗TearDrop攻击、抗SYN Flood、抗UDP Flood、抗ICMP Flood等；

11、通过独立的热备接口实现双机热备，支持主、备状态图形化实时展示。

维保服务：5年原厂维保。