1

下一代防火墙（政务出口）

台

1

2

下一代防火墙（服务器区）

台

1

3

上网行为管理

台

1

4

终端安全

个

100

服务器端100个；

个

2000

PC端2000个

5

日志审计

台

1

提供100个授权

6

SSL VPN

台

1

提供200个SSL授权

7

威胁分析与处置服务

年

1

8

驻场运维

人

2

性能及硬件参数

性能参数：应用层吞吐量≥15G，并发连结数≥1200W，新建连接数（CPS）≥45W；

硬件参数：标准2U架构，冗余电源，千兆电口≥4个，千兆光口≥4个，万兆光口≥4个，并含2个USB2.0接口和1个RJ45串口；支持bypass；

部署方式

支持路由，网桥，单臂，旁路，虚拟网线以及混合部署方式；

网络特性

支持链路聚合功能,支持LACP协议;支持802.1Q VLAN Trunk、access接口，VLAN三层接口，子接口、GRE隧道；

支持端口联动功能，当上行/下行端口链路出现故障时，对应的另一端下行/上行端口自动切断链路；

路由支持

支持静态路由，ECMP等价路由；支持RIPv1/v2，OSPFv2/v3，BGP等动态路由协议；支持多播/组播路由协议；

基础功能

支持连接会话展示，可针对具体的IP地址进行会话详情查询，支持封锁异常会话信息，并支持设置监听具体IP的会话记录；

支持IPv4／v6 NAT地址转换，支持源地址转换，目的地址转换和双向地址转换，支持针对源IP、目的IP和双向IP连接数控制；支持NAT64、NAT46 地址转换；

▲访问控制规则支持模拟策略匹配，输入源目的IP、端口、协议五元组信息，模拟策略匹配方式，给出最可能的匹配结果，方便排查故障，或环境部署前的调试；（需提供相关功能截图证明）

内容安全

支持识别管控的应用类型超过1200种，应用识别规则总数超过3000条；

支持针对SMTP、POP3、IMAP邮件协议的内容检测，如邮件附件病毒检测、邮件内容恶意链接检测，邮件账号撞库攻击检测等，并给出恶意邮件的提示，支持根据邮件附件类型进行文件过滤；

DoS/DDoS攻击防护

支持SYN Flood、ICMP Flood、UDP Flood、DNS Flood、ARP Flood攻击防护；支持IP地址扫描，端口扫描防护，支持ARP欺骗防护功能、支持IP协议异常报文检测和TCP协议异常报文检测；

支持内网访问控制，配置内网区域只允许指定的IP地址或IP范围对外进行访问，防止内部伪造源IP对外DoS攻击的情况；

僵尸主机检测

设备具备独立的热门威胁库，防护类型包括木马远控、恶意脚本、勒索病毒、僵尸网络、挖矿病毒等，特征总数在60万条以上；

▲支持对终端已被种植了远控木马或者病毒等恶意软件进行检测，并且能够对检测到的恶意软件行为进行深入的分析，展示和外部命令控制服务器的交互行为和其他可疑行为；（需提供相关功能截图证明）

入侵防护功能

设备具备独立的入侵防护漏洞规则特征库，特征总数在7400条以上；

支持对常见应用服务（HTTP、FTP、SSH、SMTP、IMAP、POP3、 RDP、Rlogin、SMB、Telnet、Weblogic、VNC）和数据库软件（MySQL、Oracle、MSSQL）的口令暴力破解防护功能；

可提供最新的威胁情报信息，能够对新爆发的流行高危漏洞进行预警和自动检测，发现问题后支持一键生成防护规则；

Web应用安全防护

设备具备独立的WEB应用防护识别库，特征总数在3500条以上；

支持Web漏洞扫描功能，可扫描检测网站是否存在SQL注入、XSS、跨站脚本、目录遍历、文件包含、命令执行等脚本漏洞；

支持针对网站的漏洞扫描进行深度防护，能够拦截漏洞扫描设备或软件对网站漏洞的扫描探测，支持基于目录访问频率和敏感文件扫描等恶意扫描行为进行防护；

▲设备需要具备web业务自学习能力，可自行判断与标记业务特征，确认业务模型学习趋势；（需提供相关功能截图证明）

安全可视化

支持安全运营中心功能，可以对全网所有的服务器和主机的威胁进行全面评估，管理员通过一键便可完成对服务器和主机的资产更新识别、脆弱性评估、策略动作的合理化监测、当前服务器和用户的保护状态、当前的服务器和主机的风险状态及需要管理员待办的紧急事项等，可以自动化直观的展示最终的风险；

安全集中管理

支持通过集中管理平台统一配置业务保护策略，包括但不限于ACL、IPS、僵尸网络、内容安全、WEB应用防护，统一定期更新安全规则库，保障业务安全；

支持接入统一的安全监测平台，通过安全监测平台可以实时看到每台安全设备的详细安全状态信息，包括安全评分级别、最近有效事件、有效事件趋势、用户安全统计、服务器安全统计和攻击来源统计；

系统配置管理

支持自动备份配置，可通过自动备份中快速恢复系统配置以防止管理员误操作风险，至少保存一个月的配置快照；

产品资质证书

产品应具备ISCCC中国国家信息安全产品认证证书；

产品应具备信息技术产品安全测评证书（EAL3+）

性能要求

吞吐性能≥3G；带宽性能≥1.6G；最大并发连接数≥1,000,000；每秒新建连接数≥20000；支持用户数15000；

硬件要求

千兆电口≥4个，千兆光口≥4个；内存8G，硬盘配置为1T SATA盘，支持BYPASS，2对Bypass口，1个RJ45串口，2个USB2.0接口，冗余电源；

部署模式

支持两台及两台以上设备同时做主机的部署模式；

支持部署在IPv6环境中，设备接口及部署模式均支持ipv6配置；

网关管理

多台设备支持通过统一平台集中管理、集中配置等；加入集中管理时，支持身份认证，比如密码正确才能加入；解除集中管理时，要输入中心端的解控秘钥才允许解控

终端管理

▲支持终端调用管理员指定脚本/程序以满足个性化检查要求，比如检测系统更新是否开启、开放端口、已安装程序列表、终端发通知等；（提供产品界面截图）

实时监控

支持首页分析显示接入用户人数、终端类型、认证方式；带宽质量分析、实时流量排名；泄密风险、违规访问、共享上网等行为风险情况；

▲Web访问质量检测：

针对内网用户的web访问质量进行检测，对整体网络提供清晰的整体网络质量评级；支持以列表形式展示访问质量差的用户名单；支持对单用户进行定向web访问质量检测

（提供产品界面截图）

用户管理

支持多种认证方式，包括本地用户名密码、第三方服务器、短信认证、微信认证、二维码认证等；

支持LDAP、Radius、POP3、Proxy等第三方认证；Radius必须支持GBK和UTF-8编码格式可选； 支持ISA\lotus ldap\novel ldap\oracle、sql server、db2、mysql等数据库等第三方认证；

▲支持二维码认证，管理员扫描访客的二维码后对其网络访问授权；（提供产品界面截图）

支持认证页面分权分域管理。启用后，普通管理员只能看到自己有权限的页面，其他管理员页面不可见。 系统管理员可以将某个页面授权给指定的普通管理员管理。

应用管理

设备内置应用识别规则库，支持超过6000条应用规则数，支持超过2800种以上的应用，1000种以上移动应用，并保持每两个星期更新一次，保证应用识别的准确率；

设备能够发现私接路由（或者共享软件等）共享网络的行为：

支持自定义配置终端数量和冻结时间；

支持“仅统计电脑”和“统计所有终端”两种模式；

支持可选“冻结IP”还是“冻结用户名”；

支持添加信任列表；

支持显示以IP或用户名的维度统计一段时间内的趋势图

上网权限管理

支持对单个用户/用户组、位置、终端类型等设置一天内总上网时长；

支持将超过配额的用户/用户组添加到低带宽惩罚通道；

用户指定应用上网时长超过预设阈值后，网关自动提醒该用户；

流量控制

必须支持在不同线路上，根据不同的应用、用户/用户组、位置、终端类型来保证或者限制流量；支持根据百分比或数值设置通道带宽，并支持设置各通道的优先级；

▲支持通过抑制P2P的上行流量，来减缓P2P的下行流量，从而解决网络出口在做流控后仍然压力较大的问题；（提供产品界面截图）

基于“流量”、“流速”、“时长”设置配额，当配额耗尽后，将用户加入到指定的流控黑名单惩罚通道中；

上网行为审计

能审计记录网页正文内容；支持只记录含有指定关键字的网页正文内容；支持记录SSL加密网页的内容；

上网日志管理

日志中心所有导出都有对应管理员操作日志、系统日志的日志清理中记录数据删除日志、规则库升级有对应升级日志；支持日志中心网关杀毒；

支持预置几组关键字，当审计日志中出现这些关键字时，将定期以邮件的方式发送报告给指定邮箱

▲支持预置几组关键字，当审计日志中出现这些关键字时，将定期以邮件的方式发送报告给指定邮箱；（提供产品界面截图）

产品资质证书

具有工信部颁发的《电信设备进网许可证》；

环境要求

产品形态

产品可以纯软件交付，包含管理控制中心软件及终端客户端软件，其中管理控制中心可云化部署；

管理控制中心要求

单一管理控制中心可统一管理分别部署在Windows PC，Windows服务器以及Linux服务器的客户端软件；

管理平台要求其操作系统为64位的Centos7或ubuntu操作系统

Windows PC 客户端支持

Windows XP sp3/Windows Vista/Windows 7/Windows 8/Windows 8.1/Windows 10

Windows 服务器 客户端支持

Windows Server 2003 SP2/Windows Server 2008/Windows Server 2008 R2/Windows Server 2012/Windows Server 2016

Linux 服务器 客户端支持

CentOS/UbuntuDebian/RHEL/SUSE/Red Flag Asianux Server/Oracle Linux

控制中心平台

终端安全可视

采用B/S架构的管理控制中心，具备终端安全可视，终端统一管理，统一威胁处置，统一漏洞修复，威胁响应处置，日志记录与查询等功能；

支持显示当前未处理的病毒数量、勒索病毒数量、暴力破解数量、WebShell后门数量、高危漏洞及其各自影响的终端数量；

支持按“最近7天”“最近30天”“最近三个月”不同时间维度展示病毒查杀事件爆发趋势和病毒TOP5排行榜，并展示对应的事件数及终端数；

网端联动可视

支持展示跟同品牌下一代防火墙、安全感知平台、上网行为管理，云端SOC平台，SAAS化管理平台的联动状态

终端管理

支持展示终端资产状况，包括：主机名、在线/离线状态、IPv4地址、MAC地址、操作系统、终端agent版本、病毒库版本、最近登录时间、最近登录的用户名；终端信息变更能自动更新；

支持录入终端所属责任人、责任人联系方式、邮箱、资产编号、资产位置信息、终端最近接入时间，并可设置哪些为必填项，以便于进行终端资产管理；

支持终端客户端软件的启用禁用，重启，卸载；

支持以安全策略模板方式对指定终端组快速部署安全策略，安全策略模板支持默认模板和自定义模板；

▲支持安全策略一体化配置，通过一条策略即可实现不同安全功能的配置，包括：终端病毒查杀的文件扫描配置、文件实时监控的参数配置、WebShell检测的检测和威胁处置方式、暴力破解的威胁处置方式和信任目录；（需提供产品截图证明）

终端威胁视角

支持跳转链接至云端安全威胁响应系统，针对已发生的病毒的基本信息，影响分析（客户情况、影响行业、区域分布）、威胁分析和处理建议等

终端日志报表

支持根据统计周期、终端名称、IP地址，补丁信息和漏洞等级等多维度的入侵检测日志，杀毒扫描日志，微隔离日志，合规检测日志的查询和检测

终端风险报表

支持导出针对全网终端的终端风险报告，从整体分析全网安全状况，快速了解业务和网络的安全风险，提供安全规划建设建议

邮件告警

支持针对管理控制中心性能，安全事件，勒索病毒事件等邮件告警

错峰升级

支持客户端的错峰升级，可根据实际情况控制客户端同时升级的最大数量，避免大量终端程序同时更新造成网络拥堵或I/O风暴；

终端防御

多维度检测

▲具备基于人工智能的检测引擎，具备无特征检测技术，有效应对恶意代码及其变种；（需提供产品截图证明）

具备基于虚拟沙盒、引擎和操作系统环境仿真的检测引擎，通过分析多维构成的行为有效识别威胁；

可通过多维度引擎进行漏斗式检测，保障查杀效果在低误报率的情况下保持高检出率；

终端自保护

支持agent安装目录的文件保护，可以保护agent目录和文件实时监控驱动文件，可以保护agent的服务/进程/文件不被恶意删除，影响正常功能，导致用户的终端受到病毒入侵；

支持禁止黑客工具启动，包含：冰刃、xuetr、ProcessHacker、PCHunter、火绒剑、Mimikatz的自启动，可以防止黑客攻击；

介入点实时防护

支持对来自Internet、E-mail或是光盘、移动存储、网络等各种入口渠道病毒进行实时检测

文件实时监控

文件实时监控的驱动技术需通过微软WHQL徽标认证（Microsoft Windows Hardware Quality Lab），以保证系统稳定性及兼容性

勒索病毒专防

支持监控诱饵文件，诱饵文件可被实时监控，当勒索病毒对该文件进行修改或加密操作时进行拦截

暴力破解检测

支持展示终端检测到的暴力破解事件及事件详情，包括：攻击源、攻击类型、检测引擎、最后攻击时间、攻击方法、攻击内容、攻击历史；

Windows终端合规检查

一键式操作对指定终端/终端组进行合规性检查，包括身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范，对不合规的检查项提供设置建议，并可视化展示终端的基线合规检查结果；

Linux终端合规检查

一键式操作对指定终端/终端组进行合规性检查，包括身份鉴别、访问控制、安全审计、 SSH策略检测、入侵防范、恶意代码防范，对不合规的检查项提供设置建议，并可视化展示终端的基线合规检查结果

威胁同步处置

构建全网文件信誉库，当一台终端发现某一病毒文件，全网可进行感知并进行针对性查杀，支持处置病毒时选择是否在其它终端上同步处置

终端漏洞管理及补丁管理

支持对终端的漏洞情况进行扫描，并查看漏洞具体情况及KB号，并显示具体修复情况

终端控制

微隔离流量可控

▲提供对业务系统之间、业务系统内不同应用角色之间、业务系统内相同应用角色之间的访问控制策略配置（需提供产品截图证明）

硬件规格

▲产品采用CF卡启动，保证系统运行与数据存储不冲突（提供第三方检测报告）

4个工作口，2个管理口，1个console口

磁盘：1T*1，双电源

可扩展项：磁盘可扩展至4T

网口可扩展至10个（可扩展模块：4电、4光）

工作模式

独立完成审计日志采集，不依赖于设备或系统自身的日志系统；

审计工作不影响被审计对象的性能、稳定性或日常管理流程；

审计结果存储于独立存储空间；

自身用户管理与设备或主机的管理、使用、权限无关联；

处理性能

支持审计100个日志源；

平均处理能力（每秒日志解析能力EPS）：4000EPS；

峰值处理能力（每秒日志解析能力EPS）：5000EPS。

功能扩展

支持自定义功能扩展，采用解决方案包上传对产品进行功能扩展，无需要代码开发。

日志收集

支持Syslog、SNMP Trap、OPSec、FTP协议日志收集

支持使用代理(Agent)方式提取日志并收集；

支持目前主流的网络安全设备、交换设备、路由设备、操作系统、应用系统等；

支持常见的虚拟机环境日志收集，包括Xen、VMWare、Hyper-V等

日志分析

可以以日志等级进行过滤；

应该可以通过自定义配置将用户不关心的日志过滤掉；

支持对收集到的重复的日志进行自动的聚合归并，减少日志量；

支持可由用户定义和修改的日志的聚合归并逻辑规则;

支持将收集到的日志转发，当原始日志设备无法设置多个日志服务器时，可以通过本系统的日志转发功能将日志转发到其他日志存储设备；

支持对收集到的日志进行解析（标准化、归一化），解析规则可以根据客户要求定制扩展。

可对日志进行细粒度解析，解析后的日志根据具体日志包含但不限于：日期、发生时间、接收时间、设备类型、日志类型、日志来源、威胁值、源地址、目的地址、事件类型、时间范围、操作主体、操作对象、行为方式、技术动作、技术效果、攻击类型、特征类型、协议、地理信息；

▲具备安全评估模型，评估模型基于设备故障、认证登陆、攻击威胁、可用性、系统脆弱性等纬度加权平均计算总体安全指数。安全评估模型可以显示总体评分、历史评分趋势。安全评估模型各项指标可钻取具体的评分扣分事件。（提供截图证明）

支持基于内存的实时关联分析，跨设备的多事件关联分析；

支持自定义条件都事件进行聚合；

进行关联分析的规则可定制；

▲支持根据资产、安全知识库、弱点库三个维度分析时间是否存在威胁，并形成关联事件（提供第三方检测报告）

日志备份

可设置日志存储备份策略。包括系统日志保存期（天）、磁盘使用率百分比；

支持日志备份自动传送到远程服务器；

日志查询

支持B/S模式管理，支持SSL加密模式访问；

支持按日期、时间、设备类型、日志类型、日志来源、威胁值、源地址、目的地址、事件类型、时间范围、操作对象、技术方式、技术动作、技术效果、攻击类型、地理城市等参数进行过滤查询；

支持用任意关键字对所有事件进行高性能全文检索

支持可指定多个查询条件进行组合查询

支持将查询的条件存储为查询模版，方便再次使用

极高的日志高查询性能，支持亿级的日志里根据做任意的关键字及其它的检索条件，在秒级里返回查询结果。

应用性能监控

（APM）

支持如下应用的性能监控（Windows、Linux、Aix、FeeBSD、HP-UX/Tru64、Max OS、Sun Solaris）、数据库（mysql、oracle）、应用服务器（weblogic、tomcat）、web服务器（apache）。

支持监控Windows操作系统如下参数：cpu使用率、内存使用率、磁盘使用率、网络发送流量、网络接收流量、网络发送接收总流量、交换区使用率、磁盘总使用率、进程数、线程数；

支持监控Linux操作系统如下参数：一分钟系统负载、5分钟系统负载、15分钟系统负载、cpu使用率、内存使用率、磁盘使用率、网络发送流量、网络接收流量、网络发送接收总流量、交换区使用率、磁盘总使用率、进程数、线程数

支持监控Mysql如下参数：查询缓存命中率、键缓存命中率、立即获得锁数、连接数、线程数、每秒SQL查询数、每秒发送字节、每秒接收字节；

支持监控Oracle如下参数：库缓存命中率、内存排序比率、词典缓存命中率、SGA数据缓存命中率、重做日志缓存命中率；

支持监控Apache如下参数：总访问数、写日志次数、每秒发送字节数、长连接数、关闭连接数、空闲活动数、查询DNS数、正在发送数、请求完成数、负载、等待连接数、总数据量、读操作数、工作线程数、空闲线程数、CPU占用率

支持监控应用服务器（tomcat、weblogic）如下参数：活动线程数、堆内存（已用）、守护线程数；

告警功能

可预设置安全告警策略；

支持数据阀值设置，超过阀值将产生告警;

可以通过邮件、短信和屏幕显示进行告警；

支持自动防止报警信息在短时间内大量发送(告警抑制)；

具备报警合并和在一个时间段内抑制报警次数的能力。

用户管理

根据三权分立的原则和要求进行职、权分离，对系统本身进行分角色定义，如管理员只负责完成设备的初始配置，规则配置员只负责审计规则的建立，审计员只负责查看相关的审计结果及告警内容；日志员只负责完成对系统本身的用户操作日志管理。

系统自带自身管理日志

注册用户资产时，提供自动发现识别能力。

提供一键式故障排除功能。

提供自助式的升级接口，支持对产品升级、规则升级。

产品资质

产品获得公安部计算机信息系统安全产品销售许可证；

产品获得涉密信息系统产品检测证书；

性能及硬件参数

性能参数：应用层吞吐量≥3G，三层吞吐量≥10G；并发连结数≥220W，新建连接数（CPS）≥20W；

硬件参数：标准2U架构，冗余电源，千兆电口≥6个，千兆光口≥4个，并含2个USB2.0接口和1个RJ45串口；支持bypass；

部署方式

支持路由，网桥，单臂，旁路，虚拟网线以及混合部署方式；

网络特性

支持链路聚合功能,支持LACP协议;支持802.1Q VLAN Trunk、access接口，VLAN三层接口，子接口、GRE隧道；

支持端口联动功能，当上行/下行端口链路出现故障时，对应的另一端下行/上行端口自动切断链路；

路由支持

支持静态路由，ECMP等价路由；支持RIPv1/v2，OSPFv2/v3，BGP等动态路由协议；支持多播/组播路由协议；

基础功能

支持连接会话展示，可针对具体的IP地址进行会话详情查询，支持封锁异常会话信息，并支持设置监听具体IP的会话记录；

支持IPv4／v6 NAT地址转换，支持源地址转换，目的地址转换和双向地址转换，支持针对源IP、目的IP和双向IP连接数控制；支持NAT64、NAT46 地址转换；

访问控制规则支持模拟策略匹配，输入源目的IP、端口、协议五元组信息，模拟策略匹配方式，给出最可能的匹配结果，方便排查故障，或环境部署前的调试；

内容安全

支持针对SMTP、POP3、IMAP邮件协议的内容检测，如邮件附件病毒检测、邮件内容恶意链接检测，邮件账号撞库攻击检测等，并给出恶意邮件的提示，支持根据邮件附件类型进行文件过滤；

▲支持蜜罐功能，定位内网感染僵尸网络病毒的真实主机IP地址；（需提供相关功能截图证明）

DoS/DDoS攻击防护

支持SYN Flood、ICMP Flood、UDP Flood、DNS Flood、ARP Flood攻击防护；支持IP地址扫描，端口扫描防护，支持ARP欺骗防护功能、支持IP协议异常报文检测和TCP协议异常报文检测；

支持内网访问控制，配置内网区域只允许指定的IP地址或IP范围对外进行访问，防止内部伪造源IP对外DoS攻击的情况；

僵尸主机检测

支持对终端已被种植了远控木马或者病毒等恶意软件进行检测，并且能够对检测到的恶意软件行为进行深入的分析，展示和外部命令控制服务器的交互行为和其他可疑行为；

入侵防护功能

设备具备独立的入侵防护漏洞规则特征库，特征总数在7400条以上；

支持对常见应用服务（HTTP、FTP、SSH、SMTP、IMAP、POP3、 RDP、Rlogin、SMB、Telnet、Weblogic、VNC）和数据库软件（MySQL、Oracle、MSSQL）的口令暴力破解防护功能；

可提供最新的威胁情报信息，能够对新爆发的流行高危漏洞进行预警和自动检测，发现问题后支持一键生成防护规则；

Web应用安全防护

设备具备独立的WEB应用防护识别库，特征总数在3500条以上；

支持Web漏洞扫描功能，可扫描检测网站是否存在SQL注入、XSS、跨站脚本、目录遍历、文件包含、命令执行等脚本漏洞；

支持针对网站的漏洞扫描进行深度防护，能够拦截漏洞扫描设备或软件对网站漏洞的扫描探测，支持基于目录访问频率和敏感文件扫描等恶意扫描行为进行防护；

▲设备需要具备web业务自学习能力，可自行判断与标记业务特征，确认业务模型学习趋势；（需提供相关功能截图证明）

安全可视化

支持安全运营中心功能，可以对全网所有的服务器和主机的威胁进行全面评估，管理员通过一键便可完成对服务器和主机的资产更新识别、脆弱性评估、策略动作的合理化监测、当前服务器和用户的保护状态、当前的服务器和主机的风险状态及需要管理员待办的紧急事项等，可以自动化直观的展示最终的风险；

▲支持业务服务器的自动发现以及业务服务器脆弱性和服务器开放端口的自动识别，支持包含敏感数据业务的识别；（需提供相关功能截图证明）

安全集中管理

支持通过集中管理平台统一配置业务保护策略，包括但不限于ACL、IPS、僵尸网络、内容安全、WEB应用防护，统一定期更新安全规则库，保障业务安全；

支持接入统一的安全监测平台，通过安全监测平台可以实时看到每台安全设备的详细安全状态信息，包括安全评分级别、最近有效事件、有效事件趋势、用户安全统计、服务器安全统计和攻击来源统计；

系统配置管理

支持自动备份配置，可通过自动备份中快速恢复系统配置以防止管理员误操作风险，至少保存一个月的配置快照；

设备性能

SSLVPN加密速度≥240Mbps；SSLVPN并发用户数(个) ≥1200；SSLVPN每秒新建用户数（个）≥90；IPSecVPN加密速度≥130 Mbps；千兆点口≥6个；标准1U设备；单电源；

部署方式

支持网关模式、单臂模式部署两种方式；

基本特性

专业VPN设备，非插卡或防火墙带VPN模块设备。

支持PC终端使用包括Windows8、Windows7、Windows Vista、Windows xp、Mac OS、Linux等主流操作系统来登录SSLVPN系统，并完整支持该操作系统下的各种IP层以上的B/S和C/S应用； 

▲支持终端使用包括IE6、7、8、9、10、11或其他IE内核的浏览器，以及非IE内核浏览器、如Firefox，Safari，Google Chrome，Opera登录SSLVPN系统（提供截图证明）

产品应支持国家商用密码算法包括：SM1,SM2,SM3,SM4算法；

易用性

可支持虚拟门户功能，在一台设备上配置不同的访问域名、IP地址，以及不同的使用界面，实现一台设备为多个不同用户群体服务的的使用效果；

支持智能递推技术，针对多外链的门户网站进行动态嗅探页面内的链接并完成资源自动授权，防止资源漏访； 

▲产品应提供环境检测、自动修复工具，支持对Windows的环境兼容性一键检测能力，以及对检测结果进行一键修复的能力，避免由于用户操作系统环境存在问题影响SSL VPN的使用，减轻运维工作。（提供截图证明）

终端安全

产品应提供HTTPS驱动病毒查杀工具，支持对Windows环境下的针对HTTPS拦截监听 的驱动病毒进行扫描查杀，避免因为HTTPS驱动病毒导致无法正常接入和使用SSL VPN

权限控制

支持主从认证账号绑定，必须实现SSL VPN账号与应用系统账号的唯一绑定，VPN资源中的系统只能以指定账号登陆，加强身份认证，防止登录SSL VPN后冒名登录应用系统

身份认证

产品可进行用户名/密码、LDAP、USB KEY、硬件特征码、短信认证或动态令牌的五因素捆绑认证

设备内部必须支持自建CA中心，单台VPN设备同时支持5套以上CA根证书；

支持结合阿里钉钉、口袋助理等移动APP，实现动态口令认证，增加认证的多样性。

高速性

支持至少4条外网线路；并能实现基于SSL VPN的智能选路

支持利用网页进行动态寻址的方法，客户端无需安装插件、不依靠IP地址库、不依赖于第三方动态IP寻址、直接根据速度探测实现用户端接入线路的自动优选,用户通过访问寻址代理页面（简称Webagent页面），通过Webagent页面自动寻找VPN设备IP(非DDNS）,该方法不必单独注册域名或占用IP地址，大大降低了系统部署难度。

▲支持针对不同的web页面进行数据优化，支持动态压缩技术，基于数据流进行压缩，减少不必要的数据传输。（提供界面配置截图）

高管理要求

支持15级以上的管理员分级分权限管理，从Admin派生树形结构下级管理员；上级管理员可分配下级管理员享有设备配置模块权限，可管理的用户、资源、角色权限，并可限制下级管理员是否允许创建下级管理员、创建资源、创建角色；上级管理员可限制下级管理员对权限内配置享有查看或配置权限

支持253台不同型号设备间进行集群（A/A）

支持系统实时监控，图形化显示一段时间内的运行状况，可查看CPU占用率、各条线路网络吞吐量、各条线路的IP地址及发送接收流速、并发会话数、SSL并发用户数；可查看历史最高并发用户数并显示时间记录；可实时查看SSL接入用户的用户名、发送流速、接收流速、发送流量、接收流量、接入时间、并发会话数、接入IP、虚拟IP、认证方式等信息，并可在线中断指定用户

移动智能终端支持

产品支持应用虚拟化功能，可以无需二次开发，即把Windows应用发布到移动智能终端中

产品应该支持企业级“云盘”（又名“网盘”、“文件共享”）功能，

▲支持改写WindowsRDP协议，经改写的协议必须独立于OS运行环境，避免跨平台兼容性，针对图像数据，服务端必须支持有损压缩算法服务端必须能够支持过滤动态内容（gif/flash/video）以减少传输流量，且根据客户需要配置。（提供配置界面截图）

产品必须支持经过集成的，基于Android IOS平台的第三方软件开发包（SDK），并实现基于Android IOS平台第三方应用软件（APP）代码量不超过20行。（要求提供代码Demo和企业证明）支持针对移动APP的VPN安全代码的自动封装，实现App应用的安全加固

防火墙

产品应具备基于状态监测技术的防火墙功能，能够抵抗常见的网络攻击