指标项

技术及功能要求

数量

网关型网络计费系统包含软硬件1台/套

认证方式和能力

要求支持国际标准认证方式（WEB、PPPoE、802.1x、PPTP等）。

要求兼容主流厂家设备的802.1.x接入认证。

要求支持基于MAC地址的认证，支持基于IP地址的认证，基于VLAN ID认证。

要求支持用户账号的唯一性认证；同时支持同一账户允许多人同时登陆。

要求支持登陆地址段、VLAN ID来限制户账号漫游。

要求支持多元素绑定功能，这些数据包括：IP地址、MAC地址、VLAN号、用户账号等多元素的绑定，可在这些元素之间采用“与”“或”的关系。

要求支持自动绑定数据功能。针对成千上万的用户的绑定数据，手动输入则工作量大并且容易出错。此功能可减少网管人员的工作量，解决了绑定数据输入错误等问题。

要求支持web、client、802.1X、PPPOE混合同时接入。

要求支持专线账号、直通账号。

要求支持指定的目的IP免认证功能，实现灵活的接入访问控制和对特殊服务进行计费。

要求支持指定的端口控制机制（tcp/udp/icmp等）

要求支持访问目的IP的service服务类型和ACL功能，可指定某些目的IP或IP组不可访问，从而防止上网者访问某些非法网站或黄色网站。

要求支持在认证通过后，将第一个打开的网页重定向到指定的主页上。

能指定不同用户认证通过后重定向到不同的页面。

网关支持RADIUS CLIENT、RADIUS SEVER、RADIUS CACHE功能，使网关与第三方无线控制器、第三方RADIUS SERVER（漫游账号）无缝联连。

客户端安全控制

防代理功能，要求可以对NAT、软件代理（单双网卡）、重复MAC和IP等情况进行灵活控制允许或不允许。

防IP地址篡改，不仅在认证可绑定IP，用户上线后也必须使用指定的IP。

客户端自动升级功能，支持版本限制。

控制每一用户在线时的最大TCP会话连接数限制。

灵活控制一个账号可以让多人同时使用，方便测试或用于公共账号。

具有防私接DHCP服务器干扰功能。

客户端支持WINXP、Win7、Mac OS、IOS、ANDROID、LINUX操作系统；可以在APP STORE 和安卓市场可以下载。

性能

支持八千兆光口，可实现链路聚合，双向处理能力达到8G

要求可支持8000并发用户，30000注册用户。

要求瞬时处理认证报文的速度达到8000个或者以上。

用户管理、计费、日志功能

管理平台需支持B/S和C/S的方式

用户web自注册开户功能。

要求用户上网的时段控制。

要求基于不同时间段实现不同的控制策略。

用户组的用户管理和方便的开户模板方式。

要求在线用户管理功能：强制下线、修改用户资料、查询、用户名、IP、MAC、相互反查、短消息通知、自动发送催费信息等功能。

要求不管是L2/L3层结构，都能控制每个用户的上下行带宽，粒度为16-48K。同时支持基于组的带宽控制。

可记录用户上网的时间段、所使用的IP地址、MAC地址、VLAN ID等数据，并可统计上网时长流量。

可记录用户每次上网的上下行IP流量。

要求能详细记录认证用户的详细的访问记录。包括用户电脑的MAC，源IP、用户名、目的地址、访问时间等等。

能与第三方安全审计系统对接。

支持MAC黑名单和白名单功能。

可实时监控在线用户当前账号、实时上下行带宽、上下行流量、源/目标端口、MAC、TCP/UDP连接数、上下行发包数、上传下载速率等。

支持基于时长、流量、周期的计费策略，可组合成各种计费套餐；支持各种时段及目标IP优惠策略；

流量计费最小颗粒度为1KB；

用户账户余额为零时可实时停机，避免出现欠费现象；

月结时网关无需中断扎账，保持网络畅通；

提供具备完善、规范一卡通等信息系统接口功能，有与如新中新、迪科、金智公司产品的成功案例。

提供具备全业务接口，便于用户自主开发及第三方系统对接。

系统管理功能

支持专用管理软件、TELNET、SMNP等网管功能

操作员日志功能，将每个操作员的所有操作都记录在案，防止一些非常操作。操作员根据不同的组有不同的操作权限。

要求不同级别系统管理员、操作人员能划分不同的权限。

支持通过远程多名操作人员同时操作，并且管理模块跨平台。

支持主、备服务器的数据自动同步功能。

如今后扩展用户数，要求能在线平滑升级，不影响用户的接入。

组网功能

需支持集群式负载均衡部署方式。

支持分布部署，统一管理模式。

设备端口需支持多进多出。

支持链路聚合功能，满足上下行单向超过1G流量的网络环境。

需支持Bypass旁路功能，当设备掉电、系统崩溃时能自动旁路网络，不影响用户正常上网；

需支持基于源地址或用户组的策略路由。

需持VLAN透传

需支持IPV4和IPV6双应栈协议。

要求支持L2/L3转发和路由模式，做为透明模式不用改变网络任何结构和IP。

要求支持NAT静/动态方式：在以三层路由转发模式工作时，也可以实现NAT功能。

要求能提供DHCP服务功能，并能基于VLAN分配指定DHCP地址池功能。

要求能和第3方标准RADIUS厂商的RADIUS服务器对接，本身也可以提供RADIUS服务。

要求支持跳过RADIUS认证机制和RADIUS服务器在中断后而不影响用户接入的机制，保证用户的利益。

修改密码、充值时需实时生效；

冗灾备份

要求网关设备有定时备份功能，使设备故障后的恢复工作方便快捷。

要求前后台之间互为备份，当后台服务器宕机时不影响用户的正常认证及上网，服务器的数据要定时备份并在故障后可以迅速恢复。

设备掉电后恢复供电时5分钟以内可启动使用,且计费状态正常。

其他要求

要求全国985、211高校用户不少于10家，并提供名单及联系方式。

要求具有信息产业部颁发的入网许可证。

需有IPv6  Ready认证

要求提供权威第三方测试部门（如北京、广州、上海或信息产业部）等对产品测试的性能分析报告。

要求具有公安部安全销售许可证。

售后服务

支持

提供原厂针对此项目的授权（原件）和三年原厂免费硬件质保、软件及免费升级等售后服务承诺（服务承诺原件）；

质保期内如用户想升级到支持万兆的计费系统，原设备退还，只收取两个设备的差价。

名称

功能及技术要求

设备类型

WEB应用防火墙

数量

1台

系统架构

产品应采用专用机架式硬件设备，系统硬件为全内置封闭式结构

接口数量

配置≥8个千兆电口，支持大于等于2路电口Bypass

性能要求

最大网络吞吐量≥2000Mbps

清洗流量≥1800Mbps

最大并发会话数≥300万

HTTP请求速率≥79,000次/秒

网络延迟≤0.04毫秒

不限防护网站数量

部署方式

透明部署

支持即插即用。无需绑定IP地址、域名及端口号即可进行防护。

透明反向代理

基于旁路反向代理，支持HTTP、HTTPS

混合部署

支持透明/反向代理混合方式

802.1Q支持

支持VLAN解码，在Trunk线路上部署并提供防护

策略路由部署

支持流量牵引

端口汇聚（Trunk）

支持端口汇聚（Trunk），显著提高设备间的吞吐能力

HA部署

支持双机热备的HA部署方式

高效性

单台设备同时保护4条以上链路

攻击防御

手段

支持多虚拟web主机同时防护

支持对多种HTTP请求方法的控制

支持对SSL（HTTPS）加密会话进行分析

防止SQL注入攻击：攻击者通过输入数据库查询代码窃取或修改数据库中的数据

防止XSS跨站攻击：跨站脚本攻击利用网站漏洞攻击那些访问该站点的用户，常见目的是窃取该站点访问者相关的用户登陆或认证信息

防止远程、本地文件包含攻击：PHP、JSP中使用本地、远程文件包含进行攻击

防止命令行执行：攻击者利用POST或COOKIE执行系统命令

缓冲区溢出攻击

防止关键文件下载：攻击者通过工具或特殊命令下载网站系统的数据库文件、配置文件信息

防范专业工具攻击：攻击者利用pangolin、Wvs等专业扫描攻击工具对服务器进行扫描和攻击

防止木马上传：攻击者利用黑客工具上传Webshell以达到控制服务器的目的

支持基于URL的安全策略

除了具有完善的内置安全策略规则，并支持自定义规则

具有智能化阻断功能：基于智能用户行为识别的动态防护机制，识别并彻底阻断黑客的攻击行为

智能数据挖掘功能:深入分析潜在黑客行为并加以阻断

网站隐身功能:让黑客无法获取Web服务器类型和版本信息

具有webshell侦测功能

Webshell 扫描器：提供可在主机中运行的脚本木马Webshell扫描工具，搜索网站里面的网页木马，并生成统计报表。（提供功能截图）

防HTTP DoS（CC攻击）（提供功能截图）

防DDoS攻击：如SYN Flood、ACK Flood、UDP Flood等（提供功能截图）

关键字过滤：支持双向敏感词汇的关键字过滤功能

内置漏洞扫描功能：提供SQL注入、CGI 、XSS等漏洞扫描功能

URL自学习功能：自动学习并构建网站的URL模型，禁止违反现有模型的尝试行为

数据库防篡改：支持MSSQL、SQLSERVER等数据库防篡改，无需安装任何数据库代理插件。（提供功能截图）

支持虚拟化功能：支持对虚拟机中的任意数量网站进行防护，使多个虚拟机共用一个IP地址

提供网页防篡改功能（提供功能截图）；

弱密码检测：针对防护页面中的用户名和密码字段进行检测

拦截页面重定向功能：可以自定义跳转到预先设置的页面，方便的辅助管理员排除误报。

智能防扫描功能：通过扫描器“行为特征”智能判断扫描器

网站统计功能：能统计每天不同时段后端防护网站各个时段的访问次数、攻击次数并绘制成图表（提供功能截图）

防御功能

双向检测

能够对流入流出数据进行检测；具有默认的防护端口，并可指定防护端口

防护模式

支持过滤、阻断、检测、全部放行等工作模式

高级访问控制

针对内置或自定义的安全策略规则，提供细粒度的控制，精确到来源IP、目的IP、域名等访问控制。

可制定根据时间段进行访问控制者。

防护IP 限制：可以只针对特定的IP进行防护。

报表功能

报表类型

安全报表（入侵统计、按入侵类别统计、被攻击主机、攻击来源IP和地理位置、页面访问次数、网络接口流量趋势），

统计URL访问的次数；

可记录最后访问者的浏览器类型者；

统计视图：根据拦截原因，源IP地址，目的IP地址，目的端口对入侵记录进行合并，并统计次数（需提供功能截图）。

Webshell提示

报表提供对防护Web网站中已经存在Webshell文件的告警功能（需提供功能截图）

报表查询

按事件类型、统计目标或周期类型条件进行统计

输出格式

支持将生成的报表以HTML、Word、PDF等通用格式输出

邮件通知

自动生成报表并以email发送

日志系统

日志类型

系统日志、审计日志和安全防护日志（入侵记录、地理位置、页面统计、网络流量、防篡改日志、防CC日志）

日志查询

可基于时间、IP、端口、协议、动作、请求方法等条件进行日志查询

日志管理

日志导出、清空、自动磁盘日志清理

日志输出

支持syslog、SNMP Trap日志输出

Web负载

均衡

支持应用层负载均衡功能，并支持动态网站、流量分配，支持HTTPS负载均衡（需提供功能截图）

系统监控

监控类型

安全事件监控、访问情况监控、设备负载监控

系统信息

显示网络接口状态，引擎状态、系统CPU、内存及磁盘使用率系统当前时间及系统运行时间。

管理功能

即插即用

提供接入即防护的能力

人性化界面设计

操作界面简单明了，易于使用

计划任务

针对高级用户，对于访问控制、防篡改等功能，支持灵活时间段的计划任务

管理方式

支持基于HTTPS的B/S管理

实用性

支持同一网卡配置多个虚拟IP功能

升级系统

定期升级功能模块和规则库

系统诊断和调试功能

维护工具

抓包工具，可抓取的网络原始报文，用于分析网络状况及ping功能方便管理。

配置备份与导入

支持系统配置的备份与导入功能

资质要求（提供相关资质复印件）

涉密资质

获得国家保密局涉密信息系统安全保密测评中心颁发的符合国家保密标准BMB13－2004《涉及国家秘密的计算机信息系统入侵检测产品技术要求》的千兆《涉密信息系统产品检测证书》

获得国家保密局涉密信息系统安全保密测评中心的《检测报告》，性能测试部分：背景流量达到1000Mbps下的检测报告

强制认证

获得中国信息安全认证中心颁发的符合CNCA/CTS 0050-2007《信息技术 信息安全 网站恢复产品认证技术规范》增强级认证《中国国家信息安全产品认证证书》

销售许可证

获得公安部颁发的《计算机信息系统安全专用产品销售许可证》

软件证书

《计算机软件著作权登记证书》

厂家实力

设备生产厂商应具有漏洞发现能力，并获得国家相关部门认可，至少曾经获得中国信息安全测评中心颁发《中国国家漏洞库-信息安全漏洞提交证明》，不低于3份。

用户案例

具备≥6个211或985院校的客户案例，提供用户联系方式

售后服务

支持

提供原厂针对此项目的授权（原件）和三年原厂免费硬件质保、软件及规则库免费升级等售后服务承诺（服务承诺原件）；

要求提供质保期过后选择续保或者升级的费用，按年提供。