序号

更正项

更正前内容

更正后内容

1

采购文件中第三章招标内容及要求“六、采购清单中”：6.万兆防火墙

（1）系统要求为下一代防火墙产品，原厂商要求参与第二代防火墙标准GA/T1177-2014《信息安全技术 第二代防火墙安全技术要求》标准编制。
（2）★需提供一种基于ring的多核CPU负载均衡方法及系统。（提供相关证明材料）
（3）★系统采用多核AMP+架构架构，硬件设计采用高性能一体化智能安全处理引擎，要求有“高性能一体化智能安全处理引擎”字样。（提供相关证明材料）
（4）★多核AMP+架构，网络层吞吐量≥30G，并发连接≥500万，每秒新建连接数30万，标准2U机箱，冗余电源，标准配置1个Console口 、1个HA接口，1个MGT接口，配置16千兆电口，8千兆光口，4万兆光口。支持液晶屏。（提供设备外观或官网截图）
（5）此次需配置IPS+防病毒功能模块三年升级
（6）支持VTEP（VxLan Tunnel EndPoint）模式接入VxLAN网络，并可作为VXLAN二层、三层网关实现VxLan网络与传统以太网的相同子网内、跨子网间互联互通；支持通过绑定VLAN、VNI（VXLAN Network Identifier）、远程VTEP，手动管理VxLan网络；支持MAC、VNI、VTEP静态绑定
（7）所投产品必须能够对HTTP/FTP/POP3/SMTP/IMAP/SMB六种协议进行病毒查杀；本地病毒库规模大于3000万
（8）支持漏洞防护特征库包含高危漏洞攻击特征，至少包括“永恒之蓝”、“震网三代”、“暗云3”、“Struts”、“Struts2”、“Xshell后门代码”以及对应的攻击的名称、CVEID、CNNVDID、严重性、影响的平台、类型、描述等详细信息；
（9）支持基于主机或威胁情报视图，统计网络中确认被入侵、攻破的主机数量，至少可查看被入侵、攻破的时间、威胁类别、情报来源、威胁简介、被入侵、攻破的主机IP、用户名、资产等信息；并对威胁情报发现的恶意主机执行自动阻断
（10）支持与威胁感知设备协同，实现主机状态检测及告警；
（11）提供关联的威胁事件日志，系统可自动将产生威胁事件的连接经过防病毒、防漏洞、防间谍软件、URL过滤、文件过滤等安全模块检查的日志集中显示。
（12）果支持持针对“应急响应消息”的手动或自动处置，处置方法至少包括基于漏洞的处置和基于威胁情报的处置

（13）支持提供可明文或加密方式调用的Restful API，并可指定Restful API使用的本地端口；为确保设备管理的安全性，所投产品必须支持限制特定主机调用Restful API支持定义第三方设备、平台通过调用Restful API 至少可配置所投设备的访问控制策略、源NAT策略、目的NAT策略、静态路由、高可用以及区域、地址、服务、时间、用户对象等功能
（14）具有独立审计用户，支持标准Syslog日志审计方式，支持Syslog端口自定义（支持内外端机主机名更改，强化日志审计及集中管理功能，能够对功能访问模块拒绝访问进行日志记录，支持对日志的高性能处理和存储，提供高性能Syslog日志处理和存储证书。
（15）支持与云端联动，至少实现病毒云查杀、URL云识别、应用云识别、云沙箱、威胁情报云检测等功能
★（16）为满足网络安全法6个月日志存储，设备需提供一种高性能的Syslog日志处理和存储方法。（提供相关证明材料）

（17）支持与单位政务网终端安全防护软件联动，增强防火墙对木马特征的识别能力

（1）系统要求下一代防火墙产品，原厂商产品要求满足第二代防火墙标准GA/T1177-2014《信息安全技术 第二代防火墙安全技术要求》标准。
（2）此条删除。
（3）★系统、硬件设计采用高性能一体化智能安全处理引擎或同类技术。
（4）★网络吞吐≥30G，并发连接≥500万，每秒新建连接数30万，标准2U机箱，冗余电源，标准配置1个Console口、1个HA接口，1个MGT接口，配置16千兆电口，8千兆光口，4万兆光口。支持液晶屏。
（5）此次需配置IPS+防病毒功能模块三年升级
（6）支持VTEP（VxLan Tunnel EndPoint）模式接入VxLAN网络，并可作为VXLAN二层、三层网关实现VxLan网络与传统以太网的相同子网内、跨子网间互联互通；支持通过绑定VLAN、VNI（VXLAN Network Identifier）、远程VTEP，手动管理VxLan网络；支持MAC、VNI、VTEP静态绑定
（7）所投产品必须能够对HTTP/FTP/POP3/SMTP/IMAP/SMB六种协议进行病毒查杀；本地病毒库规模大于3000万
（8）支持漏洞防护特征库包含高危漏洞攻击特征，至少包括“永恒之蓝”、“震网三代”、“暗云3”、“Struts”、“Struts2”、“Xshell后门代码”以及对应的攻击的名称、CVEID、CNNVDID、严重性、影响的平台、类型、描述等详细信息；
（9）支持基于主机或威胁情报视图，统计网络中确认被入侵、攻破的主机数量，至少可查看被入侵、攻破的时间、威胁类别、情报来源、威胁简介、被入侵、攻破的主机IP、用户名、资产等信息；并对威胁情报发现的恶意主机执行自动阻断
（10）支持与威胁感知设备协同，实现主机状态检测及告警；
（11）提供关联的威胁事件日志，系统可自动将产生威胁事件的连接经过防病毒、防漏洞、防间谍软件、URL过滤、文件过滤等安全模块检查的日志集中显示。
（12）果支持持针对“应急响应消息”的手动或自动处置，处置方法至少包括基于漏洞的处置和基于威胁情报的处置

（13）支持提供可明文或加密方式调用的Restful API，并可指定Restful API使用的本地端口；为确保设备管理的安全性，所投产品必须支持限制特定主机调用Restful API支持定义第三方设备、平台通过调用Restful API 至少可配置所投设备的访问控制策略、源NAT策略、目的NAT策略、静态路由、高可用以及区域、地址、服务、时间、用户对象等功能
（14）具备日志审计及集中管理功能 。

（15）支持与云端联动，至少实现病毒云查杀、URL云识别、应用云识别、云沙箱、威胁情报云检测等功能
★（16）满足网络安全法6个月日志存储。（提供相关证明材料）

（17）支持与单位政务网终端安全防护软件联动，增强防火墙对木马特征的识别能力

2

采购文件中第三章招标内容及要求“六、采购清单中”：7.网闸

（1）系统采用2+1架构设计，包括内端机、外端机和独立的硬件隔离信息交换区,内外网主机系统与交换模块之间采用高性能隔离板卡连接。
（2）该部件采用专用隔离芯片设计，不支持通用通讯协议,不可编程；隔离区包含基于ASIC设计的开关隔离芯片，不采用SCSI、网卡以及任何加/解密等方式。断开内外网TCP/IP连接；设备断开内外网络TCP/IP连接
（3）标准2U机架式设备；12个千兆自适应电口，4个千兆光口，4个USB口，2个串口；液晶屏,标配单电,双机热备,并发连接会话数：≥300000
（4）系统内部延时：≤0.5ms；吞吐量：≥950Mbps
（5）设备支持HTTP、FTP、SMTP、POP3、数据库等应用层协议从内端到外端或者从外端到内端的应用代理访问，应用包括网页浏览、数据库访问、FTP文件传输、邮件收发
（6）支持客户端、samba、NFS、ftp、有客户端等多种文件交换方式；支持文件复制、移动、增量等多种传输方式；支持断点续传。
（7）具备应用进程认证模块，能够根据设置的应用程序的白名单限制非法程序通过设备访问服务器（提供通过资质认定的检验机构出具的合格检验报告）
（8）SQLServer、Oracle等的单、双向数据交换；支持周期复制、实时复制、增量更新等多种同步方式；支持设定同步时间和同步周期；
（9）支持基于五元组方式的访问控制，可以通过配置ACL规则列表进行包括源、目的IP，源、目的端口、协议的允许通过和拒绝通过
（10）提供一些常用的系统工具，包括：ARP表、路由表、路由跟踪以及Ping工具
（11）提供网关和静态路由配置功能
（12）具备自有文件的安全上传下载功能,不依赖FTP、文件共享等通用文件传输协议；能够在客户端通过虚拟本地磁盘方式（非网络磁盘映射）访问网络文件服务器的文件存储目录；支持客户端基于IC卡实现用户身份认证
（13）支持可信端和不可信端的接口配置功能，支持VLAN以及桥配置功能
（14）提供网关接口状态、网络接口状态以及双机热备状态查看功能
（15）支持单、双向可选的访问控制策略配置管理
（16）设备能够记录管理员操作日志、文件单向传输日志、数据库单向传输日志，并通过时间、源IP、目的IP、动作等条件进行查询
（17）支持日志文件备份功能，能对日志文件进行存档，将重要的日志进行备份，以免丢失，支持将日志输出到远程syslog服务器中
（18）★具备按角色分配个人目录和共享目录访问操作权限（提供通过资质认定的检验机构出具的合格检验报告）
（19）采用B/S结构或串口管理，GUI图形管理界面
（20）系统内置三种不同权限角色（系统管理员、日志审计员、普通管理员），每个管理员之间相互独立。系统管理员-可以访问所有页面，具有最高权限，日志审计员-只能查看和操作日志审计页面 ，管理员-能查看和操作除日志审计和用户管理以外的所有页面
（21）管理员通过HTTP/HTTPS协议连接设备内端网络接口进行管理，支持用户名口令认证与数字证书认证两种管理员登录身份认证方式。当错误尝试登录次数达到限定阈值时，锁定管理员在一段时间内限制登录操作，当管理会话超时后自动关闭当前管理会话，返回登录界面。
（22）支持修改系统时间和日期，可设置时间与Internet时间服务器同步
（23）★能防止伪造后缀名或增加二进制执行代码的恶意文件传输（提供通过资质认定的检验机构出具的合格检验报告）
（24）支持对设备版本进行升级以及打补丁操作，升级之前必须对系统进行授权认证，只有经过授权认证之后，才能对系统进行升级
（25）设备支持双机热备功能，当主机出现故障不能正常工作时，备机会主动接管主机的工作，以保证数据链路不会中断；支持多端口聚合功能；
（26）提供配置备份/恢复功能，能对系统的规则、接口、日志等区域进行备份/恢复。支持设备恢复默认值功能，可以在系统页面点击“恢复出厂设置”按钮来恢复系统，支持通过串口进入系统的后台恢复系统。
优化的Linux安全操作系统
（27）采用经过安全加固的Linux操作系统

（1）系统采用2+1架构设计，包括内端机、外端机和独立的硬件隔离信息交换区,内外网主机系统与交换模块之间采用高性能隔离板卡连接。
（2）该部件采用专用隔离芯片设计，不支持通用通讯协议,不可编程；隔离区包含基于ASIC设计的开关隔离芯片，不采用SCSI、网卡以及任何加/解密等方式。断开内外网TCP/IP连接；设备断开内外网络TCP/IP连接
（3）标准2U机架式设备；12个千兆自适应电口，4个千兆光口，4个USB口，2个串口；液晶屏,标配单电,双机热备,并发连接会话数：≥300000
（4）系统内部延时：≤0.5ms；吞吐量：≥950Mbps
（5）设备支持HTTP、FTP、SMTP、POP3、数据库等应用层协议从内端到外端或者从外端到内端的应用代理访问，应用包括网页浏览、数据库访问、FTP文件传输、邮件收发
（6）支持客户端、samba、NFS、ftp、有客户端等多种文件交换方式；支持文件复制、移动、增量等多种传输方式；支持断点续传。
（7）此条删除；
（8）SQLServer、Oracle等的单、双向数据交换；支持周期复制、实时复制、增量更新等多种同步方式；支持设定同步时间和同步周期；
（9）支持基于五元组方式的访问控制，可以通过配置ACL规则列表进行包括源、目的IP，源、目的端口、协议的允许通过和拒绝通过
（10）提供一些常用的系统工具，包括：ARP表、路由表、路由跟踪以及Ping工具
（11）提供网关和静态路由配置功能
（12）具备自有文件的安全上传下载功能,不依赖FTP、文件共享等通用文件传输协议；能够在客户端通过虚拟本地磁盘方式（非网络磁盘映射）访问网络文件服务器的文件存储目录；支持客户端基于IC卡实现用户身份认证
（13）支持可信端和不可信端的接口配置功能，支持VLAN以及桥配置功能
（14）提供网关接口状态、网络接口状态以及双机热备状态查看功能
（15）支持单、双向可选的访问控制策略配置管理
（16）设备能够记录管理员操作日志、文件单向传输日志、数据库单向传输日志，并通过时间、源IP、目的IP、动作等条件进行查询
（17）支持日志文件备份功能，能对日志文件进行存档，将重要的日志进行备份，以免丢失，支持将日志输出到远程syslog服务器中
（18）此条删除；
（19）采用B/S结构或串口管理，GUI图形管理界面
（20）系统内置三种不同权限角色（系统管理员、日志审计员、普通管理员），每个管理员之间相互独立。系统管理员-可以访问所有页面，具有最高权限，日志审计员-只能查看和操作日志审计页面 ，管理员-能查看和操作除日志审计和用户管理以外的所有页面
（21）管理员通过HTTP/HTTPS协议连接设备内端网络接口进行管理，支持用户名口令认证与数字证书认证两种管理员登录身份认证方式。当错误尝试登录次数达到限定阈值时，锁定管理员在一段时间内限制登录操作，当管理会话超时后自动关闭当前管理会话，返回登录界面。
（22）支持修改系统时间和日期，可设置时间与Internet时间服务器同步
（23）★能防止伪造后缀名或增加二进制执行代码的恶意文件传输（提供功能截图）；
（24）支持对设备版本进行升级以及打补丁操作，升级之前必须对系统进行授权认证，只有经过授权认证之后，才能对系统进行升级
（25）设备支持双机热备功能，当主机出现故障不能正常工作时，备机会主动接管主机的工作，以保证数据链路不会中断；支持多端口聚合功能；
（26）提供配置备份/恢复功能，能对系统的规则、接口、日志等区域进行备份/恢复。支持设备恢复默认值功能，可以在系统页面点击“恢复出厂设置”按钮来恢复系统，支持通过串口进入系统的后台恢复系统。
优化的Linux安全操作系统
（27）采用经过安全加固的Linux操作系统

3

开标时间及投标截止时间

2022年 8月26日09时30分（北京时间）。

2022年 9月9日09时30分（北京时间）。