网络维护设备参数及技术要求.doc

《网络维护设备参数及技术要求.doc》由会员分享，可在线阅读，更多相关《网络维护设备参数及技术要求.doc（25页珍藏版）》请在三一办公上搜索。

1、网络维护设备参数及技术要求一、 方案背景我局目前拥有的服务器、台式办公电脑、手提电脑、网络打印机等设备，网络体系架构比较复杂。在目前没有部署企业级杀毒软件的情况下，很容易发生一台电脑中毒，导致重要应用系统出现故障，甚至出现整个网络瘫痪的严重问题；另外，服务器文件备份不完善，服务器一旦中病毒，其数据很可能造成丢失或被篡改；为更好解决以上问题，制定本方案。二、 建设内容1、网络优化处理：（1）增加一台上网行为管理。对各大队连接到局大楼核心交换机进行上网的行为进行审计，拟检测攻击的源头。因此部署一台上网行为管理，对其做上网审计和流控。（2）局大楼各楼层增加智能管理交换机。优化各楼层所使用的交换机。能

2、防止DDOS、ARP等网络攻击，隔离广播风暴，和蠕虫病毒，保证整个办公网络稳定性。 （3）增加一台防火墙。在省网和核心交换机之间部署一台防火墙保证网络安全，并用作址转换，可以起到IP地址转换功能解决有的网段不能访问OA的问题，也可以增强局内的网络安全。2、病毒处理（1）安装企业级杀毒软件，集中部署，能监管和扫描每台服务器及办公设备的是否收到病毒攻击情况。每天扫描所有客户端的病毒情况，定期每周做一次集中的扫毒情况。（2）在微信服务器上安装一套网页防篡改软件，减少遭到来自外网的攻击。3、网络安全检测服务在对系统信息未知或部分已知的前提下，经过收集信息、制定渗透策略、漏洞测试、漏洞验证、提升权限、深

3、度渗透等步骤，结合模拟黑客攻击手段，对被测信息系统进行可控的攻击测试，获取目标系统权限或找出系统的安全缺陷，以此评估目标系统的安全性。通过对支撑平台的网络设施、服务器系统、应用系统和数据库系统开展定期安全扫描、本地安全检测、安全日志分析和漏洞评估、安全加固优化等一系列作业内容的专业安全运维服务。充分分析和评估信息系统设施与监管单位要求，以及存在的安全漏洞和隐患。(1)安全漏洞评估使用专业的工具设备通过网络对现有信息系统服务器、应用系统、中间件应用和数据库管理系统等对象进行漏洞扫描和检测，分析和评估操作系统、应用和设备等存在的安全风险和隐患。(2)本地安全检测在用户授权下，依据相关信息安全技术与

4、管理标准要求对网络设备、操作系统、应用系统、中间件和数据库进行全面的本地化安全核查、差距分析等工作(3)安全加固优化对安全检查的结果中发现的系统弱点、管理缺陷、管理薄弱等一系列安全问题，提出可行的整改解决方案，协助用户方开展整改工作，提高系统安全性和风险管理水平。(4)应急服务提供 7*24小时多种方式的安全事件应急服务。一旦发生业务信息系统因非法攻击或病毒入侵等原因而遭到破坏、更改或泄露，造成系统不能正常运行，或已经发现的有可能造成安全事件的隐患，如非授权访问、信息泄露、系统性能严重下降、蠕虫或大面积爆发病毒等情况。我们公司派资深工程师将第一时间到达客户指定现场协助解决问题，防止事态进一步扩

5、大。三、设备采购清单及预算总价序号产品名称技术规格参数数量单位1安全防毒网络版详见（1）防毒技术规格参数1套2防篡改、抗攻击详见（2）防篡改规格参数1套3防火墙详见（3）防火墙规格参数1台4上网行为管理详见（4）上网行为管理规格参数1台5交换机详见（5）交换机规格参数7台6系统安全维护服务详见（6）系统安全维护服务内容1年金额合计： 251845.00元（1）防毒技术规格参数厂商及产品资质1.达到中国计算机病毒防治产品检验中心检测认证一级品标准，提供一级品认证证书及检测报告。2.软件产品至少10次以上通过VB100国际权威认证。3.在中国人民解放军信息安全测评认证中心组织的产品评测中，以高分获

6、得军B等级，并获准进入军队系统。提供军用信息安全产品认证证书及认证报告。4.安全软件产品的厂家具有国内自主知识产权或在国内登记为国产软件产品。5.安全软件产品通过西海岸（West Coast Labs）东方之星认证（West Coast Labs）6.安全软件产品通过AV-Comparativesrr国际独立杀毒软件测试机构认证部署管理1提供文件特征云查询服务器，该服务器属于产品内建组件而无需另外部署其他产品支持，云查询服务器能够连接厂家共有安全云系统自动进行文件特征查询同步，且能够支持隔离网环境。2产品采用稳定的C/S软件通讯架构，有良好的可扩展性和易用性，以支持大型网络跨地域跨网段等场景的

7、部署；3提供包括Web安装在内的多种安装方式，以适应大型网络的安装部署工作，而且要求采用Web安装过程中，可以不需要客户端进行任何干预。4提供基于Web的B/S移动管理架构，管理员可以在网内任意一台计算机上通过web方式随时随地登录控制台实现全网管理，而勿须在实现该功能的客户机上安装特定的管理组件。5管理控制台须支持谷歌、火狐、搜狗、opera、safari等非IE核心浏览器，满足网络管理人员管理的便利性。6安装部署管理端无需第三方组件，比如IIS、SQL数据库等。7可扩展的分级管理架构，通过对系统中心的分级，使用主系统中心来集中管理数据，以实现以单个系统中心对多个二级节点及其他特殊防毒节点的

8、集中管理。具有良好的可扩展性和可伸缩性，对于网络规模扩大或新增节点都可以很容易地实现集中管理。8可在物理资源不够的情况下虚拟分级来实现多级管理9支持IP实名制，提供终端管理名称备注功能，通过对终端名称进行备注，实现终端管理实名制，可以实现终端与使用人员的关联，提升终端管理的便利性。10提供隔离网络智能升级方案，能够保证隔离网络与在线网络相同频率的增量升级方案。11提供在线工具，确保网络用户能时时在内网服务器获得病毒专杀工具及相关修复工具。12多样式的帐户管理设置，默认可分配三种管理员权限，普通管理员、配置管理员、审计管理员，并可以按实际需求，手动修改具体权限，可适应企业不同人员权限的划分设置，

9、以保证灵活与安全管理规范。13自主授权分割功能，管理员可以从主系统中心分割授权客户机数量给下级系统中心，限制下级系统中心对客户机的注册数量，阻止非法客户机注册。14IP分组，用IP可以进行分组和修改IP分组。客户机注册之后根据IP分组设定自动进入分组设定而无需人工手动分组。15提供全网集中漏洞扫描及修复技术（包括隔离网络解决方案），提供网络内客户机存在漏洞补丁汇总报告，远程完成系统补丁程序的安装，以解决网内系统的漏洞修复问题。修补过程勿须客户机参与，客户机以非管理员权限登录，也能完成漏洞扫描和修复。16网络管理人员能够通过控制台查询特定电脑存在那些漏洞补丁、或者特定补丁都存在那些电脑没有进行修

10、复，并能够实现远程通知立即修复或定制修复漏洞补丁策略。17提供隔离网环境下系统补丁汇总与补丁下载同步工具，在隔离网环境下也能够方便快捷的实现补丁同步功能，提供全网补丁的修复下载。18强大、灵活的管理和任务调度手段，允许管理员通过管理中心控制台，集中地实现全网范围内防（杀）病毒策略的定制、分发和执行。19允许管理员通过控制台，集中地实现所有节点上防毒软件的监控、配置、查询等管理工作，包括二、三级节点以下的防（杀）病毒软件。20一键式部署功能，产品无论主节点所有组件还是二级节点所有组件均提供一键式安装功能，提供快捷高效的产品部署方式。21高级报表功能，可以按照用户的需求定制各种报表，或者按照策略按

11、周、月、季、年度生成所需报表。22系统中心控制台具有消息推送功能，能够实现网络管理人员对全网或者指定客户机发送消息23提供按照月份病毒木马在企业网络查杀的统计曲线图，帮助网络管理人员了解企业网络病毒防范处理的整体概况。24提供全网电脑终端防火墙管理功能，能够实时查看电脑终端系统防火墙状态。25在产品中定期提供病毒木马预警信息，以及企业安全信息咨询。26提供版本平滑升级功能，当有大版本更新时，中心管理端与客户端均能够一键式平滑升级为最新版本，无需再对中心端进行重新安装、重新授权的操作，客户端也可自动平滑升级为最新版本，无需人为参与，大大降低管理员的工作量。客户机功能1终端默认支持云防御与云查杀功

12、能，且无需借助其他软硬件平台。2提供实时和定时检测、清除病毒功能，实时检测和清除来自各种途径的各类恶意代码和特洛伊木马等黑客程序。对来自Internet、E-mail或是光盘、软盘、移动存储、网络等各种入口渠道的宏病毒、特洛伊木马、黑客程序和有害程序等全面进行实时监控。3发现病毒后，提供多种处理方法，例如清除、删除或隔离。4要求占用系统资源低，网络版杀毒软件的客户端程序在监控状态占用系统资源CPU不高于10%，内存占用不超过30MB5产品终端程序集成宏病毒专杀模块，并可在未安装office软件时也能对宏病毒进行查杀6具备系统优化功能，能够统计开机时间，对开机所加载的启动项进行管理，可以关闭无需

13、开机就加载的项目，提升开机速度；能够对启动项、系统服务项、计划任务项以及应用程序的扩展加载项进行开启或关闭处理。7提供抢先加载防毒，在系统未加载前启动文件监控，通常情况下不必重启到安全模式也能清除病毒。8客户端提供进程管理功能，可实时查看系统进程，并提供自动验证进程是否可信，支持一键结束进程9提供专业工具，能够有效拦截来自互联网的网页木马入侵，针对日益广泛的钓鱼网站的危害，能够网址云端鉴定功能，实时保护上网购物、交易安全、避免被钓鱼网站危害。10提供电脑安全边界防御功能，对通过优盘、网络、互联网、下载工具以及QQ类通讯软件进入的文件给于安全性鉴定，能够向用户报告这些文件是否为安全文件，有助于帮

14、助终端用户在确认为安全文件时再执行，对于鉴定为未知的文件则谨慎处理。11具有病毒自动隔离功能，对无法清除病毒的被感染文件，防（杀）病毒软件能够自动隔离感染文件，并在用户许可的情况下传送至防（杀）病毒软件生产商。隔离系统不能将本地染毒文件隔离到其它计算机或服务器，以防止隔离的文件被未经授权的人员查看。12提供优盘等移动设备接入电脑自动检测功能，全面拦截和清除在移动设备接入系统可能带来的病毒木马。13提供电脑系统垃圾清理功能，能够对上网产生的垃圾，看视频和听音乐产生的缓存，以及Windows和常用软件生成的垃圾文件进行清理。14提供清理痕迹功能，能够对上网浏览记录、Windows系统使用记录、办公

15、、视频播放记录、文件下载记录等各项信息进行清除，保护企业终端隐私不被外泄。15提供清理注册表功能，能够对各种冗余动态链接库以及各种无效的项目进行清理，加快系统运行速度。16客户端支持漫游升级功能，当客户机脱离本地网络时，只要检测到具备互联网连接时，客户端能够自动更新到最新病毒库；支持从互联网下载系统漏洞修复补丁，支持连接厂家安全云平台进行云查杀。服务保障1每日提供病毒库更新不少于1次2建立病毒跟踪、研究和支持响应体系，有强大的本地化技术支持力量，能配合其代理商一道，为客户提供完善、即时的售后服务。保证网络系统在遭遇新型病毒或突发情况下得到及时响应。3提供724专线电话支持；本地化应急服务紧急病

16、毒事件2小时内响应，在获得有效样本后2小时内提供应急解决方案，避免病毒事件扩散，最大限度减少损失；4定期回访服务定期通过电话或其它方式访问用户，了解产品使用情况及网络安全情况；5提供重大病毒预警通知服务；6提供反病毒专业技能培训。（2）防篡改规格参数资质通过公安部信息安全产品检测中心检测并获得销售许可证书，提供证书复印件并加盖公章；通过国家保密局涉密信息系统安全保密检测中心检测并获得产品检测证书；，提供证书复印件并加盖公章；通过中国信息安全测评认证中心检测并获得中国国家信息安全产品认证证书（3C）； 产品原厂商近几年不得出现违法违纪或造假行为；基本要求产品形态软件支持的操作系统Windows2

17、000、2003、2008、2012、 32&64位Redhat,CentOS,SUSE,Asianux等 32&64位UNIX系列：AIX ,HP-UX,Solaris支持WEB服务器IIS、apache2.0、apache2.2java系列(weblogic,websphere,tomcat,jboss)等nginx管理方式B/S管理方式，支持windows/linux平台管理端支持主备模式部署核心技术采用先进内核驱动、WEB核心内嵌和实时触发机制结合内核自定义编译支持云主机Xen内核防篡改功能文件保护支持各类网页文件的保护，包括静态和动态网页以及各类文件信息目录保护支持对指定文件夹以及子

18、文件夹的保护，避免上传非法文件及木马等恶意文件或插入恶意代码模板配置支持在同一种操作系统下，网站路径相同，可通过规则模板，用模板统一将规则下发到各监控端，无需对监控端进行一一配置一键启停文件保护一键启停所有监控端对文件保护，不必登录WEB服务启进行停启。断线检测和防护在与其它模块网络断开的情况下能防止文件被篡改篡改规则支持基于目录、进程、文件、文件类型等进行设置篡改规则支持正则表达式设置许可策略支持对符合许可策略的更新发布进行审计Docker容器,支持docker容器 自我保护防篡改程序的进程被kill，防篡改功能不会失效防篡改程序有自我保护机制防攻击功能WEB安全防护能够有效防止SQL注入攻

19、击、跨站攻击、溢出代码攻击、对危险文件类型的访问、对危险系统路径的访问、特殊字符构成的URL利用、防止构造危险的Cookie等防字段溢出支持自定义HTTP头的各字段溢出自定义（须提供功能截图并加盖原厂公章）规则自定义支持防护规则基于HTTP头的各字段进行自定义（须提供功能截图并加盖原厂公章）基于时间，IP调整规则能根据时间段，IP段进行规则调整。（须提供功能截图并加盖原厂公章）IP黑白名单黑白名单内的IP访问页面时进行阻断同步功能自动同步支持事件触发机制和时间触发机制，将更新的文件同步到WEB服务器上。且支持一对多同步增量同步采用事件触发+定时同步机制同步规则支持同步文件的包含与排除自定义管理

20、控制站点管理对WEB服务器的CPU,内存，磁盘等信息进行监控展显对WEB站点进行周期性网码扫描用户管理支持多用户分级管理管理端支持ACL,设定允许的源IP才能访问（须提供功能截图并加盖原厂公章）日志支持多种日志级别，并支持日志导出告警方式支持SYSLOG、邮件、短信、界面提示等多种告警方式网站备份支持对网站全量备份、增量备份性能指标最大保护对象不限最大保护深度不限占用资源情况CPU，内存占用资小于3%售后服务提供原厂合同期限内免费升级维护，需提供承诺函提供原厂产品培训服务（3）防火墙规格参数资质通过公安部检测并获得公安部计算机信息系统安全专用产品销售许可证原厂商注册资金不少于3000万，需提供

21、经年检合格的营业执照副本原厂商具有中国信息安全测评中心颁发的信息安全服务资质规格标准1U专用千兆硬件平台硬件架构采用先进的多核网络专用架构，使用64位MIPS多核处理器，非X86的多核架构或ASIC架构网口数量10*GE电口，1*SFP光口性能设备最大吞吐量1Gbps每秒新建连接数3万最大并发连接数50万IPSec VPN隧道数1024SSL VPN128IPSec VPN性能280MAV吞吐量600M部署模式支持路由模式、透明（网桥）模式、混模式，支持将多个物理网口加入一个网桥中；部署模式切换无需重启设备；支持镜像和被镜像；NAT支持源地址转换、目的地址转换、双向地址转换、NAT44路由支持

22、支持静态路由、策略路由、动态路由、ISP路由；策略路由支持七元组策略；动态路由支持RIP、OSPF等；ISP路由支持运营商地址自定义；提供web配置界面截图VRF接口默认属于root，创建VRF后可把接口添加到VRF内，一个接口只能属于一个VRF不同vrf下的接口可以配置相同的ip地址支持静态路由链路聚合透明、路由模式下支持将多条链路带宽进行捆绑4G支持支持4G扩展网卡。支持在4G接口上运行IPSec VPN，提供web配置界面截图IPv6支持接入IPv6网络支持配置基于用户和应用均为任意的7元组的IPv6策略支持NAT64安全通信实际配置支持一对一、多对一、多对多等多种形式的NAT，支持H.

23、323等应用协议ALG实际配置支持基于用户、应用、时间对象的流量管控和策略设置，并提供截图接口实际配置支持second IP地址每个接口要求支持至少200个second IP，并提供截图IPS支持基于源、目的、规则集的入侵检测支持5种自定义动作支持软件bypass（CPU and 内存高于70%）可记录攻击日志支持针对Web服务器防护，包括网页防爬虫、网页防篡改、HTTPS防护、DDoS攻击防护、Web攻击过滤、漏洞防护自学习等系统定义超过2800条主流攻击规则，包含Backdoor、bufferoverflow、dos/ddos、im、p2p、vulnerability、scan、webcg

24、i、worm、gameAV支持HTTP，FTP，POP3，SMTP，IMAP协议的病毒查杀查杀邮件正文/附件、网页及下载文件中包含的病毒支持启发式扫描查杀未知病毒支持ZIP/RAR等压缩文件的病毒查杀压缩：默认5层，最大20层支持TAR等多种打包文件的病毒查杀VPN实际配置支持IPSecVPN接入，内置VPN硬件协处理器实际配置支持DES、3DES、AES加密算法，并提供截图IPsec VPN支持第三方对接和快速配置，自有设备对接时加密算法等参数无需配置，自动生成，仅需配置保护子网、共享密钥、IP地址，支持配置国密，提供Web界面配置截图HA可同步IPsec VPN状态，当HA主备切换时无需V

25、PN重建支持统计隧道持续时间，支持统计隧道流量支持用户强制下线支持SSL VPN，客户端支持适应多平台、多终端应用协议识别支持主流P2P、IM、在线视频、网络游戏、网络炒股等应用识别；支持BYOD特征库，可识别ios版和安卓版移动互联网软件如微博、微信等特征，并提供web界面配置截图；支持基于IP、端口等自定义协议服务；应用特征库可提供在线升级和手动升级支持智能和快速识别模式配置，要求提供web界面配置截图URL过滤内置URL分类库，支持55个URL分类，URL库可在线升级支持自定义URL过滤，并支持URL的模糊匹配，提供web界面配置截图可广泛识别恶意网站、违法网站流量管理支持通道化的QoS

26、，支持基于源地址、用户、服务、应用、时间进行带宽控制，并支持配置保障带宽、限制带宽、带宽借用、每IP带宽、带宽优先级等QoS动作，时间选择支持基于日计划、周计划、单次计划等，并提供web界面配置截图支持4级层次化QoS、支持多级用户/用户组嵌套，提供web界面配置截图支持用户（用户组）+应用（应用组）+时间等条件的组合进行多线路带宽管理支持进行IP、整机会话限制，提供web界面配置截图支持应用、用户流量统计，应用流量支持趋势图、饼状图呈现，可查看某一应用的流量趋势图和其Top流量用户,提供web界面截图防私接路由可识别私接主机个数，并可制定策略分别设置私接终端类型个数为阀值进行封堵，支持自定义

27、阻断时间，同时支持基于IP及IP段配置白名单，提供Web界面配置截图支持私接用户的PPPoE账号展现，提供Web界面配置截图支持 基于用户、MAC、终端数量的监控和搜索用户认证功能支持WEB Portal认证功能，支持本地认证、Radius认证、LDAP认证 和LDAP用户同步，支持对接IMC、AAS、SAM等常见AAA服务器，支持配置强制重新认证间隔，支持配置认证通过后重定向URL，要求本机自身支持短信认证功能，提供web界面配置截图支持portal服务器联动，支持radius服务器联动，支持实现NAS-Identifier(32)在无线场景携带AC名字支持认证页面自定义支持微信认证功能，使

28、用微信连WiFi2.0接口，限制微信流量放通（pc和移动端，认证通过放通），支持基于http获取access_token，支持微信内部浏览器http弹portal强制关注功能（定时检查用户是否关注公众号），提供Web界面配置截图支持短信认证，登录后方可认证上网支持混合认证，支持界面配置选择多种认证方式，用户可根据需要更换认证方式用户管理支持同步LDAP用户，支持标准AD服务器和OPEN LDAP服务器的用户导入，支持针对同步的用户和用户组配置策略支持用户批量移动功能，支持一键删除所有的用户，用户组支持与AD 的自动、手动同步用户，支持定时、配置及手动同步第三方用户支持自定义移动用户、用户组，支

29、持模糊搜索用户名、用户组名应用缓存支持文件缓存，支持安卓和IOS形式的文件，文件形式不限于视频、APP、文本文件等服务质量管理支持PING、TCP、DNS探测支持接口探测、域名探测支持自定义间隔时间探测广告推送支持配置在用户上网时弹出广告页面，可自定义广告图片，支持与第三方广告联动，可配置点击广告后的返回页面和广告弹出时间链路负载均衡支持7元组的链路负载均衡策略支持基于域名的负载均衡策略基于支持直连网段和特定网段的负载均衡排除支持基于ICMP、TCP、DNS等协议的接口探测机制DNS透明代理支持DNS透明代理；支持DNS负载均衡；支持DNS静态域名映射；支持DNS特定域名请求转发支持基于优先级

30、、权重的DNS代理算法，支持静态域名配置，支持特定域名特定DNS服务器解析，静态域名和特定域名支持模糊匹配支持DNS域名匹配顺序支持DNS透明代理缓存管理双机热备支持双机热备，支持主主模式、主备模式，支持同步配置、会话、运行状态、VPN状态、特征库，支持配置抢占模式和抢占延时，支持配置HA监控接口支持地址代理支持非对称路由配置管理支持通过管理平台进行集中管理，统一升级，下发配置，收集日志PKI支持X.509 V3数字证书，支持DER/PEM/PKCS12多种证书编码支持内置CA，为其他设备或移动用户签发证书支持本地CA根证书、根私钥的更新支持在线CRL列表系统维护web管理界面支持Ping、T

31、raceroute、TCP Syn诊断工具，可支持基于接口、协议、IP地址、端口、应用进行网络抓包，并可下载导出分析，提供web界面配置截图支持命令行、Web界面管理SNMP支持v1、v2、v3版本，支持跨三层自学习MAC地址，支持IP、MAC绑定系统日志支持本地日志记录和远程日志输出；支持专用的日志审计管理软件（4）深信服上网行为管理规格参数网关模式支持网关模式，支持NAT、路由转发、DHCP、GRE、OSPF等功能；网桥模式支持网桥模式，以透明方式串接在网络中；旁路模式支持旁路模式，无需更改网络配置，实现上网行为审计；多路桥接必须支持多路桥接功能，最多可支持32组网桥模式；多主模式必须支持

32、两台及两台以上设备同时做主机的部署模式；虚拟化模式支持基于虚拟化平台的软件版本，支持的虚拟平台包括：VMware、深信服超融合等所有功能支持IPv6支持部署在IPv6环境中，其所有功能（认证、应用控制、内容审计、报表等）都支持IPv6（提供产品界面截图）管理界面支持SSL加密WEB方式、SSH命令行方式管理设备；分级管理不同用户组的管理权限支持分配给不同管理员；集中管理多台设备支持通过统一平台集中管理、集中配置等；加入集中管理时，支持身份认证，比如密码正确才能加入解除集中管理时，要输入中心端的解控秘钥才允许解控告警管理*支持攻击、双机切换告警、移动终端管理告警、风险终端发现告警、web关键字过

33、滤告警、杀毒告警、设备流量超限告警、磁盘/CPU/内存异常告警等；链路负载支持按剩余带宽、带宽比例、平均分配、前面优先的方式进行多链路负载；支持链路故障检测；（提供产品界面截图）排障工具提供图形化排障工具，便于管理员排查策略错误等故障；上网故障排除系统支持开启直通后，流量控制模块依然生效，避免全部数据直通导致线路流量过大；设备资源信息提供设备实时CPU、内存、磁盘占有率、会话数、在线用户数、系统时间、网络接口、当天网络质量、最近发现移动终端等信息；流量状态实时提供用户流量排名、应用流量排名、所有线路应用流速趋势、流量管理状态、连接监控信息；安全状态实时显示当天的安全状况，最后发生安全事件的时间

34、、类型、总次数、源对象，帮助管理员管理内网安全；上网行为监控实时显示设置过滤条件的用户上网行为监控，支持手动设置刷新时间；Web访问质量检测1、 针对内网用户的web访问质量进行检测，对整体网络提供清晰的整体网络质量评级2、 支持以列表形式展示访问质量差的用户名单3、 支持对单用户进行定向web访问质量检测（提供产品界面截图）本地认证支持触发式WEB认证，静态用户名密码认证等； 第三方认证支持LDAP、Radius、POP3、Proxy等第三方认证； 支持ISAlotus ldapnovel ldaporacle、sql server、db2、mysql等数据库等第三方认证；双因素认证必须支持

35、以USB-Key方式实现双因素身份认证；（提供产品界面截图）IP、MAC认证支持绑定IP认证、绑定MAC认证，及IP/MAC绑定认证等；支持通过SNMP服务器跨三层获取MAC地址；支持当用户MAC地址变动时，需要重新认证；多终端自定绑定同一个账号，支持与指定数量的多个终端进行自动绑定；（提供产品界面截图）短信认证支持短信认证方式，用户输入手机号作为用户名，通过短信猫或短信平台发送验证码；短信认证能够根据不同用户推送不同认证页面，该认证页面可自定义，编辑内容包括文字、颜色风格、图片，且图片支持轮询播放（提供界面证明）微信认证1. 支持与微信结合的认证方式，用户关注微信公众号后即通过身份认证，后台

36、记录用户ID（提供产品界面截图）2.与第三方微信平台无缝对接，不需要修改第三方微信平台代码；3、支持不同门店选择不同的微信公众号进行认证；二维码认证支持二维码认证，管理员扫描访客的二维码后对其网络访问授权（提供产品界面截图）新用户认证基于网段、VlanID、终端类型新用户差异化账户创建、自动分组、认证规则；支持认证前使用某个组织结构的上网权限；支持认证黑白名单功能，黑名单是名单中用户不能认证，白名单是只有名单中用户才能认证；限制某个新用户只能在某个IP段、MAC段范围内登录；自定义用户属性支持为用户添加自定义属性（职位、临时项目组、邮件组等），能够根据用户属性自动归类并可以针对用户属性配置上网

37、权限策略、流控策略，审计策略等（提供产品界面截图）认证页面管理支持认证页面分权分域管理。启用后，普通管理员只能看到自己有权限的页面，其他管理员页面不可见。 系统管理员可以将某个页面授权给指定的普通管理员管理。公用账户支持多人使用同一帐号登录，且支持重复登陆检测机制；支持限制公共账号的使用人数；（提供产品界面截图）账户有效期指定账户支持有效期限制，并支持自动过期；支持自动删除长期不登录账号信息；（提供产品界面截图）单点登录支持radius、AD、POP3、Proxy、PPPOE、 H3C IMC/CAMS、锐捷 SAM、城市热点等系统进行认证单点登录，简化用户操作；可强制指定用户、指定IP段的用

38、户必须使用单点登录；强制AD认证指定用户必须用AD域账户登录操作系统，否则禁止上网；LDAP服务器的域对象的策略管理与同步主要目的是对已有的AC与LDAP服务器结合进行优化，便于客户实现策略管理在AC上进行，用户管理在域上进行，不需同步用户到本地组织结构中即可实现策略管理功能认证失败支持为认证失败用户提供DNS等基本网络访问权限机制；认证后页面跳转认证成功的用户支持页面跳转：1. 跳转到用户原本输入的URL地址；2. 跳转到管理员指定的URL地址；3. 跳转到注销页面;帐户导入支持从本地导入和扫描导入，支持以CSV格式文件导入帐户/分组/IP/MAC/描述/密码等信息；组织结构用户分组支持树形

39、结构，支持父组、子组、组内套组等；用户状态查询支持用户登录时间、注销时间、在线时长的查询；自动注销支持自动注销指定时间内无流量的已认证用户；冻结用户支持冻结认证失败次数超过最大值的用户，在冻结时间结束后恢复登录；用户密码强度可设置用户密码不能等于用户名；新密码不能与旧密码相同；可设置密码最小长度；可设置密码必须包括数字或字母或特殊字符；（提供产品界面截图）有线无线统一的管理界面统一界面，能够直接查看到接入点状态、射频状态、无线网络状态、接入用户状态。（所有项提供产品界面截图）内置无线控制器功能，直接管理AP1.支持配置开放式，WPA-PSK/WPA2-PSK（个人）、WPA/WPA2(企业)三

40、种接入方式。2.对接入点支持配置工作模式、射频参数、负载均衡。3.支持入侵检测、Dos攻击防御，射频智能调整。4.支持多种日志，接入点日志，系统日志，安全日志，用户认证日志。5.支持实时显示接入点故障，并提供诊断工具下载。（所有项提供产品界面截图）基于SSID的策略支持基于SSID维度的上网权限、上网审计、上网安全、终端提醒、和流控等策略。（所有项提供产品界面截图）系统识别支持识别终端操作系统版本、系统补丁安装情况；（必须提供自主知识产权证明，加盖厂商公章）；文件识别支持识别终端硬盘指定目录下的文件情况；进程识别支持识别终端系统后台运行的进程信息，防止间谍软件的运行；（必须提供自主知识产权证明

41、，加盖厂商公章）；注册表识别支持识别终端系统注册表中指定的表项和键值；自定义识别支持终端调用管理员指定脚本/程序以满足个性化检查要求；终端准入支持win 8 64位操作系统，支持在旁路模式部署下准入生效；支持禁止不满足终端检查要求的用户访问互联网；应用识别规则库1、 支持根据标签选择应用，标签分类至少包含安全风险、高带宽消耗、发送电子邮件、降低工作效率、外发文件泄密风险、主流论坛和微博发帖6大类；2、 支持给每个应用自定义标签；3、 支持根据标签选择一类应用做控制；4、 支持对每一种应用的定义和解释，帮助客户快速定位应用的分类；5、 支持给每一种应用列上图标，易于客户了解应用的特征。（提供产品

42、界面截图）应用控制1、 设备内置应用识别规则库，支持超过6000条应用规则数，支持超过2800种以上的应用，1000种以上移动应用，并保持每两个星期更新一次，保证应用识别的准确率；（提供产品界面截图）2、 支持根据应用的特征智能识别新的应用；3、 支持根据IP、端口、协议等自定义应用规则；4、 支持根据不同的应用类型或具体的某种应用设置允许或拒绝；应用细分控制1.能够对新浪微博、腾讯微博、网易微博等进行细分控制，如：登录、浏览、发微博、上传附件等。2.能够对QQ空间、豆瓣网、人人网等社交类应用做细分控制，如：登录、浏览、发帖回帖、上传附件等。3.能够对天涯论坛、猫扑社区、百度贴吧等论坛类应用做

43、细分控制，如：登录、浏览、发帖回帖、上传附件等。4.能够对网易网盘、金山快盘、华为网盘等云盘类应用做细分控制，如：登录、上传、下载等。（提供产品界面截图）移动应用的细分控制支持对移动应用的细分权限控制，微信：微信网页版、微信传文件、微信朋友圈、微信游戏。移动QQ：QQ传文件、QQ视频语音等。（提供产品界面截图）端口控制支持根据端口设定用户不允许访问的目标IP组提供的服务；QQ白名单支持基于用户组、终端类型、位置、SSID的QQ白名单功能。（提供产品界面截图）代理控制1、 不允许使用外部HTTP代理；2、 不允许使用外部Sock4/5代理；3、 不允许在HTTP,SSL一些的标准端口上使用其他协

44、议；（比如在80端口上传输非HTTP协议数据，在443端口上传输非HTTPS协议数据等）共享接入管理（防共享）设备能够发现私接路由（或者共享软件等）共享网络的行为：1.支持自定义配置终端数量和冻结时间。2.支持“仅统计电脑”和“统计所有终端”两种模式。3.支持可选“冻结IP”还是“冻结用户名”。4.支持添加信任列表5.支持显示以IP或用户名的维度统计一段时间内的趋势图。6.支持例外排除功能：如冻结条件是2. 指定例外条件1台PC，2个终端。当PC或终端数超过例外条件才会被判定为共享。（提供产品界面截图）7.支持在数据中心报表中可查询通过共享上网的IP、用户，并能导出报表； （提供产品界面截图）

45、静态URL库设备内置海量预分类的URL地址库，支持根据URL类别实现URL过滤；SSL加密网页识别并过滤SSL加密的钓鱼网站、金融购物网站、非法网站等（必须提供自主知识产权证明，加盖厂商公章）；自定义URL设备支持管理者自定义新的URL地址和URL分类；关键字过滤过滤同时匹配三个以上关键字的搜索行为；过滤同时匹配三个以上关键字的网页访问行为；网页过滤支持根据访问的URL、网页关键字进行网页过滤，支持设置拒绝以IP访问网页行为；支持在放行URL时，自动放行主域名的子链接中被禁止的网站，保证网页显示完整；发帖管理过滤同时匹配三个以上关键字过滤的网络发帖行为；必须支持允许用户浏览帖子但不准发帖功能；

46、SSL发帖管理必须支持基于关键字过滤SSL加密的网页、论坛、BBS上的发帖行为；网页附件管理支持根据文件类型限制http、FTP方式上传、下载行为；邮件地址过滤支持根据源地址和目的地址过滤外发邮件；邮件附件过滤支持基于扩展名过滤含指定文件类型的邮件外发行为；支持根据附件大小、附件个数限制外发邮件；邮件关键字过滤过滤同时匹配三个以上关键字的邮件主题、正文和附件的邮件外发行为；Webmail管理必须支持允许用户登录Webmail收邮件，而禁止发送Webmail邮件的功能；SSL邮件管理必须能基于关键字、发件人地址等识别和过滤使用邮件客户端外发SSL加密邮件的行为；加密Webmail管理必须能够基于关键字识别和过滤使用SSL加密的Webmail邮箱外发邮件的行为，比如gmail；加密SMTP邮件过滤支持对加密HTTPS、